ワークロードのネットワーク分離を管理する

EDRにより、ワークロードのネットワーク分離を管理し、ラテラルムーブメントやコマンドと制御(C&C)アクティビティを阻止できます。要件に応じて、さまざまな分離オプションを選択できます。なお、ワークロードが分離された場合でも、すべてのAcronis Cyber Protect技術は機能しており、十分な調査が可能です。

ネットワークからワークロードを分離するには

  1. サイバーキルチェーンで、修復したいワークロードのノードをクリックします。
  2. 表示されたサイドバーで、[対応操作] タブをクリックします。
  3. [修復] セクションで、[ネットワーク分離を管理] をクリックします。

    ネットワークステータスの値は、ワークロードの現在のネットワーク接続状態を示しています。値に分離済みと表示された場合、分離されたワークロードをネットワークに再接続できます(以下の手順を参照)。ワークロードがオフラインの場合でも、ワークロードを分離できます。ワークロードがオンラインに戻ると、自動的に分離状態になります。

  4. [分離後にすぐ実行する操作] ドロップダウンリストで、以下のいずれかを選択します。

    • 分離のみ

    • ワークロードを分離してバックアップ

    • フォレンジックデータを伴うワークロードを分離してバックアップ

    • ワークロードを分離してパワーオフ

    ワークロードのバックアップ先と暗号化オプションの定義の詳細については、ワークロード/ファイルのバックアップを復元および管理するを参照してください。

  5. (オプション)[表示するメッセージ] フィールドで、エンドユーザーが分離されたワークロードにアクセスするときに表示するメッセージを追加します。例えば、ワークロードが分離されており、ワークロードに対する送受信のネットワークアクセスが現在利用できないことをユーザーに知らせることができます。なお、このメッセージはトレイモニターの通知としても表示され、ユーザーがメッセージを削除するまで表示されます。
  6. (オプション)[コメント] フィールドに、コメントを追加します。このコメントは [アクティビティ] タブ(単一のノードまたはインシデント全体)に表示され、自分(または他の人)がインシデントを再度利用する際に、操作を実行した原因を思い出すヒントになります。
  7. [ネットワーク除外の管理] をクリックして、分離中のワークロードにアクセスできるポート、URL、ホスト名、およびIPアドレスを追加します。詳細については、「ネットワーク除外を管理」を参照してください。
  8. [分離] をクリックします。

    このワークロードは分離されています。この操作は、個別のノードとインシデント全体の [アクティビティ] タブで確認することもできます。詳細については、インシデントを軽減するために実行される操作を理解するを参照してください。

    ワークロードは、Cyber Protectコンソールの [ワークロード] メニューに分離済みとして表示されます。1つまたは複数のワークロードを分離するには、[ワークロード] > [エージェントを含むワークロード] メニューから、関連するワークロードを選択し、右サイドバーで [ネットワーク分離を管理] を選択します。表示されたダイアログで、ネットワークの除外を管理し、[分離] または [すべて分離] をクリックして、選択したワークロードを分離できます。

分離されたワークロードをネットワークに戻すには

  1. サイバーキルチェーンで、再接続したいワークロードのノードをクリックします。

    分離済みのワークロードが現在オフラインの場合でも、ワークロードをネットワークに再接続できます。ワークロードがオンラインに戻ると、自動的に接続済みのステータスに切り替わります。
  2. 表示されたサイドバーで、[対応操作] タブをクリックします。
  3. [修復] セクションで、[ネットワーク分離を管理] をクリックします。
  4. 以下のいずれかを選択します。
    • 直ちにネットワークに接続する:ワークロードはネットワークに再接続されます。
    • ネットワークに接続する前に、バックアップからワークロードをリカバリする:ワークロードをリカバリする復元ポイントを選択します。
      1. [復元ポイント] フィールドで、[選択] をクリックします。
      2. 表示されたサイドバーで、該当する復元ポイントを選択します。
      3. ワークロード上のすべてのファイルとフォルダを復元するには、[リカバリ] > [ワークロード全体] をクリックします。

        または

        ワークロード上の特定のファイルとフォルダを復元するには、[リカバリ] > [ファイル/フォルダ] をクリックします。その後、関連するファイルやフォルダを選択する画面が表示されます。選択した後、[リカバリする項目] フィールドの該当する値をクリックすると、項目のリストを表示することができます。

        選択した復元ポイントが暗号化されている場合は、パスワードの入力が求められます。
  5. (オプション)[ワークロードの自動的な再起動(必要な場合)] チェックボックスを選択します。このオプションは、手順4で [リカバリ] > [ワークロード全体] を選択した場合にのみ関連します。
  6. (オプション)[表示するメッセージ] フィールドで、エンドユーザーが接続済みワークロードにアクセスするときに表示するメッセージを追加します。例えば、ワークロードにバックアップが復元されたこと、ワークロードとの送受信ネットワークアクセスが再開されたことをユーザーに知らせることができます。
  7. (オプション)[コメント] フィールドに、コメントを追加します。このコメントは [アクティビティ] タブ(単一のノードまたはインシデント全体)に表示され、自分(または他の人)がインシデントを再度利用する際に、操作を実行した原因を思い出すヒントになります。
  8. 手順4で [直ちにネットワークに接続する] を選択している場合、[接続] をクリックします。

    または

    手順4で [ネットワークに接続する前に、バックアップからワークロードをリカバリする] を選択している場合、[リカバリと接続] をクリックします。

    ワークロードはネットワークに再接続され、ワークロードに対するすべてのネットワークアクセスの制限は解除されます。

    また、1つまたは複数の分離済みワークロードに接続するには、Cyber Protectコンソールの [ワークロード] > [エージェントを含むワークロード] メニューから、関連するワークロードを選択し、右サイドバーで [ネットワーク分離を管理] を選択します。表示されたダイアログで、[接続] または [すべて接続] をクリックして、選択したワークロードをネットワークに再接続します。

ネットワーク除外を管理するには

ワークロードが分離されており、すべてのAcronis Cyber Protect技術が動作している場合でも、追加のネットワーク接続の確立が必要となるシナリオも考えられます(例えば、ワークロードから共有ディレクトリにファイルをアップロードする必要がある場合など)。このようなシナリオでは、ネットワーク除外を追加することができますが、除外を追加する前に、脅威が除去されていることを確認する必要があります。
  1. [対応操作] タブの [修復] セクションで、[ネットワーク除外を管理] をクリックします。
  2. ネットワーク除外のサイドバーで、関連する除外を追加します。利用可能な各オプション(ポート、URLアドレス、ホスト名/IPアドレス)について、以下の操作を実行します。
    1. [追加] をクリックし、関連するポート、URLアドレス、またはホスト名/IPアドレスを入力します。
    2. [トラフィックの方向] ドロップダウンリストで、[受信および送信接続][受信接続のみ][送信接続のみ] のいずれかを選択します。
    3. [追加] をクリックします。
  3. [保存] をクリックします。