ワークスペースを活用して、インシデント調査プロセスを合理化します。
ワークスペースを使用すると、エビデンスを整理し、調査タイムラインを構築し、環境内のエンドポイントをトリアージできます。
 |
重要
|
次の表は、ワークスペースで使用できる処理の概要を示しています。
|
処理
|
説明
|
||
|
ワークスペース情報の表示
|
のツールチップメッセージ
 には次の情報が含まれます。
|
||
|
エンドポイントを追加
|
[エンドポイントを追加]をクリックして、Endpoint Inventoryからエンドポイントを追加します。リスクスコアでエンドポイントをフィルタリングして、特定の範囲内のエンドポイントを表示できます。
|
||
|
エンドポイントをフィルター
|
ワークスペース内の特定のエンドポイントを検索するには、検索フィールドとドロップダウンメニューを使用してください。
|
||
|
エンドポイントの調査
|
各エンドポイントに対して、以下の操作が可能です
|
||
|
パッケージの追加
|
クリック[Add Evidence]からエビデンスパッケージを追加するには[Evidence Archive]タブをクリックします。
パッケージが処理されてワークスペースに追加されるまでしばらく待ちます。Forensicsは、追加されたパッケージごとにエビデンスレポートを生成します。
|
||
|
エビデンスを収集
|
ワークスペースに追加されたエンドポイントからエビデンスを収集します。
|
||
|
エビデンスパッケージの表示、削除、およびダウンロード
|
エンドポイントの左側にある展開矢印 (
 ) をクリックして、関連するエビデンスパッケージを表示します。各パッケージについて、次の操作が可能です:
|
||
|
ワークスペースでエビデンスを検索する
|
[Evidence Search] (
 ) をクリックして、ワークスペースに追加されたすべてのパッケージからエビデンスを検索します。 |
||
|
詳細なリスクプロファイルの表示
|
クリック
 をクリックして、アセットリスクの詳細プロファイルを表示します。詳細プロファイルでは、次の操作を実行できます:
|
||
|
影響を受けるエンドポイントのアップデート
|
ケースビューアで、[Update Forensics Workspace]影響を受けるエンドポイントでワークスペースを更新します。
エンドポイントがもうケースに含まれていない場合、Trend Vision Oneは自動的にエンドポイントを削除しません。ワークスペースから影響を受けないエンドポイントを手動で削除できます。
|
||
|
エンドポイントのトリアージ
|
深刻度と影響に基づいて攻撃されたエンドポイントを特定し、優先順位を付け、管理します。詳細を学ぶ
|
||
|
エンドポイントの隔離
|
1つ以上のエンドポイントを選択して、[エンドポイントを隔離]悪意のある可能性のあるアクティビティが他のエンドポイントに拡散するのを防ぎます。
|
||
|
影響のないエンドポイントを削除する
|
1つ以上のエンドポイントを選択して、[エンドポイントを削除]エンドポイントがこのワークスペースに関連しなくなったとき。
|
||
|
ワークスペース関連のタスクを表示する
|
クリック[Related Tasks]対応する[タスクリスト]をクリックします。
|
||
|
調査のタイムラインを管理する
|
[Timeline] (
 ) をクリックして調査のタイムライン。 |
||
|
ワークスペースを更新する
|
クリック
 このワークスペースのデータを更新して再表示します。 |
をクリックして選択します。[Remove Endpoint from a Workspace]エンドポイントがこのワークスペースに関連しなくなったとき。