Managed Services運用チームが利用できる対応処理を確認します。
承認不要
次の対応処理は承認を必要としません。運用チームは、ユーザーに代わって次の処理を実行する権限が自動的に付与されます。
-
リンクまたはリンク解除Workbenchインシデントに対するアラートまたはインシデントからのアラート
-
エンドポイントで実行されているプロセスのメモリダンプを実行する
注意
エンドポイントのプロセスメモリダンプにはリモートシェルセッションが必要です。これを承認する必要があります。運用チームの要求を自動承認する手順については、応答の承認を設定するを参照してください。
自動承認
運用チームから送信された次の対応処理要求の承認を自動化できます。要求の自動承認を有効にする手順については、応答の承認を設定するを参照してください。
重要な処理
|
対応処理名
|
説明
|
||
|
ブロックリストへのオブジェクトの追加
|
ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポート対象オブジェクトをユーザ定義の不審オブジェクトリストに追加します。
|
||
|
指定されたエンドポイントから詳細なエビデンスを収集し、脅威の調査およびインシデント対応をサポートします
|
|||
|
不審ファイルの収集のサンプル
|
エンドポイントで選択したファイルをパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementアプリに送信します。
|
||
|
ユーザアカウントを無効化
|
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。プロセスが完了するまでに数分かかる場合があります。ユーザは新しいセッションにサインインすることができません。
|
||
|
エンドポイントの隔離
|
管理対象のトレンドマイクロサーバ製品との通信を除き、対象エンドポイントをネットワークから切断します。
|
||
|
メールメッセージの隔離
|
Cloud App Securityの受信拒否リストにメールアドレスを追加し、受信メッセージを隔離します。
|
||
|
接続を復元
|
ネットワーク接続を復元して、すでにエンドポイントの隔離アクションを適用したエンドポイントに接続します
|
||
|
不正プログラムを検索
|
1 回限りのスキャンを実行し、ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を検出します
|
||
|
プロセスを終了
|
アクティブなプロセスを終了し、影響を受けるすべてのエンドポイントでプロセスを終了できるようにします。
|
推奨される処理
|
対応処理名
|
説明
|
||
|
ネットワーク分析パッケージを収集
|
選択したネットワーク分析パッケージ (調査パッケージ、PCAPファイル、ネットワークアプライアンスによって検出されたファイルを含む) をパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse
Managementアプリに送信します。
|
||
|
TippingPointフィルタポリシーの設定と配信
|
[Intrusion Prevention Configuration] で TippingPoint 仮想パッチフィルターポリシーを構成し、CVE リスクを軽減するために TippingPoint SMS プロファイルにポリシーを適用します
|
||
|
指定されたエンドポイントでSQLベースのクエリを実行し、脅威調査およびインシデント対応をサポートします
|
|||
|
リモートカスタムスクリプトを実行
|
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
|
||
|
指定されたエンドポイントでカスタムYARAルールを実行し、脅威調査とインシデント対応をサポートします
|
|||
|
リモートシェルセッションを開始
|
監視対象のエンドポイントに接続し、コマンド、カスタムスクリプト、またはプロセスメモリダンプをリモートで実行して調査を行います
|
||
|
Sandbox Analysisに送信
|
選択したファイルオブジェクトを送信して、安全な仮想環境であるサンドボックスで自動分析します。
|