統合ノードに対応アクションを適用する

インシデントグラフでは、Eメール、IDおよびアクセス管理、ファイアウォールノードなど、XDR統合から発生するノードで対応アクションが利用可能です。これらのアクションにより、各統合の機能を使用して脅威に直接対応できます。

インシデントグラフの対応アクションは統合ノードにのみ適用されます。EDR対応アクション、例えばプロセスの隔離やワークロードの隔離は、サイバーキルチェーンから利用可能です。

一部のEDR対応アクションは現在、サイバーキルチェーンからのみ利用可能で、インシデントグラフからはアクセスできません。

統合ノードに対応アクションを適用するには

  1. Cyber Protectコンソールで、[保護] > [インシデント] に進みます。
  2. 表示されたインシデントのリストで、調査するインシデントの最右列のをクリックします。
  3. [インシデントグラフ]タブをクリックします。

  4. 該当する統合ノードに移動し、クリックすると、そのノードのサイドバーが表示されます。

    ノードがグループ化されたノード(番号ラベルで示される)の場合、このノードに適用された対応アクションはグループ内のすべてのサブノードに適用されます。
  5. [対応アクション] タブをクリックします。

  6. 必要な対応アクションに対して [実行] をクリックします。

    利用可能な対応アクションは統合によって異なります。例えば:

    • FortiMail Workspace Security: 送信者をブロックリストに追加。
    • Microsoft 365: ユーザーセッションの終了、強制パスワードリセット、ユーザーの一時停止。

    すべての統合ノードで対応アクションが利用できるわけではありません。例えば、Teamsノードは対応アクションをサポートしていません。

    [実行] をクリックすると、他の対応アクションは一時的に無効になります。アクションが完了すると、他の対応アクションは有効になります。

  7. ノードに適用されたすべての応答アクションを確認するには、[インシデントアクティビティ]タブをクリックします。詳細については、インシデントを軽減するために実行される操作を理解するを参照してください。