注意が必要なイベントの確認方法
- WFXDR管理コンソールにログインします。
- Detection & Response > 注意が必要なイベント に移動します。
- 分析チェーンの欄の検出名 をクリックします。
- 分析チェーンの詳細画面から、概要、推進される処理、エンドポイント、最初に確認されたオブジェクト、セキュリティ上の脅威、及び画面の下に表示しているプロセスチェーンを確認できます。
概要
イベントの概要の説明です。どのような脅威が検出されたのか、及び可能なリスクを説明します。
推進される処理
システムより自動生成された推奨の処理です。
エンドポイント
影響を受けたエンドポイントの詳細情報を記載します。
最初に確認されたオブジェクト
注意が必要なオブジェクトの中で、最初に確認された不審なオブジェクトです。オブジェクトの詳細を確認した上、脅威と判断された場合は手動で対処する必要があります。
セキュリティ上の脅威
WFXDR に検出されたオブジェクトです。注意が必要なイベントが出た時点で、すでに隔離や駆除されています。
プロセスチェーン
注意が必要なイベントに関わるプロセスの実行列が図面に表示されます。その中のオブジェクトにクリックすると、オブジェクトの詳細が表示されます。
Web管理コンソールから実行可能な処理
オブジェクトのブロック
不審なオブジェクトが検出された場合、オブジェクトのブロックが可能です。オブジェクトのブロックには分析チェーン画面でのクイック処理とUDSO画面での設定2つの方法があります。方法1.分析チェーン画面のクイック処理
分析チェーン画面のクイック処理はオブジェクトのブロック/隔離のみ可能です。ブロックの解除はUDSO画面で設定を実施してください。
- 「注意が必要なイベントの確認方法」の手順で分析チェーンの詳細画面に移行します。
- 画面の下のプロセスチェーンから対象のオブジェクトをクリックすると、オブジェクトの詳細が表示されます。
- 「オブジェクトをブロック」をクリックします。
- 必要に応じてメモを記入し、「追加」をクリックします。
方法2.UDSO画面での設定
UDSO画面からオブジェクトをブロック/解除する手順は下記をご確認ください。UDSOの設定方法
アグレッシブスキャンの実施
アグレッシブスキャンは分析チェーン画面のクイック処理と[セキュリティエージェント]画面での設定の2つの方法があります。方法1.分析チェーン画面のクイック処理
- 「注意が必要なイベントの確認方法」の手順で分析チェーンの詳細画面に移行します。
- 「エンドポイント」欄の下にある処理ボタンのプルダウンをクリックします。
- 「アグレッシブ検索の開始」をクリックします。
- 「開始」をクリックします。
方法2.[セキュリティエージェント]画面での設定
[セキュリティエージェント]画面での設定方法は下記をご確認ください。アグレッシブ検索機能について
端末のリモート隔離/解除
影響を受けた端末に対して、エンドポイントの隔離/解除の実施が可能です。エンドポイントの隔離を実施すると、対象端末はインターネットに繋がらなくなります。WFXDR 関連のサービスのみアクセス可能になります。
端末のリモート隔離
- 「注意が必要なイベントの確認方法」の手順で分析チェーンの詳細画面に移行します。
- 「エンドポイント」欄の下にある「エンドポイントを隔離」をクリックします。
- 「隔離」をクリックします。
端末隔離の解除
- 「注意が必要なイベントの確認方法」の手順で分析チェーンの詳細画面に移行します。
- 「エンドポイント」欄の下にある「接続を復元」をクリックします。
- 「復元」をクリックします。
端末のリモート隔離/解除コマンドを配信するには、5~10分かかります。