Erkunden Sie die verfügbaren Reaktionsmaßnahmen für das Managed Services-Operationsteam.
Genehmigung nicht erforderlich
Die folgenden Reaktionsmaßnahmen erfordern keine Genehmigung. Das Operationsteam ist
automatisch berechtigt, diese Maßnahmen in Ihrem Namen durchzuführen:
-
Verknüpfen oder Aufheben der Verknüpfung von Workbench-Warnungen mit Vorfällen
-
Ausnahmen in Verwaltung verdächtiger Objekte hinzufügen
-
Ausnahmen in Detection Model Management hinzufügen
-
Führen Sie Speicherabbilder von Prozessen durch, die auf Endpunkten laufen
Hinweis
Speicherabbilder von Prozessen auf Endpunkten erfordern Remote-Shell-Sitzungen, die Sie genehmigen müssen. Um Anfragen des Operationsteams automatisch zu genehmigen, siehe Antwortgenehmigungseinstellungen konfigurieren.
Automatisch genehmigen
Sie können die Genehmigung der folgenden Anfragen zu Reaktionsmaßnahmen, die vom Operationsteam
eingereicht wurden, automatisieren. Anweisungen zum Aktivieren der automatischen Genehmigung
von Anfragen finden Sie unter Antwortgenehmigungseinstellungen konfigurieren.
Kritische Aktionen
|
Antwortaktionsname
|
Beschreibung
|
||
|
Fügt unterstützte Objekte wie Secure Hash Algorithm 1 (SHA-1), Uniform Resource Locator
(URL), Internetprotokoll (IP)-Adresse oder Domänenobjekte zur benutzerdefinierten
Liste verdächtiger Objekte hinzu, die die Objekte bei nachfolgenden Erkennungen sperrt.
|
|||
|
Sammelt detaillierte Beweise von angegebenen Endpunkten, um die Bedrohungsuntersuchung
und die Reaktion auf Vorfälle zu unterstützen
|
|||
|
Komprimiert die vom Netzwerkgerät erkannte ausgewählte Datei und Trend Vision One in einem passwortgeschützten Archiv und sendet das Archiv dann an das Response Management.
|
|||
|
Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos
ab. Diese Aufgabe kann einige Minuten dauern. Benutzern wird das Anmelden in einer
neuen Sitzung untersagt.
|
|||
|
Trennt den Zielendpunkt vom Netzwerk, mit Ausnahme der Kommunikation mit dem verwaltenden
Trend Micro Endpunktschutzprodukt.
|
|||
|
Fügt die E-Mail-Adresse zur Liste der gesperrten Absender in Cloud App Security hinzu und stellt eingehende Nachrichten unter Quarantäne.
|
|||
|
Stellt die Netzwerkverbindung zu einem Endpunkt wieder her, der bereits die Aktion
"Endpunkt isolieren" angewendet hat.
|
|||
|
Führt einen einmaligen Scan auf einem oder mehreren Endpunkten nach dateibasierten
Bedrohungen wie Viren, Spyware und Grayware durch.
|
|||
|
Beendet den aktiven Prozess und ermöglicht es Ihnen, den Prozess auf allen betroffenen
Endpunkten zu beenden.
|
Empfohlene Aktionen
|
Antwortaktionsname
|
Beschreibung
|
||
|
Komprimiert das ausgewählte Netzwerk-Analysepaket, einschließlich eines Untersuchungspakets,
einer Paketaufzeichnungsdatei (PCAP) und einer vom Netzwerkgerät erkannten Datei,
in einem passwortgeschützten Archiv und sendet das Archiv dann an das Response Management.
|
|||
|
Konfigurieren und Bereitstellen der TippingPoint-Filterrichtlinie
|
Konfiguriert TippingPoint-Virtual-Patching-Filterrichtlinien in Intrusion Prevention Configuration und wendet die Richtlinien auf TippingPoint-SMS-Profile an, um Risiken durch Common
Vulnerabilities and Exposures (CVE) zu mindern.
|
||
|
Führt SQL-basierte Abfragen auf angegebenen Endpunkten aus, um die Bedrohungsermittlung
und Vorfallreaktion zu unterstützen
|
|||
|
Verbindet sich mit einem überwachten Endpunkt und führt eine zuvor hochgeladene PowerShell-
oder Bash-Skriptdatei aus.
|
|||
|
Führt benutzerdefinierte YARA-Regeln auf angegebenen Endpunkten aus, um die Bedrohungsuntersuchung
und Vorfallreaktion zu unterstützen
|
|||
|
Verbindet sich mit überwachten Endpunkten, um Befehle, benutzerdefinierte Skripte
oder Speicherabbilder von Prozessen zur Untersuchung aus der Ferne auszuführen.
|
|||
|
Sendet die ausgewählten Dateiobjekte zur automatisierten Analyse in einer Sandbox,
einer sicheren virtuellen Umgebung.
|