どのように MAR が行動定義に到達しますか? 動作は、追跡ルールに関連付けられます。 ルールに一致すると、関連する動作がワークスペース アクティビティと潜在的な脅威の一部として表示されます。
たとえば、プロセスが HKLM\...\Run キーの永続的な動作に関連する追跡ルールに一致する値を作成しようとすると、この定義が適用されます。
Active Response クエリは、HTTPS(API)または DXL 経由で ePolicy Orchestrator から MAR サーバーに渡されますか? ePolicy Orchestrator (ePO)から MAR サーバーに渡されるクエリは、HTTPS と REST API を使用します。
MAR サーバーはインターネットに直接接続する必要がありますか? MAR サーバーには直接インターネット接続は必要ありません。 DXL ブローカーが同じアプライアンスにインストールされ、ブリッジモードで設定されている場合、MAR はインターネット接続を必要とし、トレースをクラウドに送信します。
ePO クラウド アカウントに関する推奨ガバナンスは何ですか? アカウントの有効期限が切れた場合、または ePO クラウド管理者が退職した場合、データはどうなりますか? クラウドアカウントは有効期限切れではなく、 McAfee はアカウントを削除しないため、問題なく MAR を引き続き使用できます。 従業員の離職をサポートするために、管理者はビジネスプラットフォームサービス(BPS)を介して追加ログインを作成し、アカウントを引き継ぐようにしてください。
MAR が正しくインストールされていますが、エンドポイントシステムで 危険度高/不審/監視脅威 が監視されているにもかかわらず、Active Response ワークスペース がトレースデータを表示できません。 なぜこれが起こるのですか? トレースデータを MAR ワークスペース に提供するには、DXL ブローカー 拡張 を有効にする必要があります。 この設定は、MAR 2.x のインストールプロセスの一部として有効にする必要がありますが、いつでも有効にすることができます。
- ePO コンソールを開き、[サーバー設定] に移動します。
- [DXL トポロジ]、[編集] を選択します。
- [DXL ブローカー] を選択します。
- ブローカー 拡張 の横にある [MAR ワークスペースのクラウドにトレースデータを提供する] オプションをオンにします。
- [保存] をクリックします。
注意: 詳細については、McAfee Active Response 2.0 製品ガイド ( PD26820 ) の 15 ページを参照してください。