TIE の機能を効果的に利用するためには、繰り返しと拡張が可能なワークフローを採用してください。 理想的なプロセスでは、管理対象環境内での影響の大きさまたは蔓延状況によって、詳細な分析の優先順位を付ける、じょうご状の複数のステージを定期的に繰り返します。
アクティビティ:
TIE によって ePolicy Orchestrator (ePO) 内で次のアクティビティが可能になります。
-
評価:
[TIE サーバー ファイル] と [TIE サーバー証明書] のすぐに使用できる各ダッシュボードには、過去 1 週間に検出された新しいファイル、変更されたファイル、および不審なファイルが含まれています。 これらのダッシュボードを使用して、環境の正常性をすばやく評価することができます。 これらのダッシュボードは、優先順位付け段階と分析段階への入り口として役立ちます。 ダッシュボードのグラフやテーブルで、集計されたデータの詳細にドリルダウンすることができます。
[ダッシュボード] → [TIE サーバー ファイル] [
ダッシュボード] → [TIE サーバー証明書]
既存の使用可能なクエリーとクイック検索ウィジェットを使用して、カスタム ダッシュボードを作成することもできます。
[ダッシュボード] → [ダッシュボード アクション] → [新規作成]
-
優先順位付け:
[TIE レピュテーション] ページには、不正なファイルまたは不明なファイルに焦点を当てて、分析を優先順位付けするための事前に用意されたフィルターが含まれています。
[TIE レピュテーション[ → [ファイル検索] → [カスタム] → [不正なファイル]
[TIE レピュテーション] → [ファイル検索] → [カスタム] → [GTI で不明]
ePO クエリー システムを使用して、レピュテーション スコアやレピュテーション プロバイダーなどのデータ ポイント、および製品名や会社名などのファイル属性によってカスタム フィルターを作成することができます。
[TIE レピュテーション] → [ファイル検索] → [カスタム] → [追加]
-
分析:
さらに分析するために項目を選択すると、[関連するファイルの詳細] タブの詳細、および [詳細情報] タブの動作の洞察にドリルダウンすることができます。
TIE では、[エンタープライズ] の [数] や [最初のコンタクト] を含む、ローカルの蔓延状況に関する貴重な会社固有の情報を提供します。
ePO の [アクション] メニューでは、ファイルからその親、その署名証明書、またはそのファイルが実行されたホストのリストにピボットできます。
[TIE レピュテーション] → [項目の選択] → [アクション] → [関連するファイルの詳細]
[TIE レピュテーション] → [項目の選択] → [アクション] → [ファイルの親
] [TIE レピュテーション] → [項目の選択] → [アクション] → [関連するファイルの詳細
] [TIE レピュテーション] → [項目の選択] → [アクション] → [ファイルの実行場所]
-
対応:
次に示すように、不審なインジケーター (兆候を示すもの) に対応するためのオプションがいくつかあります。
- 手動で設定を上書きすると、すでに実行中のマルウェアを修正して、その後の実行から保護できます。
[TIE レピュテーション] → [項目の選択] → [アクション] → [不正な可能性が非常に高いファイル] または [信頼できる可能性が非常に高いファイル]
- 各システムに「侵害」とタグを付けて、ePO クエリーを使用してそれらをリストします。
[システム ツリー] → [項目の選択] → [アクション] → [System Health Indicator] (システム状態のインジケーター) → [「侵害の可能性」に設定]
ワークフロー:
ワークフローのサイクルは次のようになります。
拡張:
インジケーターの数が増加した場合に次のように拡張します。
- 事前定義のコメントを使用して手動の上書きにタグを付けて、カスタム フィルターを使用してタグを検索し、複数のインシデント対応者に分析を分割します。
- システム状態のインジケーターに対するカスタム クエリーを使用して、侵害されたシステムを正確に特定して、別の専用のチームによる修復アクションを実行できるようにします。
ステージング:
中断が最小限になるように新しいベース イメージを管理対象環境に追加するには、次のようにします。
- TIE を Advanced Threat Defense と統合している場合、新しいベース イメージまたは更新されたベース イメージ内で不明なバイナリを手動で実行して、そのイメージを広範に配布する前にそれらに対して強制的にサンドボックス分析を実行します。
- 新しいベース イメージまたは更新されたベース イメージ内に Global Threat Intelligence レピュテーションなしのバイナリがある場合は、サンプルがスキャンされるように GetClean ツールまたは GetSusp ツールを実行します。 詳しくは、 KB69385 を参照してください。
- STIX のインポートのウィザードを使用して、新しいファイルをチェックインします。これは、このチェックインによって実際のインポートを行う前にハッシュに関するレピュテーションと蔓延状況などのローカルの情報を評価できるためです。
[TIE レピュテーション] → [ファイルの上書き] → [アクション] → [STIX のインポート]