Managed Services運用チームが利用できる対応処理を確認します。
承認不要
次の対応処理は承認を必要としません。運用チームは、ユーザーに代わって次の処理を実行する権限が自動的に付与されます。
-
リンクまたはリンク解除Workbenchインシデントに対するアラートまたはインシデントからのアラート
-
エンドポイントで実行されているプロセスのメモリダンプを実行する
注意
エンドポイントのプロセスメモリダンプにはリモートシェルセッションが必要です。これを承認する必要があります。運用チームの要求を自動承認する手順については、応答の承認を設定するを参照してください。
自動承認
運用チームから送信された次の対応処理要求の承認を自動化できます。要求の自動承認を有効にする手順については、応答の承認を設定するを参照してください。
重要な処理
対応処理名
|
説明
|
||
ブロックリストへのオブジェクトの追加
|
ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポート対象オブジェクトをユーザ定義の不審オブジェクトリストに追加します。
|
||
指定されたエンドポイントから詳細なエビデンスを収集して、脅威の調査とインシデント対応をサポートします。
|
|||
Trend Micro Investigation Kitの実行
|
選択したエンドポイントにTrend Micro Investigation Kitを配信して実行します。 | ||
プロセスを終了
|
アクティブなプロセスを終了し、影響を受けるすべてのエンドポイントでプロセスを終了できるようにします。
|
||
不審ファイルの収集のサンプル
|
エンドポイントで選択したファイルをパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementアプリに送信します。
|
||
エンドポイントの隔離
|
管理対象のトレンドマイクロサーバ製品との通信を除き、対象エンドポイントをネットワークから切断します。
|
||
メールメッセージの隔離
|
Cloud App Securityの受信拒否リストにメールアドレスを追加し、受信メッセージを隔離します。
|
||
ユーザアカウントを無効化
|
ユーザアカウントのすべてのアクティブなアプリケーションセッションとブラウザセッションからユーザをサインアウトします。処理が完了するまでに数分かかることがあります。ユーザは新しいセッションにログインできません。
|
推奨される処理
対応処理名
|
説明
|
||
Sandbox Analysisに送信
|
選択したファイルオブジェクトを送信して、安全な仮想環境であるサンドボックスで自動分析します。
|
||
リモートシェルセッションを開始
|
監視対象のエンドポイントに接続して、コマンドやカスタムスクリプトをリモートで実行したり、調査のためにメモリダンプを処理したりします。
|
||
リモートカスタムスクリプトを実行
|
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
|
||
指定されたエンドポイントでカスタムYARAルールを実行して、脅威の調査とインシデント対応をサポートします。
|
|||
指定されたエンドポイントでSQLベースのクエリを実行し、脅威の調査とインシデント対応をサポートします。
|
|||
ネットワーク分析パッケージを収集
|
選択したネットワーク分析パッケージ (調査パッケージ、PCAPファイル、ネットワークアプライアンスによって検出されたファイルを含む) をパスワードで保護されたアーカイブに圧縮し、そのアーカイブをResponse
Managementアプリに送信します。
|
||
TippingPointフィルタポリシーの設定と配信
|
[Intrusion Prevention Configuration]でTippingPoint仮想パッチ適用フィルタポリシーを設定し、そのポリシーをTippingPoint SMSプロファイルに適用してCVEのリスクを軽減します。
|