ビュー:

ワークスペースを活用して、インシデント調査プロセスを合理化します。

ワークスペースを使用すると、エビデンスを整理し、調査タイムラインを構築し、環境内のエンドポイントをトリアージできます。
重要
重要
ワークスペースは作成から30日後に自動的に閉じられます。閉じられると:
  • ワークスペースが読み取り専用になります。
  • エビデンス パッケージはワークスペースから削除されました。調査パッケージとクエリ結果には引き続きアクセスできます。
  • エビデンスレポートは利用できなくなりました。
ワークスペースは、作成から180日後に完全に削除されます。
次の表は、ワークスペースで使用できる処理の概要を示しています。
処理
説明
ワークスペース情報の表示
のツールチップメッセージ情報アイコンには次の情報が含まれます。
  • ワークスペースがCase Managementのケースの一部である場合:
    • ケース:ワークスペースにリンクされたケース。
    • 最後のケース同期:ワークスペースがケースから情報を取得した最後の時間。
  • 終了日:Forensicsは、ワークスペースを作成してから30日後に自動的に閉じます。
  • 削除日:Forensicsは、ワークスペースを作成してから180日後に自動的に削除します。
エンドポイントを追加
[エンドポイントを追加]をクリックして、Endpoint Inventoryからエンドポイントを追加します。リスクスコアでエンドポイントをフィルタリングして、特定の範囲内のエンドポイントを表示できます。
重要
重要
Forensicsは現在、macOSエンドポイントをサポートしていません。
エンドポイントをフィルター
ワークスペース内の特定のエンドポイントを検索するには、検索フィールドとドロップダウンメニューを使用してください。
エンドポイントの調査
各エンドポイントに対して、以下の操作が可能です
  • エンドポイント名をクリックして、エビデンスレポートをクリックします。
  • クリックoptions=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.pngをクリックして選択します。[Remove Endpoint from a Workspace]エンドポイントがこのワークスペースに関連しなくなったとき。
  • クリックoptions=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png and select [View Endpoint in Search] to open theSearchアプリをクリックします。
  • クリックoptions=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.png and select [View Endpoint in Observed Attack Techniques] to open 確認された接続テクニックをクリックします。
パッケージの追加
クリック[Add Evidence]からエビデンスパッケージを追加するには[Evidence Archive]タブをクリックします。
Trend Vision Oneがパッケージを処理してワークスペースに追加するまでしばらくお待ちください。Forensicsは、追加された各パッケージのエビデンスReportsを生成します。
エビデンスを収集
ワークスペースに追加されたエンドポイントからエビデンスを収集します。
  1. リストから1つ以上のエンドポイントを選択します。
  2. クリック[エビデンスを収集]
  3. オペレーティングシステムを選択します。
    Forensicsエビデンスがワークスペースに追加されます。
エビデンスパッケージの表示、削除、およびダウンロード
エンドポイントの左側にある展開矢印 (simulationsRightArrow=20220525102311.png) をクリックして、関連するエビデンスパッケージを表示します。各パッケージについて、次の操作が可能です:
  • パッケージIDをクリックすると、別のタブにエビデンスレポートが表示されます。
  • クリックoptions=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.pngをクリックして選択します。[Delete Evidence from a Workspace]をクリックしてパッケージを削除します。
  • クリックoptions=ddb0b67f-0654-4aa5-8bc7-48ec554c5448.pngをクリックして選択します。[Download Package]エビデンスパッケージのローカルコピーを作成します。
ワークスペースでエビデンスを検索する
[Evidence Search] (searchPackage_icon=bc64049a-6ccc-46c1-bc44-92c79081dd42.png ) をクリックして、ワークスペースに追加されたすべてのパッケージからエビデンスを検索します。
詳細なリスクプロファイルの表示
クリック詳細をクリックして、アセットリスクの詳細プロファイルを表示します。
詳細プロファイルでは、次の操作を実行できます:
  • クリック[Display asset risk assessment in Attack Surface Discovery] [ Attack Surface Discovery ] の評価が新しいタブに表示されます。
    リスクスコアの詳細については、複数の数値: リスクスコアの説明
  • クリック[Attack Surface Discoveryで重要度をカスタマイズ] [新しいタブでのAttack Surface Discovery] の重大度を変更します。
影響を受けるエンドポイントのアップデート
ケースビューアで、[Update Forensics Workspace]影響を受けるエンドポイントでワークスペースを更新します。
エンドポイントがもうケースに含まれていない場合、Trend Vision Oneは自動的にエンドポイントを削除しません。ワークスペースから影響を受けないエンドポイントを手動で削除できます。
エンドポイントのトリアージ
深刻度と影響に基づいて攻撃されたエンドポイントを特定し、優先順位を付け、管理します。詳細を学ぶ
エンドポイントの隔離
1つ以上のエンドポイントを選択して、[エンドポイントを隔離]悪意のある可能性のあるアクティビティが他のエンドポイントに拡散するのを防ぎます。
影響のないエンドポイントを削除する
1つ以上のエンドポイントを選択して、[エンドポイントを削除]エンドポイントがこのワークスペースに関連しなくなったとき。
ワークスペース関連のタスクを表示する
クリック[Related Tasks]対応する[タスクリスト]をクリックします。
調査のタイムラインを管理する
[Timeline] (clock_icon=4b003b65-3058-4609-b2e5-a7e5b7b57973.png ) をクリックして調査のタイムライン
ワークスペースを更新する
クリック更新アイコンこのワークスペースのデータを更新して再表示します。