セキュリティ
SentinelOneのインシデント画面(検知ファイルの取得)
SentinelOneのインシデント画面における、検知ファイルのリモート取得方法についてご紹介します。
管理コンソール経由で検知ファイルを取得
SentinelOneでは、インシデントとして検知したファイルを管理コンソールからリモートで取得することができます。
【検知ファイルのリモート取得 操作方法】
- インシデント画面より、Download Threat File を選択します。
- パスワードの設定画面が現れます。
安全のために、これから取得するファイルに対し、必ず解凍パスワードをかける仕組みになっています。
パスワードを設定後、Downloadを実行します。
- 端末から管理コンソール上へ、対象ファイルがアップロードされます。
管理者は、Activity画面より、ファイルを取得することができます。ファイル解凍には、上記で設定したパスワードを用います。
おわりに
不審なファイルを検知した際、端末の利用者に協力を仰ぎ、該当ファイルを手元に送ってもらうなどしてインシデント調査をおこなっている管理者もいらっしゃるかと思います。
SentinelOneでは管理コンソール画面内で完結が可能なため、スピーディかつ端末利用者に負担をかけることもありません。
本記事がインシデント対応の簡素化に、少しでもお役に立てれば幸いです。