Endpoint Detection and Response(EDR)のワークフロー

要件に応じて設定できるデフォルトのEDRワークフローが6つあります。

  • 脅威の隔離(EDRインシデントの作成時)
  • 脅威の隔離(EDRインシデントのアップデート時)
  • ワークロードの分離(EDRインシデントの作成時)
  • ワークロードの分離(EDRインシデントのアップデート時)
  • 注意が必要なマルウェアインシデント
  • 注意が必要なインシデント

次の表に、各ワークフローに適用されるデフォルトのトリガー、条件、およびアクションについて説明します。条件とアクションの変更についての詳細は、自動Endpoint Detection and Response(EDR)ワークフローの設定を参照してください。

ワークフロー トリガ 条件 アクション
脅威の隔離 EDRインシデントが作成された

脅威ステータス = "軽減なし"

および

インシデント状態 = "未開始"

および

重大度 = "高"

および

インシデントタイプ = "処理が検出されました" または "マルウェアが検出されました"

  1. プロセスを停止します。

  2. プロセスを隔離します。

  3. コメントを追加します。デフォルトのコメント テキストは「<Workflow name> - 重大度が高い脅威を隔離」です。

  4. インシデントをクローズします。
脅威の隔離 EDRインシデントがアップデートされた
ワークロードの分離 EDRインシデントが作成された

脅威ステータス = "軽減なし"

および

インシデント状態 = "未開始"

および

重大度 = "クリティカル"

および

判定 = "悪意がある"

および

陽性レベル > 9

および

インシデントタイプ = "処理が検出されました" または "マルウェアが検出されました"

  1. プロセスを停止します。

  2. プロセスを隔離します。

  3. ワークロードを分離します。

  4. コメントを追加します。デフォルトのコメント テキストは、「重要なマルウェアが検出されたので<Workflow name> - ワークロード <Workload name> が隔離されました」です。

  5. 選択したCyber ProtectコンソールユーザーにEメールを送信します。
ワークロードの分離 EDRインシデントがアップデートされた
注意が必要なマルウェアインシデント EDRインシデントが作成された

脅威ステータス = "軽減なし"

および

インシデント状態 = "未開始"

および

インシデントの経過時間 > 8時間

および

重大度 = "高" または "クリティカル"

および

判定 = "悪意がある"

および

インシデントタイプ = "マルウェアが検出されました"

  1. プロセスを停止します。

  2. プロセスを隔離します。

  3. コメントを追加します。デフォルトのコメント テキストは「<Workflow name> - 8時間調査が行われなかったため、重要度が高/重要の脅威を隔離」です。

  4. 選択したCyber ProtectコンソールユーザーにEメールを送信します。
注意が必要なインシデント EDRインシデントが作成された

脅威ステータス = "軽減なし"

および

インシデント状態 = "未開始"

および

インシデントの経過時間 > 24時間

および

重大度 = "高" または "クリティカル"

および

判定 = "悪意がある"

  1. プロセスを停止します。

  2. プロセスを隔離します。

  3. コメントを追加します。デフォルトのコメント テキストは「<Workflow name> - 24時間調査が行われなかったため、重要度が高/重要の脅威を隔離」です。

  4. 選択したCyber ProtectコンソールユーザーにEメールを送信します。