檢視次數:

對象特定操作允許您直接在Trend Vision One控制台中回應威脅。

您可以在Trend Vision One控制台上對發現的事件或對象採取特定操作。觸發響應後,響應管理應用程式會創建任務並將命令發送到目標。
以下表格描述了您可以對容器、電子郵件、端點、網路和使用者帳號採取的操作。
重要
重要
如果您打算對虛擬機採取響應行動,請確保仔細遵循代理安裝程式部署說明。如果您克隆自己的VDI機器,代理ID將會重複,已部署的代理將無法執行響應行動。

一般

處理行動
說明
支援服務
新增至封鎖清單
將支援的物件(如檔案 SHA-1、URL、IP 位址或網域物件)新增至使用者定義的可疑物件清單,該清單會在後續檢測中阻擋這些物件。
注意
注意
將物件新增至使用者定義的可疑物件清單不會終止任何與該物件相關的活動進程或連線。要終止活動進程,請確保您也觸發Terminate回應。
如需詳細資訊,請參閱 新增至封鎖清單任務
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Security 軟體
收集檔案
將網路設備檢測到的選定檔案壓縮為受密碼保護的檔案,然後將該檔案發送至回應管理。
如需更多資訊,請參閱 收集檔案任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Deep Discovery Inspector
  • 虛擬網路感測器
從封鎖清單中移除
從使用者定義的可疑物件清單中移除透過加入封鎖清單回應動作新增的檔案 SHA-1、URL、IP 位址或網域物件。
如需詳細資訊,請參閱 從封鎖清單中移除任務
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
  • Cloud App Security
  • Deep Discovery Inspector
  • Deep Security 軟體
提交進行沙盒分析
將選定的文件對象提交至沙盒進行自動化分析,這是一個安全的虛擬環境。
如需詳細資訊,請參閱 提交進行沙盒分析任務
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
  • Apex One as a Service
    • Windows 代理程式
    • Linux 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Deep Discovery Inspector
  • 虛擬網路感測器

容器

處理行動
說明
支援服務
隔離容器
允許用戶限制可疑進程在容器內的擴散,並通過將包含的 pod 斷開與相關網絡的連接來調查原因,防止資料防護進出該 pod。
如需更多資訊,請參閱 隔離容器任務
  • Trend Vision One 容器安全
恢復容器
恢復先前隔離的 Pod 中的容器。
如需更多資訊,請參閱 恢復容器任務
  • Trend Vision One 容器安全
終止容器
透過終止包含的 Pod 來停止 Pod 內容器的可疑行為。
重要
重要
終止 Pod 會破壞可疑行為的證據,並且無法防止該行為再次發生。
如需更多資訊,請參閱 終止容器任務
  • Trend Vision One 容器安全

電子郵件

處理行動
說明
支援服務
刪除訊息
從選定的郵箱中刪除所選的電子郵件消息。
如需詳細資訊,請參閱 刪除訊息任務
  • Cloud App Security
隔離訊息
將選定的電子郵件消息移至隔離資料夾,並允許您從所有受影響的郵箱中隔離該消息。
如需詳細資訊,請參閱 隔離訊息任務
  • Cloud App Security
還原訊息
將所選的隔離電子郵件消息恢復到所選的郵箱中。
如需詳細資訊,請參閱 還原訊息任務
  • Cloud App Security

端點

處理行動
說明
支援服務
收集證據
從指定的端點收集取證證據,並將證據上傳到Forensics應用程式。
如需詳細資訊,請參閱 收集證據任務
  • Trend Vision One
    • Windows 代理程式
轉儲進程記憶體
直接訪問端點並執行遠端命令,以識別在調查期間可能導致可疑活動的當前運行進程。
重要
重要
僅透過遠端 shell 在運行 Windows 或 macOS 的端點上執行 memdump 命令時,才會觸發傾印進程記憶體操作。
如需有關支援服務和使用情境的詳細資訊,請參閱 開始遠端 Shell 會話任務
注意
注意
使用外部解壓縮程式(例如 7-zip)來提取檔案內容。
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Mac 代理程式
隔離端點
將目標端點從網路中斷開,除了與管理的趨勢科技伺服器產品進行通訊。
如需詳細資訊,請參閱 隔離端點任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
還原連線
恢復已執行隔離端點操作的端點的網路連接。
如需詳細資訊,請參閱 還原連線任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
  • Apex One as a Service
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Linux 代理程式
    • Mac 代理程式
執行 osquery
使用 osquery(版本 5.7.0)執行 SQL 查詢以獲取指定端點的系統資訊。
如需詳細資訊,請參閱 執行 osquery 任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
執行遠端自訂腳本
連接到已監控的端點並執行先前上傳的 PowerShell 或 Bash 腳本檔案。
如需詳細資訊,請參閱 執行遠端自訂腳本任務
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
執行趨勢科技調查套件
在目標端點上部署並執行趨勢科技調查工具包。
注意
注意
只有受管服務操作團隊可以在您的批准下啟動執行趨勢科技調查套件任務。您可以批准請求或在受管服務應用程式中配置自動批准。
如需詳細資訊,請參閱 自動批准 回應動作。
  • Trend Vision One Endpoint Sensor
    • Windows 代理程式
執行 YARA 規則
在指定的端點上執行自訂 YARA 規則(版本 4.2.3)。
如需詳細資訊,請參閱 執行 YARA 規則任務
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
掃瞄惡意程式
對一個或多個端點執行一次性掃瞄,以檢測檔案型威脅,例如病毒、間諜程式和可能的資安威脅程式。
如需更多資訊,請參閱 掃瞄惡意程式任務
  • Trend Micro Apex One 即服務
  • Standard Endpoint Protection
開始遠端 Shell 會話
連接到受監控的端點,並允許您執行遠端命令或自訂腳本檔案以進行調查。
如需更多資訊,請參見 開始遠端 Shell 會話任務
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
終止程序
終止活動中的進程,並允許您在所有受影響的端點上終止該進程。
如需詳細資訊,請參閱 終止程序任務
注意
注意
在某些情況下,可以使用遠端 shell kill 命令來終止進程,而不是使用終止進程任務。
如需有關支援服務和使用情境的詳細資訊,請參閱 開始遠端 Shell 會話任務
  • Apex One as a Service
    • Windows 代理程式

網路

處理行動
說明
支援服務
收集調查包
將所選的調查包壓縮,該包包含描述在受影響主機或網路上識別的妥協指標的 OpenIOC 檔案,並將其放入受密碼保護的檔案中,然後將該檔案發送至響應管理。
重要
重要
要執行收集調查包操作,您必須先在 Deep Discovery Inspector 中啟用沙箱
  • Deep Discovery Inspector
收集網路分析套件
將選定的網路分析套件(包括調查套件、PCAP 檔案和網路設備檢測到的選定檔案)壓縮成一個受密碼保護的檔案,然後將該檔案發送至回應管理。
重要
重要
要執行收集網路分析套件任務,您必須先在 Deep Discovery Inspector 中啟用 沙箱封包擷取 功能。
注意
注意
收集PCAP檔案的操作僅支援Deep Discovery Inspector 6.5或以上版本。
如需詳細資訊,請參閱 收集網路分析套件任務
  • Deep Discovery Inspector
收集PCAP檔案
將選定的封包擷取檔案壓縮為受密碼保護的檔案,然後將該檔案發送至回應管理。
注意
注意
收集PCAP檔案的操作僅支援Deep Discovery Inspector 6.5或以上版本。
重要
重要
要執行收集PCAP檔案的動作,您必須先在Deep Discovery Inspector中啟用封包擷取功能。
  • Deep Discovery Inspector

使用者帳號 / IAM

處理行動
說明
支援服務
加入 Zscaler 限制使用者群組
將高風險暴露的使用者帳號新增至 Zscaler 定義的受限使用者群組,以便實施 Zscaler 策略。
如需詳細資訊,請參閱 新增至 Zscaler 受限使用者群組任務
  • Microsoft Entra ID
關閉使用者帳號
將使用者登出所有活躍的應用程式和瀏覽器會話。此任務可能需要幾分鐘才能完成。使用者將無法登入任何新的會話。
注意
注意
不適用於分配了Microsoft Entra ID管理員角色的帳戶。
如需詳細資訊,請參閱 關閉使用者帳號任務
  • Microsoft Entra ID
  • Active Directory (內部部署)
  • Okta
  • OpenLDAP
啟用使用者帳號
允許用戶登入新的應用程式和瀏覽器會話。此任務可能需要幾分鐘才能完成。
如需詳細資訊,請參閱 啟用使用者帳號任務
  • Microsoft Entra ID
  • Active Directory (內部部署)
  • Okta
  • OpenLDAP
強制重設密碼
將用戶登出所有活躍的應用程式和瀏覽器會話,並強制用戶在下次登錄時創建新密碼。此任務可能需要幾分鐘才能完成。
如需詳細資訊,請參閱 強制密碼重設任務
  • Microsoft Entra ID
  • Active Directory (內部部署)
  • Okta
  • OpenLDAP
強制登出
將使用者登出所有活躍的應用程式和瀏覽器會話。此任務可能需要幾分鐘才能完成。使用者不會被禁止立即重新登入已關閉的會話或登入新的會話。
如需詳細資訊,請參閱 強制登出任務
  • Microsoft Entra ID
  • Okta
從 Zscaler 限制用戶組中移除
從 Zscaler 定義的受限使用者群組中移除使用者帳號。
如需詳細資訊,請參閱 從 Zscaler 受限用戶組中移除任務
  • Microsoft Entra ID
撤銷存取權限
撤銷使用者對 AWS 身分與存取管理 (IAM) 服務的存取權限。撤銷權限後,使用者將無法再存取任何 AWS 資源。請稍候幾分鐘以完成此任務。
重要
重要
此功能僅適用於已更新至Foundation Services 版本的客戶。
如需詳細資訊,請參閱 撤銷存取權限任務
  • AWS
相關資訊