ビュー:

指定したエンドポイントでカスタムYARAルールを実行して、脅威の調査とインシデント対応をサポートします。

重要
重要
このタスクは、次のサービスでサポートされています。
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
変更後ワークスペースの作成とワークスペースへのエンドポイントの追加 Forensics アプリでは、感染した可能性のあるエンドポイントから詳細なエビデンスを収集して、ネットワークで発生し、さらに注意を払う必要がある重大なインシデントを内部調査することができます。

手順

  1. Trend Vision One コンソールで、 XDR Threat InvestigationForensicsに移動します。
  2. トリアージしたいエンドポイントを持つワークスペースの名前をクリックします。
    注意
    注意
    このタスクにより、収集されたすべてのエビデンスがワークスペースに自動的に追加されます。
  3. リストから1つ以上のエンドポイントを選択してください。選択したエンドポイントはすべて同じオペレーティングシステムを使用する必要があります。
  4. [Run YARA Rules]をクリックします。
    注意
    注意
    この対応タスクは、Trend Vision One Searchアプリのコンテキストメニューからも実行できます。
    [Run YARA Rules Task] ウィンドウが表示されます。
  5. タスクを設定してください。
    1. ラジオボタンを使用して、既存のYARAルールを選択するか、新しいルールをアップロードしてください。
      • [Select rules]を選択: [Select YARA rules]をクリックし、既存のルールを選択して、[続行]をクリックします。
        新しいYARAルールを選択リストに追加するには、Response Managementの[Response Scripts]タブで[YARA Rules]に移動します。[Add YARA rules]をクリックしてファイルをアップロードし、ルールの構文を検証します。
      • [Upload rules]を選択: [ファイルをアップロード]をクリックし、YARAまたはTXT形式で1MB未満のファイルを選択します。
        ヒント
        ヒント
        Companion を使用して、[Generate YARA Rules] (companion_icon=ebfb1301-169d-4687-b329-7c6b4e235192.png) をクリックして YARA ルールを生成します。
    2. [プロセス] または [ファイル] をターゲットタイプとして選択し、関連する設定を指定してください
      • [プロセス] ターゲットの場合、[プロセス名] を指定してください
      • [ファイル] ターゲットの場合、[File location] を指定し、[ファイルサイズ] を選択し、[Scan setting] を選択します
      重要
      重要
      プロセス名を指定しない場合、Forensicsはすべてのプロセスをスキャンします。すべてのプロセスをスキャンするには、数分かかることがあります。
      [Scan all files and subfolders][Scan setting] として選択すると、パフォーマンスの問題が発生する可能性があります。
    3. [Validate YARA rules] をクリックして YARA ルールを検証してください。
    4. 対応またはイベントのために[説明]を指定してください。
    5. [作成] をクリックします。
    6. [Multi-factor authentication (MFA) required] ウィンドウに検証コードを貼り付け、[送信] をクリックします。
      認証が成功すると、タスクは[Response Management][タスクリスト]に表示されます。
      ヒント
      ヒント
      Searchアプリのコンテキストメニューから作成された対応タスクについては、[Response Management][タスクリスト][View details in Forensics]アイコン (export_icon=GUID-88c87c83-f1e1-465e-9d60-9ba4a60f6849.jpg) をクリックして、[フォレンジック][Query Results]に直接移動します。
  6. タスクのステータスを監視します。
    1. トライアージしているエンドポイントがあるワークスペースで、[クエリ結果を表示]をクリックしてください
    2. [YARA]を選択してください。
    3. [Task name] メニューを使用してタスクを探します。
    4. タスクのステータスを表示します。
      • [進行中] (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=ja-jp=Low.jpg ): Trend Vision One がコマンドを送信し、対応を待機しています。
      • [待機中] (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=ja-jp=Low.jpg ):エージェントがオフラインであるため、配布管理システムはコマンドをキューに入れました。
      • [成功] (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=ja-jp=Low.jpg ): コマンドは正常に実行されました。
      • [失敗](error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg ): 配布管理システムへのコマンドの送信中にエラーまたはタイムアウトが発生したか、エージェントが24時間以上オフラインになっているか、コマンドの実行がタイムアウトしました。
    5. タスクが成功した場合、download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.png アイコンをクリックして [ファイルをダウンロード] ウィンドウを開き、パスワードをコピーして保持し、[ダウンロード] をクリックしてタスクアーカイブファイルを取得します。