セキュリティ運用アクションとは何ですか?
セキュリティ運用 (SecOps) アクションは、エンドポイント セキュリティまたは EDR ワークフローで使用できるコントロールであり、管理者は検出を確認し、セキュリティ コンソール内でステータスの更新、詳細の調査、応答タスクの実行などのフォローアップ手順を実行できます。Kandji Endpoint Detection & Responseでは、これらのアクションは脅威ページに表示され、レビューと修復の進行状況を追跡するための検出のステータスの更新が含まれます。
EDR での SecOps アクションの使用
Endpoint Detection の [脅威] ページの [ステータス] アクションを使用すると、検出イベントの作業中に検出イベントを追跡および更新できます。管理者は手動で検出をオープンまたはクローズとしてマークできますが、Kandji は検出が最初に発生した日時や解決された時間など、タイミングに基づいて他のステータスを自動的に割り当てます。これにより、一貫したワークフローが作成され、何が新着情報、何に注意が必要か、何が処理されたかを確認できるため、脅威のトリアージやフリート全体の進捗状況の追跡が容易になります。
[ ステータス] 列は、[ ファイル検出] テーブルと [動作検出 ] テーブルの両方で使用できます。
(1).png)
ステータスタイプ
検出イベントには、次の 4 つのステータスのいずれかがあります。
新規 – 過去 24 時間以内に発生しました。
オープン – まだクローズとしてマークされていません。
クローズ – 手動でクローズとしてマークすることで解決されます。
アーカイブ済み – 30 日以上休業しています。
自動管理:新規およびアーカイブ済みステータスは、Kandjiによって自動的に設定されます。検出は、オープンとクローズの間で手動で変更できます。
ステータスによるフィルタリング
[ 脅威] ページでステータスで検出イベントをフィルタリングできます。
イベントフィルター – デフォルトでは、 新規、 オープン、 およびクローズ イベントが表示されます。 アーカイブされたイベントは、 選択しない限り非表示になります。
デバイスフィルター – サイドパネルにあり、 オープン または クローズ検出 でデバイスをフィルタリングできます。
検出ステータスの変更
ステータスを定期的に更新すると、検出リストの正確性が保たれ、アクティブな脅威のフィルタリングが改善されます。
1 つ以上の検出のステータスを変更するには:
チェックボックスを使用して検出を選択します。
アクションバーの 「ステータスの変更」 をクリックします。
ドロップダウンメニューから新しいステータスを選択します。
[ 変更 ] をクリックして適用します。
検出は、個別に、または一括で更新できます。