Ansichten:

Sie können präventive Isolationsmaßnahmen auf kompromittierten Endpunkten ergreifen, die ein Sicherheitsrisiko für Ihr Netzwerk darstellen könnten, indem Sie Kontextmenüs in der Trend Vision One-Konsole verwenden.

Die folgenden Dienste unterstützen diese Aufgabe:
  • Trend Vision One
    • Windows-Agent
    • Linux-Agent
      Tipp
      Tipp
      Aktivieren Sie entweder iptables oder nftables auf Trend Vision One Linux-Agenten, um die Isolate-Endpunkt-Antwortaktion zu verwenden.
    • macOS-Agent
  • Trend Micro Apex One as a Service
    • Windows-Agent
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Windows-Agent
    • Linux-Agent
    • macOS-Agent
Hinweis
Hinweis
Bestimmte Reaktionsmaßnahmen auf kritischen Endpunkten könnten wichtige Operationen oder Dienste behindern. Für kritische Geräte empfiehlt Trend Micro, die Endpunkte von bestimmten Reaktionsmaßnahmen auszuschließen.
Um Netzwerkverkehr auf isolierten kritischen Endpunkten wie DNS-Servern, Proxy-Servern oder VPN-Routern zuzulassen, können Sie eine Ausnahme für eingehenden oder ausgehenden Netzwerkverkehr für die IP-Adressen der Endpunkte hinzufügen.

Prozedur

  1. Nachdem Sie den zu isolierenden Endpunkt identifiziert haben, greifen Sie auf das Kontext- oder Antwortmenü zu und klicken Sie auf Endpunkt isolieren.
    Das Fenster Isolate Endpoint Task wird angezeigt.
  2. Bestätigen Sie die Ziele der Antwort.
  3. Geben Sie einen Beschreibung für die Antwort oder das Ereignis an.
  4. Klicken Sie auf Erstellen.
    Trend Vision One erstellt die Aufgabe und zeigt den aktuellen Aufgabenstatus in Response Management an.
  5. Überwachen Sie den Aufgabenstatus.
    1. Navigieren Sie zu Workflow and AutomationResponse Management.
    2. Suchen Sie die Aufgabe mithilfe des Feldes Suche oder indem Sie Endpunkt isolieren aus der Dropdown-Liste Aktion auswählen.
    3. Zeigen Sie den Aufgabenstatus an.
      • Genehmigung ausstehend (pending_approval=f0525c66-199a-46f5-b40a-902bd498cf53.jpg) (falls zutreffend): Die automatisierte Antwortaufgabe wurde in der Workbench App erstellt und wartet auf Genehmigung
      • Zurückgewiesen (rejected=bd05fc87-5b5d-4d84-bfb1-3a6dc09ddac5.jpg) (falls zutreffend): Die automatisierte Antwortaufgabe, die in der Workbench-App erstellt wurde, wurde abgelehnt
      • Wird ausgeführt (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=de-de=Low.jpg): Trend Vision One hat den Befehl gesendet und wartet auf eine Antwort.
      • In Warteschlange (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=de-de=Low.jpg): Der Verwaltungsserver hat den Befehl in die Warteschlange gestellt, weil der Agent offline war.
      • Erfolgreich (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=de-de=Low.jpg): Der Befehl wurde erfolgreich ausgeführt.
      • Nicht erfolgreich (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): Beim Versuch, den Befehl an den Verwaltungsserver zu senden, ist ein Fehler oder ein Zeitüberschreitung aufgetreten, der Agent ist seit mehr als 24 Stunden offline oder die Befehlsausführung hat die Zeit überschritten.
      Wichtig
      Wichtig
      Der Task status zeigt an, ob der Verwaltungsserver den Befehl erfolgreich empfangen und ausgeführt hat. Wenn das Befehlsziel ein Security Agent ist, zeigt der Task status nicht unbedingt an, ob der Ziel-Security Agent oder das Objekt den Befehl erfolgreich ausgeführt hat.
    Nachdem das Sicherheitsproblem am isolierten Endpunkt behoben wurde, können Sie die Netzwerkverbindung von options_icon=GUID-408062FA-DA13-4ECA-81EB-31A5B68355A1=1=de-de=Low.jpg wiederherstellen.
    Weitere Informationen finden Sie unter Verbindung wiederherstellen Aufgabe.