プロセス、ファイル、ネットワークを保護計画のブロックリストまたは許可リストで追加または削除する

攻撃に対する予防的対応の一環として、保護計画の許可リストまたはブロックリストにノードを追加できます。

ノードの安全性が確認済みで、今後検出されないようにしたい場合、ノードを許可リストに追加できます。ノードをブロックリストに追加し、今後そのノードが実行されないようにします。

また、許可リストまたはブロックリストからノードを削除して、そのノードへの今後のアクセスを許可または防止することもできます。

このオプションは以下のサイバーキルチェーンノードで利用できます。

• プロセス
• ファイル
• ネットワーク

プロセス、ファイル、ネットワークを保護計画のブロックリストで追加または削除するには

1. サイバーキルチェーンで、修復したいプロセス、ファイル、またはネットワークノードをクリックします。
2. 表示されたサイドバーで、[対応操作] タブをクリックします。

3. [防止] セクションで、[ブロックリスト] の横の矢印アイコンをクリックします。

   

4. この操作を適用したい関連する保護計画を選択します。
5. （オプション）コメントを追加します。このコメントは ［アクティビティ］ タブ（単一のノードまたはインシデント全体）に表示され、自分（または他のユーザー）がインシデントを再度利用する際に、操作を実行した原因を思い出すヒントになります。
6. [追加] をクリックします。

   操作が実行され、プロセス、ファイル、またはネットワークは今後起動されないようになります。

   また、プロセス、ファイル、またはネットワークが以前にブロックリストに追加されているけれど、現在はブロックリストから削除したい場合は、[削除] をクリックします。これにより、今後そのノードにアクセスできるようになります。

   この追加または削除の操作は、個別のノードとインシデント全体の [アクティビティ] タブで確認することもできます。詳細については、「インシデントを軽減するために実行される操作を理解する」を参照してください。

プロセス、ファイル、ネットワークを保護計画の許可リストで追加または削除するには

1. サイバーキルチェーンで、修復したいプロセス、ファイル、またはネットワークノードをクリックします。
2. 表示されたサイドバーで、[対応操作] タブをクリックします。

3. [防止] セクションで、[許可リスト] の横の矢印アイコンをクリックします。

   

4. この操作を適用したい関連する保護計画を選択します。
5. （オプション）コメントを追加します。このコメントは ［アクティビティ］ タブ（単一のノードまたはインシデント全体）に表示され、自分（または他のユーザー）がインシデントを再度利用する際に、操作を実行した原因を思い出すヒントになります。
6. [追加] をクリックします。

   操作が実行され、プロセス、ファイル、またはネットワークは今後検出されないようになります。

   また、プロセス、ファイル、またはネットワークが以前に許可リストに追加されているけれど、現在は許可リストから削除したい場合は、[削除] をクリックします。これにより、今後そのノードにアクセスできないようになります。

   この追加または削除の操作は、個別のノードとインシデント全体の [アクティビティ] タブで確認することもできます。詳細については、「インシデントを軽減するために実行される操作を理解する」を参照してください。