手動でのレスポンス処理の実行
アラートの詳細の分析中、手動でのレスポンス処理の実行、または Endpoint Detection and Response 機能の設定の微調整が可能です。
次のレスポンス処理が実行可能です:
- 影響するデバイスをネットワークから分離します。
- 検知した脅威のセキュリティ侵害インジケーター(IOC)を、デバイスの脅威の定期的なスキャンに追加する(EPP でアラートが検知された場合にのみ可能)。
- 検知したオブジェクトの実行を防止します。
- 検知したオブジェクトを隔離に移動し、オブジェクトを削除します。
デバイスをネットワークから分離するには:
- オブジェクトの検知と処理に関するメッセージで、三点リーダーにカーソルを合わせて[デバイスを分離]をクリックします。
- 必要な分離期間を選択します。
- [デバイスを分離]をクリックしてデバイスを分離します。
デバイスがネットワークから分離されます。
この設定は全般的な分離の設定よりも優先され、現在のデバイスにのみ適用されます。全般的な分離の設定は変更されません。
デバイスが macOS または Linux を実行しており、それぞれの配布パッケージでプロキシサーバーが設定されている場合は、指定された分離期間が経過する前にデバイスのネットワーク分離をキャンセルすることはできません。
検知したオブジェクトの IOC を脅威の定期的なスキャンに追加するには:
- 検知したオブジェクトの詳細情報のセクションで[IOC スキャンに追加]をクリックするか、三点リーダーにカーソルを合わせて[IOC スキャンに追加]をクリックします。
- 必要に応じて、脅威の名前と説明を編集します。既定では、脅威の名前は「
[Threat Graph]<EPP アラートからの脅威の名前>」の形式です。 - 必要に応じて、検知の基準(論理演算子)を編集します:
- 次のいずれかを満たす:指定した IOC がデバイスで少なくとも 1 個見つかった場合にアラートを発出する場合(OR 論理演算子)。
- 次のすべてを満たす:指定したすべての IOC が同時にデバイスで見つかった場合にのみアラートを発出する場合(AND 論理演算子)。
- 必要に応じて、IOC のリストを編集します。IOC のリストには次の 2 つが記載されています:
- 新しい IOC
アラートから取得した IOC。
- 以前に追加した IOC
同一の脅威に以前に追加された IOC(存在する場合)。
- 新しい IOC
- 必要に応じて、任意の IOC に隣接する削除アイコン(
)をクリックして削除できます。 - [スキャン]をクリックして保存し、IOC スキャンを実行します。
IOC スキャンの設定が変更されます。スキャンがデバイスで再度開始されます。
検知したオブジェクトの実行を防止するには:
- 次のいずれかの操作を実行します:
- [EPP で検知したアラートの場合]検知したオブジェクトの詳細情報のセクションで[実行を防止]をクリックするか、三点リーダーにカーソルを合わせて[実行を防止]をクリックします。
- [IOC スキャンで検知したアラートの場合]検知した IOC の詳細情報のセクションで、[手動レスポンス]に隣接する[処理]をクリックし、[実行を防止]を選択します。
- 予定した動作のプロパティをレビューします:実行を防止する不審なオブジェクト、そのオブジェクトを実行または開こうとする動作への処理。
- [確認]をクリックし、動作を確定します。
検知したオブジェクトが実行防止ルールに追加されます。
検知したオブジェクトを隔離に移動し、オブジェクトを削除するには:
- 次のいずれかの操作を実行します:
- [EPP で検知したアラートの場合]検知したオブジェクトの詳細情報のセクションで[隔離に移動]をクリックするか、三点リーダーにカーソルを合わせて[隔離に移動]をクリックします。
- [IOC スキャンで検知したアラートの場合]検知した IOC の詳細情報のセクションで、[手動レスポンス]に隣接する[処理]をクリックし、[隔離に移動]を選択します。
- 予定した動作のプロパティをレビューします:隔離に移動されるファイルと、その処理が実行されるデバイス。
- [移動]をクリックし、動作を確定します。
セキュリティ製品は、デバイス上で検知された悪意のあるオブジェクトについて、後で復元する必要が生じた場合に備え、まずバックアップコピーを作成します。バックアップコピーが隔離に移動されます。その後、セキュリティ製品はオブジェクトを削除します。
ページのトップに戻る