先に紹介した 対応措置Windows版XDR 。
レスポンスアクションを使用すると、エンドポイントから特定のフォレンジックアーチファクトを取得し、より多くの情報を収集し、検出された疑わしいイベントを取り巻く調査にさらなるコンテキストを提供することができます。また、発見された段階で脅威を封じ込め、即座にブロックすることで、攻撃者の目的達成を遅らせたり、阻止したりすることもできます。これは、必要に応じて複数のエンドポイントに対して同時に行うことができます。
これらは、パートナーや顧客が検出を処理する際に大きな助けとなり、現在ではMacとLinuxのエージェントにレスポンスアクションを追加しています。
Advanced Response アクションを使用するには、使用するプロファイルでこの機能を有効にする必要があります。この設定は、Windows/Mac/Linuxプロファイルの「一般」設定にあります。
ホストOSの性質上、すべてのプラットフォームがすべてのアクションをサポートしているわけではない。
調査活動
対応措置 | ウィンドウズ | マック | リナックス |
|---|
ファイルの取得 | はい | はい | はい |
パワーシェル履歴の取得 | はい | | |
イベントログエントリーの取得 | はい | | |
イベントログファイルの取得 | はい | | |
イベントログのトレースエントリを取得する | はい | | |
アンチウイルスのログを取得する | はい | | |
ブラウザのアーティファクトを取得する | はい | | |
ジャンプリストファイルの取得 | はい | | |
MFTの取得 | はい | | |
RDPキャッシュファイルの取得 | はい | | |
レジストリハイブの取得 | はい | | |
System Resource Usage Monitor データベースの取得 | はい | | |
地図登録 | はい | | |
MBRの取得 | はい | | |
アムキャッシュの取得 | はい | | |
プリフェッチ | はい | | |
最近アクセスされたものを検索 | はい | | |
マップファイルシステム | はい | はい | はい |
ネットスタット | はい | はい | はい |
プロセスの列挙 | はい | はい | はい |
スケジュールされたタスクの列挙 | はい | | |
サービスを列挙する | はい | | |
WMIの永続性を列挙する | はい | | |
プロセス・メモリ・ダンプ | はい | | はい |
フルメモリダンプ | はい | | はい |
テスト接続 | はい | | |
封じ込め行動
対応措置 | ウィンドウズ | マック | リナックス |
|---|
キルプロセス | はい | はい | はい |
キル・スレッド | はい | | |
改善措置
対応措置 | ウィンドウズ | マック | リナックス |
|---|
ファイルの削除 | はい | はい | はい |
レジストリの削除 | はい | | |
スケジュールされたタスクの削除 | はい | | |
サービスの削除 | はい | | |
WMIパーシステンスの削除 | はい | | |
イベントの種類についての詳細は ユーザーガイド