ThreatSync+ SaaS 統合について — Microsoft 365

ThreatSync+ SaaS により、Microsoft 365 などのサードパーティの SaaS (Software as a Service) およびクラウド環境におけるユーザーアクティビティを監視することができます。

ThreatSync+ SaaS では、コレクター によって Microsoft 365 のユーザーアクティビティログが収集されます。これにより、ThreatSync+ SaaS で、承認済みおよび未承認の Microsoft 365 ユーザーによる異常なユーザーアクティビティとログインを監視、対応、報告することが可能となります。

ThreatSync+ SaaS の Microsoft 365 脅威検出機能には、以下が含まれています。

以下の 3 つの主要カテゴリに分類される防御制御
- 内部アクターによる漏洩
- 不審なアクセス動作
- 不審なログインアクティビティ
Microsoft 365 防御目標レポート
Microsoft 365 ユーザーアクティビティの監視
Microsoft 365 ユーザー修正

ThreatSync+ SaaS の詳細については、以下のセクションを参照してください。

ライセンス
レポート
ThreatSync+ SaaS 統合を追加する
ThreatSync+ UI
- ThreatSync+ SaaS を監視する
- ThreatSync+ SaaS を構成する
ユーザーに対してアクションを実行する

ライセンス

ThreatSync+ SaaS を使用するには、ThreatSync+ SaaS ライセンスを購入して、アクティブ化する必要があります。ThreatSync+ SaaS は、ユーザーごとにライセンス付与されます。

ライセンスの詳細については、次を参照してください：ThreatSync+ SaaS ライセンスについて。

ネットワークのすべての領域を可視化できるように、ThreatSync+ NDR ライセンスをアクティブ化することが強く勧められます。

レポート

組織の脅威を監視する上で、レポートは重要な役割を果たします。Microsoft 365 用 ThreatSync+ SaaS で生成される Microsoft 365 防御目標レポートにより、Microsoft 365 ユーザーのユーザーアクティビティ、異常なログイン、不審なファイル共有アクティビティを監視することができます。

詳細については、次を参照してください：ThreatSync+ SaaS レポート。

既定の ThreatSync+ NDR レポート、追加の防御制御レポート、およびカスタムレポートを生成する機能を追加できるように、ThreatSync+ NDR ライセンスおよび WatchGuard Compliance Reporting ライセンスを追加することが勧められます。詳細については、次を参照してください：ThreatSync+ NDR レポートおよび WatchGuard Compliance Reporting について。

ThreatSync+ SaaS 統合を追加する

SaaS 統合を追加するには、WatchGuard Cloud の ThreatSync+ 統合 UI を使用します。ThreatSync+ SaaS 統合を追加するには、構成 > ThreatSync+ 統合 の順に選択します。

Screenshot of a successful SaaS integration added to ThreatSync+ SaaS that shows the Active status

詳細については、次を参照してください：ThreatSync+ SaaS 統合を構成する — Microsoft 365。

ThreatSync+ UI

ThreatSync+ SaaS を構成および監視するには、WatchGuard Cloud の ThreatSync+ UI を使用します。WatchGuard Cloud に接続するには、cloud.watchguard.com に移動します。

使用可能なページと機能はライセンスの種類によって異なります。このドキュメント全体にわたり、一般的に ThreatSync+ はすべての製品を指しています。ThreatSync+ UI にページまたは機能が表示されない場合、それが製品でサポートされていないと考えてください。

ThreatSync+ SaaS を監視する

ThreatSync+ SaaS 統合を監視するには、以下のページを使用します。

ネットワーク概要 — ネットワークの傾向の概要が示されます。これには、ポリシーアラートおよびユーザーアクティビティに関する詳細情報へのリンクが含まれています。詳細については、次を参照してください：ThreatSync+ 概要ページについて。
ポリシーアラート — ネットワークのポリシー違反に関するアラートが表示されます。詳細については、次を参照してください：ポリシーアラートについて。
ユーザー — Microsoft 365 のユーザーアクティビティ、脅威検出、およびユーザー修正に関する詳細が表示されます。このページは、ThreatSync+ SaaS ライセンスが割り当てられている場合に使用することができます。詳細については、次を参照してください：ThreatSync+ SaaS ライセンスについておよび ThreatSync+ ユーザー。
ThreatSync+ 監査ログ — ThreatSync+ SaaS ポリシー、ゾーン、ユーザー、IP アドレス、および SaaS コレクターを変更するために実行された構成アクティビティの詳細が表示されます。詳細については、次を参照してください：ThreatSync+ 監査ログ。

ThreatSync+ SaaS を構成する

ThreatSync+ SaaS を構成するには、設定 > ThreatSync+ の順に選択します。

以下のページを使用して、ThreatSync+ SaaS を構成することができます。

Compliance Reporting — Microsoft 365 防御目標レポートのネットワーク防御の目標と目的を管理します。詳細については、次を参照してください：ネットワーク防御目標を管理する。
ポリシー — 既定のポリシーを管理し、ネットワークのカスタムポリシー定義を使用してポリシーを追加します。詳細については、次を参照してください：ThreatSync+ ポリシーを構成するおよび ThreatSync+ SaaS ポリシー。
ゾーン — ネットワークのゾーンを管理し、カスタムゾーンを作成します。詳細については、次を参照してください：ThreatSync+ ゾーンを管理する。
アラート — 電子メール通知が生成される SaaS コレクターアラート、修正アラート、ポリシーアラートを指定します。詳細については、次を参照してください：ThreatSync+ のアラートと通知ルールを構成する。

ユーザーに対してアクションを実行する

Microsoft 365 用 ThreatSync+ SaaS には、手動と自動の両方の修正アクションが含まれています。

ThreatSync+ UI を用いて、以下の手動アクションを実行することができます。

ユーザーを有効化/無効化する — Microsoft 365 ユーザーを有効化または無効化します。このアクションを選択すると、Microsoft 365 ユーザーが無効化または有効化されます。Microsoft 365 ユーザーを無効化すると、そのユーザーは Microsoft 365 アカウントを使用してログインできなくなります。

詳細については、次を参照してください：ThreatSync+ ユーザー。

ThreatSync+ SaaS ポリシーを通じて自動修正を実行する方法については、次を参照してください：カスタム ThreatSync+ ポリシーを追加する — ThreatSync+ SaaS。