調査タスクを承認または拒否する

[Managed Detection and Response] 画面の [保留中のタスク] タブには、Threat Investigation Centerから送信された、管理者による手動承認が必要な調査タスクが表示されます。特定のタスクの対象とコマンドを表示し、選択されている対象を変更し、選択されているタスクを承認または拒否することができます。

[Managed Detection and Response] 画面に表示されるThreat Investigation Centerのタスクコマンドの詳細については、Threat Investigation Centerのタスクコマンドを参照してください。

ヒント:

Managed Detection and Responseのタスクコマンドのステータスを表示するには、[コマンド追跡] 画面を使用します。

詳細については、Managed Detection and Responseタスクコマンドの追跡を参照してください。

重要:

  • Apex Centralで調査タスクの情報が保持されるのは、Threat Investigation Centerから送信後90日間のみです。

  • 初期設定では、新しい調査タスクは、Apex Centralが受信してから72時間以内に承認または拒否されない場合、自動的にタイムアウトになります。

    調査タスクのコマンドステータスの詳細については、Threat Investigation Centerのコマンドステータスを参照してください。

  1. [レスポンス] > [Managed Detection and Response]に移動します。

    [Managed Detection and Response] 画面が表示されます。

  2. [保留中のタスク] タブをクリックします。

    表が表示され、調査タスクと次の情報を記載したリストが示されます。

    説明

    タスクの説明

    Threat Investigation Center管理者が手動で指定したタスク名を示します。

    コマンド

    選択済みの対象に配信するタスクコマンドを示します。

    [Managed Detection and Response] 画面に表示されるThreat Investigation Centerのタスクコマンドの詳細については、Threat Investigation Centerのタスクコマンドを参照してください。

    対象

    タスクの対象の数を示します。

    有効期限

    タスクが期限切れになるApex Centralサーバのローカル時間を示します。

    重要:

    初期設定では、新しい調査タスクは、Apex Centralが受信してから72時間以内に承認または拒否されない場合、自動的にタイムアウトになります。

    調査タスクのコマンドステータスの詳細については、Threat Investigation Centerのコマンドステータスを参照してください。
  3. 保留中のタスクの対象を表示するには、[タスクの説明] フィールドの横にある右矢印アイコン () をクリックします。

    表が表示され、次の詳細が示されます。

    説明

    エンドポイント

    対象エンドポイントの名前を示します。

    IPアドレス

    対象エンドポイントのIPアドレスを示します。

    ユーザ

    対象エンドポイントに最後にログオンしたユーザの名前を示します。

    Endpoint Sensorサービス

    対象エンドポイント上のEndpoint Sensorサービスのステータスを示します。

    詳細については、Endpoint Sensorサービスのステータスを参照してください。

    重要:

    Apex Centralが指定された対象エンドポイントに調査タスクを配信するには、そのエンドポイントでEndpoint Sensorサービスが有効になっている必要があります。
  4. 保留中の調査タスクを承認するには、次の手順を実行します。
    1. 承認する各タスクの名前の横にあるチェックボックスをオンにします。
      注:

      タスクのチェックボックスをオンにすると、そのタスクの対象がすべて選択されます。

    2. タスク名の横にある右矢印() をクリックし、タスクに対して選択された対象を変更します。
      重要:

      Apex Centralが指定された対象エンドポイントに調査タスクを配信するには、そのエンドポイントでEndpoint Sensorサービスが有効になっている必要があります。

      • 含める対象の横にあるチェックボックスをオンにします。

      • 除外する対象の横にあるチェックボックスをオフにします。

    3. 保留中のタスクごとに前の手順を繰り返します。
    4. [承認] をクリックします。

      承認済みタスクが [タスク追跡] タブに表示されます。

      詳細については、調査タスクを追跡するを参照してください。

  5. 保留中の調査タスクを拒否するには、次の手順を実行します。
    1. 拒否する各タスクの名前の横にあるチェックボックスをオンにします。
      注:

      タスクのチェックボックスをオンにすると、そのタスクの対象がすべて選択されます。

    2. タスク名の横にある右矢印() をクリックし、タスクに対して選択された対象を変更します。

      • 含める対象の横にあるチェックボックスをオンにします。

      • 除外する対象の横にあるチェックボックスをオフにします。

    3. 保留中のタスクごとに前の手順を繰り返します。
    4. [拒否] をクリックします。

      拒否されたタスクが [タスク追跡] タブに表示されます。

      詳細については、調査タスクを追跡するを参照してください。

親トピック: Managed Detection and Responseの概要