オブジェクト固有の処理を使用すると、 Trend Vision One コンソールを終了することなく、脅威に直接対応できます。
Trend Vision Oneでイベントやオブジェクトに対して特定のアクションを実行できます。対応をトリガーした後、Response Managementはタスクを作成し、ターゲットにコマンドを送信します。
次の表では、コンテナ、メールメッセージ、エンドポイント、ネットワーク、およびユーザアカウントに対して実行できる処理について説明します。
ユーザアカウント/IAM
|
処理
|
説明
|
サポートサービス
|
||
|
Zscaler制限付きユーザグループに追加
|
Zscalerポリシー適用を可能にするために、リスクの高いユーザアカウントをZscaler定義の制限付きユーザグループに追加します。
詳細については、Zscaler制限付きユーザグループタスクに追加をご覧ください。
|
|
||
|
ユーザアカウントを無効化
|
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは新しいセッションにサインインすることができなくなります。
詳細については、ユーザアカウントタスクの無効化を参照してください。
|
|
||
|
ユーザアカウントを有効化
|
ユーザが新しいアプリケーションおよびブラウザセッションにサインインできるようにします。このタスクは完了するまでに数分かかる場合があります。
詳細については、ユーザアカウントタスクの有効化を参照してください。
|
|
||
|
パスワードの強制リセット
|
ユーザをすべてのアクティブなアプリケーションおよびブラウザセッションからサインアウトさせ、次回のサインイン時に新しいパスワードを作成するように強制します。このタスクの完了には数分かかる場合があります。
詳細については、パスワードリセットの強制タスクを参照してください。
|
|
||
|
強制サインアウト
|
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは閉じたセッションにすぐに再サインインしたり、新しいセッションにサインインしたりすることを妨げられません。
詳細については、強制サインアウトタスクを参照してください。
|
|
||
|
Zscaler制限付きユーザグループから削除
|
Zscaler定義の制限付きユーザグループからユーザアカウントを削除します。
詳細については、Zscaler制限付きユーザグループタスクから削除を参照してください。
|
|
||
|
アクセス権を取り消し
|
ユーザのAmazon Web Services (AWS) Identity and Access Management (IAM) サービスへのアクセス権限を取り消します。権限を取り消した後、ユーザはAWSリソースにアクセスできなくなります。このタスクが完了するまで数分お待ちください。
詳細については、アクセス権の取り消しタスクを参照してください 。
|
|
ネットワーク
|
処理
|
説明
|
サポートサービス
|
||||
|
ブロックリストに追加
|
Secure Hash Algorithm 1 (SHA-1)、Uniform Resource Locator (URL)、インターネットプロトコル (IP) アドレス、またはドメインオブジェクトなどのサポートされているオブジェクトをユーザ定義の不審オブジェクトリストに追加し、以降の検出時にオブジェクトをブロックします。
詳細については、[ブロックリストに追加] タスクを参照してください。
|
|
||||
|
ファイルを収集
|
ネットワークアプライアンスによって検出された選択ファイルを圧縮し、パスワードで保護されたアーカイブにTrend Vision Oneしてから、そのアーカイブをResponse Managementに送信します。
|
|
||||
|
調査パッケージを収集
|
選択した調査パッケージを圧縮し、影響を受けたホストまたはネットワークで識別された侵害の指標を説明するOpenIOCファイルを含むパスワード保護されたアーカイブにしてから、そのアーカイブをResponse
Managementに送信します。
|
|
||||
|
ネットワーク分析パッケージを収集
|
選択したネットワーク解析パッケージ (調査パッケージ、パケットキャプチャ (PCAP) ファイル、およびネットワークアプライアンスによって検出された選択ファイルを含む)
をパスワード保護されたアーカイブに圧縮し、その後アーカイブをResponse Managementに送信します。
詳細については、ネットワーク分析パッケージの収集タスクを参照してください。
|
|
||||
|
PCAPファイルを収集
|
選択したパケットキャプチャファイルをパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
|
|
||||
|
ブロックリストから削除
|
ファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、ブロックリストに追加する対応処理を通じてユーザ定義の不審オブジェクトリストに追加されたものから削除します。
詳細については、ブロックリストからタスクを削除を参照してください。
|
|
||||
|
Sandbox Analysisに送信
|
選択されたファイルオブジェクトを、安全な仮想環境であるサンドボックスで自動分析のために送信します。
詳細については、Sandbox Analysisタスクの送信を参照してください。
|
|
エンドポイント
|
処理
|
説明
|
サポートサービス
|
||||
|
ブロックリストに追加
|
Secure Hash Algorithm 1 (SHA-1)、Uniform Resource Locator (URL)、インターネットプロトコル (IP) アドレス、またはドメインオブジェクトなどのサポートされているオブジェクトをユーザ定義の不審オブジェクトリストに追加し、以降の検出時にオブジェクトをブロックします。
詳細については、[ブロックリストに追加] タスクを参照してください。
|
|
||||
|
エビデンスを収集
|
指定されたエンドポイントからフォレンジックエビデンスを収集し、エビデンスをForensicsにアップロードします。
詳細については、エビデンスの収集タスクを参照してください。
|
|
||||
|
ファイルを収集
|
選択したファイルをエンドポイントでパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
詳細については、ファイルタスクの収集を参照してください。
|
|
||||
|
プロセスメモリのダンプ
|
エンドポイントに直接アクセスし、リモートシェルコマンドを実行して、調査中に疑わしい活動を引き起こしている可能性のある現在実行中のプロセスを特定します。
|
|
||||
|
エンドポイントの隔離
|
対象エンドポイントを管理トレンドマイクロサーバ製品との通信を除いてネットワークから切断します。
詳細については、エンドポイントの隔離タスクを参照してください。
|
|
||||
|
ブロックリストから削除
|
ファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、ブロックリストに追加する対応処理を通じてユーザ定義の不審オブジェクトリストに追加されたものから削除します。
詳細については、ブロックリストからタスクを削除を参照してください。
|
|
||||
|
接続を復元
|
ネットワーク接続を、すでにエンドポイントの隔離アクションを適用したエンドポイントに復元します。
詳細については、接続の復元タスクを参照してください。
|
|
||||
|
osqueryを実行
|
osquery (バージョン5.7.0) を使用してSQLクエリを実行し、指定されたエンドポイントのシステム情報を取得します。
詳細については、osqueryタスクの実行を参照してください。
|
|
||||
|
リモートカスタムスクリプトを実行
|
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
詳細については、リモートカスタムスクリプトタスクの実行を参照してください。
|
|
||||
|
YARAルールを実行
|
指定されたエンドポイントでカスタムYARAルール (バージョン4.2.3) を実行します。
詳細については、YARAルールタスクの実行を参照してください。
|
|
||||
|
リモートシェルセッションを開始
|
監視対象のエンドポイントに接続し、調査のためにリモートコマンドやカスタムスクリプトファイルを実行できます。
詳細については、リモートシェルセッションの開始タスクを参照してください。
|
|
||||
|
Sandbox Analysisに送信
|
選択されたファイルオブジェクトを、安全な仮想環境であるサンドボックスで自動分析のために送信します。
詳細については、Sandbox Analysisタスクの送信を参照してください。
|
|
||||
|
プロセスを終了
|
アクティブなプロセスを終了し、影響を受けたすべてのエンドポイントでプロセスを終了することができます。
詳細については、プロセスの終了タスクを参照してください。
|
|
||||
|
不正プログラムを検索
|
一度だけエンドポイントをスキャンし、ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を検出します。
詳細については、不正プログラムの検索タスクを参照してください。
|
|
メール
|
処理
|
説明
|
サポートサービス
|
||
|
ブロックリストに追加
|
Secure Hash Algorithm 1 (SHA-1)、Uniform Resource Locator (URL)、インターネットプロトコル (IP) アドレス、またはドメインオブジェクトなどのサポートされているオブジェクトをユーザ定義の不審オブジェクトリストに追加し、以降の検出時にオブジェクトをブロックします。
詳細については、[ブロックリストに追加] タスクを参照してください。
|
|
||
|
Delete Message (メッセージを削除)
|
選択したメールボックスから選択したメールメッセージを削除します。
詳細については、メッセージタスクの削除を参照してください。
|
|
||
|
メッセージを隔離
|
選択したメールメッセージを隔離フォルダに移動し、影響を受けたすべてのメールボックスからメッセージを隔離することができます。
詳細については、メッセージの隔離タスクを参照してください。
|
|
||
|
ブロックリストから削除
|
ファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、ブロックリストに追加する対応処理を通じてユーザ定義の不審オブジェクトリストに追加されたものから削除します。
詳細については、ブロックリストからタスクを削除を参照してください。
|
|
コンテナ
|
処理
|
説明
|
サポートサービス
|
||
|
コンテナを隔離
|
コンテナ内のポッドを関連するネットワークから切断し、ポッド内外へのデータ転送を防止することで、ユーザがコンテナ内の疑わしいプロセスの拡散を制限し、原因を調査できるようにします
詳細については、コンテナの隔離タスクを参照してください。
|
|
||
|
コンテナを終了
|
コンテナを含むポッドを終了させることで、ポッド内の不審な挙動を停止します。
詳細については、コンテナタスクの終了を参照してください。
|
|
||
|
コンテナを再開
|
以前に隔離されたポッド内のコンテナを再開します。
詳細については、コンテナタスクの再開を参照してください。
|
|