ThreatSync+ のアラートと通知ルールを構成する

適用対象: ThreatSync+ NDR, ThreatSync+ SaaS 

ThreatSync+ で脅威または脆弱性が検出された際に電子メール通知が送信されるように WatchGuard Cloud を構成することができます。電子メール通知をセットアップするには、情報が作成または更新された際に通知が生成される SaaS コレクター、ポリシー アラート、Smart Alert を指定します。

ThreatSync+ のアラートを構成する

アラートが生成されて WatchGuard Cloud から電子メール通知が送信されるように通知ルールを構成します。アラート ページで、その通知ルールに含めるコレクター、修正アクション、SaaSコレクター、ポリシー、Smart Alert の種類を指定することができます。

修正セクションで利用できるアラートは、ライセンスの種類によって異なります。IP アドレスのブロックは ThreatSync+ NDR ライセンス、ユーザーのブロックは ThreatSync+ SaaS ライセンスで利用することができます。

SaaS コレクター セクションは、ThreatSync+ SaaS ライセンスが割り当てられている場合に限り使用することができます。詳細については、次を参照してください:ThreatSync+ SaaS ライセンスについて

ThreatSync+ アラートを構成するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > ThreatSync+ > アラート の順に選択します。
    アラート ページが開きます。

Screenshot of the Alerts page in the Configure menu in ThreatSync+ NDR

  1. コレクター セクションで、アラートに含めるコレクター オプションを選択します。
    • 送信元 IP アドレス別の受信 DHCP ログ
      • 動作可能 — コレクターが障害イベントから回復して、ThreatSync+ にデータが正常にアップロードされるようになった際に通知が送信されるようにするには、このチェックボックスを選択します。
      • 失敗 — 障害イベントの発生時に通知が送信されるようにするには、このチェックボックスを選択します。120 分間にわたり、コレクターから ThreatSync+ にデータがアップロードされない場合に、障害イベントが発生します。
        • 抑制時間 — リモート コレクターが回復してデータのアップロードが再開されるまで、ThreatSync+ で 120 分ごとに障害イベントが継続して生成されます。連続した障害通知の発信間隔を指定するには、抑制時間を構成します。
    • リモート コレクターのハートビート
      • 動作可能 — リモート コレクターが障害イベントから回復した際に通知が送信されるようにするには、このオプションを選択します。この通知は、リモート コレクターが再びオンラインになって稼働中であることを示すものです。
      • 障害 — 障害イベントの発生時に通知が送信されるようにするには、このオプションを選択します。ThreatSync+ では、20 分間にわたりハートビート メッセージが受信されない場合に、障害イベントが生成されます。
        • 抑制時間 — リモート コレクターが回復してハートビート メッセージが受信されるまで、ThreatSync+ で 20 分ごとに障害イベントが継続して生成されます。連続した障害通知の発信間隔を指定するには、抑制時間を構成します。
        • ハートビート喪失後のアラート — ハートビートが喪失した後に通知が生成されるタイミングを指定するには、時間を構成します。
    • NetFlow ログを受信した
      • 動作可能 — リモート コレクターが障害イベントから回復して NetFlow ログが受信された際に通知が送信されるようにするには、このオプションを選択します。
      • 障害 — 障害イベントの発生時に通知が送信されるようにするには、このオプションを選択します。ThreatSync+ では、20 分間にわたり NetFlow ログが受信されない場合に、障害通知が生成されます。
        • 抑制時間 — コレクターが回復して NetFlow ログが受信されるまで、ThreatSync+ で 20 分ごとに障害イベントが継続して生成されます。連続した障害通知の発信間隔を指定するには、抑制時間を構成します。
    • 送信元 IP アドレス別の受信 NetFlow ログ
      • 動作可能 — コレクターが障害イベントから回復して ThreatSync+ にデータが正常にアップロードされるようになった際に通知が送信されるようにするには、このオプションを選択します。
      • 障害 — 障害イベントの発生時に通知が送信されるようにするには、このオプションを選択します。ThreatSync+ では、20 分間にわたりコレクターから ThreatSync+ にデータがアップロードされない場合に、障害通知が生成されます。
        • 抑制時間 — リモート コレクターが回復してデータのアップロードが再開されるまで、ThreatSync+ で 20 分ごとに障害イベントが継続して生成されます。連続した障害通知の発信間隔を指定するには、抑制時間を構成します。
  2. SaaS コレクター セクションで、アラートに含める Microsoft 365 ハートビート オプションを選択します。
    • 動作可能 — SaaS コレクターが障害イベントから回復した際に通知が送信されるようにするには、このオプションを選択します。この通知は、SaaS コレクターが再びオンラインになって正常に稼働中であることを示すものです。
    • 障害 — 障害イベントの発生時に通知が送信されるようにするには、このオプションを選択します。ThreatSync+ SaaS では、SaaS コレクターから 120 分間にわたりハートビート メッセージが送信されない場合に、障害通知が生成されます。
      • 抑制時間 — SaaS コレクターが回復するまで、ThreatSync+ で 120 分ごとに障害イベントが継続して生成されます。連続した障害通知の発信間隔を指定するには、抑制時間を構成します。
  3. 修正 セクションで、アラートに含めるブロック アクションの横にあるチェックボックスを選択します。
    • IP アドレスをブロックする
      • IP アドレスを自動的にブロックする
      • IP アドレスを手動でブロックする
      • IP アドレスを手動でブロック解除する
    • ユーザーをブロックする
      • ユーザーを自動的にブロックする
      • ユーザーを手動でブロックする
      • ユーザーを手動でブロック解除する
  4. ポリシー セクションで、アラートに含めるポリシーの横にあるチェックボックスを選択します。アラートを受信するには、ポリシーのステータスがライブになっていることを確認します。アラートをまとめるには、既定 (ポリシーおよび送信元) ドロップダウン リストから、以下のいずれかのオプションを選択します。
    • ポリシー — 同じポリシーの通知がすべてまとめられます。
    • ポリシーおよび送信元 — ポリシー名と送信元が同じ通知がすべてまとめられます。
    • ポリシー、送信元、宛先 — ポリシー名、送信元、宛先が同じ通知がすべてまとめられます。
      • 期間 セクションで、まとめられるアラートの期間として、1 時間から 12 時間の間で時間を選択します。既定値は 1 時間です。

ThreatSync+ SaaS ポリシー アラートでは、ポリシー、送信元、宛先アラートをまとめるオプションを使用することができません。

  1. Smart Alert セクションで、アラートに含める Smart Alert の種類ごとに、作成時 または 更新時 チェックボックスのいずれかまたは両方を選択します。

WatchGuard Cloud で通知ルールを構成する — ThreatSync+ NDR

WatchGuard Cloud では、ThreatSync+ アクティビティに関するアラートを生成して通知を送信する通知ルールを構成することができます。通知ルールにより、ネットワークの新たな脅威に容易に対応できるようになります。

ルール ページで、アカウントで作成されているすべてのルールを確認することができます。既定では、いくつかの事前定義されたルールがすでに存在しています。既定のルールを編集して、名前、説明、および送信方法を変更することができます。配信方法として電子メールを選択した場合、アラートの頻度を変更することもできます。削除できない既定のシステム ルールがいくつかあります。

Screen shot of WatchGuard Cloud Notifications page, Rules

ThreatSync+ NDR の通知の種類

WatchGuard Cloud の各通知ルールは、アラートを発生させるルールの原因となるアクションやイベントを指定する通知の種類を使用します。

ポリシー アラート

アカウントに新規のポリシー アラートが生成されたときにアラートを生成します。

Smart Alert が作成されました

Smart Alert が作成されたときにアラートを生成します。

Smart Alert が更新されました

Smart Alert が更新されたときにアラートを生成します。

送信元からの DHCP ログを受信していません

送信元から 120 分間 DHCP ログを受信していない場合にアラートを生成します。

送信元からの DHCP ログを受信しました

送信元から DHCP ログを受信したときにアラートを生成します。

NDR コレクターのハートビートは検出されませんでした

ThreatSync+ NDR コレクターからのハートビート メッセージを 20 分間受信しないとアラートを生成します。

NDR コレクターのハートビートが検出されました

コレクターに障害が発生した後に、ThreatSync+ NDR コレクターからのハートビート メッセージを受信したときにアラートを生成します。

NetFlow ログを受信していません

ThreatSync+ NDR ネットワーク デバイスが NetFlow ログを 20 分間受信しなかった場合にアラートを生成します。

NetFlow ログを受信しました

NetFlow ログを受信したときにアラートを生成します。

送信元からの NetFlow ログを受信していません

送信元から 20 分間 NetFlow ログを受信していない場合にアラートを生成します。

送信元からの NetFlow ログを受信しました

送信元から NetFlow ログを受信したときにアラートを生成します。

IP アドレスは自動的にブロックされます

ThreatSync+ NDR ポリシーにより IP アドレスが自動的にブロックされたときにアラートを生成します。

IP アドレスは手動でブロックされます

IP アドレスが手動でブロックされたときにアラートを生成します。

IP アドレスは手動でブロック解除されます

IP アドレスが手動でブロック解除されたときにアラートを生成します。

ThreatSync+ NDR の通知ルールを追加する

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ユーザーのロールに 通知ルールを構成する の権限が必要です。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

新規の通知ルールを追加するには、WatchGuard Cloud で以下の手順を実行します。

  1. 管理 > 通知 の順に選択します。
  2. ルール タブを選択します。

Screen shot of WatchGuard Cloud Notifications page, Add Rule

  1. ルールを追加する をクリックします。
  2. ルールを追加する ページの 名前 テキスト ボックスに、ルールを特定できる名前を入力します。
  3. 通知の送信元 ドロップダウン リストから、ThreatSync+ NDR を選択します。
  4. 通知の種類 ドロップダウン リストから、このルールに基づきアラートが生成されるアクションまたはイベントを選択します。
  5. (任意) 通知の説明を入力します。
  6. 配信方法 ドロップダウン リストから、次のいずれかのオプションを選択します。
    • なし — ルールに基づき、WatchGuard Cloud のアラート ページに表示されるアラートが生成されます。
    • 電子メール — ルールに基づき、WatchGuard Cloud のアラート ページに表示されるアラートが生成され、指定されている受信者に通知の電子メールが送信されます。
  7. 配信方法に 電子メール を指定した場合:
    1. 頻度 ドロップダウン リストから、ルールに基づき 1 日に送信できる電子メール メッセージの数を構成します。
      • ルールに基づきアラートが生成されるごとに電子メール メッセージが送信されるようにするには、すべてのアラートを送信する を選択します。
      • ルールに基づき送信される電子メール メッセージ数の 1 日の上限を設定するには、最大で送信する を選択します。1 日あたりのアラート数 テキスト ボックスに、このルールに基づき送信される電子メール メッセージの 1 日の最大数を入力します。1 日あたり最大 2 万件のアラート数を設定することができます。
    2. 件名 テキスト ボックスに、このルールに基づきアラートが生成された際に送信される電子メール メッセージの件名を入力します。入力できる最大文字数は 78 文字です。
    3. 受信者 テキスト ボックスに、このルールに基づきアラートが生成された際に送信される電子メール メッセージを受信する各ユーザーの電子メール アドレスを入力します。複数の電子メール アドレスを入力することができます。電子メール アドレスを入力するたびに エンター を押すか、電子メール アドレスをスペース、コンマ、またはセミコロンで区切ります。JSON 形式で電子メール通知を受信するには、JSON チェック ボックスを選択します。

    Screen shot of the Delivery Method section for ThreatSync+ on the Add Rules page in WatchGuard Cloud

  8. ルールを追加する をクリックします。

通知ルールを削除するには、削除するルールの行で Screen shot of the Delete icon をクリックします。

アラートの管理方法の詳細については、次を参照してください:WatchGuard Cloud アラートを管理する

WatchGuard Cloud で通知ルールを構成する — ThreatSync+ SaaS

WatchGuard Cloud では、ThreatSync+ アクティビティに関するアラートを生成して通知を送信する通知ルールを構成することができます。通知ルールにより、ネットワークの新たな脅威に容易に対応できるようになります。

ルール ページで、アカウントで作成されているすべてのルールを確認することができます。既定では、いくつかの事前定義されたルールがすでに存在しています。既定のルールを編集して、名前、説明、および送信方法を変更することができます。配信方法として電子メールを選択した場合、アラートの頻度を変更することもできます。削除できない既定のシステム ルールがいくつかあります。

Screen shot of WatchGuard Cloud Notifications page, Rules

ThreatSync+ SaaS の通知の種類

WatchGuard Cloud の各通知ルールは、アラートを発生させるルールの原因となるアクションやイベントを指定する通知の種類を使用します。

SaaS ポリシー アラート

ThreatSync+ SaaS がアカウントに新規のポリシー アラートを生成したときにアラートを生成します。

ハートビートが検出されました

ThreatSync+ SaaS が SaaS 統合からのハートビートを検出したときにアラートを生成します。SaaS コレクターは 30 分ごとに Microsoft 365 と通信し、統合が正常に機能していることを確認します。

ハートビート非検出

ThreatSync+ SaaS が SaaS 統合からのハートビートを 120分間検出しないとアラートを生成します。

ユーザー アカウントは自動的に無効化されます

ThreatSync+ SaaS ポリシーにより Microsoft 365 ユーザー アカウントが自動的に無効化されたときにアラートを生成します。

ユーザー アカウントは手動で無効化されます

Microsoft 365 ユーザー アカウントが手動で無効化されたときにアラートを生成します。

ユーザー アカウントは手動で有効化されます

Microsoft 365 ユーザー アカウントが手動で有効化されたときにアラートを生成します。

ThreatSync+ SaaS の通知ルールを追加する

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ユーザーのロールに 通知ルールを構成する の権限が必要です。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

新規の通知ルールを追加するには、WatchGuard Cloud で以下の手順を実行します。

  1. 管理 > 通知 の順に選択します。
  2. ルール タブを選択します。

Screen shot of WatchGuard Cloud Notifications page, Add Rule

  1. ルールを追加する をクリックします。
  2. ルールを追加する ページの 名前 テキスト ボックスに、ルールを特定できる名前を入力します。
  3. 通知の送信元 ドロップダウン リストから、ThreatSync+ SaaS を選択します。
  4. 通知の種類 ドロップダウン リストから、このルールに基づきアラートが生成されるアクションまたはイベントを選択します。
  5. (任意) 通知の説明を入力します。
  6. 配信方法 ドロップダウン リストから、次のいずれかのオプションを選択します。
    • なし — ルールに基づき、WatchGuard Cloud のアラート ページに表示されるアラートが生成されます。
    • 電子メール — ルールに基づき、WatchGuard Cloud のアラート ページに表示されるアラートが生成され、指定されている受信者に通知の電子メールが送信されます。
  7. 配信方法に 電子メール を指定した場合:
    1. 頻度 ドロップダウン リストから、ルールに基づき 1 日に送信できる電子メール メッセージの数を構成します。
      • ルールに基づきアラートが生成されるごとに電子メール メッセージが送信されるようにするには、すべてのアラートを送信する を選択します。
      • ルールに基づき送信される電子メール メッセージ数の 1 日の上限を設定するには、最大で送信する を選択します。1 日あたりのアラート数 テキスト ボックスに、このルールに基づき送信される電子メール メッセージの 1 日の最大数を入力します。1 日あたり最大 2 万件のアラート数を設定することができます。
    2. 件名 テキスト ボックスに、このルールに基づきアラートが生成された際に送信される電子メール メッセージの件名を入力します。入力できる最大文字数は 78 文字です。
    3. 受信者 テキスト ボックスに、このルールに基づきアラートが生成された際に送信される電子メール メッセージを受信する各ユーザーの電子メール アドレスを入力します。複数の電子メール アドレスを入力することができます。電子メール アドレスを入力するたびに エンター を押すか、電子メール アドレスをスペース、コンマ、またはセミコロンで区切ります。 JSON 形式で電子メール通知を受信するには、JSON チェック ボックスを選択します。

    Screen shot of the Delivery Method section for ThreatSync+ on the Add Rules page in WatchGuard Cloud

  8. ルールを追加する をクリックします。

通知ルールを削除するには、削除するルールの行で Screen shot of the Delete icon をクリックします。

アラートの管理方法の詳細については、次を参照してください:WatchGuard Cloud アラートを管理する

関連トピック

WatchGuard Cloud アラートを管理する

監査ログを表示する

ThreatSync+ を構成する