TDR 修正を監視する

修正ページで、Administrator と Analyst はすべての修正済みインジケータの概要を表示すること、棒グラフと円グラフを作成すること、および複数のホストの手動アクションを完了することができます。修正済みの脅威の重大度を強調表示するために、修正ページには修正前のインジケータの元のスコアである前のスコアが表示されます。Observer はページを表示することしかできません。

修正を表示する

TDR ダッシュボードで、インジケータ タイムラインを使用して、解決済みのインジケータ タイムラインを表示できます。解決済みのインジケータのバブルをクリックすると、修正ページがフィルタリングされた表示に切り替わります。インジケータ タイムラインの詳細については、次を参照してください:TDR ダッシュボード

また、ThreatSync > 修正 の順に選択すると、修正ページに直接移動することができます。

Screen shot of the Remediation Threat Count

修正済みの脅威カウント

既定では、修正ページの上部に 修正済みの脅威カウント が表示されます。このグラフは、システムのすべての修正済みインジケータを視覚的にまとめたものです。修正は、修正前のインジケータに割り当てられていた以前のスコアに基づいて分類されます。それぞれのバブルの数とサイズは、各カテゴリの以前のスコアが入った修正済みインジケータの総数を示しています。

  • 重大 — スコア 8、9、または 10
  • — スコア 6 または 7
  • 中/低 — スコア 3、4、または 5

修正済みの脅威カウントには、システムのすべての修正が含まれています。これらのカウントが、修正ページに設定されているフィルタに基づいて変更されることはありません。

別のグラフを生成した後に、修正済み脅威カウントの概要を表示するには、 をクリックします。

修正済みインジケータ

ThreatSync > 修正 の順に選択すると、前のスコアが 6 以上のインジケータで過去 24 時間以内に修正されたものが表示されるように、修正ページのフィルタが設定されます。列ヘッダーを使用して、フィルタをクリアまたは変更します。

  • すべてのフィルタをクリアするには、 をクリックして、クリア を選択します。
  • フィルタを適用または変更するには、列ヘッダーで制御を選択します。

インジケータを検索するには、検索 テキスト ボックスに、検索する単語または値を入力します。検索では、ファイル名、MD5 値、IP アドレス、DNS 名、またはインジケータに関連付けられている URL のテキストで検索することができます。

修正リストには、ステータス情報と要求されたアクションが入ったインジケータのリストが表示されます。同じインジケータは複数回 (アクションごとに 1 回) リストに表示されます。これにより、各インジケータのすべてのアクションを簡単に確認できるようになります。

各インジケータについて、修正リストには以下の情報が含まれています。

  • 前のスコア — 修正アクションが完了する前に、インジケータに割り当てられていた前のスコア。
    脅威スコアの詳細については、次を参照してください:TDR 脅威スコアについて
  • ソース — インジケータのソース:Host Sensor () または Firebox ()。
  • インジケータ — インジケータの詳細。次のセクションで説明されているように、インジケータの種類でこの列をフィルタリングすることができます。詳細を表示するには、追加情報をクリックします。インジケータの詳細については、次を参照してください:TDR インジケータを管理する
  • ホスト/IP — ホスト システムのホスト名または IP アドレス。
  • ユーザー — ユーザーのユーザー名。
  • 要求されたアクション — Host Sensor からのインジケータに対して Threat Detection and Response により推奨されるアクション。
  • 結果 — 実行された修正アクション (これがある場合)。アクション ログおよび修正履歴を表示するには、 をクリックします。
  • 管理ユーザー — 修正アクションを完了したユーザー。Threat Detection and Response によりアクションが完了された場合は、ユーザーは システム となります。
  • アクション日付 — アクションが完了した日時。
  • 修正日 — このインジケータの修正アクションが完了した日時。

インジケータを修正できるアクションについては、次を参照してください:TDR 修正アクションおよび脅威スコア

アクション

修正ページで、選択されたインジケータの以下のアクションを選択することができます。

許可リスト

このアクションにより、既知の安全なファイルまたはプロセスとして、このインジケータが許可リストに追加されます。このアクションを選択すると、インジケータの MD5 値で許可リストの署名上書きが作成されます。許可リストに関する詳細については、TDR の署名上書きを構成する を参照してください。

検疫されたファイルを元に戻す

このアクションにより、ファイルが検疫から削除されます。検疫からファイルを削除するアクションを実行すると、そのファイルは自動的に許可リストに追加されます。

検疫された HRP を元に戻す

このアクションにより、 Host Ransomware Prevention (HRP) アクションに関連するすべてのファイルが検疫から削除されます。検疫から削除されたファイルは、自動的に許可リストに追加されます。

検疫からファイルを削除するアクションの詳細については、次を参照してください:検疫からファイルを削除する

これらのアクションのいずれかを選択すると、インジケータはもはや脅威とみなされなくなり、修正ページから削除されます。

修正グラフを作成およびエクスポートする

既定では、修正ページの上部に、修正済みの脅威カウントが表示されます。これは、アカウントで修正済みのすべてのインジケータをまとめたものです。また、修正ページで、修正済みのインジケータのフィルタリングされたリストに基づいて、グラフを生成することができます。

グラフを作成するには、以下の手順を実行します。

  1. グラフに含める修正済みのインジケータが表示されるようにフィルタを設定します。
  2. グラフの種類を選択するには、

    棒グラフ

    円グラフ

    積み上げ棒グラフ

    のいずれかのアイコンをクリックします。
  3. 各グラフの上部にあるグラフ オプションを選択します。

修正 ページのグラフは、インジケータ ページのグラフと同じです。グラフのオプションおよびグラフをエクスポートする方法の詳細については、次を参照してください:TDR インジケータを管理する

関連情報:

TDR インジケータを管理する

TDR 脅威スコアについて

TDR 修正アクションおよび脅威スコア