TDR グループを管理する

Threat Detection and Response で、ネットワークのホストのグループを作成することができます。これらのグループで、以下を実行することができます。

  • ポリシーでグループ名を指定して、異なるホストに異なるポリシーを構成する。
    詳細については、TDR ポリシーを構成する を参照してください。
  • グループの Host Sensor、グループ メンバーシップ、および Host Sensor の設定を表示および管理する。
    詳細については、グループのホストを管理する を参照してください。

TDR では、3 種類のグループがサポートされています。

Active Directory グループ

AD Helper により Active Directory Server から TDR にデバイス グループ情報が送信されると、TDR に Active Directory グループが作成されます。Active Directory ドメイン コントローラでこれらのグループのメンバーシップを管理します。TDR の グループ ページで、Active Directory Server の Active Directory グループと TDR を同期させることができます。

ホスト グループ

ホストのリストであるホスト グループを追加することができます。ホストは、1 つのホスト グループのメンバーになることができます。Analyst がグループのメンバーの Host Sensor を管理し、そのグループに固有の Host Sensor 設定を構成することができます。グループ ページまたは ホスト ページで、メンバーを作成して、ホスト グループに追加することができます。

グループに複数のホストを追加する場合は、ホスト ページでそれを最も簡単に行うことができます。詳細については、TDR ホストおよび Host Sensor を管理する を参照してください。

IP サブネット グループ

特定の IPv4 サブネットの IP サブネット グループを追加することができます。グループには、そのグループに指定された IP サブネット内の IP アドレスを持つホストが含まれます。

Observer 管理ユーザーは、グループに関する情報を表示できますが、グループを編集することはできません。

グループ ページから、Analyst は以下を実施することができます。

  • Active Directory グループを同期する。
  • IP サブネットとホスト グループを追加、編集、および削除する。
  • ホスト グループのメンバーを編集する。
  • ホスト グループのメンバーの Host Sensor をインストールおよび削除する。
  • ホスト グループの Host Sensor 設定を構成する。

Threat Detection and Response グループを表示する

グループのリストを表示するには、以下の手順を実行します。

  1. TDR にログインする.
  2. 構成 > Threat Detection の順に選択します。
  3. ThreatSync セクションで、グループ を選択します。
  4. ホスト グループの情報を表示するには、グループ名の横にある をクリックします。
    グループのホストとそのグループの Host Sensor 設定が表示されます。

Analyst は、このページで IP サブネットおよびホスト グループを追加および編集することができます。Analyst は、Host Sensor 設定を管理し、グループのメンバーの Host Sensor をインストールおよび削除することができます。

フィルタを管理する

各列の上部で、ページに表示される情報をフィルタリングすることができます。ページを開くたびにページが既定で指定されている情報になるように、フィルタ設定を保存することができます。

  1. 保存する列設定を選択します。
  2. 左端の列ヘッダーで、 をクリックします。
  3. 保存 を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. 適用 を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. クリア を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. 削除 を選択します。

Active Directory グループを同期する

グループ ページで、Analyst は Active Directory グループを同期することができます。グループを同期すると、AD Helper により Active Directory ドメイン コントローラからグループに関する更新情報が取得され、TDR アカウントのグループ情報が更新されます。

Active Directory グループを同期するには、以下の手順を実行します。

  1. グループ ページで、Active Directory グループの横にある をクリックします。
  2. グループを同期する を選択します。
    グループを同期するかどうかの確認メッセージが表示されます。
  3. 同期する をクリックします。

グループ ページで Active Directory グループを展開する前に Active Directory グループを同期するか、Active Directory グループのメンバーのホスト グループ メンバーシップを変更する必要があります。

グループを追加する

グループ ページで、ホスト グループまたは IP サブネット グループを追加することができます。

また、ホスト グループの変更 アクションを使用して、選択されたホストのホスト グループを追加することができます。詳細については、TDR ホストおよび Host Sensor を管理する を参照してください。

ホスト グループを追加する際に、グループのホストを名前で指定します。グループにホストを追加する前に、ホストの名前を知っておく必要があります。グループごとに異なる Host Sensor 設定を構成することができるため、ホストを複数のホストグループのメンバーにすることはできません。

  1. グループ ページで、グループを追加する をクリックします。
    グループを追加する ダイアログ ボックスが開きます。

Screen shot of the Add Group dialog box

  1. グループ名 テキスト ボックスに、このグループの名前をを入力します。
  2. 種類 ドロップダウン リストから、ホスト を選択します。これは、既定のオプションです。
  3. ホストをグループに追加する をクリックします。
    ホストをグループに追加する ダイアログ ボックスが開きます。

Screen shot of the Add Hosts to Group dialog box.

  1. 追加するホスト名の横にあるチェックボックスを選択します。
  2. 選択されたホストを追加する をクリックします。
    グループを追加する ダイアログ ボックスにホストが追加されます。
  3. ホストを削除するには、ホスト名の横にあるチェックボックスを選択して、選択されたホストを削除する をクリックします。
  4. 保存して閉じる をクリックします。

ホスト グループからのみ Host Sensor を管理することができます。

  1. グループ ページで、グループを追加する をクリックします。
    グループを追加する ダイアログ ボックスが開きます。

Screen shot of the Add Group dialog box for an IP Subnet group

  1. グループ名 テキスト ボックスに、このグループの名前をを入力します。
  2. 種類 ドロップダウン リストから、IP サブネット を選択します。
  3. ネットワーク アドレス テキスト ボックスに、ホストまたはネットワークの IP アドレスを入力します。
  4. サブネット マスク テキスト ボックスに、IP アドレスのサブネット マスクを入力します。
  5. 保存して閉じる をクリックします。

グループを編集または削除する

IP サブネットまたはホスト グループを編集または削除するには、Analyst として TDR にログインする必要があります。

グループを編集するには、以下の手順を実行します。

  1. グループ リストで、編集するグループの横にある をクリックします。
  2. グループを編集する を選択します。
    グループを編集する ダイアログ ボックスが開きます。
  3. 前の手順で説明されているように、グループ情報を編集します。
  4. 保存して閉じる をクリックします。

グループを削除するには、以下の手順を実行します。

  1. グループ リストで、削除するグループの横にある をクリックします。
  2. グループを削除する を選択します。
    確認メッセージが表示されます。
  3. 削除 をクリックします。

グループを削除すると、それを含むすべてのポリシーからグループが自動的に削除されます。

グループのホストを管理する

グループ ページで、グループのホストに関する情報を表示して、そのグループの Host Sensor と Host Sensor 設定を管理することができます。少なくとも 1 つのホストを含むすべてのグループを展開することができます。

グループのホストを管理するには、グループの横にある をクリックします。

2 つのタブにグループ情報が表示されます。

  • ホスト — グループのホストが表示されます。ネットワーク、OS、および各ホストの Host Sensor ステータスが含まれています。
  • Host Sensor 構成 — グループのホストの Host Sensor 設定。Administrator により指定されているグローバル Host Sensor 設定よりも優先されるグループの Host Sensor 設定を構成することができます。

ホスト タブで、このグループのホストに関する情報を表示すること、グループにホストを追加すること、および Host Sensor とグループ メンバーシップを管理することができます。

ホストで次のアクションを実行することができます。

  • ホスト グループを変更する — ホストが属するホスト グループを変更します
  • センサをインストールする — AD Helper を使用して Windows ホストに Host Sensor をインストールします
  • センサを再起動する — ホストの Host Sensor を再起動します
  • センサを削除する — ホストから Host Sensor をアンインストールします
  • 手動での削除を承認する — Host Sensor がホストから手動でアンインストールされたことを承認します
  • ホストを更新する — Host Sensor を TDR の最新バージョンに更新します
  • ホストを隔離する — ネットワークを介して通信できないように、ホストを隔離します
  • ホストをリリースする — ホストを隔離からリリースします
  • ホストの保護を一時停止する — ホストの TDR を一時的に停止します
  • ベースラインを要求する — ホストで変更を行った後、新しいベースラインのスキャンを実行します

ホストをグループに追加するには、以下の手順を実行します。

  1. アクション > ホストを追加する の順にクリックします。

    ホストをグループに追加する ダイアログ ボックスが開きます。

Screen shot of the Add Hosts to Group dialog box.

  1. 追加するホスト名の横にあるチェックボックスを選択します。
  2. 選択されたホストを追加する をクリックします。
    ホストがグループに追加されます。

グループの 1 つまたは複数のホストの Host Sensor をインストールまたは削除するには、以下の手順を実行します。

  1. グループ ページで、管理するグループの横にある をクリックします。
    そのグループのホスト情報のダイアログ ボックスが開きます。

Screen shot of the Groups page with the Hosts information expanded for a group

  1. ホスト タブで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  2. アクション ドロップダウン リストで、 オプションを選択します。
    ドロップダウン リストに、それぞれの使用可能なアクションが適用される選択されたホストの数が表示されます。
    アクションが適用されるホストのリストが表示された状態で、アクションを確認する ダイアログ ボックスが開きます。

Screen shot of the Confirm Action dialog box

  1. アクションを確認するには、アクションを実行する をクリックします。

単一のホストから Host Sensor を削除するには、インストール状態 列で、 をクリックします。

ホストから Host Sensor を手動でアンインストールする方法については、TDR Host Sensor をアンインストールする を参照してください。

全般設定ページで Host Sensor の自動更新が有効化されている場合は、新しいバージョンの TDR が使用可能になると、Host Sensor が自動的に更新されます。詳細については、TDR 全般設定 を参照してください。

新しいバージョンが利用可能になったとき、手動で特定の Host Sensor を更新することができます。Host Sensor を手動で更新できる場合は、インストール状態の列にアイコン が表示されます。

特定のホストを更新するには、以下の手順を実行します。

Host Sensor インストール状態の横にある インストール状態 の列で、 をクリックします。

Host Sensor が新しいバージョンに更新されます。

複数のホストを更新するには、以下の手順を実行します。

  1. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  2. アクション > 更新 の順にクリックします。
    Host Sensor が新しいバージョンに更新されます。

隔離されたホストは、ネットワーク経由で通信することができません。

ホストを隔離するには、Host Sensor の設定で カーネル ホスト隔離アクション を有効化する必要があります。詳細については、TDR Host Sensor 設定を構成する を参照してください。

ホストを隔離するには、以下の手順を実行します。

  1. 隔離するホストの横にあるチェックボックスを選択します。
  2. アクション > ホストを隔離する の順に選択します。

    アクションの確認 - ホストを隔離する ダイアログ ボックスが開きます。
  3. アクションを実行する をクリックします。

    ホストが隔離され、隔離アイコンがセンサー ステータス列に表示されます。

Screen shot of containment icon

ホストを隔離からリリースするには、以下の手順を実行します。

  1. リリースするホストの横にあるチェックボックスを選択します。
  2. アクション > ホストをリリースする の順に選択します。
    アクションの確認 - ホストをリリースする ダイアログ ボックスが開きます。
  3. アクションの実行
    をクリックします。 ホストが隔離からリリースされます。

グループのホストのリストで、ホストが属しているホスト グループを変更できます。これにより、現在のグループからホストが削除されて、別のグループに追加されます。また、すべてのグループからホストを削除することができます。

1 つまたは複数のホストのホスト グループを変更するには、以下の手順を実行します。

  1. デバイス/ユーザー > ホスト の順に選択します。
  2. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  3. アクション > ホスト グループを変更する の順に選択します。
    ホスト グループを変更する ダイアログ ボックスが開きます。

  1. グループ名を入力します。これは、既存のグループでも新規グループでも構いません。
    入力しているときに、既存グループの名前および新規グループを追加するオプションがテキスト ボックスの下に表示されます。
  2. グループを選択するか、または入力した名前で新規グループを追加するオプションを選択します。
    選択されたホストが、選択されたグループに追加されます。新しいグループを追加するオプションを選択した場合は、ホスト グループが追加されます。

ホスト グループから 1 つまたは複数の Host Sensor を削除するには、以下の手順を実行します。

  1. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  2. アクション > ホスト グループを変更する の順に選択します。
    ホスト グループを変更する ダイアログ ボックスが開きます。
  3. グループなし を選択します。
    選択された各ホストは、以前に属していたホスト グループから削除されます。

グループ構成では、グループのみに適用される Host Sensor 設定を指定することができます。グループに指定した設定は、Administrator により構成されたグローバル Host Sensor 設定よりも優先されます。

Host Sensor 構成には、以下の設定が含まれます。

  • Host Sensor 設定 — Host Sensor で許可されているアクションを指定します。
  • Host Sensor 改ざん防止設定 — ユーザーが Threat Detection and Response サービスを変更またはアンインストールできるかどうかを指定します。
  • Host Sensor ドライバ構成設定 — Host Sensor ドライバの設定を有効化または無効化します。最初にグループ固有の Host Sensor 構成上書き設定で変更をテストしている場合を除き、既定設定を維持することをお勧めします。
  • Host Sensor アイコン設定 — Host Sensor システム トレイのアイコン設定を有効化または無効化します。

推奨される Host Sensor 設定の詳細については、TDR 配備のベストプラクティス を参照してください。

各設定の詳細を表示するには、 をクリックします。

ほとんどの Host Sensor 設定では、スライダに設定が有効か無効かが示されています。

— 機能が有効化されています

— 機能が無効化されています

各設定を変更するには、スライダをクリックします。変更は直ちに有効になります。

スライダで有効化または無効化した設定の変更は、保存 をクリックする必要はありません。ベースライン最大遅延時間 (分) テキスト ボックスなど、他のタイプで設定を変更した場合は、保存 をクリックします。

グループの Host Sensor 設定を指定するには、以下の手順を実行します。

  1. グループ ページで、管理するグループの横にある をクリックします。
    そのグループのホスト情報のダイアログ ボックスが開きます。
  2. Host Sensor 構成 タブを選択します。

Screen shot of the Host Sensor Configuration tab

  1. このグループの Host Sensor 設定を有効化するには、このグループの Host Sensor 設定の上書き スイッチをクリックします。
  2. このグループの Host Sensor 設定を構成します。
    これらの設定の詳細については、次を参照してください:TDR Host Sensor 設定を構成する
  3. 保存 をクリックします。

関連情報:

TDR ホストおよび Host Sensor を管理する

TDR Host Ransomware Prevention について