知識ベース

サポートの概要に戻る

TeamViewer Endpoint Protectionは、あらゆる種類の脅威からエンドポイントを継続的に保護します。 マネージド検知と対応は、脅威に対する高精度の対応を提供することで、この保護をさらに強化します。TeamViewer Endpoint Protectionは、重要な脅威の滞留時間を短縮し、より迅速な平均解決時間(MTTR)を提供することで、コスト削減、ダウンタイムの短縮、脅威ハンティングの全体的な有効性の向上を実現します。

この記事は、MDRアドオンを使用している TeamViewer Endpoint Protection のお客様に適用されます。

 

マネージド検知と対応の機能

  • 24x7x365 セキュリティ監視 は、エンドポイント検出と対応 (EDR) テクノロジーと人間の専門知識を駆使して、エンドポイントのアクティビティに不審なイベントがないか監視します。
  • 脅威インテリジェンスや行動分析などの高度なツールと手法を活用した高度な脅威検出により、最も斬新な脅威も特定し、阻止します。
  • 訓練を受けたセキュリティ専門家による脅威の検出と分析により、検出された脅威の重大度と潜在的な影響を判断します。
  • 脅威ハンティング:セキュリティアナリストがネットワーク内の隠れた脅威を積極的に検索します。
  • 柔軟な修復オプション により、MDRチームは脅威が発見されたときに積極的に修復したり、ITチームが修復作業で従うべき非常に実用的なガイダンスを提供したりできます。

最初のステップ

TeamViewerは、アカウントでサービスが有効になると、ポップアップで確認メッセージが表示されます。MDR の設定ボタンを選択して、初期設定に進みます。

次の画面で、主要連絡先、バックアップ連絡先、代替連絡先を設定します。主要連絡先のドロップダウンメニューを選択し、企業プロファイルから任意のメンバーを選択します。自動的に入力されない場合は、連絡先の主要電話番号を入力してください。

注意: 主要連絡先のみが必要です。必要に応じて予備連絡先や代替連絡先を追加できます。

修復の認証セクションでは、脅威が発生した場合に、ThreatDownによる管理型修復を利用するか、ガイド型修復を利用するかを選択できます:

 

  • 管理型 ThreatDown (ThreatDown managed)が選択された場合、脅威は再起動、再イメージング、その他のタスクなしで自動的に修復されます。
  • ガイド付き修復を選択した場合は、再起動などの他のタスクの必要性を含め、潜在的な脅威を修復するための手順が案内されます。

最後のセクションである隔離の承認では、セキュリティ応答が必要な場合に、エンドポイントをユーザーに代わって分離することを承認するかどうかを選択します。これにより、ワークステーションとサーバーの両方が認証されます。

完了したら、画面の右上隅にある保存をクリックします。ポップアップ通知が表示され、マネージド検出・応答機能が有効になったことが示されます。 

注意: マネージド検出・応答を有効化する前に、EDR を有効化する必要があります。 エンドポイントの検出と対応を有効化する前に MDR アドオンを有効化しようとすると、エラー メッセージが表示されます。

エンドポイントの保護を最適化するためのマネージド検出と応答の設定方法

マネージド検出と応答が正常に動作するには、EDRの特定の設定が必要です。これらの設定は、エンドポイント保護ポリシー設定で確認できます。この設定にアクセスするには、管理者設定に移動し、デバイス管理ポリシーを選択します。すでにポリシーが作成されている場合は、このポリシーを編集できます。そうでない場合は、ポリシーのドロップダウンから エンドポイント保護を選択して、新しいポリシーを作成できます。適切なOSの下で、以下の設定が有効になっていることを確認してください。

  1. 不審なアクティビティの監視 - エンドポイント上のプロセス、レジストリ、ファイルシステム、ネットワークアクティビティを監視し、悪意のある可能性のある動作を検出します。機械学習モデルとクラウドベースの分析を活用し、疑わしいアクティビティが発生した際に検知します。
  2. サーバーオペレーティングシステムの監視 - この機能を有効にするには、「不審なアクティビティの監視」が有効である必要があります。
  3. 隔離時のエンドポイントロック - エンドポイント間の通信やアクセスを制限することで、脅威の拡散を一時的に防止します。隔離されたエンドポイントは、コンソールとの通信やNebulaプロセスの実行が引き続き可能です。
  4. ランサムウェアロールバック - Windowsエンドポイントに対してランサムウェアによって引き起こされた被害を修復します。独自の復元プロセスにより、脅威による損害を逆転させます。マルウェア除去エンジンと連携するロールバックキャッシュにより、エンドポイントエージェントがマルウェアによって削除または暗号化されたファイルを復元することが可能です。

5. 不審なアクティビティの監視 - エンドポイント上のプロセス、レジストリ、ファイルシステム、ネットワークアクティビティを監視し、悪意のある可能性のある動作を検出します。機械学習モデルとクラウドベースの分析を活用して、疑わしいアクティビティが発生した際に検知します。

6. 隔離時のエンドポイントロック - エンドポイント間の通信やアクセスを制限することで、脅威の拡散を一時的に防止します。隔離されたエンドポイントは、コンソールとの通信やNebulaプロセスの実行が引き続き可能です。

MDRポータルへのアクセス方法

マネージド検知・応答(MDR)ポータルは、サービスのあらゆる側面を管理します。このポータルには、設定または検知タブにあるNebulaボタンを選択することでアクセスできます。Nebulaにアクセスしたら、マネージド サービスを選択して、報告されたすべてのケースとインシデントを表示します。

MDRポータルを確認する

ThreatDown を利用した MDR ポータルは、ライセンスの制御ダッシュボードです。ポータル内のマネージド サービスタブでは、すべてのMDR レポートを表示し、必要なアクションを実行できます。

マネージド サービスは 2 つの主要セクションに分かれています:

概要

概要 タブでは、一連の対話型ウィジェットを通じて、マネージド サービスケースの概要を一元的に提供します。これらのウィジェットは、ケースアクティビティに関する一目でわかる洞察を提供するように設計されており、ユーザーが Nebula 環境のセキュリティ体制を効果的に監視および評価するのに役立ちます。簡潔で関連性の高いデータを表示することにより、概要タブは、傾向の理解、懸念領域の特定、およびアクションの優先順位付けの開始点として機能します。

このタブは、環境内の悪意のあるアクティビティをすばやく把握するのに特に役立ちます。時間指定のフィルタリングをサポートしているため、ユーザーは表示される情報の範囲を特定の期間に絞り込むことができます。この機能により、選択した期間内で傾向の分析やインシデントの調査が容易になります。

概要タブでは次のウィジェットが使用でき、それぞれ特定の目的を果たします:

  1. ステージ別症例: ステージ別のケース: このウィジェットは、インシデント対応ライフサイクルの現在のステージに基づいてケースを分類することにより、ケースアクティビティの概要を提供します。これにより、ユーザーは、ケースが新しく開かれたか、調査中か、解決済みかなど、ケースの進行状況を追跡できます。
  2. 優先度ごとのケース: このウィジェットには、優先度別にグループ化された未解決のケースの数が表示されます。各ケースの緊急性を強調表示することで、ユーザーはすぐに対応が必要な優先度の高いケースをすばやく特定し、重大な問題に迅速に対処できるようになります。
  3. 主なケースクローズ理由: このウィジェットは、アナリストによって判断された、ケースをクローズする最も一般的な理由を特定します。これらの傾向をまとめると、ケース解決を促進する繰り返し発生する要因に関する貴重な洞察が得られ、チームが対応戦略を最適化し、将来の結果を改善するのに役立ちます。

ケース

マネージド サービスページのケースタブには、未解決のケースとその詳細のリストが表示されます。ケースタブでは次の情報を確認できます:

  • アラート: ケースに関連付けられた検出の数
  • 割り当てられたアナリスト:  ケースに割り当てられたアナリスト
  • ケース名: 検出 (DE) または疑わしいアクティビティ (SA) の後に、検出のエンドポイント名とパスが続きます。
  • クローズ理由: アナリストがケースをクローズした理由
  • クローズ時刻: ケースがクローズされた時刻
  • 作成時刻: ケースがオープンされた時刻
  • エンドポイント: アラートが発生したデバイスの名前
  • ID: ケースの ID 番号
  • 優先度: ケースの緊急度
  • ステージ: ケースの現在のフェーズ
  • ステータス: ケースがオープンまたはクローズ
  • 更新日時: ケースが最後に更新された日時

 

ケースの詳細を表示する方法

MTH ケースの詳細を表示するには、ID 列の ID 番号をクリックします。これにより、新しいドロワーに次の情報が表示されます:

  • 通信と履歴

ケースの詳細スライドアウト内の 通信と履歴タブには、包括的なケース アクティビティ レコードが表示されます。これには、アナリスト間の通信、詳細な修復手順、調査中に実行されたアクションのログが含まれます。

表示される情報を絞り込むには、アイコンを使用して、コメント、ステータスの更新、その他の重要な変更などの特定のイベントをフィルタリングし、最も関連性の高い詳細にすばやくアクセスできるようにします。

  • アラートとアーティファクト

1 つのケースに複数のアラートが含まれる場合があり、多くの場合、同じエンドポイントで発生する相互に関連する複数の悪意のあるアクティビティを表します。これらのアラートは、分析を効率化し、コンテキストを強化するためにグループ化されます。アラートとアーティファクトタブでは、ケースに関連付けられたアラートと関連項目を確認できます。さらに詳しく調査するには、各アラートの横にある 検出に移動 ボタンを使用して、そのケースに関連付けられた特定の検出または疑わしいアクティビティに直接アクセスできます。

ケースに関するリクエストの送信方法

MDR ケースについて質問がある場合:

  1. リクエストを送信をクリックします
  2. 質問があるケースのケース番号を入力します
  3. 優先度を選択します
  4.  説明を入力します
  5.  送信をクリックします

脅威スキャンを最適化する方法

エンドポイントのスキャンで潜在的な脅威を検出することは、セキュリティ設定の不可欠な側面です。少なくとも 2 種類のスキャンをお勧めします。

全般のスケジュールドロップダウンから毎日を選択します。Windowsで、方法ドロップダウンから 脅威スキャンを選択します。

 

スケジュールドロップダウンから 毎週 を選択します。方法をカスタム スキャンに設定し、ルートキットのスキャンをオンにします。

効率的な通知を確保する方法

必要なすべての通知を設定することは、あなたとあなたのチームが潜在的な脅威に常に注意を払うために重要です。以下の情報は、マネージド検知・対応に特化した通知に関するものです。

注意 : 通知は ThreatDown の Nebula コンソールで管理されます。

新しい通知を作成する場合は、マネージド サービス アクティビティを選択します。  

通知の送信タイミングに関して、いくつかの条件を追加することをお勧めします。これにより、管理者が注意を払う必要のないメッセージに振り回されることがなくなります。

以下の各 フィールド オプションを選択すると、使用可能な値が表示されます。

以下に等しい

  • すべて
  • ケース作成
  • ケース更新
  • ケースクローズ

以下に等しい

  • すべて
  • 重要

以下に等しい

次のセクションでは、通知の送信方法を選択します。メールに加えて、 Slack/Microsoft Teams、Webhook、または ThreatDown Adminアプリからの通知も選択できます。

最後のステップでは、集約を有効化することで、受信する通知を減らし、より焦点を絞ることができます。これにより、選択した間隔とグループ化オプション、および以前に選択したアクティビティの種類、条件、配信方法に基づいて、複数のアラートが 1 つの通知に統合されます。

右下隅にある完了 を選択して、新しい通知を保存します。