適用対象: ThreatSync+ NDR
すべての Smart Alert で、脅威に関する詳細な情報が提供されます。これには、Smart Alert の概要および主要アクターによって実行された特定のアクティビティを示すグラフとメトリックが含まれます。未解決の Smart Alert を確認して、その Smart Alert がネットワークに対する実際の脅威を示しているかどうかを判断します。
Smart Alert と Smart Alert の詳細ページは、ThreatSync+ NDR ライセンスが割り当てられている場合に使用することができます。詳細については、次を参照してください:ThreatSync+ NDR ライセンスについて。
Smart Alert の詳細を確認するには、以下の手順を実行します。
- WatchGuard Cloud アカウントにログインします。
- 監視 > ThreatSync+ > Smart Alert の順に選択します。
Smart Alert ページが開き、未解決の Smart Alert のリストが表示されます。 - 確認する Smart Alert をクリックします。
既定で概要タブが選択されている状態で、Smart Alert の詳細ページが開きます。
Smart Alert の詳細ページの詳細については、以下のセクションを参照してください。
- Smart Alert アクティビティを表示する
- 概要タブ
- 主要アクター
- チェックする点
- 動作インジケータ
- 主要なインジケータ
- Smart Alert の再発
- 動作チャートとマップ
- 動作の詳細
- Smart Alert を修正する
- Smart Alert を終了する
Smart Alert アクティビティを表示する
Smart Alert に関する詳細なトラフィック情報を表示するには、Smart Alert アクティビティを表示する をクリックします。トラフィック調査の詳細については、次を参照してください:ThreatSync+ トラフィックを調査する。
概要タブ
Smart Alert の詳細ページの 概要 タブには、脅威アクティビティのスナップショットが表示されます。概要 タブには、主要アクターに関する概要情報、および主要アクターによってネットワークで実行されたアクティビティに関連付けられる概要情報のウィジェットが含まれています。
主要アクター
主要アクターとは、悪質なアクティビティに関連付けられるデバイスを指しています。主要アクターは、脅威の要因となっているデバイスである可能性、または攻撃者が悪質な動作の実行を目的として侵害したデバイスである可能性があります。概要 タブの 主要アクター ウィジェットには、IP アドレス、主要なインジケータ、関連するポリシー アラートへのリンクが含まれている可能性があります。主要アクターの詳細を確認するには、主要アクター ウィジェットに表示されている名前、電子メール アドレス、または IP アドレスをクリックします。
ポリシー アラートの詳細については、次を参照してください:ポリシー アラートについて。
チェックする点
チェックする点 セクションには、Smart Alert の種類に関する重要な情報、および脅威を確認して診断する方法に関する推奨事項が表示されます。すべての Smart Alert で、概要 タブ、および特定の Smart Alert アクティビティの説明が記載される動作の種類タブすべてに、チェックする点 セクションが表示されます。このセクションから Smart Alert の確認を開始して、脅威の種類に関する知識を深め、修正に関する提案を確認することが勧められます。
以下は、プロービングまたは偵察を示す Smart Alert の例です。
動作インジケータ
動作インジケータは、Smart Alert が生成される要因となった脅威に関連するアクティビティの種類を示すものです。動作インジケータは、概要 タブおよび Smart Alert の各動作の種類タブに含まれています。すべての動作の種類には、主要アクターに関する情報および脅威の信頼度が含まれています。
動作の種類タブは、Smart Alert の種類によって異なります。これには、以下が含まれている可能性があります。
- 内部から外部への水平ポート スキャン — 主要アクターによってスキャンされた IP アドレスの詳細が表示されます。これには、スキャンされた IP アドレスの数、組織、スキャン アクティビティに関連しているポートの詳細が含まれます。
- 不審な DNS トンネリング — DNS トラフィックの異常チャートには、主要アクターから DNS 要求が送信された際に記録された異常が表示されます。
- 水平ポート スキャン — スキャンされたサブネットと組織の詳細が表示されます。これには、接続エラー率と ICMP 要求に関するメトリックが含まれます。
- 垂直ポート スキャン — 単一の宛先 IP アドレスに接続されたポートの詳細が表示されます。これには、接続エラー率とスキャン イベントに関するメトリックが含まれます。
- 内部から外部への大容量データ転送 — ネットワーク外に送信された不審なネットワーク トラフィックの詳細が表示されます。これには、トラフィック量別のプライマリ宛先組織、合計トラフィック量、影響を受けたポート、および外部システムへの大量フローの総数が含まれます。
主要なインジケータ
主要なインジケータにより、検出された動作に関する詳細情報が得られます。これは、概要 タブのすべてのウィジェットおよびすべての動作の種類タブに表示されます。詳細には、関連している組織、ドメイン、ネットワーク トラフィックの詳細、脅威の詳細が含まれている可能性があります。
Smart Alert の再発
頻繁にアラートが再発する場合は、ネットワークの承認済みアプリケーションによって不審な方法で調査または通信が行われているアクティビティにすぎない可能性があります。多くのアプリケーション クライアントでは、悪質なポート スキャンに似たサーバー スキャンが実行されます。一部のアプリケーションでは、GitHub といったクラウド サービスと定期的な自動通信が実行されますが、これが C2 (コマンド アンド コントロール) トンネリング アクティビティとして認識される可能性があります。
動作チャートとマップ
Smart Alert の詳細には、いくつかのチャートとマップが含まれています。これにより、時間別、過去のアクティビティ別、タイムライン別で動作の詳細を確認することができます。
- 経時的な動作数 — Smart Alert に関連付けられる動作の種類、スキャンの頻度、スキャンにかかった時間が表示されます。
- 動作マップ — 主要アクターとさまざまな動作の種類の間に存在する関連性の詳細が表示されます。それぞれの動作の種類と IP アドレスをポイントすると、デバイスの種類、組織、または動作の場所に関する詳細が表示されます。
- アクティビティ — 動作の履歴が表示されます。これには、動作数、信頼度、ステータス、ユーザー情報が含まれます。
- タイムライン — 動作が発生した順序が表示されます。
-
コメント — 管理ユーザーが Smart Alert に追加したコメントがすべて表示されます。Smart Alert の確認時にコメントを追加することで、Smart Alert のアクティビティを文書化して、他の管理ユーザーと通信を図ることができます。Smart Alert にコメントを追加するには、コメント をクリックします。
動作の詳細
すべての Smart Alert には、動作の詳細リストが含まれています。サイド ペインで特定の動作に関する詳細情報を表示するには、選択した動作の横にある 
をクリックします。
サイド ペインには、特定の期間の動作の詳細を示す動作マップとチャートが表示されます。動作の詳細は、動作の種類によって異なります。
たとえば、不審な DNS トンネリングの動作の種類に関する詳細には、以下が含まれます。
- 主要アクター
- トンネルが構築された重要なデバイス
- 疑わしい主なトンネルの種類
- 宛先組織
- トンネル経由の通信の合計バイト
- 宛先ホスト
動作マップを操作して詳細を表示するには、マップのさまざまなセクションをポイントまたはクリックします。
Smart Alert を修正する
ThreatSync+ NDR で検出された Smart Alert を表示して、Smart Alert の詳細を確認することで、脅威に対して実行するアクションの種類を判断することができます。Smart Alert が実際の脅威を示すものである場合は、チェックする点 セクションの推奨事項に従って、脅威に対処することが勧められます。
脅威がネットワーク外部で発生している場合は、ファイアウォールを使用して、それをブロックすることを検討してください。脅威がネットワーク内部で発生している場合は、影響を受けたデバイスを特定し、ネットワークからそのデバイスを物理的に削除します。デバイスが侵害された場合は、他のデバイスへの感染や攻撃を防止することが非常に重要となります。
アクティビティが承認済みまたは無害であると判断した場合は、その Smart Alert を終了して、今後同様のアクティビティに関する通知が生成されないように ThreatSync+ NDR を設定することができます。詳細については、次を参照してください:Smart Alert を終了する。
Smart Alert を終了する
Smart Alert を確認して修正した後は、それを終了することが重要となります。これにより、未解決の Smart Alert をより容易に追跡できるだけでなく、ThreatSync+ NDR で確認と修正のプロセスの完了速度を追跡できるようになります。ThreatSync+ NDR では、継続的にネットワークが学習されます。Smart Alert を終了することで、貴重なフィードバックが提供されることになります。これにより、ThreatSync+ NDR の AI によるネットワークの理解が深まり、その後の Smart Alert がより適切に解釈されるようになります。
特定期間に存在する未解決の Smart Alert の数、および管理ユーザーによる対応の速度を示すメトリックを確認できるように、エグゼクティブ概要レポートを設定して構成することが勧められます。詳細については、次を参照してください:ThreatSync+ NDR エグゼクティブ概要レポート。
Smart Alert を終了する際に、以下の理由のいずれかを選択します。
- 異常であり、未承認であるため — ThreatSync+ NDR で異常なアクティビティが正しく特定され、そのアクティビティがネットワークで承認されていない場合です。これは、正当なビジネス活動の一部として認められるアクティビティではありません。
- 異常ではあるものの、承認済みであるため — ThreatSync+ NDR で異常なアクティビティが正しく特定されたものの、アクティビティの送信元が分かっており、それがネットワークで承認済みであることが判明している場合です。これには、承認済みのペネトレーションテスト (侵入テスト) やポート スキャンなどのアクティビティが含まれます。
- 正常なアクティビティであるため — ネットワークで期待されているアクティビティの場合です。こうした Smart Alert を終了する際に、今後この種のアラートが抑制されるように ThreatSync+ NDR を設定することができます。例として、ネットワーク デバイスのスキャンといった通常のアプリケーション アクティビティ、またはトンネリングのように見える承認済みボットからの自動アクティビティなどが挙げられます。
- その他 — どのような種類の Smart Alert か判断できない場合です。これは、脅威となる可能性はあるものの、根本的な原因を特定できないものです。こうした Smart Alert を終了する際には、より詳細な情報を提供することができます。これにより、ThreatSync+ NDR で脅威か否かがより正確に判断されるようになります。
承認済みアクティビティに対して Smart Alert が繰り返し生成されるのを回避する
Smart Alert を終了する際に、ThreatSync+ NDR に他の質問が表示される可能性があります。これは、ユーザーのアクションから学習することを目的としています。ユーザーの対応により、脅威でないアラートの発信数を減少させることができます。
誤検出 (フォルス ポジティブ) の Smart Alert の数を減らすには、Smart Alert を終了する際に、同様の Smart Alert を無視する チェックボックスを選択します。これにより、Smart Alert 制御ページに表示されるルールが作成されます。詳細については、次を参照してください:ThreatSync+ NDR Smart Alert 制御を構成する。
無視する Smart Alert の選択に使用される類似性をさらに制御するには、より詳細なオプションを表示する を選択して、特定のプロパティを指定します。
同様の Smart Alert を無視する チェックボックスを選択すると、ThreatSync+ NDR で以下が実行されます。
- プロパティが同じ未解決の Smart Alert がすべて終了される。
- プロパティが同じ Smart Alert が今後検出された場合に、それが通知されることなく、終了される。
- 詳細オプション セクションで指定されているプロパティを持つ Smart Alert が今後検出された場合に、それが終了される。