檢視次數:

對象特定操作允許您直接在Trend Vision One控制台中回應威脅。

您可以在Trend Vision One控制台上對發現的事件或對象採取特定操作。觸發響應後,響應管理應用程式會創建任務並將命令發送到目標。
以下表格描述了您可以對容器、電子郵件、端點、網路和使用者帳號採取的操作。
重要
重要
如果您打算對虛擬機執行回應操作,請務必仔細遵循代理程式安裝程式部署說明。如果您克隆自己的VDI機器,會導致代理ID重複,已部署的代理將無法執行回應操作。

一般

處理行動
說明
支援服務
新增至封鎖清單
將支援的物件(如檔案 SHA-1、URL、IP 位址或網域物件)新增至使用者定義的可疑物件清單,該清單會在後續偵測中封鎖這些物件
注意
注意
將物件新增至使用者定義的可疑物件清單不會終止任何與該物件相關的活動進程或連線。要終止活動進程,請確保您也觸發Terminate回應。
如需詳細資訊,請參閱 新增至封鎖清單任務
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Security 軟體
收集檔案
將網路設備檢測到的選定檔案壓縮到受密碼保護的壓縮檔案中,然後將該壓縮檔案發送到回應管理應用程式
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Deep Discovery Inspector
  • 虛擬網路感測器
從封鎖清單中移除
移除透過Add to Block List回應新增到使用者定義可疑物件清單中的檔案 SHA-1、URL、IP 位址或網域物件
如需詳細資訊,請參閱 從封鎖清單中移除任務
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Security 軟體
提交進行沙盒分析
將選定的檔案物件提交到沙盒(一個安全的虛擬環境)進行自動分析
如需詳細資訊,請參閱 提交進行沙盒分析任務
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
  • Apex One as a Service
    • Windows 代理程式
    • Linux 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Deep Discovery Inspector
  • 虛擬網路感測器

容器

處理行動
說明
支援服務
隔離容器
允許使用者限制可疑進程在容器內的擴散,並通過將包含的 pod 從相關網絡中斷開以及防止資料防護進出 pod 來調查原因。欲了解詳細資訊,請參閱 隔離容器任務
  • Trend Vision One 容器安全
終止容器
透過終止包含的 Pod 來停止 Pod 內容器的可疑行為。欲了解詳細資訊,請參閱 終止容器任務
重要
重要
終止 Pod 會破壞可疑行為的證據,並且無法防止該行為再次發生。
  • Trend Vision One 容器安全
恢復容器
在先前隔離的 pod 中恢復容器。欲了解詳細資訊,請參閱 恢復容器任務
  • Trend Vision One 容器安全

電子郵件

處理行動
說明
支援服務
刪除訊息
刪除選定郵箱中的選定電子郵件訊息
如需詳細資訊,請參閱 刪除訊息任務
  • Cloud App Security
隔離訊息
將選定的電子郵件訊息移至隔離資料夾,並允許您從所有受影響的郵箱中隔離該訊息
如需詳細資訊,請參閱 隔離訊息任務
  • Cloud App Security
還原訊息
將選定的隔離電子郵件訊息還原到選定的郵箱
如需詳細資訊,請參閱 還原訊息任務
  • Cloud App Security

端點

處理行動
說明
支援服務
收集證據
從指定的端點收集法證證據並將其上傳到 Forensics 應用程式。
如需詳細資訊,請參閱 收集證據任務
  • Trend Vision One
    • Windows 代理程式
轉儲進程記憶體
直接訪問端點並執行遠程殼命令,以識別在調查期間可能導致可疑活動的當前運行進程
重要
重要
僅透過遠端 shell 在運行 Windows 或 macOS 的端點上執行 memdump 命令時,才會觸發傾印進程記憶體操作。
注意
注意
使用外部解壓縮程式(例如 7-zip)來提取檔案內容。
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Mac 代理程式
隔離端點
將目標端點與網路斷開連接,但與管理趨勢科技伺服器產品的通信除外
如需詳細資訊,請參閱 隔離端點任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
還原連線
恢復已經應用隔離端點操作的端點的網路連接
如需詳細資訊,請參閱 還原連線任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
執行 osquery
使用 osquery(版本 5.7.0)執行 SQL 查詢以獲取指定端點的系統資訊。
如需詳細資訊,請參閱 執行 osquery 任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
執行遠端自訂腳本
連接到受監控的端點並執行先前上傳的 PowerShell 或 Bash 腳本文件
如需詳細資訊,請參閱 執行遠端自訂腳本任務
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
執行趨勢科技調查套件
在目標端點上部署並執行趨勢科技調查工具包
注意
注意
只有受管服務操作團隊可以在您的批准下啟動執行趨勢科技調查套件任務。您可以批准請求或在受管服務應用程式中配置自動批准。
如需詳細資訊,請參閱 自動批准 回應動作。
  • Trend Vision One Endpoint Sensor
    • Windows 代理程式
執行 YARA 規則
在指定的端點上執行自訂 YARA 規則(版本 4.2.3)。
如需詳細資訊,請參閱 執行 YARA 規則任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
掃瞄惡意程式
對一個或多個端點執行一次性掃瞄,以檢查檔案型威脅,例如病毒、間諜程式和可能的資安威脅程式。欲了解詳細資訊,請參閱 掃瞄惡意程式任務
  • Trend Micro Apex One 即服務
  • Standard Endpoint Protection
開始遠端 Shell 會話
連接到受監控的端點,允許您執行遠端命令或自訂腳本檔案以進行調查
如需詳細資訊,請參閱 開始遠端 Shell 會話任務
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
終止程序
終止活動進程,並允許您終止所有受影響端點上的進程
如需詳細資訊,請參閱 終止程序任務
注意
注意
在某些情況下,可以使用遠端 shell kill 命令來終止進程,而不是使用終止進程任務。
如需有關支援服務和使用情境的詳細資訊,請參閱 開始遠端 Shell 會話任務
  • Apex One as a Service
    • Windows 代理程式

網路

處理行動
說明
支援服務
收集調查包
將所選的調查包壓縮,其中包括描述受影響主機或網路上識別到的妥協指標的 OpenIOC 文件,並將其放入受密碼保護的檔案中,然後將該檔案發送到回應管理應用程式
重要
重要
要執行收集調查包操作,您必須先在 Deep Discovery Inspector 中啟用沙箱
  • Deep Discovery Inspector
收集網路分析套件
將選定的網路分析包(包括調查包、PCAP 文件和網路設備檢測到的選定文件)壓縮到受密碼保護的存檔中,然後將存檔發送到回應管理應用程式
如需詳細資訊,請參閱 收集網路分析套件任務
重要
重要
要執行收集網路分析套件任務,您必須先在 Deep Discovery Inspector 中啟用 沙箱封包擷取 功能。
注意
注意
收集PCAP檔案的操作僅支援Deep Discovery Inspector 6.5或以上版本。
  • Deep Discovery Inspector
收集PCAP檔案
將選定的封包捕獲檔案壓縮到受密碼保護的壓縮檔案中,然後將該壓縮檔案發送到回應管理應用程式
注意
注意
收集PCAP檔案的操作僅支援Deep Discovery Inspector 6.5或以上版本。
重要
重要
要執行收集PCAP檔案的動作,您必須先在Deep Discovery Inspector中啟用封包擷取功能。
  • Deep Discovery Inspector

使用者帳號 / IAM

處理行動
說明
支援服務
關閉使用者帳號
將使用者帳號的所有活動應用程式和瀏覽器工作階段登出。此過程可能需要幾分鐘才能完成。使用者將無法登入任何新的工作階段。
注意
注意
不適用於分配了Microsoft Entra ID管理員角色的帳戶。
如需詳細資訊,請參閱 關閉使用者帳號任務
  • Microsoft Entra ID
  • Active Directory (內部部署)
  • Okta
  • OpenLDAP
啟用使用者帳號
允許使用者登入新的應用程式和瀏覽器會話。該過程可能需要幾分鐘才能完成。
如需詳細資訊,請參閱 啟用使用者帳號任務
  • Microsoft Entra ID
  • Active Directory (內部部署)
  • Okta
  • OpenLDAP
強制重設密碼
將使用者從所有活躍的應用程式和瀏覽器會話中登出,並強制使用者在下次嘗試登入時創建新密碼。該過程可能需要幾分鐘才能完成。
如需詳細資訊,請參閱 強制密碼重設任務
  • Microsoft Entra ID
  • Active Directory (內部部署)
  • Okta
  • OpenLDAP
強制登出
將使用者帳號的所有活動應用程式和瀏覽器會話登出。此過程可能需要幾分鐘才能完成。使用者不會被阻止立即重新登入已關閉的會話或登入新的會話。
如需詳細資訊,請參閱 強制登出任務
  • Microsoft Entra ID
  • Okta
撤銷存取權限
撤銷使用者對 AWS 身分與存取管理 (IAM) 服務的存取權限。撤銷權限後,使用者將無法再存取任何 AWS 資源。請稍候幾分鐘以完成此任務。
重要
重要
此功能僅適用於已更新至Foundation Services 版本的客戶。
如需詳細資訊,請參閱 撤銷存取權限任務
  • AWS
添加到 Zscaler 受限用戶組
將具有高風險暴露的使用者帳號新增到 Zscaler 定義的受限使用者群組,以允許 Zscaler 策略實施
如需詳細資訊,請參閱 新增至 Zscaler 受限使用者群組任務
  • Microsoft Entra ID
從 Zscaler 受限用戶組中移除
從 Zscaler 定義的受限使用者群組中移除使用者帳號
如需詳細資訊,請參閱 從 Zscaler 受限用戶組中移除任務
  • Microsoft Entra ID
相關資訊