知識ベース

サポートの概要に戻る

TeamViewer Endpoint Protectionは、あらゆる種類の脅威からエンドポイントを継続的に保護します。 マネージド検知と対応は、脅威に対する高精度の対応を提供することで、この保護をさらに強化します。TeamViewer Endpoint Protectionは、重要な脅威の滞留時間を短縮し、より迅速な平均解決時間(MTTR)を提供することで、コスト削減、ダウンタイムの短縮、脅威ハンティングの全体的な有効性の向上を実現します。

この記事は、MDRアドオンを使用している TeamViewer Endpoint Protection のお客様に適用されます。

 

マネージド検知と対応の機能

  • 24x7x365 セキュリティ監視 は、エンドポイント検出と対応 (EDR) テクノロジーと人間の専門知識を駆使して、エンドポイントのアクティビティに不審なイベントがないか監視します。
  • 脅威インテリジェンスや行動分析などの高度なツールと手法を活用した高度な脅威検出により、最も斬新な脅威も特定し、阻止します。
  • 訓練を受けたセキュリティ専門家による脅威の検出と分析により、検出された脅威の重大度と潜在的な影響を判断します。
  • 脅威ハンティング:セキュリティアナリストがネットワーク内の隠れた脅威を積極的に検索します。
  • 柔軟な修復オプション により、MDRチームは脅威が発見されたときに積極的に修復したり、ITチームが修復作業で従うべき非常に実用的なガイダンスを提供したりできます。

最初のステップ

TeamViewerは、アカウントでサービスが有効になると、ポップアップで確認メッセージが表示されます。MDR の設定ボタンを選択して、初期設定に進みます。

次の画面で、主要連絡先、バックアップ連絡先、代替連絡先を設定します。主要連絡先のドロップダウンメニューを選択し、企業プロファイルから任意のメンバーを選択します。自動的に入力されない場合は、連絡先の主要電話番号を入力してください。

注意: 主要連絡先のみが必要です。必要に応じて予備連絡先や代替連絡先を追加できます。

修復の認証セクションでは、脅威が発生した場合に、ThreatDownによる管理型修復を利用するか、ガイド型修復を利用するかを選択できます:

 

  • 管理型 ThreatDown (ThreatDown managed)が選択された場合、脅威は再起動、再イメージング、その他のタスクなしで自動的に修復されます。
  • ガイド付き修復を選択した場合は、再起動などの他のタスクの必要性を含め、潜在的な脅威を修復するための手順が案内されます。

最後のセクションである隔離の承認では、セキュリティ応答が必要な場合に、エンドポイントをユーザーに代わって分離することを承認するかどうかを選択します。これにより、ワークステーションとサーバーの両方が認証されます。

完了したら、画面の右上隅にある保存をクリックします。ポップアップ通知が表示され、マネージド検出・応答機能が有効になったことが示されます。 

注意: マネージド検出・応答を有効化する前に、EDR を有効化する必要があります。 エンドポイントの検出と対応を有効化する前に MDR アドオンを有効化しようとすると、エラー メッセージが表示されます。

MDRポータルへのアクセス方法

マネージド検知・対応(MDR)ポータルは、サービスのあらゆる側面を管理します。このポータルには、設定または検知タブにあるNebulaボタンを選択することでアクセスできます。Nebulaにアクセスしたら、右上隅にあるMDRポータルを選択します。

MDRポータルを確認する

MDRポータルでは、MDRが検出したすべての脅威を確認できます。これには、ユーザーの操作を必要としない脅威と、ユーザーの操作が必要な脅威 (脅威の右側に TR で表示) が含まれます。

デバイスの再起動など、追加のアクションを実行する必要がある場合は、ケースウォールにアクセスすることができます。以下のフィルターを使用すると、メッセージのみを表示し、必要なアクションを確認したり、返信したりすることができます。

 

注意: 返信は必ず@analystから始めてください。

MDRポータルの他のセクションに移動するには、左上隅のメニューを使用します。

ダッシュボード

ダッシュボードには、1 ヶ月からそれ以上にわたるレポートの概要を含む、すべてのデバイスと脅威の概要が表示されます。また、環境サマリーのすべてのケース、アラート、およびインシデントのステータスも表示されます。

ワークブック

ワークブックは、追加措置のために支援を必要とするすべてのケースの簡単な概要です。さらに、すべての脅威に関して以前に提供されたレポートもここに表示されます。

要求

リクエストにより、ユーザーは自分のデバイスを査定しているMDRチームと直接話すことができます。これは、一般的な質問や、すでに終了したケースについての問い合わせに使用できます。

エンドポイントの保護を最適化するためのマネージド検出と応答の設定方法

マネージド検出と応答が正常に動作するには、EDRの特定の設定が必要です。これらの設定は、エンドポイント保護ポリシー設定で確認できます。この設定にアクセスするには、管理者設定に移動し、デバイス管理ポリシーを選択します。すでにポリシーが作成されている場合は、このポリシーを編集できます。そうでない場合は、ポリシーのドロップダウンから エンドポイント保護を選択して、新しいポリシーを作成できます。適切なOSの下で、以下の設定が有効になっていることを確認してください。

  1. 不審なアクティビティの監視
  2. サーバー・オペレーティング・システムの監視
  3. 分離時にエンドポイントをロックする
  4. ランサムウェアのロールバック

5. 疑わしいアクティビティの監視

6. 隔離時にエンドポイントをロックする

脅威スキャンを最適化する方法

エンドポイントのスキャンで潜在的な脅威を検出することは、セキュリティ設定の不可欠な側面です。少なくとも 2 種類のスキャンをお勧めします。

全般のスケジュールドロップダウンから毎日を選択します。Windowsで、方法ドロップダウンから 脅威スキャンを選択します。

 

スケジュールドロップダウンから 毎週 を選択します。方法をカスタム スキャンに設定し、ルートキットのスキャンをオンにします。

効率的な通知を確保する方法

必要なすべての通知を設定することは、あなたとあなたのチームが潜在的な脅威に常に注意を払うために重要です。以下の情報は、マネージド検知・対応に特化した通知に関するものです。

注意 : 通知は ThreatDown の Nebula コンソールで管理されます。

新しい通知を作成する場合は、マネージド サービス アクティビティを選択します。  

通知の送信タイミングに関して、いくつかの条件を追加することをお勧めします。これにより、管理者が注意を払う必要のないメッセージに振り回されることがなくなります。

以下の各 フィールド オプションを選択すると、使用可能な値が表示されます。

以下に等しい

  • すべて
  • ケース作成
  • ケース更新
  • ケースクローズ

以下に等しい

  • すべて
  • 重要

以下に等しい

次のセクションでは、通知の送信方法を選択します。メールに加えて、 Slack/Microsoft Teams、Webhook、または ThreatDown Adminアプリからの通知も選択できます。

最後のステップでは、集約を有効化することで、受信する通知を減らし、より焦点を絞ることができます。これにより、選択した間隔とグループ化オプション、および以前に選択したアクティビティの種類、条件、配信方法に基づいて、複数のアラートが 1 つの通知に統合されます。

右下隅にある完了 を選択して、新しい通知を保存します。