ビュー:

適切な形式のIOCファイルを信頼された外部ソース (セキュリティフォーラムや他のDeep Discovery仮想アナライザ製品) から取得した後、そのファイルをControl Managerにインポートしてネットワーク内に脅威が存在するかどうかを判別し、脅威が他のエンドポイントに拡散するのを防ぐために軽減処理を実行します。

重要:

  • 外部IOCデータの影響を診断するには、Endpoint Sensor 1.5 (またはそれ以降) がControl Managerに登録され、対象エンドポイントにインストールされている必要があります。

  • エンドポイントを隔離するには、ウイルスバスター Corp. 11.0 SP1 (またはそれ以降) のクライアントをインストールし、対象エンドポイントでウイルスバスター Corp.のファイアウォールを有効にする必要があります。

  1. [運用管理] > [侵入の痕跡] に移動します。

    [侵入の痕跡 (IOC)] 画面が表示されます。

  2. [追加] をクリックします。
  3. 調査のソースとして使用するIOCファイルを選択します。
  4. [アップロード] をクリックします。

    ファイルに含まれるサポート対象の痕跡を示した画面が表示されます。

  5. 調査を開始するには、リストからIOCファイルを選択して、[影響の診断] をクリックします。

    [調査を開始する] 画面が表示されます。

  6. [対象エンドポイント] ドロップダウンから、[すべて] または [指定] を選択して、調査するエンドポイント名またはIPアドレスを入力します。

    複数のエンドポイント名またはIPアドレスを追加するには、新しい行を使用します。

  7. [調査を開始する] をクリックします。
    注:

    調査が完了するまでには多少の時間がかかります。[進行状況] 列で調査の進行状況を確認してください。

  8. 診断が完了したら、[危険] 列の数字をクリックして詳細を確認するか、または感染したエンドポイントで処理を実行します。
    注:

    [保留/問題あり] 列には、まだ診断が終了していないエンドポイントの数が表示されます。たとえば、エンドポイントがネットワークに再接続するまで、そのエンドポイントでは診断を開始できません。

    [侵入の痕跡]→[危険性の高いエンドポイント] 画面が表示されます。

  9. 不審なオブジェクトがネットワーク全体に拡散しないようにするには、[処理] 列で [隔離] をクリックして、感染したエンドポイントでネットワークトラフィックを停止します。
    重要:

    エンドポイントを隔離するには、ウイルスバスター Corp. 11.0 SP1 (またはそれ以降) のクライアントをインストールし、対象エンドポイントでウイルスバスター Corp.のファイアウォールを有効にする必要があります。

  10. [許可するトラフィックの変更] ボタンをクリックして、隔離されたすべてのエンドポイントに許可する送受信トラフィックを必要に応じて設定します。
    1. [隔離されたエンドポイント上のトラフィック制御] を選択します。
    2. [受信トラフィック] または [送信トラフィック] セクションを展開します。
    3. [プロトコル][IPアドレス]、および [送信先ポート] を指定して、許可するトラフィックを指定します。

      コンマを使用して複数の送信先ポートを区切ります。

    4. [送信先ポート] 情報の右側の - コントロールをクリックして、複数の送受信エントリを追加します。
    注:

    許可するトラフィックの設定を変更した後、以前に隔離されたエンドポイントと後で隔離されるエンドポイントはすべて、送受信トラフィックの設定が適用されます。

親トピック: 脅威の兆候に対する予防的対策