コンピューターの隔離

Microsoft Windows コンピューターの隔離は、脆弱なコンピューターの管理 (Manage Vulnerable Computers) ダッシュボードから実行できます。

始める前に

要件」セクションで説明したように、隔離のためのポリシー・アクションを設定しておく必要があります。

このタスクについて

脆弱なコンピューターの管理 (Manage Vulnerable Computers) ダッシュボードの「コンピューター」タブでは、BigFix オペレーターとして管理しているすべてのコンピューターが表示されます。コンピューターに関連するコンピューター ID、コンピューター名、リスク・スコア、隔離状態、CVE を確認できます。コンピューターを隔離することもできます。

一度に 1 台のコンピューターしか隔離できません。コンピューターを隔離するには、隔離するコンピューターを識別する Fixlet® を実行します。そうすると、ポリシーを継続的に強制する隔離ポリシー・アクション Fixlet® によってこのコンピューターが隔離されます。

隔離および隔離解除の機能は Microsoft Windows コンピューターでのみ利用可能です。

Microsoft Windows コンピューターを隔離するには、次のステップを実行します。

手順

  1. 脆弱なコンピューターの管理 (Manage Vulnerable Computers) ダッシュボードから、「コンピューター」タブをクリックします。「CVE」列と「QRadar コンピューター・リスク・スコア」列では、コンピューターに関連する CVE の数とリスク・スコアを確認できます。特に、「QRadar コンピューター・リスク・スコア」列では、QRadar® からの強化されたリスク評価データが提供され、最もリスクの高いコンピューターを特定できます。
  2. 隔離する Microsoft Windows コンピューターを選択します。
  3. 「コンピューターの隔離」をクリックします。BigFix コンソールのバージョンが 9.2.6 より前のバージョンの場合、前のステップで選択したコンピューターではなく、すべてのコンピューターが「アクションの実行」画面に読み込まれます。前のステップで選択したコンピューターのみをロードする場合は、コンソールをバージョン 9.2.6 以降にアップグレードしてから続行してください。
  4. 「アクションの実行」ダイアログで、コンピューターを選択します。「実行」タブでは、隔離の日時をスケジュールできます。
  5. 「OK」をクリックして、コンピューターを隔離します。このアクションが完了すると、ポリシー・アクション Fixlet® によって、コンピューターを隔離する必要があることが検出され、コンピューターが隔離されます。ダッシュボードのコンピューターの状況が Quarantined に変わるまでには、時間がかかる場合があります。「隔離状況」の更新に時間がかかる場合は、「更新」アイコンをクリックしてデータを更新します。

タスクの結果

隔離 Fixlet® にはアクションが 1 つだけ生成されます。そのため、後続のコンピューターを隔離するたびに、既存の隔離アクションが更新され、隔離された最新のコンピューターが含まれます。更新されたアクションを表示するには、「エンドポイント保護」ドメインから、「アクション」を選択して Quarantine アクションを選択します。「報告されたコンピューター」をクリックすると、隔離アクションが実行されたコンピューターが表示されます。