ほとんどの企業セキュリティツールは、エンドポイントについてどれだけ情報を収集しても、結局のところ報告するだけです。インシデント中、ITチームは電話をかけてユーザーに連絡し、デバイスを停止するよう依頼します。何時間も経過し、攻撃者は依然としてネットワーク上にいます。
同じ問題は分散運用にもあります。新しいポリシーをすべてのデバイスインベントリに適用したいとき、従来のツールはファイルをプッシュし、ユーザーの再起動を期待し、どのデバイスで作業が完了したかを何日も把握できません。
このギャップは受動的な監視と能動的な管理の間の溝です。ETMのリモートアクション機能はこの溝を埋めます:エージェントを通じてデバイスへ安全なチャネル経由でコマンドが伝送され、結果がライブで返り、監査証跡が保持されます。
TR7 ETMは、デバイスの監視から管理まで単一のエージェントを通じて動作します。アクションは常にポリシーと監査の下にあります。
オペレーターまたはSOCアナリストは、インベントリの現在の状態をクエリするために構造化されたクエリを実行します:『このソフトウェアはどのデバイスにインストールされているか?』『このIPに接続しているのは誰か?』『過去5分間にどのデバイスでデバイス脅威防御 (EDR) が再起動されたか?』。応答は数秒以内に収集されます。
権限を持つオペレーターは特定のデバイスまたはすべてのデバイスインベントリにコマンドを伝送できます:サービス再起動、ソフトウェアパッチのインストール、構成変更、ファイル取得、ファイル配置。すべてのアクションが監査証跡に記録されます。
インシデントまたは高リスク検出時にデバイスをネットワークから切り離せます — インターネットアクセスがブロックされ、ETM管理チャネルのみが開いたままになります。攻撃者の横方向移動の余地が閉じられ、デバイスはリモートで調査され続けます。
各コマンドについて、権限を持つユーザーID、アクションの理由、対象の選択が監査されます。高リスクのアクションには承認チェーンを定義でき、あるオペレーターの要求は別のオペレーターに承認されるまで適用されません。
リモートアクションは、ETMのincident response、運用、複合チーム向けの能動的管理レイヤーです。
構造化クエリ言語により、数千台のデバイスを一度にクエリできます。『どのデバイスでディスク暗号化が無効か?』『このバージョンのドライバーを使用しているデバイスはどれか?』『過去24時間に新しいadminアカウントが作成されたデバイスはあるか?』といったクエリが数秒以内に応答します。
オペレーターの承認のもと、デバイス上で事前定義されたスクリプトまたは制御されたシステムコマンドを実行できます。サービス再起動、ログ収集、一時的な修正の適用、レジストリ/plistの変更といったルーチン運用がリモートで行われます。
パッチパッケージ、構成ファイル、またはフォレンジックに必要なログ/ダンプファイルをデバイスにアップロードまたは取得できます。すべての転送はETMの安全なチャネルを通じて行われ、直接のファイル共有を構築する必要はありません。
SOCアナリストまたはポリシー自動化は、特定のプロセスを単一デバイスまたはデバイスインベントリ全体で終了できます。疑わしいソフトウェアの拡散、予期しないサービスの稼働、高リソース消費プロセスの抑止が即座に可能です。
デバイスをインシデント、デバイス脅威防御 (EDR) アラート、またはポリシー違反を理由にネットワークから隔離できます。隔離中はインターネットアクセス、内部ネットワークリソース、サービス接続がブロックされ、ETM管理チャネルのみが開いたままになります。SOCはデバイスをリモートで調査し続けます。
新しいファイアウォールルール、新しい証明書の信頼、または変更された監査ポリシーが単一の中央定義からすべてのデバイスインベントリに伝送されます。各デバイスでの適用状態がライブで監視されます。失敗した適用は自動的に再試行されるか、オペレーターに報告されます。
アクションを適用するデバイスは静的なグループではなく、動的な基準で選択できます。『すべてのLinuxデバイス』『財務チームのデバイス』『過去1時間に非準拠が検出されたデバイス』といったライブクエリ結果が直接対象リストに変わります。
高リスクのアクション — デバイスインベントリ全体でのファイル削除、コアサービス再起動、ネットワーク隔離 — には二者または複数者の承認チェーンを定義できます。あるオペレーターの要求は、別の権限を持つオペレーターに承認されるまで適用されません。
コマンド送信後、各デバイスの応答がライブで表示されます:成功、失敗、オフライン、保留中。オペレーターはどのデバイスで作業が完了したかを数秒以内に確認できます。完了していない作業には再試行または手動対応が誘導されます。
誰が、いつ、どのデバイスに、どのコマンドを、どの理由で送信したか — 各アクションが監査証跡に書き込まれます。コマンド出力とデバイスの応答が相関して保管されます。監査記録はSIEMへ転送でき、監査プロセスで証拠として利用できます。
リモートアクションは、セキュリティチームと運用チームの日常のワークフローに統合されます — コマンドパレット、自動化、監査、レポーティングを含みます。
どのオペレーターがどのデバイスグループに、どのアクションを適用できるかを定義できます。SOCアナリストはincident responseのアクションにアクセスできます。ITオペレーターはパッチと構成のアクションにアクセスできます。制限されたオペレーターはクエリのみを実行できます。
頻繁に繰り返されるアクションはプレイブックとして保管できます:『デバイス脅威防御 (EDR) エージェントが停止したとき → デバイスを隔離 + SOCに通知 + 過去24時間のログダンプを取得』。プレイブックはETMイベントにトリガーとして結びつけられます。
コマンド時にオフラインだったデバイスについては、アクションがキューに入れられます。デバイスが再接続されると、保留中のコマンドが自動的に適用され、結果がオペレーターに報告されます。キューでの待機時間はポリシーで制限できます。
アクションは影響範囲に応じてリスクレベルに分けられます。低リスクのクエリは単一のオペレーターが実行できます。高リスクの一括アクションには二次承認が必要です。リスクレベルは企業ポリシーで構成できます。
各リモートアクションの監査記録をSIEMへ転送できます。コンプライアンスチームはETMのアクションを規制レポーティングに利用できます。特に金融と医療の分野ではインサイダー対応の監査にとって重要です。
コマンド送信、対象選択、結果収集のアーキテクチャは、数万台のデバイスへ一度にコマンドを適用することをサポートします。デバイス単位の応答時間は並列ラインに依存しません。
SOCアナリストはデバイス脅威防御 (EDR) アラートを受け取ったとき、影響を受けたデバイスをワンクリックでネットワークから切り離します。攻撃者の横方向移動の余地が閉じられ、デバイスはリモートフォレンジックのために開いたままになります。手動の電話プロセスと数時間の遅延がなくなります。
新しいCVEが公表されたとき、ITチームはパッチプレイブックを実行します。影響を受けるデバイスがライブクエリで見つけられ、パッチファイルが伝送され、インストール状態が報告されます。何時間もかかる手動作業が数分に短縮されます。
調査のためにデバイスからログファイル、メモリダンプ、または構成スナップショットをリモートで取得します。デバイスがユーザーの手を離れることなく、ユーザーのワークフローを妨げることなく、調査資料が安全なチャネルを通じて届きます。
監査中に『すべてのデバイスでディスク暗号化は有効か?』または『すべてのデバイスでデバイス脅威防御 (EDR) エージェントが稼働しているか?』という問いに数秒以内に答えられます。手動のインベントリレポートの代わりにライブの証跡が提示されます。
ETM リモートアクションをお客様自身の環境でライブで見てみましょう — プレイブック設計を含む構築セッションを計画しましょう。