DNSWatch アラートの詳細を表示する

DNSWatch が不審なドメインへのユーザー接続を拒否した場合、インシデントについての詳細を含むアラートが生成されます。

DNSWatch のアラートページからアラートの詳細ページに移動するか、DNSWatch アラートの通知メールにあるリンクをクリックします。DNSWatch 通知メールの詳細については、次を参照してください:DNSWatch 電子メール通知について

DNSWatch アラートの詳細を表示するには、以下の手順を実行します:

  1. DNSWatch アカウントに ログイン します。
  2. レポート >アラート の順にクリックします。
    アラート ページが開きます。
  3. アラートの アクション 列で、表示 をクリックします。
    アラートの詳細 ページが開きます。

Screen shot of the alert details page

概要情報およびアクション

ページの上部には、アラート リストとおなじ概要情報が表示されます。

  • ドメイン — DNS 要求にあるドメイン
  • 被害者 — DNS 要求を受け取った保護されたネットワークのパブリック IP アドレス
  • 分類 — WatchGuard の DNSWatch 分析チームによって分類された脅威の種類
  • プロトコル — ブラックホール サーバーへの接続に使用されるプロトコル

その他の概要情報およびアクションは右側に表示されます。表示される情報は以下の通りです:

  • 接続情報 — 接続の総数、および現在のオープンな接続の有無
  • アクション — アラートを解決、未解決、停止する、またはアラートを誤検出としてレポートするアクション
  • 最初の検出日 — DNSWatch のドメインが保護されたネットワークから DNS 要求を受け取った最初の日時
  • 直近の検出日 — DNSWatch のドメインが保護されたネットワークから DNS 要求を受け取った直近の日時

アラートを解決済みまたは未解決に設定する

アラートのステータスは 解決済み に変更できます。これは、ディスカッションや調査完了後に、解決済みとみなしたものに設定するなどが可能です。アラートのステータスが解決済みに変更されると、コメントが変更された場合も DNSWatch からメールアラートが送信されなくなります。保護されたネットワークのドメインからの新しい接続があった場合は、DNSWatch により解決済みのアラートが再度開かれます。

  • アラートのステータスを 解決済み に変更するには、アラートを解決する をクリックします。
  • アラートのステータスを 未解決 に変更するには、アラートを未解決にする をクリックします。

アラートのメール通知を有効または無効にする

既定では、未解決のアラートが更新されると DNSWatch からメール通知が送信されます。アラートの電子メール通知を無効にして、アラートのステータスを解決済みに変更しない場合は、詳細 ページでアラートを停止することができます。

  • アラートのメール通知を無効にするには、アラートを停止する をクリックします。
  • アラートのメール通知を有効にするには、アラートを有効化する をクリックします。

詳細

詳細 タブには、被害者、送信先、およびマルウェアの種類についての情報が記載されています。

被害者の情報

被害者とは、DNSWatch によって拒否された DNS 要求を行ったホストを指します。DNSWatch ブラックホール サーバーは、保護されたネットワークで DNS 要求の発信元の特定に役立つ情報の収集を試みます。DNSWatch は以下の情報などを収集します:

  • 被害者の場所 — DNS 要求を受け取った保護されたネットワークのパブリック IP アドレス
  • 被害者の IP アドレス — マルウェアによって報告された被害者のローカル IP アドレス (わかる場合)
  • 被害者のホスト名 — 被害者のホスト名
  • 被害者のユーザー名 — 被害者のユーザー名

DNSWatch で被害者の IP アドレスの詳細が常に得られるとは限りません。これは、ブラウザと通信して情報をプルする機能が、被害者が使用しているブラウザの種類によって異なるためです。DNSWatch では、Chrome、Firefox、および Edge ブラウザから情報を取得できますが、各アラートに収集されたすべての詳細が含まれているわけではありません。Internet Explorer と Safari では、DNSWatch はこの情報を取得することができません。TLS などの一部のセキュリティ機能により、暗号化されていないデータの収集が妨げられる場合があります。

複数の Firebox 外部インターフェイスで同じ IP アドレスが使用されている場合、DNSWatch はその IP アドレスの保護されたネットワークの内、どれが DNS 要求の発信元であるか判断できません。この場合、アラートの 被害者の場所 では保護されたネットワークのどれが DNS 要求の発信元であるかを適切に反映できない場合があります。

DNSWatch ブラックホール サーバーの詳細については、DNSWatch ブラックホール サーバーについて を参照してください。

送信先の情報

送信先の情報には、DNS 要求のドメイン、およびブラックホール サーバーへの接続に使用されるポートが含まれます。

マルウェアの情報

マルウェアの情報セクションには、プロトコル および マルウェアの場所 が含まれます。DNSWatch で被害者のコンピュータ上のマルウェアの場所を特定できた場合、マルウェアの場所には被害者のコンピュータにおけるマルウェアのパスが示されます。

コメント

WatchGuard DNSWatch サポート チームのサポートが必要な場合は、アラートにコメントまたは質問を追加します。

Screen shot of the Comment section of the Details for an alert

WatchGuard DNSWatch サポート チームが、コメント投稿を通じて質問に回答したりアラートの詳細情報をお伝えします。コメントやすべての回答はディスカッション タブに表示されます。コメントは、詳細 タブ、または ディスカッション タブで追加できます。

詳細 タブからアラートにコメントするには、以下の手順を実行します:

  1. WatchGuard DNSWatch サポート チームへのコメントまたは質問を入力します。
  2. テキストにスタイルを適用するには、マークダウンを使用します。サンプル テキストを表示するには、マークダウンでのスタイル適用に対応しています をクリックします。ヒント!
  3. プレビュー タブをクリックして、コメントをプレビューします。
  4. コメント をクリックして、アラートにコメントを追加します。
    コメントがディスカッション タブに表示されます。

アラートが停止されていない未解決なアラートにコメントを追加すると、DNSWatch からコメントとアラート詳細へのリンクが含まれるアラートの通知メールが送信されます。

ディスカッション

ディスカッション タブでは、アラートのすべてのコメントを表示できます。これには、WatchGuard DNSWatch サポート チームが投稿したコメント、およびアカウント内の他のユーザーが投稿したコメントが含まれます。

ディスカッション タブからアラートにコメントするには、以下の手順を実行します:

  1. WatchGuard DNSWatch サポート チームへのコメントまたは質問を入力します。
  2. テキストにスタイルを適用するには、マークダウンを使用します。サンプル テキストを表示するには、マークダウンでのスタイル適用に対応しています をクリックします。ヒント!
  3. プレビュー タブをクリックして、コメントをプレビューします。
  4. コメント をクリックして、アラートにコメントを追加します。
    コメントがディスカッション タブに表示されます。

ドメインの分析

ドメインの分析 タブには、アラートに関連するドメインが表示されます。また、ドメインが DNSWatch でブロックされた理由も表示されます。

ドメインの分析アクション

ドメインの分析 タブにあるすべての項目に対して、以下のアクションが行えます:

ブロックリストから削除する

このアクションを行うと、DNSWatch ブロックリストにあるドメインまたはサブドメインがブロックリストから削除されます。詳細については、DNSWatch ブロックリスト ドメインを管理する を参照してください。

許可リストに追加する

このアクションを行うと、ドメイン フィードにあるドメインまたはサブドメインが許可リストに追加されます。詳細については、DNSWatch 許可リスト ドメインを管理する を参照してください。

接続の分析

被害者が DNSWatch ブラックホール サーバーに接続すると、DNSWatch は分析のため接続についての情報を収集します。収集した情報は、アラートの分析および分類のため WatchGuard DNSWatch サポート チームによって使用されます。

以下の情報などが収集されます:

  • ネットフローのデータ
  • 初回の接続バイト
  • 解析されたプロトコルの情報

接続の分析 タブには、アラートに関する初回の接続の接続情報が記載されています。その他の接続についての情報を表示するには、接続 タブを選択します。

履歴

履歴 タブには、アラートに対してユーザーが実行したアクションのリスト、および各アクションを実行した DNSWatch ユーザーが表示されます。イベントの下では、ユーザーがアラートを解決済みまたは未解決に設定したこと、またはアラートのメール通知を有効化または無効化したことが確認できます。

接続

接続 タブには、アラートに関連する接続のリストが表示されます。各接続に対して、発信元 IP アドレスとポート、および接続の開始時刻と終了時刻が表示されます。接続の詳細を表示するには、表示 をクリックします。接続情報は、接続の分析 タブに表示されるものと同じです。

以下の情報などが収集されます:

  • ネットフローのデータ
  • 初回の接続バイト
  • 解析されたプロトコルの情報

関連情報:

DNSWatch アラートを管理する

DNSWatch ブラックホール サーバーについて