適用対象: ThreatSync+ NDR
ThreatSync+ NDR には、有効化してカスタマイズできる既定のポリシーとゾーンが含まれています。
既定のポリシーを有効化すると、または既定のポリシーやゾーンを編集すると、ThreatSync+ NDR でユーザーのためのプライベート コピーが作成されます。ユーザーが有効化した既定のポリシーの定義を WatchGuard が更新しても、このコピーに影響はありません。既定のポリシー定義に戻す場合は、ポリシーのコピーを削除します。詳細については、次を参照してください:ThreatSync+ のポリシーおよびゾーンについて。
既定のポリシー
ThreatSync+ には、以下の既定のポリシーが含まれています。
| ポリシー名 | カテゴリ | 送信元のゾーン | 宛先のゾーン | 説明 |
|---|---|---|---|---|
| ソーシャル メディア サイトへのアクティビティ | 禁止されているサイト | 内部 | ソーシャル メディア サイト | 禁止されているソーシャル メディア サイトとの通信が検出されます。 |
| Facebook との間で発生した内部トラフィックの検出 | 禁止されているサイト | 内部 | Facebook ドメイン | Facebook との通信が検出されます。 |
| Active Directory から外部へ | データ漏洩 | Active Directory | 外部 | 53、80、443 以外のポートで、Active Directory サーバーから外部への不適切な通信が発生した場合にそれが検出されます。 |
| Facebook に送信する、または Facebook から受信する重要な資産 | 禁止されているサイト | 重要な資産 | Facebook ドメイン | 重要な資産から Facebook への通信が発生した場合にそれが検出されます。 |
| 開発環境と本番環境の間のアクティビティ | 重要な資産 | 開発 | 本番 | 未承認の開発システムから本番システムへの通信が発生した場合にそれが検出されます。 |
| ブロック済みの国へのアクティビティ | 禁止国 | 内部 | 禁止国 | 禁止国ゾーン内の国へのトラフィックが検出されます。 |
| ブロック済みの国との間での発生した異常なアクティビティ | 禁止国 | 内部 | 禁止国 | 禁止国ゾーン内の国との通信において異常イベントが検知された場合にそれが検出されます。 |
| 重要な資産への内部 Telnet トラフィック | 重要な資産 | 内部 | 重要な資産 | 重要システムへの非暗号化 Telnet トラフィックが検知された場合にそれが検出されます。 |
| ファイル共有サイトに送信された大容量コンテンツの検出 | 禁止されているサイト | 内部 | ファイル共有サイト | パブリック ファイル共有サイトに 40K バイト超のデータが送信された場合にそれが検出されます。 |
|
共通ポート経由の漏洩のブロック |
重要な資産 | 外部 | MITRE ATT&CK テスト | ポリシーによってブロックされているはずの共通ポート経由で、重要な資産から外部への通信が発生した場合にそれが検出されます。 |
|
サービス層ポートの削除による漏洩のブロック |
重要な資産 | 外部 | MITRE ATT&CK テスト | ポリシーによってブロックされているはずのアプリケーション サービス ポート経由で、重要な資産から外部への通信が発生した場合にそれが検出されます。 |
|
不測の外部から外部へのトラフィック |
外部 | 外部 | 未承認トラフィック | 内部ネットワークでパブリック トラフィックが検知された場合にそれが検出されます。 |
|
外部から内部への RDP |
外部 | 内部 | 安全な境界 | 外部 IP アドレスからインバウンド リモート デスクトップ プロトコル (RDP) 接続が発生した場合にそれが検出されます。 |
|
外部から内部への新規 RDP |
内部 | 外部 | 安全な境界 | 外部 IP アドレスから新たなインバウンド RDP 接続が発生した場合にそれが検出されます。 このポリシーは、新たに検知された外部システムからの受信 RDP 接続が検出された場合にのみトリガーされます。信頼済みの外部の場所から定期的に RDP 接続の受信が発生する場合は、既存の外部から内部への RDP ポリシーの代わりに、このポリシーを使用します。 |
|
異常な通信アクティビティの変化 |
すべての内部 IP アドレス | すべての外部ドメイン | 異常なアクティビティ | 受信トラフィックと送信トラフィックの平均比率で示されるように、通信アクティビティのプロファイルに発生した異常な変化が検出されます。これは、意図的か悪質的かを問わず、システムが別の目的で使用されていることを示している可能性があります。 |
|
重要な資産からの新たなドメインへの接続 |
重要な資産 | すべての外部ドメイン | 新たな接続 | ネットワークの重要な資産が初めてドメインに接続した場合にそれが検出されます。重要な資産から過去に通信が発生したことのない外部ドメインへの通信が発生するということは、普通ではない可能性があります。 |
|
異常な送信接続期間 |
すべての内部 IP アドレス | すべての外部 IP アドレス | 未承認トラフィック | ネットワークで異常に持続時間が長い送信接続が発生した場合にそれが検出されます。接続の時間が長いということは、不正な自動アクティビティが発生している可能性があり、脅威となり得ます。 |
|
インターネットからの Web サーバーへの受信トラフィック |
すべての外部ドメイン | すべての内部 IP アドレス | 未承認トラフィック | Web サーバーで一般的に使用されるポートで受信接続が発生した場合にそれが検出されます。構成された内部組織およびサブネット内で Web サーバーが動作することは普通ではありません。 |
|
異常なトラフィック ミックスの変化 |
すべての内部 IP アドレス | すべての外部ドメイン | 異常なアクティビティ | 両方向のトラフィックの平均パケット サイズによって示されるように、トラフィック アクティビティのプロファイルに異常な変化が発生した場合にそれが検出されます。これは、意図的か悪質的かを問わず、システムが別の目的で使用されていることを示している可能性があります。 |
|
未承認のアウトバウンド SSH |
すべての内部 IP アドレス | すべての外部ドメイン | 未承認トラフィック | 内部デバイスから外部ドメインへの未承認 SSH 接続が発生した場合にそれが検出されます。 |
|
異常な内部から外部への接続数 |
すべての内部 IP アドレス | すべての内部 IP アドレス | 未承認トラフィック | 内部 IP アドレスから外部ドメインへの接続数が通常のアクティビティとは大きく異なる場合にそれが検出されます。これは、異常な宛先への未承認アクティビティを示している可能性があります。 |
| 新たな外部ドメインから内部ドメインへの接続 | すべての外部ドメイン | すべての内部 IP アドレス | 新たな接続 | リモート ドメインがネットワークのデバイスに初めて接続された場合にそれが検出されます。特に過去に接続が発生したことのない外部ドメインから接続が開始されることは、異常である可能性があります。 |
| Web API 経由のビーコン | すべての内部 IP アドレス | すべての外部 IP アドレス | C2 (コマンド アンド コントロール) | ネットワークの IP アドレスとリモート ロケーションの間に、サードパーティの Web サービス経由で自動ビーコン アクティビティが発生した場合にそれが検出されます。これは、未承認の C2 (コマンド アンド コントロール) アクティビティを示している可能性があります。 |
| 異常な重要な資産から外部への接続数 | 重要な資産 | すべての外部ドメイン | 未承認トラフィック | 重要な資産から外部ドメインへの接続数が通常のアクティビティと大きく異なる場合にそれが検出されます。これは、異常な宛先への未承認アクティビティを示している可能性があります。 |
| 異常な受信接続期間 | すべての内部 IP アドレス | すべての外部 IP アドレス | 未承認トラフィック | ネットワークで外部 IP アドレスからデバイスへの異常に持続時間の長い受信接続が発生した場合にそれが検出されます。接続の時間が長いということは、不正な自動アクティビティが発生している可能性があり、脅威となり得ます。 |
| 重要な資産から外部への異常に高いアクティビティ | 重要な資産 | すべての外部ドメイン | データ漏洩 | 重要な資産から外部ドメインへのアクティビティの量または分布が異常に大きい場合にそれが検出されます。 |
|
内部から内部への RDP 試行 |
すべての内部 IP アドレス | すべての内部 IP アドレス | 異常なアクティビティ | ネットワークにおいて 2 つの内部 IP アドレス間に RDP セッション確立の試みが発生して失敗した場合にそれが検出されます。 |
|
外部から内部への RDP 試行 |
すべての外部 IP アドレス | すべての内部 IP アドレス | 異常なアクティビティ | ネットワークにおいて外部 IP アドレスからの RDP セッション確立の試みが発生して失敗した場合にそれが検出されます。 |
| 内部から内部への SSH 試行 | すべての内部 IP アドレス | すべての内部 IP アドレス | 異常なアクティビティ | ネットワークにおいて 2 つの内部 IP アドレス間に SSH セッション確立の試みが発生して失敗した場合にそれが検出されます。 |
| 外部から内部への SSH 試行 | すべての外部 IP アドレス | すべての内部 IP アドレス | 異常なアクティビティ | ネットワークにおいて外部 IP アドレスからの SSH セッション確立の試みが発生して失敗した場合にそれが検出されます。 |
|
セキュリティ サービスの中断 |
すべての内部資産 | すべての外部組織 | サービス継続 | 内部ノードの 1 つで使用されているセキュリティ サービスが中断した場合にそれが検出されます。 このポリシーは、セキュリティ サービス アクティビティで状態の中断が検出されたイベントによりトリガーされます。 |
既定のゾーン
ゾーンは内部か外部のいずれかに分類されます。
内部ゾーンには、以下が含まれます。
- すべての内部ノード
- 資産
- 組織
- IP アドレス
外部ゾーンには、以下が含まれます。
- すべての外部ノード
- 国
- 場所
- 組織
- ドメイン
- IP アドレス
ThreatSync+ には、以下の既定の内部ゾーンが含まれています。
| 内部ゾーン名 | ゾーンの種類 | 詳細 | 説明 |
|---|---|---|---|
| 開発 | 資産 | タグは開発 | 開発タグが割り当てられているすべての資産。 |
| Active Directory | 資産 | ロールは Active Directory | ACTIVE_DIRECTORY ロールが割り当てられているすべての資産。 |
| すべての内部 IP アドレス | すべて | すべてのノードは内部として識別されます。 | |
| 重要な資産 | 資産 | タグは重要な資産 | 重要な資産タグが割り当てられているすべての資産。 |
| 本番 | すべて | 本番タグが割り当てられているすべての資産。 | |
| すべての内部資産 | 資産 | 定義されているすべての資産。 |
ThreatSync+ には、以下の既定の外部ゾーンが含まれています。
| 外部ゾーン名 | ゾーンの種類 | 詳細 | 説明 |
|---|---|---|---|
| すべての外部ドメイン | すべて |
すべてのドメインは外部として識別されます。 |
|
| すべての外部 IP アドレス | すべて | すべての IP アドレスは外部として識別されます。 | |
| ファイル共有サイト | ドメイン | ファイル共有ドメインの静的リスト | ドメイン名のリスト。検出されるには、それが ThreatSync+ で使用される IP2Location フィードの有効な名前である必要があります。 |
| 禁止国 | 国 | 国名の静的リスト | 国名の静的リスト。検出されるには、それが ThreatSync+ で使用される IP2Location フィードの有効な名前である必要があります。 |
| ソーシャル メディア サイト | ドメイン | ソーシャル メディア サイトのドメインの静的リスト | ドメイン名のリスト。検出されるには、それが ThreatSync+ で使用される IP2Location フィードの有効な名前である必要があります。 |
| Facebook ドメイン | ドメイン | Facebook が所有するドメインの静的リスト | ドメイン名のリスト。検出されるには、それが ThreatSync+ で使用される IP2Location フィードの有効な名前である必要があります。 |
| すべての外部組織 | 組織 | すべての外部組織名。 |