ネットワークを隔離することで、Trend Vision Oneの拡張検出/応答 (XDR) インタフェースを使用して、侵害された可能性のあるエンドポイントをネットワークの他の部分から隔離できます。
エージェントとリレーをプロキシ経由で主要なセキュリティ更新ソースに接続する場合、ネットワーク分離は自動的に同じプロキシの設定を使用します。

要件 親トピック

Workload Securityは、メッセージやイベントをTrend Vision One XDRに送信するためにIoTメカニズムを使用します。環境内で許可されるURLを制限する必要がある場合は、ファイアウォールを構成してWorkload Security URLsテーブルのEvent Channel - XDR Activity Monitoring FQDNを含めてください。

ネットワークの隔離を使用してエンドポイントを隔離する 親トピック

ネットワーク隔離を使用してエンドポイントを隔離するには

手順

  1. ネットワーク隔離をトリガー
  2. エンドポイント隔離タスクを作成
  3. タスクステータスをモニタ

次に進む前に

ネットワーク分離のトリガー 親トピック

隔離するエンドポイントを特定したら、次のいずれかからネットワーク隔離をトリガーできます。
  • Trend Vision One検索アプリicon-vision-one-searchapp=d75f2424-91f4-428d-80c1-df6dd7ab20f9.pngから:
    隔離するエンドポイントの [EndpointHostName] を右クリックし、[エンドポイントの隔離] を選択します。
    network-isolation-trigger-searchapp=b244e338-8c1e-44ac-9bb9-5eebb9d733b6.png
    [エンドポイントの隔離タスク]画面が表示されます。
  • Trend Vision Oneのワークベンチ ([XDR]icon-vision-one-XDRsidebar=fa1898ae-8d66-4b25-810e-56a9be34a661.pngの下):
    隔離したいエンドポイントのサーバアイコンicon-vision-one-server=a2cc4836-09aa-4c1e-a259-b2454370e73b.pngを右クリックし、[エンドポイントの隔離]を選択します。
    network-isolation-trigger-workbench=8050301e-bfb4-43cd-bb59-198bf3d562d5.png
    [エンドポイントの隔離タスク]画面が表示されます。
  • Trend Vision OneのObserved Attack Techniquesタブ ([XDR]icon-vision-one-XDRsidebar=fa1898ae-8d66-4b25-810e-56a9be34a661.pngの下):
    隔離する[関連エンドポイント]を右クリックし、[エンドポイントの隔離]を選択します。
    network-isolation-trigger-observedattacktechniques=8312bcda-8233-4776-8ea0-1008c91aaefb.png
    [エンドポイントの隔離タスク]画面が表示されます。

エンドポイントの隔離タスクの作成 親トピック

[エンドポイントの隔離タスク] 画面で次の手順を実行します。

手順

  1. 必要に応じて、タスクの説明を入力します。
  2. [Create]を選択してタスクを開始します。
    network-isolation-createtask=aadfb0f0-5b74-4eea-90db-4d5858c5bdde.png

タスクステータスの監視 親トピック

[Response Management]icon-vision-one-responsemanagementapp=5702fe14-c9e9-4c1b-9ee6-379ec4118ed5.pngからタスクをモニタできます。
タスクのステータスは、配布管理システムがコマンドを正常に受信して実行できたかどうかを示します。コマンドの対象がセキュリティエージェントの場合、タスクのステータスは、対象のセキュリティエージェントまたはオブジェクトがコマンドを正常に実行したことを示すとは限りません。
タスクのステータスは次のとおりです。
  • icon-file-collection-taskstatus-inprogress=69c509c6-f8a4-4476-b3b8-9713f2996b22.png 進行中: Trend Vision Oneは管理サーバにコマンドを送信し、応答を待っています。
  • icon-file-collection-taskstatus-queued=e693483e-1037-4854-b2e0-e72f47bd77eb.png キューに追加されました: サーバはリクエストの量が多いか、セキュリティエージェントがオフラインのため、コマンドをキューに追加しました。
  • icon-file-collection-taskstatus-successful=2203e0bf-74f5-4100-a120-a2b70cfd8dd3.png 成功: 管理サーバはコマンドを正常に受信しました。
  • icon-file-collection-taskstatus-unsuccessful=71b8f3a4-491b-4e5f-a715-c317bf9e6a7d.png 失敗: 管理サーバにコマンドを送信しようとした際にエラーまたはタイムアウトが発生しました。
タスクを検索するには、[検索] フィールドを使用するか、 [処理] リストから [エンドポイントの隔離] を選択します。

エンドポイントへの接続を復元する 親トピック

隔離されたエンドポイントのセキュリティ問題を解決した後、[Response Management]icon-vision-one-responsemanagementapp=5702fe14-c9e9-4c1b-9ee6-379ec4118ed5.pngからネットワーク接続を復元できます。
エンドポイントの横にあるオプションボタンnetwork-isolation-optionsbutton=93d79e5e-835f-4656-af91-266b59672cd8.pngを選択し、[接続を復元]を選択します。
network-isolation-restoreconnection=fa245ae0-e58c-468f-8ae6-22a99b92a912.png

一般的な問題のトラブルシューティング 親トピック

ネットワーク隔離または接続の復元をトリガする一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認します。

Trend Vision Oneの設定 親トピック

[Trend Vision One (XDR)]タブ ([管理][システム設定][Trend Vision One (XDR)]) で、以下を確認してください:
  • 登録ステータスは登録済みです
  • セキュリティイベントをTrend Vision Oneに転送するチェックボックスがオンになっている
remote-shell-XDR-and-log-forwarding=b22cfe2e-110f-46fe-93dd-20c35c5586ba.png

コンピュータのセキュリティモジュールの設定 親トピック

使用しているコンピュータの [アクティビティ監視] タブ ([Computers][ (右またはダブルクリック) Details][ アクティビティ監視][ 一般]) で、[Configuration] が [On] または [Inherited (On)] に設定されていることを確認します。
remote-shell-activitymonitoring=b66e7b2d-8fe6-4bd8-9d45-ee3469c8f058.png
また、コンピュータに割り当てられたポリシーで有効にすることで、コンピュータの [[アクティビティ監視] を有効にすることもできます。 [[ポリシー] タブで、[アクティビティ監視] を有効にするポリシーをダブルクリックします。 [Activity Monitoring ][ General] の順に選択し、[ アクティビティ監視のステータス] が [On] に設定されていることを確認します。
要件および一般的な問題のトラブルシューティングのセクションを確認したが、まだ問題が解決しない場合は、サポートに連絡してください。