[早期アクセス（Early access）] でアラートを操作する方法を改善し、グローバル脅威アラートでアラートを SecureX incident manager にプロモートする方法を改善しました。

SecureX incident manager との統合のメリットを享受するには、グローバル脅威アラートコンソールのアプリケーション設定で SecureX の統合を有効にします。

グローバル脅威アラートコンソールのヘッダーで、[早期アクセス（Early access）] をクリックして有効にします。

[早期アクセス（Early access）] を有効にすると、アラートは [新規（New）]、[オープン（Open）]、または [終了（Closed）] に分類されます。

[新規（New）] アラートのステータスは、[開く（Open）] または [閉じる（Close）] ボタンを使用して変更できます。

グローバル脅威アラートは、拡張された検出や効率的なアラートトリアージなどのコアコンピテンシーに引き続き重点を置いていますが、現在は SecureX エコシステムとより緊密に統合され、ワンクリックで SecureX のインシデント対応ワークフローへ検出をプロモートします。

アラートが開かれると、以下のオプションが用意されています。

• アラートを開いて新しいインシデントにリンク

• アラートを開いて既存のインシデントにリンク

• 開くのみ

SecureX incident manager では、インシデントには、[概要（Summary）] や、元のアラートからのすべてのセキュリティ [イベント（Events）] と [監視対象（Observables）] などの詳細が含まれています。その後、調査、エンリッチメント、オーケストレーションといった SecureX の機能を使用して、より詳細に調査して対応することができます。

アラートをインシデントとしてプロモートすることが望ましくない場合でも、グローバル脅威アラートコンソールでのみ [開くのみ（Open only）] を実行でき、作業を追跡できます。

どちらの場合も、完了後はアラートを [閉じる（Close）] ことができます。アラートを閉じるときは、定義されている新しい一連の [閉じる理由（Closing reasons）] から選択するか、自身で理由を指定します。

アラートを閉じるときは、[有用（useful）] または [有用でない（not useful）] として閉じることができます。アラートに関する追加のフィードバックをシスコのチームに提供することもできます。貴重なフィードバックは、今後の検出の改善に活用されます。

閉じる理由は、後で参照できるようにアラートの一部として記録されます。

閉じたアラートを開くことができます。アラートを再び開くと、閉じる理由はすべて削除されます。また、以前にリンクされた SecureX インシデントへの参照も削除されます。ただし、以前と同じ SecureX インシデントであっても、アラートを再度リンクすることを選択できます。

新しい脅威検出、SocGholish をポートフォリオに追加しました。また、既存の脅威検出のインジケーターを更新しました。

SocGholish

FakeUpdates とも呼ばれる SocGholish は、正規のソフトウェアアップデートを模倣するダウンローダーマルウェアです。これは Javascript（T1059.007）に基づいており、ドライブバイダウンロード（T1608.004）を介して展開します。エンドポイント（T1005）と、ユーザー許可（T1069）、ドメイン信頼（T1482）、ドメインアカウント情報（T1087.002）、実行中のサービス（T1007）、資格情報を含むファイル（T1083）などのネットワークデータを収集できます。また、異なるマルウェアファミリによるさらなる感染につながります。

お使いの環境で SocGholish が検出されたかどうかを確認するには、[SocGholish脅威の詳細（SocGholish Threat Detail）]https://cta.eu.amp.cisco.com/ui/threats/74536f03-a984-4a28-8dfa-a415f2d56cc5 をクリックして、グローバル脅威アラートで詳細を表示します。