オブジェクト固有の処理を使用すると、 Trend Vision One コンソールを終了することなく、脅威に直接対応できます。
Trend Vision One コンソールで検出されたイベントまたはオブジェクトに対して特定の処理を実行できます。対応のトリガー後、Response Managementアプリはタスクを作成し、コマンドをターゲットに送信します。
次の表では、コンテナ、メールメッセージ、エンドポイント、ネットワーク、およびユーザアカウントに対して実行できる処理について説明します。
 |
重要仮想マシンで対応処理を実行する場合は、次の手順に従ってください。 エージェントインストーラのインストール手順慎重に。独自のVDIコンピュータのクローンを作成すると、 エージェント IDが重複し、配信されたAgentが対応処理を実行できなくなります。
|
一般
|
処理
|
説明
|
サポートサービス
|
||
|
ブロックリストに追加
|
ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポート対象オブジェクトをユーザ定義の不審オブジェクトリストに追加します。
詳細については、[ブロックリストに追加] タスク 。
|
|
||
|
ファイルを収集
|
パスワードで保護されたアーカイブ内でNetwork Applianceによって検出された選択したファイルを圧縮し、そのアーカイブをResponse Managementアプリに送信します。
|
|
||
|
ブロックリストから削除
|
ユーザ定義の不審オブジェクトリストに追加されたファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、 [ブロックリストに追加] 対応によって削除します。
詳細については、ブロックリストから削除タスク 。
|
|
||
|
Sandbox Analysisに送信
|
選択したファイルオブジェクトを送信して、安全な仮想環境であるサンドボックスで自動分析します。
詳細については、Sandbox Analysisタスクの送信 。
|
|
コンテナ
|
処理
|
説明
|
サポートサービス
|
||
|
コンテナを隔離
|
ユーザは、コンテナ内の不審なプロセスの拡散を制限し、コンテナ内のPodを関連するネットワークから切断し、Podとの間でのデータ転送を防止することで原因を調査できます。詳細については、コンテナの隔離タスク 。
|
|
||
|
コンテナを終了
|
コンテナを含むPodを終了することにより、Pod内のコンテナの不審な動作を停止します。詳細については、コンテナタスクの終了 。
|
|
||
|
コンテナを再開
|
以前に隔離されたポッド内のコンテナを再開します。詳細については、コンテナタスクの再開 。
|
|
メール
|
処理
|
説明
|
サポートサービス
|
|
Delete Message (メッセージを削除)
|
選択したメールボックスから選択したメールメッセージを削除します
詳細については、メッセージタスクの削除 。
|
|
|
メッセージを隔離
|
選択したメールメッセージを隔離フォルダに移動し、影響を受けるすべてのメールボックスからメッセージを隔離できるようにします。
詳細については、メッセージの隔離タスク 。
|
|
|
メッセージを復元
|
選択した隔離メールメッセージを選択したメールボックスに復元します
詳細については、メッセージの復元タスクを参照してください。
|
|
エンドポイント
|
処理
|
説明
|
サポートサービス
|
||||
|
エビデンスを収集
|
指定されたエンドポイントからフォレンジックエビデンスを収集し、 Forensics アプリにアップロードします。
詳細については、エビデンスの収集タスク 。
|
|
||||
|
プロセスメモリのダンプ
|
エンドポイントに直接アクセスし、リモートシェルコマンドを実行して、調査中に不審なアクティビティの原因となっている可能性のある現在実行中のプロセスを特定します。
|
|
||||
|
エンドポイントの隔離
|
管理対象のトレンドマイクロサーバ製品との通信を除き、対象エンドポイントをネットワークから切断します。
詳細については、エンドポイントの隔離タスク 。
|
|
||||
|
接続を復元
|
[エンドポイントを隔離] がすでに適用されているエンドポイントへのネットワーク接続を復元します。
詳細については、接続の復元タスク 。
|
|
||||
|
osqueryを実行
|
osquery (バージョン5.7.0) を使用してSQLクエリを実行し、指定されたエンドポイントのシステム情報を取得します。
詳細については、osqueryタスクの実行 。
|
|
||||
|
リモートカスタムスクリプトを実行
|
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
詳細については、リモートカスタムスクリプトタスクの実行 。
|
|
||||
|
Trend Micro Investigation Kitの実行
|
対象エンドポイントにTrend Micro Investigation Kitを配信し、実行します。
詳細については、自動承認対応処理
|
|
||||
|
YARAルールを実行
|
指定されたエンドポイントでカスタムYARAルール (バージョン4.2.3) を実行します。
詳細については、YARAルールタスクの実行 。
|
|
||||
|
不正プログラムを検索
|
1つ以上のエンドポイントで、ウイルス、スパイウェア、およびグレーウェアなどのファイルベースの脅威について1回限りの検索を実行します。詳細については、不正プログラムの検索タスク 。
|
|
||||
|
リモートシェルセッションを開始
|
監視対象のエンドポイントに接続し、リモートコマンドまたは調査用のカスタムスクリプトファイルを実行できます。
詳細については、を参照してください。リモートシェルセッションの開始タスク 。
|
|
||||
|
プロセスを終了
|
アクティブなプロセスを終了し、影響を受けるすべてのエンドポイントでプロセスを終了できるようにします。
詳細については、プロセスの終了タスク 。
|
|
ネットワーク
|
処理
|
説明
|
サポートサービス
|
||||
|
調査パッケージを収集
|
影響を受けたホストまたはネットワークで特定された侵入の痕跡を説明するOpenIOCファイルを含む、選択した調査パッケージをパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse
Managementアプリに送信します。
|
|
||||
|
ネットワーク分析パッケージを収集
|
選択したネットワーク分析パッケージ (調査パッケージ、PCAPファイル、ネットワークアプライアンスによって検出されたファイルを含む) をパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse
Managementアプリに送信します。
詳細については、ネットワーク分析パッケージの収集タスク 。
|
|
||||
|
PCAPファイルを収集
|
選択したパケットキャプチャファイルをパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementアプリに送信します。
|
|
ユーザアカウント/IAM
|
処理
|
説明
|
サポートサービス
|
||
|
ユーザアカウントを無効化
|
ユーザアカウントのすべてのアクティブなアプリケーションセッションとブラウザセッションからユーザをサインアウトします。処理が完了するまでに数分かかることがあります。ユーザは新しいセッションにログインできません。
詳細については、ユーザアカウントタスクの無効化 。
|
|
||
|
ユーザアカウントを有効化
|
ユーザが新しいアプリケーションセッションとブラウザセッションにサインインできるようにします。処理が完了するまでに数分かかることがあります。
詳細については、ユーザアカウントタスクの有効化 。
|
|
||
|
パスワードの強制リセット
|
アクティブなすべてのアプリケーションセッションとブラウザセッションからユーザをサインアウトさせ、次回のサインイン試行時に新しいパスワードを作成するようにユーザに強制します。処理が完了するまでに数分かかることがあります。
詳細については、パスワードリセットの強制タスク 。
|
|
||
|
強制サインアウト
|
ユーザアカウントのすべてのアクティブなアプリケーションセッションとブラウザセッションからユーザをサインアウトします。処理が完了するまでに数分かかることがあります。ユーザは、閉じられたセッションにすぐに再度ログインしたり、新しいセッションにログインしたりできます。
詳細については、強制サインアウトタスク 。
|
|
||
|
アクセス権を取り消し
|
このタスクは、AWS Identity and Access Management (IAM) サービスに対するユーザーのアクセス許可を取り消します。権限を取り消すと、ユーザはAWSリソースにアクセスできなくなります。このタスクが完了するまで数分かかります。
詳細については、アクセス権の取り消しタスク 。
|
|