Workflow and Automation

2025年1月6日—商標要件に合わせて、[Vision One]は2025年1月20日にSyslogコネクタ (オンプレミス/SaaS) のWorkbenchログおよびObserved Attack TechniquesログのCEFキー[Header (Device Product)]と[Header (Name)]のヘッダー値でTrend Vision Oneに更新されます。

For more information, see Modification of CEF header values - Trend Vision One.

2024年12月9日 — Companionを使用して、ケースの活動、更新、および発見を含むオープンケースの要約を生成できるようになりました。

この機能は、情報を簡潔な要約に統合することでアナリスト間のケース引き継ぎを効率化し、SOCチームが一貫したケースドキュメントを維持し、協力効率を向上させるのに役立ちます。

2024年12月9日 — Workbench Insightsから発生した真の陽性Workbenchケースの包括的なPDFレポートを生成します。

Companionは、Workbench Insightsの要約、脅威活動のタイムライン、実行されたアクション、および推奨事項を含むPDFレポートを生成できるようになり、セキュリティチームが調査結果を迅速に理解し、伝達するのに役立ちます。

2024年12月9日—Case Managementを使用して、Attack Surface Risk Managementのケース情報をServiceNowに同期できるようになりました。Trend Vision One for ServiceNow Ticketing Systemのチケットプロファイルを作成する際に、Case typeリストから「Attack Surface Risk Management case」を選択してください。その後、ユーザがOperations Dashboardでケースを開くと、チケットプロファイルを選択してケースをServiceNowと同期できます。

詳細については、ServiceNow ITSMを設定して、ServiceNowチケッティングシステム用のTrend Vision Oneを有効にするをご覧ください。

2024年12月9日 — Start Remote Shell Session対応処理は、現在のリモートシェルセッションで作成された対応タスクのステータスを表示できるtaskstatusコマンドをサポートするようになりました。

詳細については、リモートシェルセッションの開始タスクを参照してください。

2024年12月6日 — Case Managementでは、サードパーティのチケットシステム統合および通知設定を個別のケースレベルで詳細に制御できるようになりました。

ケース固有のServiceNowチケットの送信先を設定し、Webhookやメールを通じて通知チャネルをカスタマイズすることで、Trend Vision Oneのケースと外部チケットシステム間の双方向同期を可能にします。

11月29日—リスク削減ワークフローを合理化するために、Case Managementでは、Operations Dashboardからのリスクイベントを含むケースに優先順位と所有権を割り当てることができるようになりました。Operations Dashboardでケースを開くと、通知するサードパーティのチケッティングシステム、Webhookチャネル、またはメールアドレスを選択できます。

2024年10月4日—Case ManagementとWorkbenchは、SAMLグループおよびIdP専用SAMLグループをそれぞれアラートおよびケースの所有者として割り当てることをサポートするようになりました。

詳細情報と制限事項については、Case ManagementおよびWorkbenchのオンラインヘルプを参照してください。

2024年9月30日 — Security Playbooks は、作成したユーザーロールのアセット可視性範囲を反映し、その範囲内のアセットのみを対象とするようになりました。これにより、異なるアセット可視性範囲を持つ組織が Security Playbooks を効果的に管理できるようになります。

作成者のユーザロールが削除されると、Playbookは他のユーザがPlaybookを編集または有効化するまで無効化されます。再有効化されると、Playbookは再有効化したユーザのアセット可視性範囲内のターゲットに適用されます。

2024年9月30日 — 自動対応Playbookは、エンドポイント名、エンドポイントタイプ、OSを含む追加のエンドポイント条件を提供し、Playbookの対象エンドポイントをフィルタリングできるようになりました。

詳細については、自動応答Playbookの作成 を参照してください。

2024年9月23日 — SearchアプリのコンテキストメニューからosqueryおよびYARAルールの対応タスクをトリガーできるようになり、潜在的なインシデントを調査する際の柔軟性が向上します。また、Response ManagementのResponse Scriptsタブで対応スクリプト、osqueryクエリ、およびYARAルールをアップロードすることもできます。

詳細については、応答処理をご覧ください。

2024年8月26日 — Security Playbooksは新しいPlaybookテンプレート自動高リスクアカウント対応を導入しました。このPlaybookは、指定された対応処理を実行することで、高リスクスコアを持つアカウントを管理することができます。標準のユーザアカウントアクションに加えて、このPlaybookはこれらのアカウントをZscaler内の専用制限ユーザグループに追加する機能を拡張しました。この統合により、特定のZscalerポリシーをグループに直接適用することができます。

この機能を利用するには、ユーザはThird-Party Integrationアプリ内でZscaler統合のいずれか一方または両方を設定する必要があります。

詳細については、高リスクアカウント対応Playbookの作成 を参照してください。

2024年6月26日 — Case Managementは、各ケースの詳細ビューを提供し、ケース情報の取得と進捗の追跡を容易にします。

新しい詳細ビューには以下が含まれます:

詳細については、Case Management を参照してください。

2024年6月12日 — Response Managementアプリで、指定された対応処理に対する承認設定を構成できるようになりました。

Response Managementアプリで構成する承認設定は、Managed ServicesアプリまたはSecurity Playbooksアプリで構成された設定に影響を与えません。

詳細については、Response Managementの設定を参照してください。

2024年6月4日 — 自動応答プレイブックは、[注目すべきオブジェクトのリスク]に加えて、プレイブック設定の条件として[IPアドレス]を含めるように強化されました。この強化により、プレイブックは、ソースIPアドレス、宛先IPアドレス、ピアIPアドレス、および関心のあるIPアドレスで注目すべきオブジェクトをフィルタリングし、よりターゲットを絞った対応処理が可能になります。

詳細については、自動応答Playbookの作成を参照してください。

2024年5月27日 —Case Managementで、ServiceNowとのケースステータスおよび優先度の変更の双方向同期がサポートされるようになりました。

詳細については、 ServiceNow ITSMを設定して、ServiceNowチケッティングシステム用のTrend Vision Oneを有効にする 。

2024年5月20日 — Security Playbooksに新機能としてリスクイベント対応Playbookが追加されました。これにより、環境内で検出された新規および進行中のリスクイベントに対応することができます。Operations Dashboardで特定されたすべてのリスク要因に関連するリスクイベントに対応したり、通知を送信するようにPlaybookを設定できますが、XDR検出は除外されます。XDR検出に関連するリスクイベントについては、Workbenchの高優先度アラートに対応する自動アクションを有効にするために、自動対応Playbookを設定してください。

詳細については、リスクイベント対応Playbookの作成 。

2024年4月16日 — エンドポイントの対応処理処理のタイムアウト設定を指定できるようになりました。指定しない場合は、初期設定が使用されます。詳細については、 Response Managementの設定 。

2024年4月8日 — 重要な処理の使用のセキュリティを強化するために、セキュリティプレイブックの操作で多要素認証 (MFA) を有効にできるようになりました。 MFAでは、Playbookの作成、編集、削除、保留中の処理の承認、 Security PlaybooksまたはWorkbenchからのPlaybookの手動実行、またはSecurity Playbooksからの新しいカスタムスクリプトのアップロードを行う前に、ユーザは複数の形式の検証を提供する必要があります。User AccountsアプリでMFA設定を行うことができます。

詳細については、を参照してください。多要素認証の有効化と設定 。

2024年4月8日 — 重要な対応処理のセキュリティを強化するために、ファイルの収集、リモートカスタムスクリプトの実行、リモートシェルセッションの開始、 [Sandbox Analysis用に送信] をクリックします。また、 [Response Management]に新しいカスタムスクリプトを追加します。User AccountsアプリでMFA設定を行うことができます。

詳細については、を参照してください。多要素認証の有効化と設定 。

2024年3月28日 — Virtual Network Sensorエージェントで、[ファイルの収集] および [Sandbox Analysis用に送信]対応処理を実行できるようになりました。コンテキストメニューまたは対応メニューから対応処理を開始したり、Response Managementアプリでタスクのステータスを監視したりできます。

詳細については、応答処理 。

2024年3月25日 — Managed XDRをご利用のお客様は、Case Managementから直接通信を受信すること。トレンドマイクロのマネージドサービスチームがインシデントアラートと推奨される修復処理を取得できます。

2024年3月4日—Case Managementでは、60日以上アップデートを受信していないケースをクローズできるようになりました。

クローズの3日前に、Case Managementからケース所有者にケースの更新を促す通知が送信されます。

2024年1月31日 — ユーザは、 Trend Vision One全体でトリガされた選択した対応処理の影響を受けないように、重要なエンドポイントを回避できるようになりました。 [応答管理] の [設定] でこの機能を有効にして、最大 100 台のエンドポイントのリストに適用する除外を最大 6 つ追加します。詳細については、次を参照してください。指定されたエンドポイントを対応処理から除外する。

2024年1月24日 — Endpoint 対応処理 PlaybookおよびIncident ResponseエビデンスCollection Playbookは、PlaybookターゲットのIPフォーマットの範囲を広げるために強化されました。ワイルドカードの使用に加えて、CIDR表記を使用したり、開始IPアドレスから終了IPアドレスまでのIP範囲を指定したりする柔軟性があります。

さらに、ユーザー定義の自動対応プレイブックのメール通知内容が改善され、ユーザーエクスペリエンスが向上しました。

2024年1月22日 — [Workbench]、 [Endpoint Inventory] 、 [検索] 、および [監視さ対応たObserved Attack Techniques]のコンテキストメニューから、1つ以上のエンドポイントで1回限りのオンデマンドの不正プログラム検索を実行できるようになりました。 。詳細については、不正プログラムの検索タスク 。

2023年12月18日 — 自動応答Playbookが強化され、より広範な対応処理がサポートされるようになりました。これには、ユーザアカウントの無効化、強制ログアウト、パスワードのリセットの強制などのユーザアカウント処理や、エンドポイントでカスタムスクリプトを実行する機能が含まれます。 。

2023年11月30日 — 180日間、 [実行結果] タブで実行結果と保留中の処理を確認できるようになります。この変更により、最も関連性の高い最新のデータをいつでも簡単に利用できるようになります。

2023年11月30日 —Case ManagementがTrend Vision Oneプラットフォームでパブリックプレビューとして利用できるようになりました。Case Managementを使用すると、 Workbenchからの個別アラートと相関アラートの両方を含むケースに優先度と所有権を割り当てることができ、脅威の調査とインシデント対応のワークフローの開始が効率化されます。

Workbenchアラートから直接ケースを開くか、Security PlaybooksのXDR Playbookを使用してケースを開くことができます。Forensicsでは、既存のケースを使用して、影響を受けるエンドポイントを関連するワークスペースに自動的にプルできます。さらに、ケースビューアを使用すると、他のアプリで作業しながらケースを管理できます。

詳細については、Case Management 。

2020年11月13日 — 「カスタムスクリプトの実行」、「Samba脆弱性評価」、および「Microsoft Exchange脆弱性評価」プレイブックテンプレートが新しいエンドポイント対応処理テンプレートに統合され、それらの機能がユーザ定義のプレイブックにも統合されました。 。

ユーザ定義のプレイブックを作成する方法については、を参照してください。エンドポイント対応Playbookの作成 。

2023年10月16日 — フォレンジックアプリの正式リリースに伴い、インシデントレスポンスエビデンス収集プレイブックでエビデンスの収集とフォレンジックアプリへのアップロードにCreditsが必要になりました。ユーザは、エビデンスを収集して Trend Vision One コンソールにアップロードするようにプレイブックを設定する前に、フォレンジックアプリでデータ許容量を設定する必要があります。

詳細については、Incident Response エビデンス Collection Playbookの作成 。

2023年9月25日 — [カスタムスクリプトの実行]Security Playbooksの処理ノードを設定するときに、カスタムスクリプトをアップロードして実行するオペレーティングシステムを指定できるようになりました。また、 Response Managementアプリに追加されたカスタムスクリプトを簡単に選択できるようになりました。

2023年9月25日 — WorkbenchアラートによってPlaybookの実行が自動的にトリガーされるだけでなく、Automated Response Playbookの実行をWorkbenchから手動でトリガーできるようになりました。

詳細については、アラートの調査そしてアラート (Workbench Insights)Workbenchのドキュメントを参照してください。

さらに、自動応答Playbookには、「プロセスの終了」という追加の自動対応処理が追加されました。この機能拡張により、ユーザはエンドポイントで実行されている「未評価の」対象プロセスを自動的に終了できます。

詳細については、自動応答Playbookの作成 を参照してください。

2023年8月21日 — Security Playbooksアプリで、グローバルエクスプロイトアクティビティプレイブックテンプレートを使用して2つのCVEがアップデートされました。完全にカスタマイズ可能なテンプレートからプレイブックを作成しながら、柔軟なワークフローでプレイブックをゼロから作成できます。

アップデートされたプレイブックテンプレートには、次の新しいフィルタオプションが用意されていアセット。

詳細については、Global Exploit Activity Playbookを使用したCVEの作成を参照してください。

2023年7月4日 — 次のプレイブックを作成、編集、または実行するには、Risk Insightsのライセンス資格を有効にする必要があります。

詳細については、セキュリティプレイブックの要件を参照してください。

2023年7月4日 — 自動応答Playbookの対象ノードを設定するときに、カスタム検出モデルを指定できるようになりました。 Playbook内の後続のノードは、指定された検出モデルに関連するWorkbenchアラートに対してのみトリガーされます。

Security Playbooksのユーザインタフェースが強化され、検出モデルの選択と有効化が容易になりました。

詳細については、自動応答Playbookの作成を参照してください。

2023 年 7 月 3 日 — 2023 年 7 月 3 日以降に Trend Vision One にサインアップした、または明示的に更新したお客様の場合、セキュリティ プレイブックは管理スコープをサポートするようになりました。

Playbookを表示または管理する権限は、カスタムの役割の管理範囲に基づいて割り当てることができます。ユーザは、Playbookの実行を承認し、管理範囲内のエンドポイントの実行結果を表示することのみできます。新しく作成されたPlaybookは、Playbookの作成者の管理範囲に基づいて実行されます。

すべての役割は、管理範囲の実装前に作成されたプレイブックに対する完全な権限を保持します。

自動応答 Playbook のトリガー設定時に検出モデルを指定できるようになりました。 Playbook内の後続のノードは、指定された検出モデルに関連するWorkbenchアラートに対してのみトリガーされます。

Playbookでは、ユーザ定義の自動応答Playbookで追加のWebhookタイプのサポートも追加されています。

詳細については、自動応答Playbookの作成を参照してください。

Security Playbooksが正式にリリースされ、 Trend Vision One プラットフォームの一部としてRisk InsightsおよびXDRエンタイトルメントとともに使用できます。

Playbookの種類ごとに必要な資格の種類の詳細については、次を参照してください。セキュリティプレイブックの要件 。

Security Playbooksでは、完全にカスタマイズ可能なテンプレートからPlaybookを作成しながら、柔軟なワークフローで自動応答Playbookを最初から作成できるようになりました。

自動応答Playbookを使用すると、「非常に不審」および「不審」で注目すべきオブジェクトされたオブジェクトに加えて、Workbenchアラートで注目すべきオブジェクトれた他の「未評価」オブジェクト対応処理を実行できます。

さらに、Security Playbooksには、 Workbenchアラートに迅速に対応できるように、もう1つの対応処理「サンドボックスへのURLの送信」が用意されています。