エンドポイント保護の脅威の監視と対応

この記事では、Catoのエンドポイント保護 (EPP) エンジンによって特定された脅威をどのように監視し、対応するかについて説明します。

概要

エンドポイントとエンドユーザーに対する潜在的脅威の意識を高めるために、潜在的脅威の詳細を表示して分析することで、どのように対応するかを判断できます。 EPPエンジンによって潜在的な悪意のある活動が特定されると、関連情報を含むイベントが作成されます。 EPPイベントは、特定された脅威に関する重要な情報を提供します。例として、脅威が発生したエンドポイント、脅威の発生日時、イベントをトリガーしたファイルの名前などがあります。 イベントの分析に関するさらに詳しくは、ネットワークのイベント分析を参照してください

エンドポイント保護ダッシュボードから、ネットワーク内のエンドポイントによって検出された脅威の概要を閲覧することもできます。

悪意のあると識別されたファイルは、保護設定によって暗号化され、隔離されることがあります。 隔離されたファイルを表示し、安全と判断された場合は元の場所に復元することができます。

エンドポイント保護の脅威を特定する

定義された期間内にエンドポイント保護によってトリガーされたすべてのイベントを表示できます。 エンジンタイプフィールドは、どのエンジンがイベントをトリガーしたかに関する情報を提供します。

注意

注意: イベントが作成されるまで、ファイルをブロックしてから6分かかることがあります

エンドポイントで脅威を特定するには:

  1. ナビゲーションメニューから、ホーム > イベントをクリックします。
  2. イベントフィルタバーで、プリセットアイコンをクリックします。

  3. 事前定義されたプリセットリストから、エンドポイント保護を選択します。

    エンドポイントによって識別された脅威が表示されます。

イベント項目の理解

次の表は、エンドポイントマルウェアイベントにおけるイベント項目を一覧表示しています。

項目名 説明
アクション EPPが試みたイベントタイプに関連するアクション。
実行された緩和アクション

EPPによって実行されたアクション。 緩和アクションは以下の通りです:

  • 拒否: SDPユーザーはファイルへのアクセスを拒否されます。
  • 消毒のみ: ファイル内で識別された悪意のあるコンテンツが削除されます。 これが失敗した場合、ファイルは現在の場所に残ります。
  • 消毒削除:ファイル内で識別された悪意のあるコンテンツが削除されます。 これが失敗した場合、ファイルは削除されます。
  • 削除: ファイルは削除されます。
  • 隔離へ移動: ファイルは隔離へ移動されます。
  • 無視: アクションは行われません。

緩和アクションはEEPプロファイルによって定義されます。 詳細情報は、エンドポイント保護の設定を参照してください。
実行されたアクション 実行されたすべてのアクションのリスト。 例えば、EPPがファイルを隔離しようとしたが、失敗し、その後ファイルを削除しようとしました。 実行されたアクションは:
[隔離, 削除]
クライアントバージョン エンドポイントのバージョン番号。
デバイス名 エンドポイントのコンピュータ名称。
エンドポイント ID エンドポイントエージェントのユニーク ID。
エンジンタタイプ 脅威を検出したエンジン。
エンドポイント保護プロファイル エンドポイント上のエンドポイントプロファイル。
イベント数 1分間に複数回繰り返されるイベントのカウント。
サブタイプレ イベントのサブタイプカテゴリ。
イベントタイプ イベントのカテゴリ。
ファイルハッシュ 疑わしいファイルのファイルハッシュ。
ファイル名 疑わしいファイルのファイルパスと名前。
ファイル操作 イベントをトリガーするためにエンドユーザーが行ったアクション。
最終オブジェクトステータス

すべてのアクションが実行された(または試みられた)後のファイルの最終ステータス。 

SCAN_FAILEDは、EPPがファイルをスキャンできなかったことを意味します。
ISP 名 エンドポイントが接続されているISPプロバイダーです。
ログイン ユーザー イベントの時点でログインしたエンドユーザー。
オブジェクト 名前 疑わしいファイルのファイルパスと名前。
OS タイプ エンドポイントのオペレーティングシステム。
OS バージョン エンドポイントのオペレーティングシステムバージョン。
ユーザー SID エンドポイントのSID。

ファイルを隔離する

保護 設定が ブロックと修復 に設定されている場合、エンドポイントは悪意のあるファイルを暗号化し、隔離します。 これにより、エンドユーザーがファイルにアクセスすることを防ぎ、エンドポイントでの有害なプロセスの実行を防ぎます。 潜在的脅威を隔離することで、エンドポイントのセキュリティが維持され、環境全体での感染リスクが軽減されます。

隔離されたファイルを監視し、安全であれば元の場所に復元することができます。

隔離されたファイルをモニタリングする

各エンドポイントで隔離されたファイルを監視できます。

隔離されたファイルを確認するには:

  1. ナビゲーションメニューから、アクセス > 保護されたエンドポイントをクリックします。

    保護されたエンドポイントテーブルが表示されます。

  2. 隔離ファイル列で、隔離ファイルを表示したいエンドポイントの番号をクリックします。

    エンドポイント上の隔離されたファイルが表示されます。

    注意

    隔離ファイル列が空白の場合、エンドポイントで隔離ファイルが見つかっていないことを示します

隔離されたファイルを復元する

ファイルが誤って隔離された場合や安全であると考えている場合は、エンドポイントの元の場所に復元できます。 その後、エンドユーザーはファイルにアクセスできるようになります。 ファイルが隔離から復元されると、許可リストに追加されます。

隔離されたファイルを復元するには:

  1. ナビゲーションメニューから、アクセス > 保護されたエンドポイントをクリックします。

    保護されたエンドポイントテーブルが表示されます。

  2. 隔離ファイル列で、復元したいファイルのエンドポイントの行番号をクリックします。

    隔離テーブルが表示されます。

  3. 復元したいファイルのテーブル末尾にある三点のアイコンをクリックします。

  4. 復元をクリックします。

    ファイルが元のロケーションに復元されます。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント