指定したエンドポイントでカスタムYARAルールを実行して、脅威の調査とインシデント対応をサポートします。
重要このタスクは、次のサービスでサポートされています。
|
変更後ワークスペースの作成とワークスペースへのエンドポイントの追加 Forensics アプリでは、感染した可能性のあるエンドポイントから詳細なエビデンスを収集して、ネットワークで発生し、さらに注意を払う必要がある重大なインシデントを内部調査することができます。
手順
- Trend Vision One コンソールで、 に移動します。
- トリアージしたいエンドポイントを持つワークスペースの名前をクリックします。
注意
このタスクにより、収集されたすべてのエビデンスがワークスペースに自動的に追加されます。 - リストから1つ以上のエンドポイントを選択してください。選択したエンドポイントはすべて同じオペレーティングシステムを使用する必要があります。
- [Run YARA Rules]をクリックします。
- エンドポイントのOSを選択してください。
- タスクを設定してください。
- タスク名を指定します。
- ターゲットを指定してください。
重要
プロセス名を指定しない場合は、Forensicsがすべてのプロセスを検索します。すべてのプロセスの検索が完了するまでに数分かかることがあります。 - YARAルールをForensicsにアップロードしてください。
-
YARAルールを含むテキストファイルをアップロードしてください。
-
YARAルールをテキストエリアに貼り付けます。
-
- [ルールを検証]をクリックして、YARAルールを検証してください。
- 対応またはイベントのために[説明]を指定してください。
- [作成] をクリックします。
- タスクのステータスを監視します。
- トライアージしているエンドポイントがあるワークスペースで、 をクリックしてください
- [YARA]を選択してください。
- [Task name] メニューを使用してタスクを探します。
- タスクのステータスを表示します。
-
[進行中] ( ): Trend Vision One がコマンドを送信し、対応を待機しています。
-
[待機中] ( ):エージェントがオフラインであるため、配布管理システムはコマンドをキューに入れました。
-
[成功] ( ): コマンドは正常に実行されました。
-
[失敗]( ): 配布管理システムへのコマンドの送信中にエラーまたはタイムアウトが発生したか、エージェントが24時間以上オフラインになっているか、コマンドの実行がタイムアウトしました。
-