XDR Threat Investigation

2024年12月9日 — Companionは、Workbench Insightsを使用しているときに関連するObserved Attack Techniquesイベントを提案するようになりました。この機能は、SOCアナリストが関連するイベントを特定して組み込むことで、より徹底的な調査を行うのに役立ちます。

2024年12月9日 — WorkbenchアラートにMITREの戦術、技術、手順 (TTP) 通知が含まれるようになりました。

2024年12月9日 — Companionは機械学習を使用して、注目すべきまたは誤検知のWorkbenchインサイトを特定し、調査と修復のためのガイド付きワークフローを積極的に推奨します。

2024年12月4日—Workbenchユーザは、注目すべきオブジェクトタブのコンテキストメニューから対応処理と詳細プロファイルにアクセスできます。

2024年11月25日—インサイトに関連付けられたケースをクローズする際、ユーザはそのインサイトに対するすべてのWorkbenchアラートをクローズできます。これらの関連アラートは、既に所見がない場合、ケースの所見を引き継ぐことができます。既に所見があるアラートは、その所見を保持します。

2024年11月18日—メールおよびコラボレーション活動の検出を強化するために、MESSAGE_ACTIVITYイベントタイプとCOLLABORATION_ACTIVITYイベントIDを使用してカスタム検出フィルターを作成します。

詳細については、Email and Collaboration Activity Dataをご覧ください。

2024年10月4日—Case ManagementとWorkbenchは、SAMLグループおよびIdP専用SAMLグループをそれぞれアラートおよびケースの所有者として割り当てることをサポートするようになりました。

詳細情報と制限事項については、Case ManagementおよびWorkbenchのオンラインヘルプを参照してください。

2024年8月30日—Detection Model Managementは、バケット名を使用してAmazon S3バケットの検出例外を作成することをサポートするようになりました。Match Criteriaフィールドタイプをcloud_identifierに設定し、フィールドにrequestParameters.bucketNameを選択し、バケット名を指定してください。

2024年8月5日—SearchアプリでObserved Attack Techniques検索方法を使用する際、Trend Companionの助けを借りて、環境内で検出されたイベントについて詳しく知ることができます。

詳細については、Trend Companionをご覧ください。

2024年8月2日 — コンテキストメニューを使用して、IPアドレスやドメインを信頼できるドメインリスト、信頼できるサービスソースリスト、またはネットワークグループリストに追加できるようになりました。これにより、接続されたDeep Discovery InspectorアプライアンスおよびVirtual Network Sensorからの将来の検出が強化されます。

2024年7月1日—カスタム検出フィルターは、CLOUD_ACTIVITYイベントタイプおよびVPC_ACTIVITY_LOGイベントIDの下でAWS VPCフローログアクティビティをサポートするようになりました。

詳細については、ネットワークアクティビティデータ と クラウドアクティビティデータ を参照してください。

2024年6月19日—Trend Vision One - Companionの助けを借りて、環境内で検出されたObserved Attack Techniquesイベントをよりよく理解しましょう。

詳細については、Trend Companion を参照してください。

2024年5月8日 — Trend Vision One - Companionを使用して、「監視されたObserved Attack Techniques」で検出されたイベントと実行されたコマンドについて理解を深めることができます。

詳細については、Observed Attack Techniques

2024年5月6日 — [Detection Model Management]で、IDおよびアクセスアクティビティデータのフィルタを含むカスタムモデルを作成できるようになりました。

詳細については、検索クエリでの正規表現の使用

2024年4月22日 — [Detection Model Management] で、正規表現を含むカスタムフィルタクエリを作成およびインポートできるようになりました。詳細については、カスタムフィルタでの正規表現の使用。

2024年4月8日 —Forensicsアプリでエビデンス収集、Osquery、およびYARAルール検索で多要素認証を要求できるようになりました。

2024年1月29日 — Forensics のエビデンスレポートの新しい [ハイライト] セクションには、収集されたエビデンスの中で見つかったすべての高リスクのエビデンスが表示されます。調査の出発点として [ハイライト] セクションを使用してください。

2024年1月29日 — Forensics は、Workspaceビューでエンドポイントに関する以下の情報を表示します:

2023年1月11日 —Forensicsアプリで、LinuxエンドポイントでYARA、osquery、およびエビデンスの収集タスクを実行できるようになりました。

これらのタスクの詳細については、を参照してください。応答処理 。

2024年1月9日 — YARAおよびosqueryタスクのクエリ結果をステータスでフィルタし、概要を表示できるようになりました。エンドポイント名の横にあるステータスアイコンにカーソルを合わせると、失敗したタスクの理由をすばやく見つけることができます。

2024年1月8日 — 不正侵入の可能性があるファイルを終了できるようになりましたAmazon Elastic Container Service Workbench、 Observed Attack Techniques、またはSearchアプリで脅威インシデントを調査する際のタスク。

2023年12月11日 — URL、ドメイン、IP、またはSHA-1ファイルを右クリックして [VirusTotal] を選択すると、環境内で発生する可能性のある脅威を詳細に調査できるようになりました。

2023年12月11日 — 調査中、ユーザはosqueryまたはYARAタスクを複数回実行して、影響を受けるエンドポイントの範囲を絞り込むことができます。タスク名をカスタマイズして、複数のタスク結果を簡単に区別できるようになりました。

2023年12月11日 — Forensics のワークスペースに、そのワークスペースに関連するすべてのタスクへのクイックリンクが表示されるようになりました。 [Related Tasks] ボタンをクリックすると、ワークスペース関連のタスクのステータスと結果を確認できる、事前にフィルタされたリストが [タスクリスト] タブに表示されます。

2023年12月11日 — Webレピュテーションサービスなどのトレンドマイクロ Smart Protection Networkサービスを利用したForensicsアプリで、エビデンスとして収集されたネットワーク関連データを強化できるようになりました。収集してForensicsワークスペースに追加した特定のURL、IPアドレス、およびドメイン名のスコアと、対応するリスクレベルを表示できるようになりました。

2023年12月1日 —Targeted Attack Detectionのプレビューが終了し、正式にリリースされました。Targeted Attack Detectionは無料で使用できるため、 Trend Vision Oneユーザはこのアプリを利用してスマートフィードバックデータを分析し、環境が攻撃を受けているかどうかを判断できます。

2023年11月10日 —Searchアプリで、Cyborg Securityからの脅威ハンティングクエリがサポートされるようになりました。さらに、ユーザは関連するインテリジェンスレポートを表示して、サイバー攻撃の理解と解決に役立てることができます。

2023年11月6日 — 監視されたObserved Attack Techniquesアプリで、セキュリティイベント情報をデータソース別にフィルタできるようになりました。データソースでフィルタすると、さまざまなTrend Vision One製品の個々のデータの貢献度を評価できます。

2023年10月30日 —Case ManagementでForensicsとの統合が可能になりました。これにより、Workbenchのインサイトまたはアラートに含まれるエンドポイント専用のForensicsワークスペースを作成できます。そこから、 Forensicsアプリ内で隔離、Osquery、YARAプロセス検索などのクイックレスポンスを実行できます。

さらに、Forensicsのエンドポイントから高度なデジタルエビデンスを収集して、より詳細な分析を実行し、根本原因を特定し、Forensicsタイムラインを使用して攻撃チェーンを構築できます。

攻撃チェーンを確立したら、ケースにタイムラインを追加して、結果の場所を記録できます。

2023年10月30日 —Detection Model Managementアプリで、YAMLファイルを介したカスタムフィルタのインポートとエクスポートがサポートされるようになりました。ユーザは、YAMLファイルからカスタムフィルタを簡単にインポートしたり、カスタムフィルタを a ZIPファイルとしてYAMLファイルにエクスポートしたりできるようになりました。

詳細については、を参照してください。 カスタムフィルタ 。

2023年10月16日 — 新しいアプリケーション [フォレンジック]が正式にリリースされました。フォレンジックを使用すると、セキュリティインシデントへの対応、侵害評価、脅威ハンティング、および監視を実行できます。

Forensicsでは、ワークスペースを作成できます。ワークスペース内で、インシデントの範囲を切り分け、osqeuryとYARAを実行して、トリアージと調査を迅速に行うことができます。インシデントの詳細が必要な場合は、エビデンスを収集できます。 エビデンス Collectionによってデジタルエビデンスが収集され、 Trend Vision Oneコンソールにアップロードされます。

フォレンジックには、エビデンスの表示および検索機能があり、高度な調査が容易になります。調査の進行中に、重要なタイムスタンプを含むメモを追加したり、カスタマイズしたレコードをタイムラインに作成したりできます。つまり、フォレンジックタイムラインは、収集されたエビデンスレコードを使用して包括的な攻撃チェーンレポートを作成するためのツールです。

さらに、[フォレンジック] の [エビデンスアーカイブ] セクションを使用して、インシデントレスポンスプレイブックで収集されたすべてのエビデンスを管理できます。エビデンスパッケージをワークスペースに追加して、エビデンスレポートの生成に使用したり、いつでも調査に利用したりできます。

詳細については、フォレンジック 。

2023年10月16日 —Detection Model Managementアプリがアップデートされ、1つのカスタムモデルで複数のカスタムフィルタをサポートするようになりました。カスタムフィルタはモデルごとに最大5つまでサポートされます。カスタムフィルタで定義されたイベントが発生したとき、またはカスタムフィルタで定義されたイベントが指定された順序で発生したときに、さらに2つの条件に基づいてアラートをトリガするようにWorkbenchを設定できます。

詳細については、カスタムモデルの設定を参照してください。

2023年9月30日 — Observed Attack Techniques APIがアップデートされ、脅威やアクティビティなどのコンテナ関連の情報がサポートされるようになりました。 SIEMアプリとユーザは、 Observed Attack Techniques Pipelineエンドポイントを使用して、フィルタまたはコンテナイベントをトリガーするイベントをエクスポートできるようになりました。これにより、エクスポートされたイベント内のコンテナセキュリティに関連する脅威とアクティビティの調査が可能になります。

Observed Attack Techniques APIの詳細については、次を参照してください。https://automation.trendmicro.com/xdr/api-v3#tag/Observed-Attack-Techniques-Pipeline

2023年8月15日 — コンテナ攻撃の可視性を向上させるために、監視された攻撃テクニックアプリがアップデートされ、コンテナセキュリティポイント製品からのフィルタヒットとともに検出されたすべてのイベントが表示されるようになりました。これで、コンテナの名前またはIDが [関連するエンティティ]に表示されるようになり、ユーザはどのエンティティが対象であるかをすぐに把握できます。既存の検索条件に加えて、コンテナ名でイベントを検索できます。

2023年8月1日 — 無効なカスタムフィルタの通知が表示されるようになりました。通知には、通知センターにポップアップ表示される通知メッセージと、 [カスタムフィルタ] タブのフィルタ名の横に表示されるツールチップメッセージと、 [カスタムモデル] タブの関連するモデル名が含まれます。

2023年7月4日 —Detection Model Managementアプリで、検索クエリ構文を使用してカスタムフィルタを作成できるようになりました。新しいカスタムフィルタを使用してカスタムのObserved Attack TechniquesイベントとWorkbenchアラートの生成をトリガーするカスタム検出モデルを作成します。

カスタムのObserved Attack TechniquesイベントとWorkbenchアラートには、 Observed Attack Techniquesアプリ、 WorkbenchパブリックAPI、ウィジェット、サードパーティのSIEM統合など、ダウンストリームのいくつかの機能やサービスからアクセスできます。さらに、新しいカスタム検出モデルをSecurity Playbooksアプリで利用して、自動対応処理を作成できます。

2024年4月8日 —Forensicsアプリに、 Attack Surface Risk Managementのリスクスコアが追加されました。フォレンジック調査担当者は、ワークスペースにエンドポイントを追加するときに、リスクスコアの高いエンドポイントに優先順位を付けることができます。追加すると、エンドポイントのリスクスコアごとに詳細なプロファイルが作成され、詳細な調査が可能になります。