このページのトピック
Trend Vision One Extended Detection and Response (XDR) ネットワークの隔離
ネットワークを隔離することで、Trend Vision Oneの拡張検出/応答 (XDR) インタフェースを使用して、侵害された可能性のあるエンドポイントをネットワークの他の部分から隔離できます。
AgentとRelayをプロキシ経由でプライマリセキュリティアップデート元 に接続している場合、ネットワーク隔離では同じプロキシ設定が自動的に使用されます。
要件
- エージェント のインストール (WindowsまたはLinuxの場合はバージョン20.0.0-2593以降、macOSの場合はバージョン20.0.0-158以降)
- Trend Vision One Extended Detection and Response (XDR) に登録
- セキュリティイベントをTrend Vision One Extended Detection and Response (XDR) に転送する
- アクティビティ監視を有効にする
Workload Securityでは、IoTメカニズムを使用してメッセージとイベントをTrend Vision One XDRに送信します。環境内で許可するURLを制限する必要がある場合は、Workload SecurityURL テーブルのイベントチャネル - XDRアクティビティ監視のFQDNを含めるようにファイアウォールを設定します。
ネットワークの隔離を使用してエンドポイントを隔離する
ネットワーク隔離を使用してエンドポイントを隔離するには
ネットワーク分離のトリガー
隔離するエンドポイントを特定したら、次のいずれかからネットワーク隔離をトリガーできます。
Trend Vision One 検索アプリ 
から:
隔離するエンドポイントの EndpointHostName を右クリックし、[ Isolate Endpoint ]を選択します。
[ Isolate Endpoint Task ]画面が表示されます。
Trend Vision One Workbench ( 
の下):
隔離するエンドポイントのサーバアイコン 
を右クリックし、[Isolate Endpoint]を選択します。
[ Isolate Endpoint Task ]画面が表示されます。
Trend Vision One [ **Observed Attack Techniques ** ] タブ から ( の下):
隔離する[関連エンドポイント]を右クリックし、[ Isolate Endpoint]を選択します。
[ Isolate Endpoint Task ]画面が表示されます。
エンドポイントの隔離タスクの作成
[エンドポイントの隔離タスク] 画面で次の手順を実行します。
- 必要に応じて、タスクの説明を入力します。
- [ Create ]を選択してタスクを開始します。
タスクステータスの監視
Response Management
からタスクを監視できます。
タスクのステータスは、配布管理システムがコマンドを正常に受信して実行できたかどうかを示します。コマンドの対象がセキュリティエージェントの場合、タスクのステータスは、対象のセキュリティエージェントまたはオブジェクトがコマンドを正常に実行したことを示すとは限りません。
タスクのステータスは次のとおりです。
処理中: Trend Vision Oneはコマンドを管理サーバに送信し、応答を待機しています。
処理待ち:要求が大量にあるか、セキュリティエージェントがオフラインのため、サーバがコマンドを処理待ちにしています。
成功:配布管理システムがコマンドを正常に受信しました。
失敗:配布管理システムへのコマンド送信時に、エラーまたはタイムアウトが発生しました。
タスクを検索するには、[検索] フィールドを使用するか、 [ Action ] リストから [ Isolate Endpoint ] を選択します。
エンドポイントへの接続を復元する
隔離されたエンドポイントでセキュリティの問題を解決したら、 Response Management からネットワーク接続を復元できます。
エンドポイントの横にあるオプションボタン 
を選択し、[ 接続の復元]を選択します。
一般的な問題のトラブルシューティング
ネットワーク隔離または接続の復元をトリガする一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認します。
Trend Vision One の設定
[ Trend Vision One (XDR) ] タブ ( [管理]→[システム設定]→[Trend Vision One (XDR)] ) で、次のことを確認します。
- 登録ステータスは登録済みです
- セキュリティイベントをTrend Vision Oneに転送するチェックボックスがオンになっている
コンピュータのセキュリティモジュールの設定
使用しているコンピュータの [ アクティビティ監視 ] タブ ( [Computers] > (右またはダブルクリック) [Details] > [ アクティビティ監視 ] > [ 一般 ]) で、[Configuration] が [On] または [Inherited (On)] に設定されていることを確認します。
また、コンピュータに割り当てられたポリシーで有効にすることで、コンピュータの アクティビティ監視 を有効にすることもできます。 [ ポリシー ] タブで、[アクティビティ監視] を有効にするポリシーをダブルクリックします。 [ アクティビティ監視 ]→[ 一般 ] の順に選択し、[ アクティビティ監視のステータス] が [On] に設定されていることを確認します。
requirements および 一般的な問題のトラブルシューティング セクションを確認しても問題が解決しない場合は、サポートにお問い合わせください。