指定されたエンドポイントでSQLベースのクエリを実行し、脅威調査とインシデント対応をサポートします。このタスクはForensicsワークスペースまたはWorkbench、Observed Attack Techniques、XDR Data Explorerのコンテキストメニューから使用できます。
ワークスペースを作成し、エンドポイントをワークスペースに追加した後、Forensics アプリで、ネットワーク上で発生した重大なインシデントに関する内部調査のために、潜在的に侵害されたエンドポイントから詳細なエビデンスを収集できます。これにはさらなる注意が必要な場合があります。
次のサービスはこのタスクをサポートします:
-
Trend Vision One
-
Linuxエージェント
-
macOSエージェント
-
Windowsエージェント
-
このタスクでは、osquery 5.7.0 を使用します。osquery 5.7.0 で使用される SQL 構文の詳細については、osquery ドキュメントを参照してください。
手順
- Trend Vision One コンソールで、 に移動します。
- トリアージしたいエンドポイントを持つワークスペースの名前をクリックします。
- リストから1つ以上のエンドポイントを選択してください。選択したエンドポイントはすべて同じオペレーティングシステムを使用する必要があります。
- [osqueryを実行]をクリックします。
注意
この対応処理は、コンテキストメニューからも実行できます。XDR Data Explorer、Workbench、Observed Attack Techniquesで。 - タスクを設定してください。
-
[クエリを選択]をクリックし、クエリの詳細を表示するためにクエリにポーズを置き、クエリを選択して[続行]をクリックします。
-
新しいクエリを選択リストに追加するには、Response Managementの[Response Scripts]タブで[osquery]に移動します。[Add query]をクリックしてOSを指定し、新しいクエリを入力してクエリの構文を検証します。
-
[クエリを入力]をクリックし、クエリを入力して[Validate query]をクリックします。
ヒント
Companionを使用して、[osquery クエリを生成] (
) をクリックしてosqueryクエリを生成します。
- 対応またはイベントのために[説明]を指定してください。
- [作成] をクリックします。
- [多要素認証 (MFA)]ウィンドウで、確認コードを貼り付けて[送信]をクリックします。Response Managementの承認設定が自動承認を許可している場合でも、すべてのosqueryタスクに多要素認証が必要です。認証が成功すると、タスクはResponse Managementタスクリストに表示されます。
ヒント
XDR Data Explorerのコンテキストメニューから作成された対応タスクの場合、[Response Management][タスクリスト]で[Forensicsで詳細を表示]アイコン (
) をクリックして、に直接移動します。
-
- タスクのステータスを監視します。
- トライアージしているエンドポイントがあるワークスペースで、をクリックしてください
- [osquery]を選択してください。
- タスクを探すには、[タスク名] をクリックします。
- タスクのステータスを表示します。
-
[In progress] (
): Trend Vision Oneがコマンドを送信し、対応を待っています。 -
[処理待ち] (
): エージェントがオフラインのため、管理サーバはコマンドをキューに入れました。 -
[成功] (
): コマンドは正常に実行されました。 -
[失敗] (
): 管理サーバへのコマンド送信中にエラーまたはタイムアウトが発生しました。エージェントが24時間以上オフラインであるか、コマンドの実行がタイムアウトしました。
-
- タスクが成功した場合、
をクリックしてパスワードをコピーして保持し、[ダウンロード]をクリックしてタスクアーカイブファイルを取得してください。