対応処理

オブジェクト固有の処理により、 Trend Micro Vision One コンソールから離れることなく、脅威に直接対応できます。

Trend Micro Vision One コンソールで検出されたイベントまたはオブジェクトに対して特定の処理を実行できます。 対応をトリガすると、 Response Management アプリがタスクを作成し、コマンドを対象に送信します。

次の表は、オブジェクト、プロセス、エンドポイント、およびユーザアカウントに対して実行できる処理を示しています。

表 1. ブロックリスト

操作

説明

管理対象エージェントのサポート

ブロックリストに追加

ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポートされるオブジェクトをユーザ指定の不審オブジェクトリストに追加します。これにより、以降の検出でオブジェクトがブロックされます。

重要:

ユーザ定義の不審オブジェクトリストにオブジェクトを追加しても、そのオブジェクトへのアクティブなプロセスや接続は終了しません。アクティブなプロセスを終了するには、「終了」 対応もトリガしてください。

詳細については、「 ブロックリストタスクに追加」を参照してください。

Apex One SaaS

  • Windows

Trend Micro Cloud One - Endpoint & Workload Security

  • Windows

  • Linux

Cloud App Security

Deep Securityソフトウェア

サービスゲートウェイ

ブロックリストから削除

ブロックリストに追加対応によってユーザ定義の不審オブジェクトリストに追加されたファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを削除します。

詳細については、「 ブロックリストタスクから削除」を参照してください。

Apex One SaaS

  • Windows

Trend Micro Cloud One - Endpoint & Workload Security

  • Windows

  • Linux

Cloud App Security

Deep Securityソフトウェア

サービスゲートウェイ

表 2. ファイルとプロセス

操作

説明

管理対象エージェントのサポート

プロセスの終了

アクティブなプロセスを終了し、影響を受けるすべてのエンドポイントでプロセスを終了できます。

詳細については、「 プロセス終了タスク」を参照してください。

Apex One SaaS

  • Windows

ファイルの収集

エンドポイント上の選択したファイルをパスワードで保護されたアーカイブに圧縮し、そのアーカイブを Response Management アプリに送信します。

詳細については、「 サンプルファイルの収集タスク」を参照してください。

Trend Micro Vision One

  • Windows

  • Mac

  • Linux

Apex One SaaS

  • Windows

Trend Micro Cloud One - Endpoint & Workload Security

  • Windows

  • Linux

  • Mac

Sandbox Analysisに送信

選択したファイルオブジェクトを安全な仮想環境であるサンドボックスに自動分析用に送信します。

詳細については、「 Sandbox Analysisへの送信タスク」を参照してください。

Trend Micro Vision One

  • Windows

  • Mac

Apex One SaaS

  • Windows

  • Linux

Trend Micro Cloud One - Endpoint & Workload Security

  • Windows

  • Linux

  • Mac

表 3. メールメッセージ

操作

説明

マネージドサービスのサポート

メッセージの隔離

選択したメールメッセージを隔離フォルダに移動し、影響を受けるすべてのメールボックスからメッセージを隔離できます。

詳細については、「 メールメッセージの隔離タスク」を参照してください。

Cloud App Security

メッセージの削除

選択したメールボックスから選択したメールメッセージを削除します。

詳細については、「 メールメッセージの削除タスク」を参照してください。

Cloud App Security

表 4. エンドポイント

操作

説明

管理対象エージェントのサポート

プロセスメモリのダンプ

クラッシュ時に診断情報の暗号化されたアーカイブを作成し、エラーを分析して修正します。

Trend Micro Vision One

  • Windows

  • Mac

エンドポイントの隔離

管理下のトレンドマイクロサーバ製品との通信を除き、対象エンドポイントをネットワークから切断します。

詳細については、「 エンドポイントの隔離タスク」を参照してください。

Trend Micro Vision One

  • Windows

  • Mac

Apex One SaaS

  • Windows

Trend Micro Cloud One - Endpoint & Workload Security

  • Windows

  • Mac

接続の復元

エンドポイントの隔離処理がすでに適用されているエンドポイントへのネットワーク接続を復元します。

詳細については、「 接続の復元タスク」を参照してください。

Trend Micro Vision One

  • Windows

  • Mac

Apex One SaaS

  • Windows

Trend Micro Cloud One - Endpoint & Workload Security

  • Windows

  • Linux

リモートシェルセッションの開始

監視対象のエンドポイントに接続し、リモートコマンドまたはカスタムスクリプトファイルを実行して調査できます。

詳細については、「 リモートシェルセッションタスクの開始」を参照してください。

Trend Micro Vision One

  • Windows

  • Mac

  • Linux

Trend Micro Cloud One - Endpoint & Workload Security

  • Windows

  • Mac

  • Linux

リモートカスタムスクリプトの実行

監視対象のエンドポイントに接続し、以前にアップロードしたPowerShellまたはBashスクリプトファイルを実行します。

詳細については、「 リモートカスタムスクリプトの実行タスク」を参照してください。

Trend Micro Vision One

  • Windows

  • Mac

  • Linux

Trend Micro Cloud One - Endpoint & Workload Security

  • Windows

  • Linux

表 5. アカウントの適用

操作

説明

IAMシステム

ユーザアカウントを無効化

ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをログアウトします。プロセスが完了するまでに数分かかる場合があります。ユーザは新しいセッションにサインインできません。

注:

Azure AD管理者の役割が割り当てられたアカウントには適用されません。

Azure AD

ユーザアカウントを有効化

ユーザが新しいアプリケーションおよびブラウザセッションにサインインできるようにします。プロセスが完了するまでに数分かかる場合があります。

Azure AD

強制サインアウト

ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをログアウトします。プロセスが完了するまでに数分かかる場合があります。閉じたセッションにすぐに再度ログオンしたり、新しいセッションにログオンしたりすることはできます。

Azure AD

パスワードの強制リセット

アクティブなすべてのアプリケーションおよびブラウザセッションからユーザをサインアウトし、次回の サインイン の試行時にユーザに新しいパスワードの作成を強制します。プロセスが完了するまでに数分かかる場合があります。

詳細については、「 パスワードの強制リセットタスク」を参照してください。

Azure AD