インシデント全体を修復する

インシデント全体を修復することで、インシデントに対してグローバルに実行する修復(複数可)を迅速かつ簡単に選択できます。エンドポイント検知と応答(EDR)では、修復プロセスのステップバイステップガイドが提供されています。

ネットワークとインシデントをさらに細かく管理する必要がある場合は、個別のサイバーキルチェーンノードに対する対応操作を参照してください。

インシデント全体を修復するには

  1. Cyber Protectコンソールで、[保護] > [インシデント] に進みます。
  2. 表示されたインシデントのリストで、調査するインシデントの最右列のをクリックします。選択したインシデントのサイバーキルチェーンが表示されます。

  3. [インシデント全体を修復] をクリックします。[インシデント全体を修復] ダイアログが表示されます。

  4. インシデントの調査に基づき、[アナリスト評価] セクションで次のいずれかを選択します。
    • 真陽性:実際の攻撃であることが確認された場合に選択します。選択した後、修復および予防操作を追加します(次の手順を参照)。
    • 偽陽性:実際の攻撃ではないことが確認された場合に選択します。このモードでは、インシデントを保護計画の許可リストに追加するなど、再発防止策を定義できます。
      [偽陽性] を選択すると、予防操作のみを定義できます。詳細については、偽陽性インシデントを修復するを参照してください。
  5. [修復操作] セクションで、次の修復手順を実行します。例えば、手順1が完了する前に手順2を選択することはできませんのでご注意ください。
    1. 手順1 - 脅威を停止:このチェックボックスを選択して、脅威に関連するすべてのプロセスを停止します。
    2. 手順2 - 脅威を隔離:脅威が停止したら、このチェックボックスを選択して、悪意ある不審なプロセスやファイルをすべて隔離します。
    3. 手順3 - ロールバックの変更:脅威が隔離された後、このチェックボックスを選択して、脅威(およびそのすべての子脅威)によって作成された新しいレジストリエントリ、スケジュールされたタスク、ファイルをすべて削除します。ロールバックプロセスが実行されると、攻撃前にワークロード上に存在したレジストリ、スケジュールされたタスク、ファイルに対して脅威(またはその子脅威)が加えた変更が元に戻されます。ロールバックプロセスでは、速度を最適化するために、ローカルキャッシュを利用した項目のリカバリが試行されます。リカバリに失敗した項目については、システムによりバックアップイメージからのリカバリが実行されます。
      ロールバック処理では、必ずローカルキャッシュ内の項目からリカバリが実行されます。バックアップアーカイブからのロールバックは今後のリリースで利用可能になる予定です。

      関連するバックアップへのアクセスが暗号化されている場合は、[この対応操作により、保存済み資格情報を使用して暗号化されたバックアップにアクセスできるようにする] チェックボックスを選択します。暗号化されたアーカイブを復号化し、関連ファイルを検索するために、EDRから保存されているユーザーの資格情報へのアクセスが発生します。

      [影響を受ける項目] をクリックして、ロールバックによって影響を受けるすべての項目(ファイル、レジストリ、スケジュールされたタスク)、適用された操作(削除復元なし)、ローカルキャッシュまたはバックアップイメージから項目を復元するかどうかのオプションを表示することもできます。

    4. ワークロードをリカバリ:上記の修復手順のいずれかが完全に、または部分的に失敗した場合にワークロードをリカバリするには、このチェックボックスを選択します。

      次の復元オプションのいずれかを選択します。

      • バックアップからワークロードをリカバリ:特定の復元ポイントからワークロードをリカバリできるようにします。復元ポイントの編集アイコンをクリックして、復元用バックアップの一覧から選択します。
      • ディザスタリカバリフェールオーバー:保護計画でこの機能を有効にしている場合に、ディザスタリカバリを実行できるようにします。ADサーバーやデータベースサーバーなどの重要なワークロードでは、このオプションの使用を推奨します。詳細については、ディザスタリカバリを実装するを参照してください。
  6. [予防操作] セクションで、関連する修復手順を選択します。
    • ブロックリストに追加:このチェックボックスを選択し、表示された保護計画のリストから、該当する保護計画を選択します。この予防操作により、選択された保護計画について、インシデントのすべての検出が実行されないようにブロックできます。
    • ワークロードにパッチを適用:このチェックボックスを選択すると、脆弱性のあるソフトウェアにパッチが適用され、攻撃者がワークロードにアクセスするのを防止できます。次に、ユーザーがログインしているかどうかに応じて、パッチ完了後に実行する関連処理(再起動しない再起動必要な場合に限り再起動)を選択できます。

      [バックアップ中は再起動しない] チェックボックスを選択して、バックアップ中にワークロードが再起動されないようにすることもできます。

  7. [インシデントの調査ステータスを変更:クローズ済み] チェックボックスを選択します。選択しない場合、調査ステータスは以前のステータスのままです。
  8. [修復] をクリックします。選択した修復操作が段階的に実行され、各修復ステップの進行状況が [インシデント全体を修復] ダイアログに表示されます。

    クリックすると、[アクティビティに移動] ボタンが表示されます。[アクティビティに移動] をクリックして、インシデントに適用されたすべての対応操作を確認します。詳細については、インシデントを軽減するために実行される操作を理解するを参照してください。