ネットワークを隔離することで、Trend Vision Oneの拡張検出/応答 (XDR) インタフェースを使用して、侵害された可能性のあるエンドポイントをネットワークの他の部分から隔離できます。
エージェントとリレーをプロキシ経由で主要なセキュリティ更新ソースに接続する場合、ネットワーク分離は自動的に同じプロキシの設定を使用します。

要件 親トピック

Workload Securityは、メッセージやイベントをTrend Vision One XDRに送信するためにIoTメカニズムを使用します。環境内で許可されるURLを制限する必要がある場合は、ファイアウォールを構成してWorkload Security URLsテーブルのEvent Channel - XDR Activity Monitoring FQDNを含めてください。

ネットワークの隔離を使用してエンドポイントを隔離する 親トピック

ネットワーク隔離を使用してエンドポイントを隔離するには
  1. ネットワーク隔離をトリガー
  2. エンドポイント隔離タスクを作成
  3. タスクステータスをモニタ

ネットワーク分離のトリガー 親トピック

隔離するエンドポイントを特定したら、次のいずれかからネットワーク隔離をトリガーできます。
  • Trend Vision One検索アプリicon-vision-one-searchapp=d75f2424-91f4-428d-80c1-df6dd7ab20f9.pngから:
    隔離したいエンドポイントの[endpointHostName]を右クリックし、[エンドポイントを隔離]を選択します。
    network-isolation-trigger-searchapp=b244e338-8c1e-44ac-9bb9-5eebb9d733b6.png
    [エンドポイントを隔離タスク]ウィンドウが表示されます。
  • Trend Vision OneのWorkbench ([XDR]icon-vision-one-XDRsidebar=fa1898ae-8d66-4b25-810e-56a9be34a661.pngの下):
    隔離したいエンドポイントのサーバアイコンicon-vision-one-server=a2cc4836-09aa-4c1e-a259-b2454370e73b.pngを右クリックし、[エンドポイントを隔離]を選択します。
    network-isolation-trigger-workbench=8050301e-bfb4-43cd-bb59-198bf3d562d5.png
    [エンドポイントを隔離タスク]ウィンドウが表示されます。
  • [XDR]icon-vision-one-XDRsidebar=fa1898ae-8d66-4b25-810e-56a9be34a661.pngの下にある[Trend Vision One Observed Attack Techniques]タブから:
    隔離したい[関連するエンドポイント]を右クリックし、[エンドポイントを隔離]を選択します。
    network-isolation-trigger-observedattacktechniques=8312bcda-8233-4776-8ea0-1008c91aaefb.png
    [エンドポイントを隔離タスク]ウィンドウが表示されます。

エンドポイントの隔離タスクの作成 親トピック

[エンドポイントを隔離タスク]ウィンドウから:
  1. 必要に応じて、タスクの説明を入力します。
  2. [作成]を選択してタスクを開始します。
    network-isolation-createtask=aadfb0f0-5b74-4eea-90db-4d5858c5bdde.png

タスクステータスの監視 親トピック

[Response Management]icon-vision-one-responsemanagementapp=5702fe14-c9e9-4c1b-9ee6-379ec4118ed5.pngからタスクをモニタできます。
タスクのステータスは、配布管理システムがコマンドを正常に受信して実行できたかどうかを示します。コマンドの対象がセキュリティエージェントの場合、タスクのステータスは、対象のセキュリティエージェントまたはオブジェクトがコマンドを正常に実行したことを示すとは限りません。
タスクのステータスは次のとおりです。
  • icon-file-collection-taskstatus-inprogress=69c509c6-f8a4-4476-b3b8-9713f2996b22.png 進行中: Trend Vision Oneは管理サーバにコマンドを送信し、応答を待っています。
  • icon-file-collection-taskstatus-queued=e693483e-1037-4854-b2e0-e72f47bd77eb.png キューに追加されました: サーバはリクエストの量が多いか、セキュリティエージェントがオフラインのため、コマンドをキューに追加しました。
  • icon-file-collection-taskstatus-successful=2203e0bf-74f5-4100-a120-a2b70cfd8dd3.png 成功: 管理サーバはコマンドを正常に受信しました。
  • icon-file-collection-taskstatus-unsuccessful=71b8f3a4-491b-4e5f-a715-c317bf9e6a7d.png 失敗: 管理サーバにコマンドを送信しようとした際にエラーまたはタイムアウトが発生しました。
タスクを検索するには、検索フィールドを使用するか、[処理]リストから[エンドポイントを隔離]を選択します。

エンドポイントへの接続を復元する 親トピック

隔離されたエンドポイントのセキュリティ問題を解決した後、[Response Management]icon-vision-one-responsemanagementapp=5702fe14-c9e9-4c1b-9ee6-379ec4118ed5.pngからネットワーク接続を復元できます。
エンドポイントの横にあるオプションボタンnetwork-isolation-optionsbutton=93d79e5e-835f-4656-af91-266b59672cd8.pngを選択し、[接続を復元]を選択します。
network-isolation-restoreconnection=fa245ae0-e58c-468f-8ae6-22a99b92a912.png

一般的な問題のトラブルシューティング 親トピック

ネットワーク隔離または接続の復元をトリガする一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認します。

Trend Vision Oneの設定 親トピック

[Trend Vision One (XDR)]タブ ([管理][システム設定][Trend Vision One (XDR)]) で、次のことを確認してください。
  • [登録ステータス][Registered]です。
  • [セキュリティイベントをTrend Vision Oneに転送する]が選択されています。
remote-shell-XDR-and-log-forwarding=b22cfe2e-110f-46fe-93dd-20c35c5586ba.png

コンピュータのセキュリティモジュールの設定 親トピック

コンピュータの[アクティビティ監視]タブで ([コンピュータ][(Right- or- double-click) Details][アクティビティ監視][一般])、[設定][オン]または[継承 (オン)]に設定されていることを確認してください。
remote-shell-activitymonitoring=b66e7b2d-8fe6-4bd8-9d45-ee3469c8f058.png
コンピューターに対しても、割り当てられたポリシーで有効にすることで[アクティビティ監視]を有効にできます。[ポリシー]タブから、アクティビティモニタリングを有効にしたいポリシーをダブルクリックします。[アクティビティ監視][一般]に移動し、[アクティビティ監視の状態][オン]に設定されていることを確認してください。
要件および一般的な問題のトラブルシューティングのセクションを確認したが、まだ問題が解決しない場合は、サポートに連絡してください。