ThreatSync+ NDR コレクターについて

適用対象: ThreatSync+ NDR 

ネットワークにあるすべてのデバイスの IP トラフィックを監視して、ネットワークの可視性を高めることができます。

Fireware v12.10.3 以降を実行しており、クラウド レポート機能を備えたクラウド管理の Firebox とローカル管理の Firebox では、ネットワーク トラフィック データが WatchGuard Cloud および ThreatSync+ NDR に自動的に送信されます。このデータ フィードにより、ThreatSync+ NDR で横移動、DNS トンネル、高速スキャンと低速スキャン、データ漏洩といった潜在的な脅威や不審なアクティビティが特定および検出されるために必要となる情報が提供されます。

クラウド レポート機能を備えたローカル管理の Firebox の場合は、各ポリシーで、レポートのログ メッセージが送信されるように Firebox を有効化する必要があります。詳細については、次を参照してください:ログ記録と通知の基本設定を行う Fireware ヘルプ で。

旧バージョンの Fireware、サードパーティ製ファイアウォール、またはスイッチを実行している Firebox の場合は、コレクター と呼ばれるオンプレミスの Windows または Linux ベースの収集デバイスを使用して、ネットワーク トラフィックを監視することができます。コレクターにより、NetFlow、sFlow、Windows DHCP サーバー ログといったデータ フィードがサードパーティのスイッチやファイアウォールから直接取得され、安全な接続を介して WatchGuard Cloud に転送されます。こうしたデータ フィードには、スイッチまたはファイアウォールを介してネットワーク デバイスに流れるトラフィックに関する情報が含まれています。

ThreatSync+ NDR 収集エージェントについて

コンピュータおよびサーバーにコレクターをインストールして構成するには、まず WatchGuard エージェントをダウンロードしてインストールし、次に ThreatSync+ NDR にコレクターを構成する必要があります。

Figure of collector architecture in ThreatSync+ NDR

ThreatSync+ NDR 収集エージェントで、ネットワークのスイッチおよびルータからのログ データ、Windows ログ エージェントからの DHCP データ、およびローカル管理の Firebox からのデータが受信され、そのデータが WatchGuard Cloud に送信されます。

ThreatSync+ NDR 収集エージェントがリッスンしているポート:

  • ポート 2055:Endpoint からの NetFlow ログ データ。
  • ポート 6343:Endpoint からの sFlow ログ データ
  • ポート 514:Windows ログ エージェントからの DHCP ログ データ。

Windows 用 ThreatSync+ NDR 収集エージェント

ThreatSync+ NDR 収集エージェントは、Windows 10、Windows 11、Windows Server 2022 のいずれかを実行している Windows コンピュータにインストールすることができます。

Windows 用の WatchGuard エージェントと ThreatSync+ NDR 収集エージェントをインストールして構成するには、以下の手順を実行します。 ThreatSync+ NDR のコレクターを構成する (Windows コンピュータ)

Linux 用 ThreatSync+ NDR 収集エージェント

ThreatSync+ NDR 収集エージェントは、Ubuntu 22.04 Server LTS または 24.04 Server LTS を実行している Linux コンピュータにインストールすることができます。

Linux 用 の WatchGuard エージェントと ThreatSync+ NDR 収集エージェントをインストールして構成するには、以下の手順を実行します。ThreatSync+ NDR のコレクターを構成する (Linux コンピュータ)

Windows ログ エージェント

Windows ログ エージェントは、Windows DHCP サーバー ログを読み取り、ThreatSync+ NDR 収集エージェントに転送する収集エージェントです。そして、ThreatSync+ NDR 収集エージェントから、DHCP ログが WatchGuard Cloud に転送されます。

Windows ログ エージェントは、Windows Server 2019 または 2022 にインストールすることができます。こうしたサーバーの一部は、ドメイン コントローラでもある可能性があります。

デバイスの IP アドレスが変更された場合にそれを追跡するには、Windows ログ エージェントを使用して、Active Directory DHCP ログを収集することが勧められます。すべての DHCP サーバーに Windows ログ エージェントを追加して構成します。

Windows ログ エージェントをインストールして構成する方法については、次を参照してください:Windows ログ エージェントを構成する

関連トピック

クイック スタート — ThreatSync+ NDR をセットアップする

ThreatSync+ NDR のベストプラクティス

ThreatSync+ NDR について