ビュー:

指定されたエンドポイントでSQLベースのクエリを実行し、脅威の調査とインシデント対応をサポートします。

重要
重要
  • このタスクは、次のサービスでサポートされています。
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
  • このタスクでは、osquery 5.7.0 を使用します。osquery 5.7.0 で使用される SQL 構文の詳細については、osquery ドキュメントを参照してください。
ワークスペースを作成し、エンドポイントをワークスペースに追加した後Forensics アプリで、ネットワーク上で発生した重大なインシデントに関する内部調査のために、潜在的に侵害されたエンドポイントから詳細なエビデンスを収集できます。これにはさらなる注意が必要な場合があります。

手順

  1. Trend Vision One コンソールで、 XDR Threat InvestigationForensicsに移動します。
  2. トリアージしたいエンドポイントを持つワークスペースの名前をクリックします。
    注意
    注意
    このタスクにより、収集されたすべてのエビデンスがワークスペースに自動的に追加されます。
  3. リストから1つ以上のエンドポイントを選択してください。選択したエンドポイントはすべて同じオペレーティングシステムを使用する必要があります。
  4. [osqueryを実行]をクリックします。
    注意
    注意
    この対応タスクは、Trend Vision One Searchアプリのコンテキストメニューからも実行できます。
    [Run osquery Task] ウィンドウが表示されます。
  5. タスクを設定してください。
    1. ラジオボタンを使用して、既存のSQLクエリを選択するか、新しいクエリを入力してください。
      • [Select a query] を選択: [Select a query] をクリックし、既存のクエリを選択して、[続行] をクリックします。
        新しいクエリを選択リストに追加するには、Response Managementの[Response Scripts]タブの[osquery]に移動します。[Add query]をクリックしてOSを選択し、新しいクエリを入力してクエリの構文を検証します。
      • [Input a query]を選択: クエリを入力して、[Validate query]をクリックします。
        ヒント
        ヒント
        Companion を使用して、[Generate osquery Query] (companion_icon=ebfb1301-169d-4687-b329-7c6b4e235192.png) をクリックして osquery クエリを生成します。
    2. 対応またはイベントのために[説明]を指定してください。
    3. [作成] をクリックします。
    4. [Multi-factor authentication (MFA) required] ウィンドウで、確認コードを貼り付けて [送信] をクリックします。
      認証が成功すると、タスクは[Response Management][タスクリスト]に表示されます。
      ヒント
      ヒント
      Searchアプリのコンテキストメニューから作成された対応タスクについては、[Response Management][タスクリスト][View details in Forensics]アイコン (export_icon=GUID-88c87c83-f1e1-465e-9d60-9ba4a60f6849.jpg) をクリックして、[フォレンジック][Query Results]に直接移動します。
  6. タスクのステータスを監視します。
    1. トライアージしているエンドポイントがあるワークスペースで、[クエリ結果を表示]をクリックしてください
    2. [osquery]を選択してください。
    3. [Task name] メニューを使用してタスクを探します。
    4. タスクのステータスを表示します。
      • [進行中] (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=ja-jp=Low.jpg ): Trend Vision One がコマンドを送信し、対応を待機しています。
      • [待機中] (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=ja-jp=Low.jpg ):エージェントがオフラインであるため、配布管理システムはコマンドをキューに入れました。
      • [成功] (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=ja-jp=Low.jpg ): コマンドは正常に実行されました。
      • [失敗](error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg ): 配布管理システムへのコマンドの送信中にエラーまたはタイムアウトが発生したか、エージェントが24時間以上オフラインになっているか、コマンドの実行がタイムアウトしました。
    5. タスクが成功した場合、download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.png アイコンをクリックして [ファイルをダウンロード] ウィンドウを開き、パスワードをコピーして保持し、[ダウンロード] をクリックしてタスクアーカイブファイルを取得します。