ThreatSync+ NDR 資産の検出

適用対象: ThreatSync+ NDR 

資産の検出により、ThreatSync+ NDR でネットワークの重要なシステムが迅速かつ容易に特定されて、それに関する学習が行われます。ThreatSync+ NDR では、12 時間ごとにネットワークのインベントリが作成され、各 IP アドレスで確認されたアプリケーション トラフィックが監視されます。サブネットおよび重要なサーバーとネットワーク デバイスが自動的に特定され、それが検出ページに表示されます。また、提案事項も表示されるため、新規資産の構成や既存の資産の更新を行うことで、ネットワークのアクティビティをより適切に反映させることができます。

ThreatSync+ NDR を初めてセットアップする場合は、資産が検出ページに表示されるまでに 2 ~ 3 日かかる場合があります。資産管理システムから重要な資産をインポートすることもできます。デバイスを手動で追加およびインポートする方法については、次を参照してください:デバイスを管理する

Screenshot of the Discover page with Devices tab selected by default

検出ページで推奨資産を管理する

検出ページで、検出されたデバイスとサブネットを受け入れて、ネットワークの重要な資産として特定することができます。資産を無視すると、その資産はリストで非表示になりますが、デバイスのネットワーク トラフィックは ThreatSync+ NDR によって引き続き監視されます。

赤い円の中には、検出された資産 (デバイスとサブネット) の総数が示されています。こうした資産には、受け入れるか無視するかのいずれかの措置を取る必要があります。検出された資産を受け入れるか無視すると、赤い円に示されている数字が減少します。

検出された資産を受け入れることが勧められます。ネットワークで ThreatSync+ NDR によって認識される重要な資産が多いほど、重大な脅威に関するアラートが ThreatSync+ NDR からより効果的に発信されます。

表内のすべての資産を受け入れる、または無視するには、WatchGuard Cloud で以下の手順を実行します。

  1. 監視 > ThreatSync+ の順に選択します。
  2. 検出 を選択します。
  3. ヘッダーのチェックボックスを選択して、すべての行を選択します。
  4. 右上隅で をクリックします。
  5. 選択されているものを受け入れる または 選択されているものを無視する を選択します。
    複数の資産を受け入れた場合は、ロールの 1 つとその IP アドレスに基づいて、ThreatSync+ NDR で資産の既定名が自動的に割り当てられます。

個々のデバイスを受け入れて構成する

検出ページのデバイス タブには、ThreatSync+ NDR によってネットワークで検出された静的デバイスのリストが表示されます。ThreatSync+ NDR では、検出されたデバイスに名前、ロール、重要度が自動的に割り当てられます。検出されたデバイスを受け入れると、デバイスの値を編集できるようになります。

Screenshot of the Discover page with Devices tab selected by default

また、ThreatSync+ NDR では、提案列に、検出されたデバイスに対して実行するアクションの提案が表示されます。提案と推奨アクションには、以下が含まれます。

  • デバイスを追加する — デバイスを受け入れて特定し、ラベルを付けます。これは、事前定義されている ThreatSync+ NDR ロールの 1 つまたは複数を表すアプリケーションに使用されている資産を示すトラフィックが検出されたためです。
  • ロールを追加する — デバイスを受け入れ、ThreatSync+ で観察されたトラフィックに基づいて、既存の資産に追加のロールを追加します。
  • ロールを削除する — デバイスを受け入れ、ThreatSync+ NDR で観察されたトラフィックに基づいて、既存の資産から既存のロールを削除します。

IP アドレスのトラフィックの詳細を表示するには、IP アドレスをクリックします。詳細については、次を参照してください:ThreatSync+ トラフィックを調査する

デバイスの詳細を表示するには、デバイス名をクリックします。詳細については、次を参照してください:デバイスの詳細を表示する

検出されたデバイスを受け入れる、または無視するには、WatchGuard Cloud で以下の手順を実行します。

  1. 監視 > ThreatSync+ の順に選択します。
  2. 検出 を選択します。
  3. デバイス タブで、検出されたデバイスの行に表示されている をクリックします。

Screenshot of the Accept or Ignore options of a discovered device on the Discover page

  1. 受け入れる または 無視する を選択します。
    無視する を選択すると、ステータスが新規から無視に変わります。受け入れる を選択すると、デバイスを更新する ダイアログ ボックスが開きます。次の手順に進みます。

Screenshot of the Update a Device dialog box

  1. デバイス情報を編集します。
    • 名前 — デバイス名を入力します。デバイス名は、違反、Smart Alert、トラフィックにおけるこのノードの情報を示すために使用されます。IP アドレスの代わりに、分かりやすい名前を入力してください。
    • 説明 — デバイスの特定に有用となるように、デバイスの説明を入力します。
    • ロール — デバイスがネットワークで果たすロール (SQL Database Server など) を選択します。ThreatSync+ で脅威がより適切に特定されるように、このノードが提供するアプリケーション サービスを特定するためにロールが使用されます。
    • タグ — タグを入力して、デバイスをグループ化して整理します。タグを使用することで、ノードに追加の識別子を関連付けることができます。これにより、それらをグループ化して、動的なシステム セットに関するポリシーを作成することが可能となります。
    • 重要度 — 組織におけるこのデバイスの価値の高さを示す評価を選択します (超低〜超高)。重要度レベルには、このデバイスの破損または紛失が発生した場合に組織に及ぼされる影響度が反映されている必要があります。ThreatSync+ の高度な脅威検出機能と組み合わせて、資産のリスク レベルを計算する際にこの値が使用されます。
    • アドレス — デバイスの IP アドレスを入力します。デバイスには、異なるネットワーク インターフェイス用に複数の IP アドレスが割り当てられている可能性があります。 をクリックして、複数の IP アドレスを追加することができます。
  2. 更新 をクリックします。
    ステータスが新規から受け入れ済みに変わります。ThreatSync+ では、受け入れられたデバイスが管理対象デバイス リストに追加されます。詳細については、次を参照してください:デバイスを管理する

検出されたサブネットを受け入れて構成する

サブネット タブで、ThreatSync+ で検出された IP アドレス範囲とサブネットを確認して受け入れることができます。これにより、内部ネットワークにおける重要な領域を定義してラベル付けすることができます。

Screenshot of the Subnets tab on the Discover page

また、ThreatSync+ では、提案列に、検出されたサブネットに対して実行するアクションの提案が表示されます。提案と推奨アクションには、以下が含まれます。

  • サブネットを追加する — 事前定義されている ThreatSync+ NDR ロールの 1 つまたは複数を表すアプリケーションに使用されている資産を示すトラフィックが検出されたため、新規資産を特定してラベル付けします。

検出されたサブネットを受け入れる、または無視するには、WatchGuard Cloud で以下の手順を実行します。

  1. 監視 > ThreatSync+ の順に選択します。
  2. 検出 を選択します。

Screenshot of the Subnets tab on the Discover page that shows details of the Subnets list

  1. サブネット タブで、検出されたサブネットの行に表示されている をクリックします。
  2. 受け入れる または 無視する を選択します。
    無視する を選択すると、ステータスが新規から無視に変わります。受け入れる を選択すると、サブネットまたはアドレス範囲を追加する ダイアログ ボックスが開きます。次の手順に進みます。

Screenshot of the Add a Subnet or Address Range dialog box

  1. 割り当てられた値を編集します。
    • サブネットとマスク (CIDR) — サブネットとマスクを特定する場合は、このオプションを選択します。
    • IP 範囲 — IP アドレス範囲を特定する場合は、このオプションを選択します。
      • 開始 IP — 範囲の開始 IP アドレスを入力します。
      • 終了 IP — 範囲の終了 IP アドレスを入力します。
    • 組織 — サブネットの名前または IP アドレス範囲を入力します。
    • デバイスの種類 — デバイスの種類 (コンピュータ、サーバー、ゲートウェイなど) を選択します。
    • 除外 — サブネットまたは IP アドレス範囲をトラフィック監視から除外する場合は、このチェックボックスを選択します。詳細については、次を参照してください:サブネットと組織を構成する
    • 組織タグ — タグを入力して、サブネットをグループ化して整理します。タグを使用することで、ノードに追加の識別子を関連付けることができます。これにより、それらをグループ化して、動的なシステム セットに関するポリシーを作成することが可能となります。
  2. 保存 をクリックします。
    ステータスが新規から受け入れ済みに変わります。

必要に応じて、サブネットと組織ページで、受け入れ済みのサブネットまたは IP アドレス範囲を編集することができます。詳細については、次を参照してください:サブネットと組織を構成する

以前に無視された資産を受け入れる

以前に無視された資産を表示して受け入れるには、WatchGuard Cloud で以下の手順を実行します。

  1. 監視 > ThreatSync+ の順に選択します。
  2. 検出 を選択します。
  3. 右上隅にある 無視された項目を表示する チェックボックスを選択します。

Screen shot of ignored devices in ThreatSync+ NDR

  1. 無視されていた資産のチェックボックスを選択します。
  2. 右上隅にある をクリックします。
  3. 選択されているものを表示する を選択します。
    ステータスが新規に変わります。
  4. 受け入れる資産の行にある をクリックします。

Screen shot of menu item to accept ignored devices in ThreatSync+ NDR

  1. 同意 をクリックします。

関連トピック

サブネットと組織を構成する

クイック スタート — ThreatSync+ NDR をセットアップする