Managed Services運用チームが利用できる対応処理を確認します。
承認不要
次の対応処理には承認が不要です。運用チームは自動的にこれらの処理を代行する権限を持っています。
-
Workbenchアラートをインシデントにリンクまたはリンク解除
-
エンドポイントで実行されているプロセスのメモリダンプを実行する
注意
エンドポイントでのプロセスメモリダンプには、リモートシェルセッションが必要であり、承認が必要です。オペレーションチームのリクエストを自動承認するには、対応の承認設定を構成しますを参照してください。
自動承認
以下の対応処理要求をオペレーションチームが提出した場合、自動承認を行うことができます。要求の自動承認を有効にする手順については、対応の承認設定を構成しますを参照してください。
重要な処理
対応処理名
|
説明
|
||
Secure Hash Algorithm 1 (SHA-1)、URL、インターネットプロトコル (IP) アドレス、またはドメインオブジェクトなどのサポートされているオブジェクトをユーザ定義の不審オブジェクトリストに追加し、後の検出でオブジェクトをブロックします。
|
|||
指定されたエンドポイントから詳細なエビデンスを収集し、脅威の調査およびインシデント対応をサポートします
|
|||
ネットワークアプライアンスによって検出された選択ファイルを圧縮し、パスワードで保護されたアーカイブにTrend Vision Oneしてから、そのアーカイブをResponse Managementに送信します。
|
|||
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは新しいセッションにサインインすることができなくなります。
|
|||
対象エンドポイントを管理トレンドマイクロサーバ製品との通信を除いてネットワークから切断します。
|
|||
Cloud App Securityでメールアドレスを差出人拒否リストに追加し、受信メッセージを隔離します。
|
|||
ネットワーク接続を、すでにエンドポイントの隔離アクションを適用したエンドポイントに復元します。
|
|||
一度だけエンドポイントをスキャンし、ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を検出します。
|
|||
アクティブなプロセスを終了し、影響を受けたすべてのエンドポイントでプロセスを終了することができます。
|
推奨される処理
対応処理名
|
説明
|
||
選択したネットワーク解析パッケージ (調査パッケージ、パケットキャプチャ (PCAP) ファイル、およびネットワークアプライアンスによって検出された選択ファイルを含む)
をパスワード保護されたアーカイブに圧縮し、その後アーカイブをResponse Managementに送信します。
|
|||
TippingPointフィルタポリシーの設定と配信
|
[Intrusion Prevention Configuration]でTippingPoint仮想パッチフィルターポリシーを設定し、一般的な脆弱性および露出 (CVE) リスクを軽減するためにTippingPoint SMSプロファイルにポリシーを適用します。
|
||
指定されたエンドポイントでSQLベースのクエリを実行し、脅威調査およびインシデント対応をサポートします
|
|||
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
|
|||
指定されたエンドポイントでカスタムYARAルールを実行し、脅威調査とインシデント対応をサポートします
|
|||
監視対象のエンドポイントに接続し、調査のためにコマンド、カスタムスクリプト、またはプロセスメモリダンプをリモートで実行します。
|
|||
選択されたファイルオブジェクトを、安全な仮想環境であるサンドボックスで自動分析のために送信します。
|