ビュー:

オブジェクト固有の処理を使用すると、 Trend Vision One コンソールを終了することなく、脅威に直接対応できます。

Trend Vision One コンソールで検出されたイベントまたはオブジェクトに対して特定の処理を実行できます。対応のトリガー後、Response Managementアプリはタスクを作成し、コマンドをターゲットに送信します。
次の表では、コンテナ、メールメッセージ、エンドポイント、ネットワーク、およびユーザアカウントに対して実行できる処理について説明します。
重要
重要
仮想マシンで対応処理を実行する場合は、エージェントインストーラーの展開手順に従ってください。独自のVDIマシンをクローンすると、エージェントIDが重複し、展開されたエージェントが対応処理を実行できなくなります。

一般

処理
説明
サポートサービス
ブロックリストに追加
ファイルSHA-1、URL、IPアドレス、ドメインオブジェクトなどのサポートされているオブジェクトをユーザ指定の不審オブジェクトリストに追加し、次回の検出時にそれらのオブジェクトをブロックします。
注意
注意
ユーザ定義の不審オブジェクトリストにオブジェクトを追加しても、アクティブなプロセスやオブジェクトへの接続は終了しません。アクティブなプロセスを終了するには、 [終了] 対応もトリガしてください。
詳細については、[ブロックリストに追加] タスク
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Securityソフトウェア
ファイルを収集
ネットワークアプライアンスによって検出された選択ファイルをパスワード保護されたアーカイブに圧縮し、その後アーカイブをResponse Managementに送信します。
詳細については、ファイルタスクの収集を参照してください。
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
  • Deep Discovery Inspector
  • Virtual Network Sensor
ブロックリストから削除
ファイルSHA-1、URL、IPアドレス、またはドメインオブジェクトを、ブロックリストに追加する対応処理を通じてユーザ指定の不審オブジェクトリストに追加されたものから削除します。
詳細については、ブロックリストから削除タスク
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Securityソフトウェア
Sandbox Analysisに送信
選択されたファイルオブジェクトを、安全な仮想環境であるサンドボックスで自動分析のために送信します。
詳細については、Sandbox Analysisタスクの送信
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
  • Apex One as a Service
    • Windowsエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
  • Deep Discovery Inspector
  • Virtual Network Sensor

コンテナ

処理
説明
サポートサービス
コンテナを隔離
ユーザがコンテナ内の疑わしいプロセスの拡散を制限し、関連するネットワークからコンテナポッドを切断してポッドへのデータ転送を防止することで原因を調査できるようにします。
詳細については、コンテナの隔離タスクを参照してください。
  • Trend Vision One Container Security
コンテナを再開
以前に隔離されたポッド内のコンテナを再開します。
詳細については、コンテナタスクの再開を参照してください。
  • Trend Vision One Container Security
コンテナを終了
コンテナを含むポッドを終了させることで、ポッド内の不審な挙動を停止します。
重要
重要
Podを終了しても、不審な動作のエビデンスは破棄されますが、その動作の再発を防ぐことはできません。
詳細については、コンテナタスクの終了を参照してください。
  • Trend Vision One Container Security

メール

処理
説明
サポートサービス
Delete Message (メッセージを削除)
選択したメールボックスから選択したメールメッセージを削除します。
詳細については、メッセージタスクの削除
  • Cloud App Security
メッセージを隔離
選択したメールメッセージを隔離フォルダに移動し、影響を受けたすべてのメールボックスからメッセージを隔離することができます。
詳細については、メッセージの隔離タスク
  • Cloud App Security
メッセージを復元
選択した隔離されたメールメッセージを選択したメールボックスに復元します。
詳細については、メッセージの復元タスクを参照してください。
  • Cloud App Security

エンドポイント

処理
説明
サポートサービス
エビデンスを収集
指定されたエンドポイントからフォレンジックエビデンスを収集し、エビデンスをForensicsアプリにアップロードします。
詳細については、エビデンスの収集タスク
  • Trend Vision One
    • Windowsエージェント
プロセスメモリのダンプ
エンドポイントに直接アクセスし、リモートシェルコマンドを実行して、調査中に疑わしい活動を引き起こしている可能性のある現在実行中のプロセスを特定します。
重要
重要
プロセスメモリのダンプ処理は、memdumpWindowsまたはmacOSを実行しているエンドポイントのリモートシェルを介してコマンドを実行します。
サポートサービスおよび使用コンテキストの詳細については、リモートシェルセッションの開始タスクを参照してください。
注意
注意
外部の解凍プログラム (7-zip など) を使用して、ファイルの内容を解凍します。
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Macエージェント
エンドポイントの隔離
対象エンドポイントを管理トレンドマイクロサーバ製品との通信を除いてネットワークから切断します。
詳細については、エンドポイントの隔離タスク
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
接続を復元
ネットワーク接続を、すでにエンドポイントの隔離アクションを適用したエンドポイントに復元します。
詳細については、接続の復元タスク
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
  • Apex One as a Service
    • Windowsエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Linuxエージェント
    • Macエージェント
osqueryを実行
osquery (バージョン5.7.0) を使用してSQLクエリを実行し、指定されたエンドポイントのシステム情報を取得します。
詳細については、osqueryタスクの実行
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
リモートカスタムスクリプトを実行
監視対象のエンドポイントに接続し、以前にアップロードされたPowerShellまたはBashスクリプトファイルを実行します。
詳細については、リモートカスタムスクリプトタスクの実行
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
Trend Micro Investigation Kitの実行
ターゲットエンドポイントにTrend Micro Investigation Kitを展開して実行します。
注意
注意
管理者の承認を得て、 Trend Micro Investigation Kitの実行タスクを開始できるのは、 Managed Servicesの運用チームのみです。 Managed Servicesアプリで、要求を承認したり、自動承認を設定したりできます。
詳細については、自動承認対応処理
  • Trend Vision One Endpoint Sensor
    • Windowsエージェント
YARAルールを実行
指定されたエンドポイントでカスタムYARAルール (バージョン4.2.3) を実行します。
詳細については、YARAルールタスクの実行
  • Trend Vision One
    • Windowsエージェント
    • Linuxエージェント
不正プログラムを検索
一度だけエンドポイントをスキャンし、ウイルス、スパイウェア、グレーウェアなどのファイルベースの脅威を検出します。
詳細については、不正プログラムの検索タスクをご覧ください。
  • Trend Micro Apex One SaaS
  • 標準のエンドポイント保護
リモートシェルセッションを開始
監視対象のエンドポイントに接続し、調査のためにリモートコマンドやカスタムスクリプトファイルを実行できます。
詳細については、を参照してください。リモートシェルセッションの開始タスク
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
プロセスを終了
アクティブなプロセスを終了し、影響を受けたすべてのエンドポイントでプロセスを終了することができます。
詳細については、プロセスの終了タスク
注意
注意
場合によっては、リモートシェルが殺すプロセスの終了には、プロセスの終了タスクを使用する代わりに、コマンドを使用できます。
サポートされているサービスと使用するコンテキストの詳細については、を参照してください。リモートシェルセッションの開始タスク
  • Apex One as a Service
    • Windowsエージェント

ネットワーク

処理
説明
サポートサービス
調査パッケージを収集
選択した調査パッケージを圧縮します。このパッケージには、影響を受けたホストまたはネットワークで識別された侵害の指標を説明するOpenIOCファイルが含まれており、パスワードで保護されたアーカイブにしてからResponse Managementに送信します。
重要
重要
[調査パッケージの収集] 処理を実行するには、まず仮想アナライザDeep Discovery Inspectorで
  • Deep Discovery Inspector
ネットワーク分析パッケージを収集
選択したネットワーク解析パッケージ (調査パッケージ、PCAPファイル、およびネットワーク機器によって検出された選択ファイルを含む) をパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
重要
重要
ネットワーク分析パッケージの収集タスクを実行するには、まず仮想アナライザそしてパケットキャプチャDeep Discovery Inspectorで機能します。
注意
注意
[PCAPファイルの収集] 処理では、 Deep Discovery Inspector 6.5以降のみがサポートされます。
詳細については、ネットワーク分析パッケージの収集タスク
  • Deep Discovery Inspector
PCAPファイルを収集
選択したパケットキャプチャファイルをパスワード保護されたアーカイブに圧縮し、そのアーカイブをResponse Managementに送信します。
注意
注意
[PCAPファイルの収集] 処理では、 Deep Discovery Inspector 6.5以降のみがサポートされます。
重要
重要
PCAPファイルの収集処理を実行するには、パケットキャプチャDeep Discovery Inspectorで機能します。
  • Deep Discovery Inspector

ユーザアカウント/IAM

処理
説明
サポートサービス
Zscaler制限付きユーザグループに追加
Zscalerポリシー適用を可能にするために、リスクの高いユーザアカウントをZscaler定義の制限付きユーザグループに追加します。
詳細については、Zscaler制限付きユーザグループタスクに追加 を参照してください。
  • Microsoft Entra ID
ユーザアカウントを無効化
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは新しいセッションにサインインすることができなくなります。
注意
注意
割り当てられたアカウントには適用されませんMicrosoft Entra ID管理者の役割。
詳細については、ユーザアカウントタスクの無効化
  • Microsoft Entra ID
  • Active Directory (オンプレミス)
  • Okta
  • OpenLDAP
ユーザアカウントを有効化
ユーザが新しいアプリケーションおよびブラウザセッションにサインインできるようにします。このタスクは完了するまでに数分かかる場合があります。
詳細については、ユーザアカウントタスクの有効化
  • Microsoft Entra ID
  • Active Directory (オンプレミス)
  • Okta
  • OpenLDAP
パスワードの強制リセット
ユーザをすべてのアクティブなアプリケーションおよびブラウザセッションからサインアウトさせ、次回のサインイン時に新しいパスワードを作成するように強制します。このタスクの完了には数分かかる場合があります。
詳細については、パスワードリセットの強制タスク
  • Microsoft Entra ID
  • Active Directory (オンプレミス)
  • Okta
  • OpenLDAP
強制サインアウト
ユーザアカウントのすべてのアクティブなアプリケーションおよびブラウザセッションからユーザをサインアウトさせます。このタスクの完了には数分かかる場合があります。ユーザは閉じたセッションにすぐに再サインインしたり、新しいセッションにサインインしたりすることを妨げられません。
詳細については、強制サインアウトタスク
  • Microsoft Entra ID
  • Okta
Zscaler制限付きユーザグループから削除
Zscaler定義の制限付きユーザグループからユーザアカウントを削除します。
詳細については、Zscaler制限付きユーザグループタスクから削除 を参照してください。
  • Microsoft Entra ID
アクセス権を取り消し
ユーザのAWS Identity and Access Management (IAM)サービスへのアクセス権限を取り消します。権限を取り消した後、ユーザはAWSリソースにアクセスできなくなります。このタスクが完了するまで数分かかる場合があります。
重要
重要
この機能は、 Foundation Servicesのリリース
詳細については、アクセス権の取り消しタスク
  • AWS
関連情報