Endpoint Detection and Response(EDR)のワークフロー

要件に応じて設定できるデフォルトのEDRワークフローが6つあります。

  • 脅威の隔離(EDRインシデントの作成時)
  • 脅威の隔離(EDRインシデントのアップデート時)
  • ワークロードの分離(EDRインシデントの作成時)
  • ワークロードの分離(EDRインシデントのアップデート時)
  • 注意が必要なマルウェアインシデント
  • 注意が必要なインシデント

次の表に、各ワークフローに適用されるデフォルトのトリガー、条件、およびアクションについて説明します。条件とアクションの変更についての詳細は、自動Endpoint Detection and Response(EDR)ワークフローの設定を参照してください。

ワークフロー トリガ 条件 アクション
脅威の隔離 EDRインシデントが作成された

脅威ステータス = 「軽減なし」

および

インシデント状態 = 「未開始」

および

重大度 = 「高」

および

インシデントタイプ = 「処理が検出されました」 または 「マルウェアが検出されました」

  1. プロセスを停止します。

  2. プロセスを隔離します。

  3. コメントを追加します。デフォルトのコメント テキストは「<Workflow name> - 重大度が高い脅威を隔離」です。

  4. インシデントをクローズします。
脅威の隔離 EDRインシデントがアップデートされた
ワークロードの分離 EDRインシデントが作成された

脅威ステータス = 「軽減なし」

および

インシデント状態 = 「未開始」

および

重大度 = 「クリティカル」

および

判定 = 「悪意がある」

および

陽性レベル > 9

および

インシデントタイプ = 「処理が検出されました」 または 「マルウェアが検出されました」

  1. プロセスを停止します。

  2. プロセスを隔離します。

  3. ワークロードを分離します。

  4. コメントを追加します。デフォルトのコメント テキストは、「重要なマルウェアが検出されたので<Workflow name> - ワークロード <Workload name> が隔離されました」です。

  5. 選択したCyber ProtectコンソールユーザーにEメールを送信します。
ワークロードの分離 EDRインシデントがアップデートされた
注意が必要なマルウェアインシデント EDRインシデントが作成された

脅威ステータス = 「軽減なし」

および

インシデント状態 = 「未開始」

および

インシデントの経過時間 > 8時間

および

重大度 = 「高」 または 「クリティカル」

および

判定 = 「悪意がある」

および

インシデントタイプ = 「マルウェアが検出されました」

  1. プロセスを停止します。

  2. プロセスを隔離します。

  3. コメントを追加します。デフォルトのコメント テキストは「<Workflow name> - 8時間調査が行われなかったため、重要度が高/重要の脅威を隔離」です。

  4. 選択したCyber ProtectコンソールユーザーにEメールを送信します。
注意が必要なインシデント EDRインシデントが作成された

脅威ステータス = 「軽減なし」

および

インシデント状態 = 「未開始」

および

インシデントの経過時間 > 24時間

および

重大度 = 「高」 または 「クリティカル」

および

判定 = 「悪意がある」

  1. プロセスを停止します。

  2. プロセスを隔離します。

  3. コメントを追加します。デフォルトのコメント テキストは「<Workflow name> - 24時間調査が行われなかったため、重要度が高/重要の脅威を隔離」です。

  4. 選択したCyber ProtectコンソールユーザーにEメールを送信します。