目次

Trend Vision One Extended Detection and Response (XDR) ネットワークの隔離

ネットワークを隔離することで、Trend Vision Oneの拡張検出/応答 (XDR) インタフェースを使用して、侵害された可能性のあるエンドポイントをネットワークの他の部分から隔離できます。

AgentとRelayをプロキシ経由でプライマリセキュリティアップデート元 に接続している場合、ネットワーク隔離では同じプロキシ設定が自動的に使用されます。

要件

Workload Securityでは、IoTメカニズムを使用してメッセージとイベントをTrend Vision One XDRに送信します。環境内で許可するURLを制限する必要がある場合は、Workload SecurityURL テーブルのイベントチャネル - XDRアクティビティ監視のFQDNを含めるようにファイアウォールを設定します。

ネットワークの隔離を使用してエンドポイントを隔離する

ネットワーク隔離を使用してエンドポイントを隔離するには

  1. ネットワーク隔離のトリガ
  2. エンドポイントの隔離タスクの作成
  3. タスクステータスの監視

ネットワーク分離のトリガー

隔離するエンドポイントを特定したら、次のいずれかからネットワーク隔離をトリガーできます。

Trend Vision One 検索アプリ 検索アプリアイコン から:

隔離するエンドポイントの EndpointHostName を右クリックし、[ Isolate Endpoint ]を選択します。

エンドポイントの隔離が強調表示されたTrend Micro Vision One Search画面

[ Isolate Endpoint Task ]画面が表示されます。

Trend Vision One Workbench ( **XDRアイコン** の下):

隔離するエンドポイントのサーバアイコン サーバアイコンを右クリックし、[Isolate Endpoint]を選択します。

エンドポイントの隔離が強調表示されたTrend Micro Vision One Workbenchウィンドウ

[ Isolate Endpoint Task ]画面が表示されます。

Trend Vision One [ **Observed Attack Techniques ** ] タブ から ( **XDRアイコン** の下):

隔離する[関連エンドポイント]を右クリックし、[ Isolate Endpoint]を選択します。

Trend Micro Vision One 観察された攻撃手法ウィンドウ

[ Isolate Endpoint Task ]画面が表示されます。

エンドポイントの隔離タスクの作成

[エンドポイントの隔離タスク] 画面で次の手順を実行します。

  1. 必要に応じて、タスクの説明を入力します。
  2. [ Create ]を選択してタスクを開始します。

エンドポイントの隔離タスクダイアログボックス

タスクステータスの監視

Response Management応答管理アイコンからタスクを監視できます。

タスクのステータスは、配布管理システムがコマンドを正常に受信して実行できたかどうかを示します。コマンドの対象がセキュリティエージェントの場合、タスクのステータスは、対象のセキュリティエージェントまたはオブジェクトがコマンドを正常に実行したことを示すとは限りません。

タスクのステータスは次のとおりです。

  • 処理中アイコン 処理中: Trend Vision Oneはコマンドを管理サーバに送信し、応答を待機しています。
  • 待機中アイコン 処理待ち:要求が大量にあるか、セキュリティエージェントがオフラインのため、サーバがコマンドを処理待ちにしています。
  • 成功アイコン 成功:配布管理システムがコマンドを正常に受信しました。
  • 失敗アイコン 失敗:配布管理システムへのコマンド送信時に、エラーまたはタイムアウトが発生しました。

タスクを検索するには、[検索] フィールドを使用するか、 [ Action ] リストから [ Isolate Endpoint ] を選択します。

エンドポイントへの接続を復元する

隔離されたエンドポイントでセキュリティの問題を解決したら、 Response Management Response Managementアイコン からネットワーク接続を復元できます。

エンドポイントの横にあるオプションボタン オプションアイコンを選択し、[ 接続の復元]を選択します。

応答管理画面

一般的な問題のトラブルシューティング

ネットワーク隔離または接続の復元をトリガする一般的な問題のトラブルシューティングを行うには、 Workload Security コンソールで次の設定を確認します。

Trend Vision One の設定

[ Trend Vision One (XDR) ] タブ ( [管理]→[システム設定]→[Trend Vision One (XDR)] ) で、次のことを確認します。

  • 登録ステータスは登録済みです
  • セキュリティイベントをTrend Vision Oneに転送するチェックボックスがオンになっている

Workload Security System Settings with Trend Micro Vision One (XDR)タブが表示される

コンピュータのセキュリティモジュールの設定

使用しているコンピュータの [ アクティビティ監視 ] タブ ( [Computers] > (右またはダブルクリック) [Details] > [ アクティビティ監視 ] > [ 一般 ]) で、[Configuration] が [On] または [Inherited (On)] に設定されていることを確認します。

アクティビティ監視プロパティ

また、コンピュータに割り当てられたポリシーで有効にすることで、コンピュータの アクティビティ監視 を有効にすることもできます。 [ ポリシー ] タブで、[アクティビティ監視] を有効にするポリシーをダブルクリックします。 [ アクティビティ監視 ]→[ 一般 ] の順に選択し、[ アクティビティ監視のステータス] が [On] に設定されていることを確認します。

requirements および 一般的な問題のトラブルシューティング セクションを確認しても問題が解決しない場合は、サポートにお問い合わせください