オブジェクト固有の処理を使用すると、 Trend Vision One コンソールを終了することなく、脅威に直接対応できます。

Trend Vision Oneでイベントやオブジェクトに対して特定のアクションを実行できます。対応をトリガーした後、Response Managementはタスクを作成し、ターゲットにコマンドを送信します。
次の表では、コンテナ、メールメッセージ、エンドポイント、ネットワーク、およびユーザアカウントに対して実行できる処理について説明します。
重要
重要
仮想マシンで対応処理を使用する前に、エージェントインストーラーの展開手順に従ってください。独自の仮想デスクトップインフラストラクチャ (VDI) マシンをクローンすると、エージェントIDが重複し、展開されたエージェントが対応処理を実行できなくなります。

一般

処理
説明
サポートサービス
ブロックリストに追加
Secure Hash Algorithm 1 (SHA-1)、Uniform Resource Locator (URL)、インターネットプロトコル (IP) アドレス、またはドメインオブジェクトなどのサポートされているオブジェクトをユーザ定義の不審オブジェクトリストに追加し、以降の検出時にオブジェクトをブロックします。
ユーザ定義の不審オブジェクトリストにオブジェクトを追加しても、オブジェクトへのアクティブなプロセスや接続は終了しません。アクティブなプロセスを終了するには、[終了]対応もトリガーするようにしてください。
詳細については、[ブロックリストに追加] タスク
  • Trend Micro Apex One SaaS
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Security
ファイルを収集
ネットワークアプライアンスによって検出された選択ファイルを圧縮し、パスワードで保護されたアーカイブにTrend Vision Oneしてから、そのアーカイブをResponse Managementに送信します。
詳細については、ファイル収集タスクを参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
    • macOSエージェント
  • Trend Micro Apex One SaaS
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • macOSエージェント
  • Deep Discovery Inspector
  • Virtual Network Sensor
ブロックリストから削除
ファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、ブロックリストに追加する対応処理を通じてユーザ定義の不審オブジェクトリストに追加されたものから削除します。
詳細については、ブロックリストからタスクを削除
  • Trend Micro Apex One SaaS
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Security
Sandbox Analysisに送信
選択されたファイルオブジェクトを、安全な仮想環境であるサンドボックスで自動分析のために送信します。
詳細については、Sandbox Analysisタスクの送信
  • Trend Vision One
    • Windowsエージェント
    • macOSエージェント
  • Trend Micro Apex One SaaS
    • Windowsエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • macOSエージェント
  • Deep Discovery Inspector
  • Virtual Network Sensor

コンテナ

処理
説明
サポートサービス
コンテナを隔離
コンテナ内のポッドを関連するネットワークから切断し、ポッド内外へのデータ転送を防止することで、ユーザがコンテナ内の疑わしいプロセスの拡散を制限し、原因を調査できるようにします
詳細については、コンテナの隔離タスクを参照してください。
  • Trend Vision One Container Security
コンテナを再開
以前に隔離されたポッド内のコンテナを再開します。
詳細については、コンテナタスクの再開を参照してください。
  • Trend Vision One Container Security
コンテナを終了
コンテナを含むポッドを終了させることで、ポッド内の不審な挙動を停止します。
重要
重要
Podを終了しても、不審な動作のエビデンスは破棄されますが、その動作の再発を防ぐことはできません。
詳細については、コンテナタスクの終了を参照してください。
  • Trend Vision One Container Security

メール

処理
説明
サポートサービス
Delete Message (メッセージを削除)
選択したメールボックスから選択したメールメッセージを削除します。
詳細については、メッセージタスクの削除
  • Cloud App Security
メッセージを隔離
選択したメールメッセージを隔離フォルダに移動し、影響を受けたすべてのメールボックスからメッセージを隔離することができます。
詳細については、メッセージの隔離タスク
  • Cloud App Security
メッセージを復元
選択した隔離されたメールメッセージを選択したメールボックスに復元します。
詳細については、メッセージの復元タスクを参照してください。
  • Cloud App Security

エンドポイント

処理
説明
サポートサービス
エビデンスを収集
指定されたエンドポイントからフォレンジックエビデンスを収集し、エビデンスをForensicsにアップロードします。
詳細については、エビデンスの収集タスク
  • Trend Vision One
    • Windowsエージェント
プロセスメモリのダンプ
エンドポイントに直接アクセスし、リモートシェルコマンドを実行して、調査中に疑わしい活動を引き起こしている可能性のある現在実行中のプロセスを特定します。
重要
重要
プロセスメモリのダンプ処理は、memdumpWindowsまたはmacOSを実行しているエンドポイントのリモートシェルを介してコマンドを実行します。
サポートサービスおよび使用コンテキストに関する詳細については、リモートシェルセッションの開始タスクを参照してください。
注意
注意
外部の解凍プログラムを使用してファイルの内容を抽出してください。
  • Trend Vision One
    • Windowsエージェント
    • macOSエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • macOSエージェント
エンドポイントの隔離
対象エンドポイントを管理トレンドマイクロサーバ製品との通信を除いてネットワークから切断します。
詳細については、エンドポイントの隔離タスク
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
    • macOSエージェント
  • Trend Micro Apex One SaaS
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • macOSエージェント
接続を復元
ネットワーク接続を、すでにエンドポイントの隔離アクションを適用したエンドポイントに復元します。
詳細については、接続の復元タスク
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
    • macOSエージェント
  • Trend Micro Apex One SaaS
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • macOSエージェント
osqueryを実行
osquery (バージョン5.7.0) を使用してSQLクエリを実行し、指定されたエンドポイントのシステム情報を取得します。
詳細については、osqueryタスクの実行
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
リモートカスタムスクリプトを実行
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
詳細については、リモートカスタムスクリプトタスクの実行
  • Trend Vision One
    • Windowsエージェント
    • macOSエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • macOSエージェント
    • Linuxエージェント
Trend Micro Investigation Kitの実行
ターゲットエンドポイントにトレンドマイクロ調査キットを展開して実行します。
注意
注意
管理者の承認を得て、 Trend Micro Investigation Kitの実行タスクを開始できるのは、 Managed Servicesの運用チームのみです。 Managed Servicesアプリで、要求を承認したり、自動承認を設定したりできます。
詳細については、自動承認対応処理
  • Trend Vision One Endpoint Sensor
    • Windowsエージェント
YARAルールを実行
指定されたエンドポイントでカスタムYARAルール (バージョン4.2.3) を実行します。
詳細については、YARAルールタスクの実行
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
不正プログラムを検索
一度だけエンドポイントをスキャンし、ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を検出します。
詳細については、不正プログラムの検索タスクをご覧ください。
  • Trend Micro Apex One SaaS
  • 標準のエンドポイント保護
リモートシェルセッションを開始
監視対象のエンドポイントに接続し、調査のためにリモートコマンドやカスタムスクリプトファイルを実行できます。
詳細については、リモートシェルセッションの開始タスク
  • Trend Vision One
    • Windowsエージェント
    • macOSエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • macOSエージェント
    • Linuxエージェント
プロセスを終了
アクティブなプロセスを終了し、影響を受けたすべてのエンドポイントでプロセスを終了することができます。
詳細については、プロセスの終了タスク
注意
注意
特定のケースでは、リモートシェルkillコマンドを使用してプロセスを終了することができます。
サポートサービスおよび使用コンテキストに関する詳細については、リモートシェルセッションの開始タスクを参照してください。
  • Trend Micro Apex One SaaS
    • Windowsエージェント

ネットワーク

処理
説明
サポートサービス
調査パッケージを収集
選択した調査パッケージを圧縮し、影響を受けたホストまたはネットワークで識別された侵害の指標を説明するOpenIOCファイルを含むパスワード保護されたアーカイブにしてから、そのアーカイブをResponse Managementに送信します。
重要
重要
Collect Investigation Packageアクションを実行するには、まずDeep Discovery Inspectorで仮想アナライザを有効にする必要があります。
  • Deep Discovery Inspector
ネットワーク分析パッケージを収集
選択したネットワーク解析パッケージ (調査パッケージ、パケットキャプチャ (PCAP) ファイル、およびネットワークアプライアンスによって検出された選択ファイルを含む) をパスワード保護されたアーカイブに圧縮し、その後アーカイブをResponse Managementに送信します。
重要
重要
Collect Network Analysis Packageタスクを実行するには、まずDeep Discovery Inspectorで仮想アナライザパケットキャプチャ機能を有効にする必要があります。
注意
注意
[PCAPファイルの収集] 処理では、 Deep Discovery Inspector 6.5以降のみがサポートされます。
詳細については、ネットワーク分析パッケージの収集タスク
  • Deep Discovery Inspector
PCAPファイルを収集
選択したパケットキャプチャファイルをパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
注意
注意
[PCAPファイルの収集] 処理では、 Deep Discovery Inspector 6.5以降のみがサポートされます。
重要
重要
PCAPファイルの収集処理を実行するには、パケットキャプチャDeep Discovery Inspectorで機能します。
  • Deep Discovery Inspector

ユーザアカウント/IAM

処理
説明
サポートサービス
Zscaler制限付きユーザグループに追加
Zscalerポリシー適用を可能にするために、リスクの高いユーザアカウントをZscaler定義の制限付きユーザグループに追加します。
詳細については、Zscaler制限付きユーザグループタスクに追加 を参照してください。
  • Microsoft Entra ID
ユーザアカウントを無効化
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは新しいセッションにサインインすることができなくなります。
注意
注意
Microsoft Entra ID管理者ロールが割り当てられているアカウントには適用されません。
詳細については、ユーザアカウントタスクの無効化
  • Active Directory (オンプレミス)
  • Google Cloud Identity
  • Microsoft Entra ID
  • Okta
  • OpenLDAP
ユーザアカウントを有効化
ユーザが新しいアプリケーションおよびブラウザセッションにサインインできるようにします。このタスクは完了するまでに数分かかる場合があります。
詳細については、ユーザアカウントタスクの有効化
  • Active Directory (オンプレミス)
  • Google Cloud Identity
  • Microsoft Entra ID
  • Okta
  • OpenLDAP
パスワードの強制リセット
ユーザをすべてのアクティブなアプリケーションおよびブラウザセッションからサインアウトさせ、次回のサインイン時に新しいパスワードを作成するように強制します。このタスクの完了には数分かかる場合があります。
詳細については、パスワードリセットの強制タスク
  • Active Directory (オンプレミス)
  • Google Cloud Identity
  • Microsoft Entra ID
  • Okta
  • OpenLDAP
強制サインアウト
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは閉じたセッションにすぐに再サインインしたり、新しいセッションにサインインしたりすることを妨げられません。
詳細については、強制サインアウトタスク
  • Google Cloud Identity
  • Microsoft Entra ID
  • Okta
Zscaler制限付きユーザグループから削除
Zscaler定義の制限付きユーザグループからユーザアカウントを削除します。
詳細については、Zscaler制限付きユーザグループタスクから削除 を参照してください。
  • Microsoft Entra ID
アクセス権を取り消し
ユーザのAmazon Web Services (AWS) Identity and Access Management (IAM) サービスへのアクセス権限を取り消します。権限を取り消した後、ユーザはAWSリソースにアクセスできなくなります。このタスクが完了するまで数分お待ちください。
重要
重要
この機能は、Foundation Servicesリリースに更新したお客さまのみご利用いただけます。
詳細については、アクセス権の取り消しタスク
  • AWS
関連情報