コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/mdr/help/ja-jp/index.html?contextId=mode

脅威のレスポンスモードの詳細

IT セキュリティの管理を担当するチームは、組織によって、その規模、機能、ニーズが大きく異なることがわかっています。潜在的な脅威のエスカレート方法、(必要な場合) ソフォスが実行する対応アクション、コミュニケーションに誰を含めるかなどは、お客様が制御できます。

MDR Essentials または MDR Complete のどちらに登録しているかにかかわらず、2種類の脅威のレスポンスモードがあります。

  • 共同対処

    脅威のレスポンスモード「共同対処」では、監視されたアクティビティと対応する推奨事項の通知がお客様に送信されます。MDR 運用部門は調査を行いますが、お客様の同意または積極的な参加なしに対応アクションが実行されることはありません。「共同対処」を選択すると、対応アクションの一部は MDR 運用部門が実行し、残りはお客様社内担当者または他のパートナー (例: IT マネージドサービスプロバイダー (MSP) など) が実行するようにできます。

    なお、このモードでは、対応アクションを実行する前に、MDR 運用部門は書面にて承認を受ける必要があります。ソフォスの役割はお客様に支援を提供することで、対応はお客様が主導で行います。

    「共同対処」の下には、お客様指定の連絡先すべてにソフォスが電話で連絡後、確認を得られなかった場合に、MDR 運用部門が「承認」モードで動作することを許可するオプションがあります。このような対応をご希望の場合は、Sophos Central で「共同対処」の下にあるボックスを必ず選択してください。

  • 承認

    脅威のレスポンスモード「承認」でも、監視されたアクティビティの通知がお客様に送信されますが、MDR 運用部門は、すべての抑制アクション (MDR Complete のお客様の場合は完全な無効化も含む) をプロアクティブに代理で管理し、実行したアクションをお客様に通知します。「承認」を選択すると、MTR 運用部門はできるだけ多くのタスクを処理し、実行した対応アクションをお客様に通知します。そして、MTR 運用部門では実行できない、特定のアクションが必要なものだけを、お客様にエスカレーションすることになります。このモードでは、ソフォスが主導で対応します。

レスポンスモードの仕組み

それでは、実際の例を使用して、レスポンスモードの仕組みを確認してみましょう。

MDR 運用部門が、お客様の環境でアクティブなランサムウェア攻撃を検出した場合を想定します。

  • 共同対処

    MDR 運用部門は、上記と同じ電話およびメールによる通知プロセスに従います。しかし、休暇中で会社のノートパソコンが手元にない、または自宅で子供の病気の看護をしているなどの理由で、必要な対応アクションを実行できないため、MTR 運用部門に対処を依頼したいときがあると思います。このような場合は、お客様の許可をいただくだけで、MTR 運用部門で対応アクションを実行し、管理することができます。

  • 承認

    MDR 運用部門は、ランサムウェア攻撃を無効化するための対応アクションを迅速に実行します。脅威が無効化されると、MDR 運用部門は、電話やメールでお客様と連絡を取り、脅威およびそれを無効化するために実行したアクションに関する詳細情報を提供します。