対応処理

ユーザアカウントを無効化

ユーザアカウントのすべてのアクティブなアプリケーションセッションとブラウザセッションからユーザをサインアウトします。処理が完了するまでに数分かかることがあります。ユーザは新しいセッションにログインできません。

詳細については、ユーザアカウントタスクの無効化を参照してください。

ユーザアカウントを有効化

ユーザが新しいアプリケーションセッションとブラウザセッションにサインインできるようにします。処理が完了するまでに数分かかることがあります。

詳細については、ユーザアカウントタスクの有効化を参照してください。

パスワードの強制リセット

アクティブなすべてのアプリケーションセッションとブラウザセッションからユーザをサインアウトさせ、次回のサインイン試行時に新しいパスワードを作成するようにユーザに強制します。処理が完了するまでに数分かかることがあります。

詳細については、パスワードリセットの強制タスクを参照してください。

強制サインアウト

ユーザアカウントのすべてのアクティブなアプリケーションセッションとブラウザセッションからユーザをサインアウトします。処理が完了するまでに数分かかることがあります。ユーザは、閉じられたセッションにすぐに再度ログインしたり、新しいセッションにログインしたりできます。

詳細については、強制サインアウトタスクを参照してください。

アクセス権を取り消し

ユーザのAWS Identity and Access Management (IAM)サービスへのアクセス権限を取り消します。権限を取り消した後、ユーザはAWSリソースにアクセスできなくなります。このタスクが完了するまで数分かかる場合があります。

詳細については、アクセス権の取り消しタスクを参照してください 。

ブロックリストに追加

ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポート対象オブジェクトをユーザ定義の不審オブジェクトリストに追加します。

詳細については、[ブロックリストに追加] タスクを参照してください。

ファイルを収集

パスワードで保護されたアーカイブ内でNetwork Applianceによって検出された選択したファイルを圧縮し、そのアーカイブをResponse Managementアプリに送信します。

調査パッケージを収集

影響を受けたホストまたはネットワークで特定された侵入の痕跡を説明するOpenIOCファイルを含む、選択した調査パッケージをパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementアプリに送信します。

ネットワーク分析パッケージを収集

選択したネットワーク分析パッケージ (調査パッケージ、PCAPファイル、ネットワークアプライアンスによって検出されたファイルを含む) をパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementアプリに送信します。

詳細については、ネットワーク分析パッケージの収集タスクを参照してください。

PCAPファイルを収集

選択したパケットキャプチャファイルをパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementアプリに送信します。

ブロックリストから削除

ユーザ定義の不審オブジェクトリストに追加されたファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、 [ブロックリストに追加] 対応によって削除します。

詳細については、ブロックリストから削除タスクを参照してください。

Sandbox Analysisに送信

選択したファイルオブジェクトを送信して、安全な仮想環境であるサンドボックスで自動分析します。

詳細については、Sandbox Analysisタスクの送信を参照してください。

ブロックリストに追加

ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポート対象オブジェクトをユーザ定義の不審オブジェクトリストに追加します。

詳細については、[ブロックリストに追加] タスクを参照してください。

エビデンスを収集

指定されたエンドポイントからフォレンジックエビデンスを収集し、 Forensics アプリにアップロードします。

詳細については、エビデンスの収集タスクを参照してください。

ファイルを収集

エンドポイントで選択したファイルをパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementアプリに送信します。

詳細については、ファイルタスクの収集を参照してください。

プロセスメモリのダンプ

エンドポイントに直接アクセスし、リモートシェルコマンドを実行して、調査中に不審なアクティビティの原因となっている可能性のある現在実行中のプロセスを特定します。

エンドポイントの隔離

管理対象のトレンドマイクロサーバ製品との通信を除き、対象エンドポイントをネットワークから切断します。

詳細については、エンドポイントの隔離タスクを参照してください。

ブロックリストから削除

ユーザ定義の不審オブジェクトリストに追加されたファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、 [ブロックリストに追加] 対応によって削除します。

詳細については、ブロックリストから削除タスクを参照してください。

接続を復元

ネットワーク接続を復元して、すでにエンドポイントの隔離アクションを適用したエンドポイントに接続します

詳細については、接続の復元タスクを参照してください。

osqueryを実行

osquery (バージョン5.7.0) を使用してSQLクエリを実行し、指定されたエンドポイントのシステム情報を取得します。

詳細については、osqueryタスクの実行を参照してください。

リモートカスタムスクリプトを実行

監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。

詳細については、リモートカスタムスクリプトタスクの実行を参照してください。

YARAルールを実行

指定されたエンドポイントでカスタムYARAルール (バージョン4.2.3) を実行します。

詳細については、YARAルールタスクの実行を参照してください。

リモートシェルセッションを開始

監視対象のエンドポイントに接続し、リモートコマンドまたは調査用のカスタムスクリプトファイルを実行できます。

詳細については、リモートシェルセッションの開始タスクを参照してください。

Sandbox Analysisに送信

選択したファイルオブジェクトを送信して、安全な仮想環境であるサンドボックスで自動分析します。

詳細については、Sandbox Analysisタスクの送信を参照してください。

プロセスを終了

アクティブなプロセスを終了し、影響を受けるすべてのエンドポイントでプロセスを終了できるようにします。

詳細については、プロセスの終了タスクを参照してください。

不正プログラムを検索

1つ以上のエンドポイントで、ウイルス、スパイウェア、およびグレーウェアなどのファイルベースの脅威について1回限りの検索を実行します。詳細については、不正プログラムの検索タスク 。

• Trend Micro Apex One SaaS
• 標準のエンドポイント保護

ブロックリストに追加

ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポート対象オブジェクトをユーザ定義の不審オブジェクトリストに追加します。

詳細については、[ブロックリストに追加] タスクを参照してください。

Delete Message (メッセージを削除)

選択したメールボックスから選択したメールメッセージを削除します

詳細については、メッセージタスクの削除を参照してください。

メッセージを隔離

選択したメールメッセージを隔離フォルダに移動し、影響を受けるすべてのメールボックスからメッセージを隔離できるようにします。

詳細については、メッセージの隔離タスクを参照してください。

ブロックリストから削除

ユーザ定義の不審オブジェクトリストに追加されたファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、 [ブロックリストに追加] 対応によって削除します。

詳細については、ブロックリストから削除タスクを参照してください。

コンテナを隔離

ユーザは、コンテナ内の不審なプロセスの拡散を制限し、コンテナ内のPodを関連するネットワークから切断し、Podとの間でのデータ転送を防止することで原因を調査できます。詳細については、コンテナの隔離タスク 。

• Trend Vision One Container Security

コンテナを終了

コンテナを含むPodを終了することにより、Pod内のコンテナの不審な動作を停止します。詳細については、コンテナタスクの終了 。

• Trend Vision One Container Security

コンテナを再開

以前に隔離されたポッド内のコンテナを再開します。詳細については、コンテナタスクの再開 。

• Trend Vision One Container Security