檢視次數:

在確定高風險使用者帳號維持較低風險分數後,使用 Response Management 應用程式將該帳號從 Zscaler 受限使用者群組中移除。

此任務由以下服務支援:
  • Microsoft Entra ID
重要
重要
在您已在Third-Party Integrations中配置了Zscaler 網路存取整合Zscaler Private Access 整合,並且已將使用者帳號添加到ZScaler受限使用者群組後,"從Zscaler受限使用者群組移除"的回應動作將變為可用。
您可以通過在Attack Surface DiscoveryRemove from Zscaler Restricted User GroupWorkbenchObserved Attack TechniquesXDR Data Explorer應用程式的上下文選單中選擇Remove from Zscaler Restricted User Group來移除使用者帳號。

步驟

  1. Response Management應用程式中,找到使用者帳號並點擊選項按鈕(options_icon=GUID-408062FA-DA13-4ECA-81EB-31A5B68355A1=1=zh-tw=Low.jpg)或訪問上下文選單。
  2. 點選Remove from Zscaler Restricted User Group
    Remove from Zscaler Restricted User Group畫面出現。
  3. 確認回應的目標。
  4. 為回應或事件指定Description
  5. 點選Create
    TrendAI Vision One™ 建立任務並在 Response Management 中顯示當前任務狀態。
  6. 監控任務狀態。
    1. 移至「Workflow and Automation」Response Management
    2. (可選)使用Search欄位定位任務,或從處理行動下拉清單中選擇Remove from Zscaler Restricted User Group
    3. 查看任務狀態。
      • 「進行中」 (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): TrendAI Vision One™ 已發送指令並正在等待回應。
      • 「成功」 (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
        當成功時,在 Zscaler 中定義的存取控制政策將不再適用於該使用者帳號。
      • 「部分成功」 (partially_successful_icon=GUID-20230103030733.jpg): 任務在一個或多個 IAM 服務上未成功
      • 「未成功」 (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 該任務在所有連接的 IAM 服務上均未成功
      • 「Pending approval」 (pending_approval=f0525c66-199a-46f5-b40a-902bd498cf53.jpg): 該任務正在等待指定用戶的批准
      • 「已拒絕」 (rejected=bd05fc87-5b5d-4d84-bfb1-3a6dc09ddac5.jpg): 該任務已被拒絕