不審なプロセスに対する対応操作を定義する

攻撃に対する修復対応の一環として、不審なプロセスに次の操作を適用できます。

• プロセスを停止する（以下を参照）
• プロセスを隔離する（以下を参照）
• プロセスによる変更をロールバックする（以下を参照）
• 保護計画の許可リストまたはブロックリストにプロセスを追加する（プロセス、ファイル、ネットワークを保護計画のブロックリストまたは許可リストで追加または削除するを参照）

不審なプロセスを停止する

1. サイバーキルチェーンで、修復したいプロセスノードをクリックします。
   Windowsの重要なプロセスや実行されていないプロセスは停止できず、サイバーキルチェーンで無効化されます。
2. 表示されたサイドバーで、[対応操作] タブをクリックします。
3. [修復] セクションで、[プロセスを停止] をクリックします。

   

4. 次のいずれかを選択します。
   • プロセスを停止（特定のプロセスを停止）
   • プロセスツリーを停止（特定のプロセスとその子プロセスを停止）
5. （オプション）コメントを追加します。このコメントは ［アクティビティ］ タブ（単一のノードまたはインシデント全体）に表示され、自分（または他のユーザー）がインシデントを再度利用する際に、操作を実行した原因を思い出すヒントになります。
6. [停止] をクリックすると、プロセスが停止します。
   関連するアプリケーションは終了し、保存されていないデータは失われます。

   この操作は、個別のノードとインシデント全体の [アクティビティ] タブで確認することもできます。詳細については、インシデントを軽減するために実行される操作を理解するを参照してください。

不審なプロセスを隔離するには

1. サイバーキルチェーンで、隔離したいプロセスノードをクリックします。
   Windowsの重要なプロセスは隔離できず、サイバーキルチェーンで無効化されます。
2. 表示されたサイドバーで、[対応操作] タブをクリックします。
3. [修復] セクションで、[検疫] をクリックします。

   

4. （オプション）コメントを追加します。このコメントは ［アクティビティ］ タブ（単一のノードまたはインシデント全体）に表示され、自分（または他のユーザー）がインシデントを再度利用する際に、操作を実行した原因を思い出すヒントになります。
5. [検疫] をクリックします。プロセスが停止され、隔離されます。
   このプロセスは、マルウェア対策保護で利用可能な隔離セクションに追加され、管理されます。

   この操作は、個別のノードとインシデント全体の [アクティビティ] タブで確認することもできます。詳細については、インシデントを軽減するために実行される操作を理解するを参照してください。

ロールバックを変更するには

1. サイバーキルチェーンで、変更をロールバックしたいプロセスノードをクリックします。
   この操作は、検出ノード（赤または黄色で表示されるノード）のみで利用可能です。
2. 表示されたサイドバーで、[対応操作] タブをクリックします。
3. [修復] セクションで、[変更をロールバック] をクリックします。

   

   ロールバック処理では、必ずローカルキャッシュ内の項目からリカバリが実行されます。バックアップアーカイブからのロールバックは今後のリリースで利用可能になる予定です。
4. ロールバックによる変更の影響を受ける項目を表示するには、影響を受ける項目リンクをクリックします。表示されるダイアログには、ロールバックによって戻されるすべての項目（ファイル、レジストリ、スケジュールされたタスク）と操作（削除、復元、なし）が表示されます。さらに、復元された項目がローカルキャッシュまたはバックアップの復元ポイントのいずれから復元されるかを確認できます。

   

5. （オプション）コメントを追加します。このコメントは ［アクティビティ］ タブ（単一のノードまたはインシデント全体）に表示され、自分（または他のユーザー）がインシデントを再度利用する際に、操作を実行した原因を思い出すヒントになります。
6. [ロールバック] をクリックします。ロールバック機能は、プロセスによって行われたレジストリ、ファイル、スケジュールされたタスクの変更を元に戻すものです。以下の手順によって実行できます。
   1. 脅威（およびその子脅威）によって作成された新しいエントリ（レジストリ、スケジュールされたタスク、ファイル）はすべて削除されます。
   2. 脅威（およびその子脅威）が、攻撃前にワークロード上に存在したレジストリ、スケジュールされたタスク/ファイルに加えた変更は、すべて元に戻されます。
   3. ロールバックでは、ローカルキャッシュを利用した項目のリカバリが試行されます。リカバリできない項目については、EDRがクリーンなバックアップイメージから自動的にリカバリします。

   このロールバック操作は、個別のノードとインシデント全体の [アクティビティ] タブで確認することもできます。詳細については、インシデントを軽減するために実行される操作を理解するを参照してください。