ビュー:

指定されたエンドポイントでSQLベースのクエリを実行し、脅威の調査とインシデント対応をサポートします。

重要
重要
  • このタスクは、次のサービスでサポートされています。
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
  • このタスクでは、osquery 5.7.0を使用します。 osquery 5.7.0で使用されるSQL構文の詳細については、 osqueryのドキュメント
変更後ワークスペースの作成とワークスペースへのエンドポイントの追加 Forensics アプリでは、感染した可能性のあるエンドポイントから詳細なエビデンスを収集して、ネットワークで発生し、さらに注意を払う必要がある重大なインシデントを内部調査することができます。

手順

  1. Trend Vision One コンソールで、 XDR Threat InvestigationForensicsに移動します。
  2. トリアージしたいエンドポイントを持つワークスペースの名前をクリックします。
    注意
    注意
    このタスクにより、収集されたすべてのエビデンスがワークスペースに自動的に追加されます。
  3. リストから1つ以上のエンドポイントを選択してください。選択したエンドポイントはすべて同じオペレーティングシステムを使用する必要があります。
  4. [osqueryを実行]をクリックします。
  5. エンドポイントのOSを選択してください。
  6. タスクを設定してください。
    1. タスク名を指定します。
    2. [クエリ] フィールドに、SQLクエリを指定します。
    3. [クエリを検証]をクリックして、クエリを検証してください。
    4. 対応またはイベントのために[説明]を指定してください。
    5. [作成] をクリックします。
  7. タスクのステータスを監視します。
    1. トライアージしているエンドポイントがあるワークスペースで、[クエリ結果を表示]をクリックしてください
    2. [osquery]を選択してください。
    3. [Task name] メニューを使用してタスクを探します。
    4. タスクのステータスを表示します。
      • [進行中] (in-progress.jpg ): Trend Vision One がコマンドを送信し、対応を待機しています。
      • [待機中] (queued.jpg ):エージェントがオフラインであるため、配布管理システムはコマンドをキューに入れました。
      • [成功] (successful.jpg ): コマンドは正常に実行されました。
      • [失敗](error.jpg ): 配布管理システムへのコマンドの送信中にエラーまたはタイムアウトが発生したか、エージェントが24時間以上オフラインになっているか、コマンドの実行がタイムアウトしました。