セキュアエンドポイントで自動化アクションをトリガーする条件の特定

Updated: 2023 年 2 月 1 日
Document ID:220184

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、自動アクションをトリガーするために満たす必要がある条件について説明します。

    背景説明

    自動アクションは、侵害が発生したときにトリガーされます(侵害されていないマシンが侵害されたマシンになることを意味します)。すでに侵害されたマシンが新しい検出をトリガーした場合、この検出は侵害に追加されますが、これは新しい侵害ではないため、自動アクションはトリガーされません。

    ただし、重大度レベルは例外です。重大度という基準に基づいて自動アクションがトリガーされますが、妥協そのものには重大度はありません(個々の検出のみ)。自動アクションが重大度レベルhighに設定され、検出が中レベルでトリガーされる場合、アクションはトリガーされません。後続のイベントが高いセキュリティ侵害に追加されると、この新しい検出が既存のセキュリティ侵害に含まれるため、アクションがトリガーされます。

    侵害されたマシンとは?

    侵害されたマシンとは、アクティブな侵害が関連付けられているエンドポイントです。侵害されたマシンは、設計上、一度にアクティブにできる侵害は1つだけです。

    適用性 

    Windows、Mac

    自動化されたアクションが利用可能

    1. [セキュリティ侵害の際にフォレンジックスナップショットを作成する]:セキュリティ侵害が発生したときにコンピュータのフォレンジックスナップショットを作成します。セキュリティ侵害イベントは、基本的に、悪意のある可能性のあることを通知するコネクタによって送信されるイベントです。

      この自動アクションをトリガーする条件:選択された重大度またはそれ以上のイベントが自動アクションをトリガーします。

      Automated Actions Available

      Conditions to Trigger Automated Action

      次に、侵害されたマシンの例を示します。

      Example of a Compromised Machine

      これは自動化アクションのログです([監査ログ(Audit Log)]タブから)。

      Log of the Automated Action

    2. [セキュリティ侵害が発生したコンピュータを分離する]:セキュリティ侵害が発生したときにコンピュータを分離します。

      この自動アクションをトリガーする条件:選択された重大度またはそれ以上のイベントが自動アクションをトリガーします。レート制限により、誤検出から保護されます。Rate Limit機能は、24時間のローリングウィンドウにおけるアイソレーションの総数を表示します。アイソレーションの数が制限を超える場合、以降のアイソレーションはトリガーされません。セキュリティ侵害のイベントの数が24時間のローリングウィンドウの制限を下回った場合、または自動的に分離されたコンピューターで分離を停止した場合は、コンピューターは再び分離されます。

      Isolate a Computer upon Compromise - Take Forensic Snapshot

      Conditions to Trigger an Automated Action When a Compromise Occurs

      次に、侵害されたマシンの例を示します。

      Example of a Compromised Machine

      これは自動化アクションのログです([Audit Log]タブから)。

      Log of the Automated Action From Audit Log Tab



    3. 検出時にSecure Malware Analyticsに送信:検出時にファイルをSecure Malware Analytics for File Analysisに送信します。

      この自動アクションをトリガーする条件:選択された重大度またはそれ以上のイベントが自動アクションをトリガーします。

      Submit to Secure Malware upon Detection

      Conditions to Trigger Automated Action

      侵害されたマシンの例:

      Example of Compromised Machine with Malware Detected

      この場合、ファイルは以前にSecure Malware Analyticsに送信されているため、ファイル分析はすでに完了しています。次に例を示します。

      File Already Done as Malware Previously Submitted

      note-icon

      :この自動アクションはセキュリティ侵害とは無関係で、検出ごとに実行されます。

    4. [セキュリティ侵害の発生時にコンピュータをグループに移動する]:アクションがトリガーされたときに、コンピュータを現在のグループから別のグループに移動します。これにより、セキュリティ侵害を受けたコンピュータを、セキュリティ侵害を修復するためのスキャンとエンジンの設定がより厳しいポリシーを持つグループに移動できます。

    この自動アクションをトリガーする条件:選択された重大度またはそれ以上のイベントが自動アクションをトリガーします。

    Move Computer to Group upon Compromise

    Trigger the Automated Action

    これは元のグループのコンピュータです:

    Computer in the Original Group

    次に、セキュリティ侵害のイベントを示します。

    Events of the Compromise

    これは自動化アクションのログです([Audit Log]タブから)。

    Log of the Automated Action (from Audit Log Tab)

    コンピューターは、次の自動操作の設定で指定されたグループに移動されました:

    Computer Moved to Specified Group in the Automated Action Setting

    アクションログ

    これは、[Automated Actions]タブの[Automated Action Logs]の完全なリストです。

    Automated Action Logs

    関連情報

    セキュアエンドポイントユーザガイド

    更新履歴

    改定 発行日 コメント
    1.0
    01-Feb-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • Isaac Cardenas
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています