Ansichten:

Objektspezifische Aktionen ermöglichen es Ihnen, direkt auf Bedrohungen zu reagieren, ohne die Trend Vision One-Konsole zu verlassen.

Sie können in Trend Vision One spezifische Aktionen auf Ereignisse oder Objekte ausführen. Nach dem Auslösen einer Reaktion erstellt das Reaktionsmanagement eine Aufgabe und sendet den Befehl an das Ziel.
Wichtig
Wichtig
Bevor Sie Reaktionsmaßnahmen auf virtuellen Maschinen verwenden, siehe Bereitstellung über ein goldenes Image. Das Klonen Ihrer eigenen VDI-Maschinen führt dazu, dass Agenten-IDs dupliziert werden und verhindert, dass bereitgestellte Agenten Reaktionsmaßnahmen durchführen.

Allgemein

Aktion
Beschreibung
Unterstützende Dienste
Zur Sperrliste hinzufügen
Fügt unterstützte Objekte wie Secure Hash Algorithm 1 (SHA-1), Uniform Resource Locator (URL), Internetprotokoll (IP)-Adresse oder Domänenobjekte zur benutzerdefinierten Liste verdächtiger Objekte hinzu, die die Objekte bei nachfolgenden Erkennungen sperrt.
Das Hinzufügen eines Objekts zur benutzerdefinierten Liste verdächtiger Objekte beendet keine aktiven Prozesse oder Verbindungen zu dem Objekt. Um aktive Prozesse zu beenden, stellen Sie sicher, dass Sie auch die Beenden-Reaktion auslösen.
Weitere Informationen finden Sie unter Zur Sperrliste hinzufügen Aufgabe.
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Security
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • Windows-Agent
  • Trend Micro Apex One as a Service
    • Windows-Agent
Datei sammeln
Komprimiert die vom Netzwerkgerät erkannte ausgewählte Datei und Trend Vision One in einem passwortgeschützten Archiv und sendet das Archiv dann an das Response Management.
Weitere Informationen finden Sie unter Datei-Sammelaufgabe.
  • Deep Discovery Inspector
  • Trend Micro Apex One as a Service
    • Windows-Agent
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Virtueller Netzwerksensor
Aus der Sperrliste entfernen
Entfernt das Date SHA-1, die URL, die IP-Adresse oder das Domain-Objekt, das über die Aktion "Zur Sperrliste hinzufügen" zur benutzerdefinierten Liste verdächtiger Objekte hinzugefügt wurde.
Weitere Informationen finden Sie unter Aus der Sperrliste entfernen Aufgabe.
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Security
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • Windows-Agent
  • Trend Micro Apex One as a Service
    • Windows-Agent
Zur Sandbox Analysis einreichen
Sendet die ausgewählten Dateiobjekte zur automatisierten Analyse in einer Sandbox, einer sicheren virtuellen Umgebung.
Für weitere Informationen siehe Zur Sandbox Analysis-Aufgabe einreichen.
  • Deep Discovery Inspector
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Trend Micro Apex One as a Service
    • Linux-Agent
    • Windows-Agent
  • Trend Vision One
    • macOS-Agent
    • Windows-Agent
  • Virtueller Netzwerksensor

Container

Aktion
Beschreibung
Unterstützende Dienste
Isolationscontainer
Trennt den enthaltenen Pod von relevanten Netzwerken und verhindert den Datentransfer in und aus dem Pod. Das Verhindern des Datentransfers zu und von dem Pod begrenzt die Ausbreitung verdächtiger Prozesse innerhalb eines Containers, sodass der Benutzer die Ursachen untersuchen kann.
Weitere Informationen finden Sie unter Isolieren Container-Aufgabe.
  • Trend Vision One Container Security
Container fortsetzen
Setzt Container innerhalb eines zuvor isolierten Pods fort.
Weitere Informationen finden Sie unter Container-Aufgabe fortsetzen.
  • Trend Vision One Container Security
Container beenden
Stoppt verdächtiges Verhalten von Containern innerhalb eines Pods, indem der enthaltene Pod beendet wird.
Wichtig
Wichtig
Das Beenden eines Pods zerstört Beweise für das verdächtige Verhalten und verhindert nicht, dass das Verhalten erneut auftritt.
Weitere Informationen finden Sie unter Container-Aufgabe beenden.
  • Trend Vision One Container Security

E-Mail

Aktion
Beschreibung
Unterstützende Dienste
Nachricht löschen
Löscht die ausgewählte E-Mail-Nachricht aus den ausgewählten Postfächern.
Weitere Informationen finden Sie unter Nachricht löschen Aufgabe.
  • Cloud App Security
Nachricht in Quarantäne verschieben
Verschiebt die ausgewählte E-Mail-Nachricht in den Quarantäne-Ordner und ermöglicht es Ihnen, die Nachricht aus allen betroffenen Postfächern in Quarantäne zu stellen.
Weitere Informationen finden Sie unter Quarantäne-Nachrichtenaufgabe.
  • Cloud App Security
Nachricht wiederherstellen
Stellt die ausgewählte E-Mail-Nachricht aus der Quarantäne in die ausgewählten Postfächer wieder her.
Weitere Informationen finden Sie unter Wiederherstellungsnachricht-Aufgabe.
  • Cloud App Security

Endpunkt

Aktion
Beschreibung
Unterstützende Dienste
Beweise sammeln
Sammelt forensische Beweise von den angegebenen Endpunkten und lädt die Beweise zu Forensics hoch.
Weitere Informationen finden Sie unter Beweise sammeln Aufgabe.
  • Trend Vision One
    • Windows-Agent
Prozessspeicher abbilden
Greift direkt auf einen Endpunkt zu und führt Remote-Shell-Befehle aus, um aktuell laufende Prozesse zu identifizieren, die während einer Untersuchung verdächtige Aktivitäten verursachen könnten.
Wichtig
Wichtig
Die Aktion "Speicherabbildprozess" wird nur durch den memdump-Befehl über die Remote-Shell auf Endpunkten ausgelöst, die Windows oder macOS ausführen.
Weitere Informationen zu unterstützenden Diensten und Nutzungskontexten finden Sie unter Remote-Zugriffssitzungsaufgabe (ehemals Shell) starten.
Verwenden Sie ein externes Dekomprimierungsprogramm, um den Dateiinhalte zu extrahieren.
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • macOS-Agent
    • Windows-Agent
  • Trend Vision One
    • macOS-Agent
    • Windows-Agent
Endpunkt isolieren
Trennt den Zielendpunkt vom Netzwerk, mit Ausnahme der Kommunikation mit dem verwaltenden Trend Micro Endpunktschutzprodukt.
Weitere Informationen finden Sie unter Endpunkt isolieren Aufgabe.
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Trend Micro Apex One as a Service
    • Windows-Agent
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
Verbindung wiederherstellen
Stellt die Netzwerkverbindung zu einem Endpunkt wieder her, der bereits die Aktion "Endpunkt isolieren" angewendet hat.
Weitere Informationen finden Sie unter Verbindung wiederherstellen Aufgabe.
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Trend Micro Apex One as a Service
    • Windows-Agent
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
Osquery ausführen
Führt SQL-Abfragen mit osquery (Version 5.7.0) aus, um Systemdaten der angegebenen Endpunkte zu erhalten.
Weitere Informationen finden Sie unter Osquery-Aufgabe ausführen.
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
Remote benutzerdefiniertes Skript ausführen
Verbindet sich mit einem überwachten Endpunkt und führt eine zuvor hochgeladene PowerShell- oder Bash-Skriptdatei aus.
Weitere Informationen finden Sie unter Remote benutzerdefinierte Skriptaufgabe ausführen.
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
YARA-Regeln ausführen
Führt benutzerdefinierte YARA-Regeln (Version 4.2.3) auf den angegebenen Endpunkten aus.
Weitere Informationen finden Sie unter YARA-Regeln-Aufgabe ausführen.
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
DURCHSUCHEN nach Malware
Führt einen einmaligen Scan auf einem oder mehreren Endpunkten nach dateibasierten Bedrohungen wie Viren, Spyware und Grayware durch.
Weitere Informationen finden Sie unter Aufgabe: Nach Malware DURCHSUCHEN.
  • Standard-Endpunktschutz
  • Trend Micro Apex One as a Service
Remote-Zugriffssitzung starten
Verbindet sich mit überwachten Endpunkten, um Befehle, benutzerdefinierte Skripte oder Speicherabbilder von Prozessen zur Untersuchung aus der Ferne auszuführen.
  • Trend Vision One
    • Windows-Agent
Remote-Shell-Sitzung starten
Verbindet sich mit einem überwachten Endpunkt und ermöglicht es Ihnen, Remote-Befehle oder eine benutzerdefinierte Skriptdatei zur Untersuchung auszuführen.
Weitere Informationen finden Sie unter Remote-Zugriffssitzungsaufgabe (ehemals Shell) starten.
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
Prozess beenden
Beendet den aktiven Prozess und ermöglicht es Ihnen, den Prozess auf allen betroffenen Endpunkten zu beenden.
Weitere Informationen finden Sie unter Prozess beenden Aufgabe.
Hinweis
Hinweis
In bestimmten Fällen kann der Remote-Shell-Befehl kill verwendet werden, um einen Prozess zu beenden, anstatt die Aufgabe "Prozess beenden" zu verwenden.
Weitere Informationen zu unterstützenden Diensten und Nutzungskontexten finden Sie unter Remote-Zugriffssitzungsaufgabe (ehemals Shell) starten.
  • Trend Micro Apex One as a Service
    • Windows-Agent
  • Trend Vision One
    • Windows-Agent

Netzwerk

Aktion
Beschreibung
Unterstützende Dienste
Untersuchungspaket sammeln
Komprimiert das ausgewählte Untersuchungspaket, einschließlich OpenIOC-Dateien, die Indikatoren für Kompromittierungen auf dem betroffenen Host oder Netzwerk beschreiben, in einem passwortgeschützten Archiv und sendet das Archiv dann an das Response Management.
Wichtig
Wichtig
Um die Aktion "Untersuchungspaket sammeln" auszuführen, müssen Sie zuerst den Virtual Analyzer im Deep Discovery Inspector aktivieren. Konsultieren Sie die Hilfedokumentation für Ihre Version des Deep Discovery Inspector.
  • Deep Discovery Inspector
Netzwerkanalysepaket sammeln
Komprimiert das ausgewählte Netzwerk-Analysepaket, einschließlich eines Untersuchungspakets, einer Paketaufzeichnungsdatei (PCAP) und einer vom Netzwerkgerät erkannten Datei, in einem passwortgeschützten Archiv und sendet das Archiv dann an das Response Management.
Wichtig
Wichtig
Um die Aufgabe "Netzwerkanalysepaket sammeln" auszuführen, müssen Sie zuerst den Virtual Analyzer und die Paketaufzeichnungsfunktion im Deep Discovery Inspector aktivieren.
Weitere Informationen finden Sie unter Netzwerkanalysepaket-Aufgabe sammeln.
  • Deep Discovery Inspector
PCAP-Datei sammeln
Komprimiert die ausgewählte Paketaufzeichnungsdatei in einem passwortgeschützten Archiv und sendet das Archiv dann an das Response Management.
Wichtig
Wichtig
Um die Aufgabe "Netzwerkanalysepaket sammeln" auszuführen, müssen Sie zuerst den Virtual Analyzer und die Paketaufzeichnungsfunktion im Deep Discovery Inspector aktivieren.
Die Aktion "PCAP-Datei sammeln" unterstützt nur Deep Discovery Inspector 6.5 oder höher.
  • Deep Discovery Inspector

Benutzerkonto / IAM

Aktion
Beschreibung
Unterstützende Dienste
Zur Zscaler-Gruppe für eingeschränkte Benutzer hinzufügen
Fügt Benutzerkonten mit hohem Risiko zur von Zscaler definierten eingeschränkten Benutzergruppe hinzu, um die Zscaler Policy enforcement zu ermöglichen.
Weitere Informationen finden Sie unter Zur Zscaler-Eingeschränkte-Benutzergruppe hinzufügen Aufgabe.
  • Microsoft Entra-ID
Benutzerkonto deaktivieren
Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos ab. Diese Aufgabe kann einige Minuten dauern. Benutzern wird das Anmelden in einer neuen Sitzung untersagt.
Hinweis
Hinweis
Nicht anwendbar auf Konten, die der Microsoft Entra-ID Administratorrolle zugewiesen sind.
Weitere Informationen finden Sie unter Benutzerkonto deaktivieren Aufgabe.
  • Active Directory (lokal)
  • Google Cloud Identity
  • Microsoft Entra-ID
  • Okta
  • OpenLDAP
Benutzerkonto aktivieren
Ermöglicht dem Benutzer, sich bei neuen Anwendungs- und Browsersitzungen anzumelden. Diese Aufgabe kann einige Minuten dauern. Die nachfolgenden Anmeldeversuche und Zugriffsanfragen des Benutzers unterliegen der Kontrolle durch Secure Access Rules.
Weitere Informationen finden Sie unter Benutzerkonto-Aufgabe aktivieren.
  • Active Directory (lokal)
  • Google Cloud Identity
  • Microsoft Entra-ID
  • Okta
  • OpenLDAP
Die Zurücksetzung des Kennworts erzwingen
Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen ab und zwingt den Benutzer, bei der nächsten Anmeldeversuch ein neues Passwort zu erstellen. Diese Aufgabe kann einige Minuten dauern.
Weitere Informationen finden Sie unter Aufgabe zur Erzwingung der Zurücksetzung des Kennworts.
  • Active Directory (lokal)
  • Google Cloud Identity
  • Microsoft Entra-ID
  • Okta
  • OpenLDAP
Die Abmeldung erzwingen
Meldet den Benutzer von allen aktiven Anwendungs- und Browsersitzungen des Benutzerkontos ab. Diese Aufgabe kann einige Minuten dauern. Benutzer werden nicht daran gehindert, sich sofort wieder in den geschlossenen Sitzungen oder in neuen Sitzungen anzumelden.
Weitere Informationen finden Sie unter Die Abmeldung erzwingen Aufgabe.
  • Google Cloud Identity
  • Microsoft Entra-ID
  • Okta
Aus der Zscaler-Eingeschränkten-Benutzergruppe entfernen
Entfernt Benutzerkonten aus der von Zscaler definierten eingeschränkten Benutzergruppe.
Weitere Informationen finden Sie unter Aus Zscaler-Eingeschränkte-Benutzergruppe entfernen Aufgabe.
  • Microsoft Entra-ID
Zugriffsberechtigung widerrufen
Entzieht die Zugriffsberechtigung des Benutzers auf den Amazon Web Services (AWS) Identity and Access Management (IAM)-Dienst. Nach dem Entzug der Berechtigung kann der Benutzer nicht mehr auf AWS-Ressourcen zugreifen. Bitte einige Minuten warten, bis diese Aufgabe abgeschlossen ist.
Weitere Informationen finden Sie unter Zugriffsberechtigung widerrufen Aufgabe.
  • AWS
Zugehörige Informationen