Managed Services運用チームが利用できる対応処理を確認します。
承認不要
次の対応処理には承認が不要です。運用チームは自動的にこれらの処理を代行する権限を持っています。
自動承認
運用チームから送信された次の対応処理要求の承認を自動化できます。要求の自動承認を有効にする手順については、応答の承認を設定するを参照してください。
重要な処理
|
対応処理名
|
説明
|
||
|
ブロックリストへのオブジェクトの追加
|
ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポートされているオブジェクトをユーザ指定の不審オブジェクトリストに追加し、次回の検出時にそれらのオブジェクトをブロックします。
|
||
|
指定されたエンドポイントから詳細なエビデンスを収集し、脅威の調査およびインシデント対応をサポートします
|
|||
|
不審ファイルの収集のサンプル
|
選択したファイルをエンドポイントでパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
|
||
|
ユーザアカウントを無効化
|
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは新しいセッションにサインインすることができなくなります。
|
||
|
エンドポイントの隔離
|
対象エンドポイントを管理トレンドマイクロサーバ製品との通信を除いてネットワークから切断します。
|
||
|
メールメッセージの隔離
|
メールアドレスをCloud App Securityのブロック送信者リストに追加し、受信メッセージを隔離します。
|
||
|
接続を復元
|
ネットワーク接続を、すでにエンドポイントの隔離アクションを適用したエンドポイントに復元します。
|
||
|
不正プログラムを検索
|
一度だけエンドポイントをスキャンし、ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を検出します。
|
||
|
プロセスを終了
|
アクティブなプロセスを終了し、影響を受けたすべてのエンドポイントでプロセスを終了することができます。
|
推奨される処理
|
対応処理名
|
説明
|
||
|
ネットワーク分析パッケージを収集
|
選択したネットワーク解析パッケージ (調査パッケージ、PCAPファイル、およびネットワーク機器によって検出された選択ファイルを含む) をパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse
Managementに送信します。
|
||
|
TippingPointフィルタポリシーの設定と配信
|
[Intrusion Prevention Configuration]でTippingPoint仮想パッチフィルターポリシーを設定し、CVEリスクを軽減するためにTippingPoint SMSプロファイルにポリシーを適用します。
|
||
|
指定されたエンドポイントでSQLベースのクエリを実行し、脅威調査およびインシデント対応をサポートします
|
|||
|
リモートカスタムスクリプトを実行
|
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
|
||
|
指定されたエンドポイントでカスタムYARAルールを実行し、脅威調査とインシデント対応をサポートします
|
|||
|
リモートシェルセッションを開始
|
監視対象のエンドポイントに接続し、調査のためにコマンド、カスタムスクリプト、またはプロセスメモリダンプをリモートで実行します。
|
||
|
Sandbox Analysisに送信
|
選択されたファイルオブジェクトを、安全な仮想環境であるサンドボックスで自動分析のために送信します。
|