ネットワークを隔離することで、Trend Vision Oneの拡張検出/応答 (XDR) インタフェースを使用して、侵害された可能性のあるエンドポイントをネットワークの他の部分から隔離できます。
エージェントとリレーをプロキシ経由で主要なセキュリティ更新ソースに接続する場合、ネットワーク分離は自動的に同じプロキシの設定を使用します。
要件
- エージェントをインストール(WindowsまたはLinuxの場合はバージョン20.0.0-2593以降、macOSの場合はバージョン20.0.0-158以降)
- Trend Vision One拡張検出と対応 (XDR) に登録する
- セキュリティイベントをTrend Vision One拡張検出と対応 (XDR) に転送
- アクティビティモニタリングを有効にする
Workload Securityは、メッセージやイベントをTrend Vision One XDRに送信するためにIoTメカニズムを使用します。環境内で許可されるURLを制限する必要がある場合は、ファイアウォールを構成してWorkload Security URLsテーブルのEvent Channel - XDR Activity Monitoring FQDNを含めてください。
ネットワークの隔離を使用してエンドポイントを隔離する
ネットワーク隔離を使用してエンドポイントを隔離するには
ネットワーク分離のトリガー
隔離するエンドポイントを特定したら、次のいずれかからネットワーク隔離をトリガーできます。
-
Trend Vision One検索アプリ
から:
隔離したいエンドポイントの[endpointHostName]を右クリックし、[エンドポイントを隔離]を選択します。[エンドポイントを隔離タスク]ウィンドウが表示されます。 -
Trend Vision OneのWorkbench ([XDR]
の下):
隔離したいエンドポイントのサーバアイコンを右クリックし、[エンドポイントを隔離]を選択します。
[エンドポイントを隔離タスク]ウィンドウが表示されます。 -
[XDR]
の下にある[Trend Vision One Observed Attack Techniques]タブから:
隔離したい[関連するエンドポイント]を右クリックし、[エンドポイントを隔離]を選択します。[エンドポイントを隔離タスク]ウィンドウが表示されます。
エンドポイントの隔離タスクの作成
[エンドポイントを隔離タスク]ウィンドウから:
- 必要に応じて、タスクの説明を入力します。
- [作成]を選択してタスクを開始します。
タスクステータスの監視
[Response Management]
からタスクをモニタできます。

タスクのステータスは、配布管理システムがコマンドを正常に受信して実行できたかどうかを示します。コマンドの対象がセキュリティエージェントの場合、タスクのステータスは、対象のセキュリティエージェントまたはオブジェクトがコマンドを正常に実行したことを示すとは限りません。
タスクのステータスは次のとおりです。
進行中: Trend Vision Oneは管理サーバにコマンドを送信し、応答を待っています。
キューに追加されました: サーバはリクエストの量が多いか、セキュリティエージェントがオフラインのため、コマンドをキューに追加しました。
成功: 管理サーバはコマンドを正常に受信しました。
失敗: 管理サーバにコマンドを送信しようとした際にエラーまたはタイムアウトが発生しました。
タスクを検索するには、検索フィールドを使用するか、[処理]リストから[エンドポイントを隔離]を選択します。
エンドポイントへの接続を復元する
隔離されたエンドポイントのセキュリティ問題を解決した後、[Response Management]
からネットワーク接続を復元できます。

エンドポイントの横にあるオプションボタン
を選択し、[接続を復元]を選択します。


一般的な問題のトラブルシューティング
ネットワーク隔離または接続の復元をトリガする一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認します。
Trend Vision Oneの設定
[Trend Vision One (XDR)]タブ (
) で、次のことを確認してください。- [登録ステータス]は[Registered]です。
- [セキュリティイベントをTrend Vision Oneに転送する]が選択されています。

コンピュータのセキュリティモジュールの設定
コンピュータの[アクティビティ監視]タブで (
)、[設定]が[オン]または[継承 (オン)]に設定されていることを確認してください。
コンピューターに対しても、割り当てられたポリシーで有効にすることで[アクティビティ監視]を有効にできます。[ポリシー]タブから、アクティビティモニタリングを有効にしたいポリシーをダブルクリックします。
に移動し、[アクティビティ監視の状態]が[オン]に設定されていることを確認してください。