ビュー:

オブジェクト固有の処理を使用すると、 Trend Vision One コンソールを終了することなく、脅威に直接対応できます。

Trend Vision One コンソールで検出されたイベントまたはオブジェクトに対して特定の処理を実行できます。対応のトリガー後、Response Managementアプリはタスクを作成し、コマンドをターゲットに送信します。
次の表では、コンテナ、メールメッセージ、エンドポイント、ネットワーク、およびユーザアカウントに対して実行できる処理について説明します。

ユーザアカウント/IAM

処理
説明
サポートサービス
Zscaler制限付きユーザグループに追加
Zscalerポリシー適用を可能にするために、リスクの高いユーザアカウントをZscaler定義の制限付きユーザグループに追加します。
詳細については、Zscaler制限付きユーザグループタスクに追加をご覧ください。
  • Microsoft Entra ID
ユーザアカウントを無効化
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは新しいセッションにサインインすることができなくなります。
注意
注意
割り当てられたアカウントには適用されませんMicrosoft Entra ID管理者の役割。
詳細については、ユーザアカウントタスクの無効化を参照してください。
  • Microsoft Entra ID
  • Active Directory (オンプレミス)
  • Okta
  • OpenLDAP
ユーザアカウントを有効化
ユーザが新しいアプリケーションおよびブラウザセッションにサインインできるようにします。このタスクは完了するまでに数分かかる場合があります。
詳細については、ユーザアカウントタスクの有効化を参照してください。
  • Microsoft Entra ID
  • Active Directory (オンプレミス)
  • Okta
  • OpenLDAP
パスワードの強制リセット
ユーザをすべてのアクティブなアプリケーションおよびブラウザセッションからサインアウトさせ、次回のサインイン時に新しいパスワードを作成するように強制します。このタスクの完了には数分かかる場合があります。
詳細については、パスワードリセットの強制タスクを参照してください。
  • Microsoft Entra ID
  • Active Directory (オンプレミス)
  • Okta
  • OpenLDAP
強制サインアウト
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは閉じたセッションにすぐに再サインインしたり、新しいセッションにサインインしたりすることを妨げられません。
詳細については、強制サインアウトタスクを参照してください。
  • Microsoft Entra ID
  • Okta
Zscaler制限付きユーザグループから削除
Zscaler定義の制限付きユーザグループからユーザアカウントを削除します。
詳細については、Zscaler制限付きユーザグループタスクから削除を参照してください。
  • Microsoft Entra ID
アクセス権を取り消し
ユーザのAWS Identity and Access Management (IAM)サービスへのアクセス権限を取り消します。権限を取り消した後、ユーザはAWSリソースにアクセスできなくなります。このタスクが完了するまで数分かかる場合があります。
重要
重要
この機能は、 Foundation Servicesのリリースにアップデートしたお客さまのみ利用できます。
詳細については、アクセス権の取り消しタスクを参照してください 。
  • AWS

ネットワーク

処理
説明
サポートサービス
ブロックリストに追加
ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポートされているオブジェクトをユーザ指定の不審オブジェクトリストに追加し、次回の検出時にそれらのオブジェクトをブロックします。
重要
重要
ユーザ定義の不審オブジェクトリストにオブジェクトを追加しても、アクティブなプロセスやオブジェクトへの接続は終了しません。アクティブなプロセスを終了するには、 [終了] 対応もトリガしてください。
詳細については、[ブロックリストに追加] タスクを参照してください。
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Securityソフトウェア
ファイルを収集
ネットワークアプライアンスによって検出された選択ファイルをパスワード保護されたアーカイブに圧縮し、その後アーカイブをResponse Managementに送信します。
  • Deep Discovery Inspector
調査パッケージを収集
選択した調査パッケージを圧縮します。このパッケージには、影響を受けたホストまたはネットワークで識別された侵害の指標を説明するOpenIOCファイルが含まれており、パスワードで保護されたアーカイブにしてからResponse Managementに送信します。
重要
重要
[調査パッケージの収集] 処理を実行するには、まず仮想アナライザDeep Discovery Inspectorで
  • Deep Discovery Inspector
ネットワーク分析パッケージを収集
選択したネットワーク解析パッケージ (調査パッケージ、PCAPファイル、およびネットワーク機器によって検出された選択ファイルを含む) をパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
重要
重要
ネットワーク分析パッケージの収集タスクを実行するには、まず仮想アナライザそしてパケットキャプチャDeep Discovery Inspectorで機能します。
注意
注意
[PCAPファイルの収集] 処理では、 Deep Discovery Inspector 6.5以降のみがサポートされます。
詳細については、ネットワーク分析パッケージの収集タスクを参照してください。
  • Deep Discovery Inspector
PCAPファイルを収集
選択したパケットキャプチャファイルをパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
注意
注意
[PCAPファイルの収集] 処理では、 Deep Discovery Inspector 6.5以降のみがサポートされます。
重要
重要
PCAPファイルの収集処理を実行するには、まずパケットキャプチャDeep Discovery Inspectorで機能します。
  • Deep Discovery Inspector
ブロックリストから削除
ファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、ブロックリストに追加する対応処理を通じてユーザ指定の不審オブジェクトリストに追加されたものから削除します。
詳細については、ブロックリストから削除タスクを参照してください。
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Securityソフトウェア
Sandbox Analysisに送信
選択されたファイルオブジェクトを、安全な仮想環境であるサンドボックスで自動分析のために送信します。
詳細については、Sandbox Analysisタスクの送信を参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
  • Apex One as a Service
    • Windowsエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
  • Deep Discovery Inspector

エンドポイント

処理
説明
サポートサービス
ブロックリストに追加
ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポートされているオブジェクトをユーザ指定の不審オブジェクトリストに追加し、次回の検出時にそれらのオブジェクトをブロックします。
重要
重要
ユーザ定義の不審オブジェクトリストにオブジェクトを追加しても、アクティブなプロセスやオブジェクトへの接続は終了しません。アクティブなプロセスを終了するには、 [終了] 対応もトリガしてください。
詳細については、[ブロックリストに追加] タスクを参照してください。
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Securityソフトウェア
エビデンスを収集
指定されたエンドポイントからフォレンジックエビデンスを収集し、エビデンスをForensicsアプリにアップロードします。
詳細については、エビデンスの収集タスクを参照してください。
  • Trend Vision One
    • Windowsエージェント
ファイルを収集
選択したファイルをエンドポイントでパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
詳細については、ファイルタスクの収集を参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
プロセスメモリのダンプ
エンドポイントに直接アクセスし、リモートシェルコマンドを実行して、調査中に疑わしい活動を引き起こしている可能性のある現在実行中のプロセスを特定します。
重要
重要
プロセスメモリのダンプ処理は、memdumpWindowsまたはmacOSを実行しているエンドポイントのリモートシェルを介してコマンドを実行します。
サポートサービスおよび使用コンテキストの詳細については、リモートシェルセッションの開始タスクを参照してください。
注意
注意
外部の解凍プログラム (7-zip など) を使用して、ファイルの内容を解凍します。
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Macエージェント
エンドポイントの隔離
対象エンドポイントを管理トレンドマイクロサーバ製品との通信を除いてネットワークから切断します。
詳細については、エンドポイントの隔離タスクを参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
ブロックリストから削除
ファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、ブロックリストに追加する対応処理を通じてユーザ指定の不審オブジェクトリストに追加されたものから削除します。
詳細については、ブロックリストから削除タスクを参照してください。
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Securityソフトウェア
接続を復元
ネットワーク接続を、すでにエンドポイントの隔離アクションを適用したエンドポイントに復元します。
詳細については、接続の復元タスクを参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
osqueryを実行
osquery (バージョン5.7.0) を使用してSQLクエリを実行し、指定されたエンドポイントのシステム情報を取得します。
詳細については、osqueryタスクの実行を参照してください。
  • Trend Vision One
    • Windowsエージェント
リモートカスタムスクリプトを実行
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
詳細については、リモートカスタムスクリプトタスクの実行を参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
YARAルールを実行
指定されたエンドポイントでカスタムYARAルール (バージョン4.2.3) を実行します。
詳細については、YARAルールタスクの実行を参照してください。
  • Trend Vision One
    • Windowsエージェント
リモートシェルセッションを開始
監視対象のエンドポイントに接続し、調査のためにリモートコマンドやカスタムスクリプトファイルを実行できます。
詳細については、リモートシェルセッションの開始タスクを参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
Sandbox Analysisに送信
選択されたファイルオブジェクトを、安全な仮想環境であるサンドボックスで自動分析のために送信します。
詳細については、Sandbox Analysisタスクの送信を参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
  • Apex One as a Service
    • Windowsエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
プロセスを終了
アクティブなプロセスを終了し、影響を受けたすべてのエンドポイントでプロセスを終了することができます。
詳細については、プロセスの終了タスクを参照してください。
  • Apex One as a Service
    • Windowsエージェント
不正プログラムを検索
一度だけエンドポイントをスキャンし、ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を検出します。
詳細については、不正プログラムの検索タスクを参照してください。
  • Trend Micro Apex One SaaS
  • 標準のエンドポイント保護

メール

処理
説明
サポートサービス
ブロックリストに追加
ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポートされているオブジェクトをユーザ指定の不審オブジェクトリストに追加し、次回の検出時にそれらのオブジェクトをブロックします。
重要
重要
ユーザ定義の不審オブジェクトリストにオブジェクトを追加しても、アクティブなプロセスやオブジェクトへの接続は終了しません。アクティブなプロセスを終了するには、 [終了] 対応もトリガしてください。
詳細については、[ブロックリストに追加] タスクを参照してください。
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Securityソフトウェア
Delete Message (メッセージを削除)
選択したメールボックスから選択したメールメッセージを削除します。
詳細については、メッセージタスクの削除を参照してください。
  • Cloud App Security
メッセージを隔離
選択したメールメッセージを隔離フォルダに移動し、影響を受けたすべてのメールボックスからメッセージを隔離することができます。
詳細については、メッセージの隔離タスクを参照してください。
  • Cloud App Security
ブロックリストから削除
ファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、ブロックリストに追加する対応処理を通じてユーザ指定の不審オブジェクトリストに追加されたものから削除します。
詳細については、ブロックリストから削除タスクを参照してください。
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Securityソフトウェア

コンテナ

処理
説明
サポートサービス
コンテナを隔離
ユーザがコンテナ内の疑わしいプロセスの拡散を制限し、関連するネットワークからコンテナポッドを切断してポッドへのデータ転送を防止することで原因を調査できるようにします。
詳細については、コンテナの隔離タスクを参照してください。
  • Trend Vision One Container Security
コンテナを終了
コンテナを含むポッドを終了させることで、ポッド内の不審な挙動を停止します。
重要
重要
Podを終了しても、不審な動作のエビデンスは破棄されますが、その動作の再発を防ぐことはできません。
詳細については、コンテナタスクの終了を参照してください。
  • Trend Vision One Container Security
コンテナを再開
以前に隔離されたポッド内のコンテナを再開します。
詳細については、コンテナタスクの再開を参照してください。
  • Trend Vision One Container Security