ThreatSync インシデントを監視する

適用対象: ThreatSync　 本トピックは ThreatSync に適用されます。

インシデントとは、悪質であることが確認されたアクティビティを指します。インシデントには、IoC (侵害のインジケーター) といった単純なものもあれば、悪質な意図を判断することを目的として動作が順番に一覧される IOA (Indicators of attack) のような複雑なものもあります。

インシデント ページには、インシデントの一元化リストが表示されます。インシデント応答側は、これを確認して、アクションを実行することができます。ページに一覧されるすべてのインシデントは実行可能です。

インシデント ページでは、以下を実行することができます。

• 日付範囲を変更する
• インシデント リストをソートおよびフィルタリングする
• インシデント チャートを表示する
• インシデント リスト レポートをダウンロードする
• リモート コントロール

インシデントの詳細については、次を参照してください：インシデントの詳細を確認するインシデントに対してアクションを実行する方法の詳細については、次を参照してください：インシデントおよび Endpoint に対してアクションを実行する。

ThreatSync インシデントリストを開くには、以下の手順を実行します。

1. 監視 > 脅威 > インシデント の順に選択します。
   インシデント ページが開きます。

2. ページで特定のインシデントを表示するには、以下の手順を実行します。
   • 日付範囲を変更する
   • インシデント リストをソートおよびフィルタリングする
3. 特定のインシデントの詳細情報を表示するには、インシデント ページで、インシデントをクリックします。ヒント！ インシデントを右クリックすると、新しいタブまたはウィンドウでインシデントの詳細を表示することができます。 詳細については、次を参照してください：インシデントの詳細を確認する。

インシデント ページで、直接アクションを実行することができます。詳細については、次を参照してください：インシデントおよび Endpoint に対してアクションを実行する。

日付範囲を変更する

既定では、インシデント リストには、現時点の日付に発生したインシデントが表示されます。日付範囲を変更して、さまざまな日付のインシデントを表示できます。

日付範囲でインシデント リストをフィルタリングするには、以下の手順を実行します。

1. ページの上部にある をクリックします。
2. ドロップダウン リストから、以下の期間のいずれかを選択します。
   • 今日
   • 昨日
   • 過去 24 時間
   • 過去 7 日間
   • 過去 14 日間
   • 今月
   • 先月
   • カスタム
3. カスタム を選択した場合は、カスタム期間の開始日と終了日を指定します。保存 をクリックします。

インシデント リストをソートおよびフィルタリングする

既定では、インシデント リストには、新規および既読のステータスのインシデントがリスク レベルの降順で表示されるため、リストの先頭に最も重大な脅威が表示されます。

表示するインシデントをカスタマイズするには、インシデントの種類、アクション、リスク、またはステータスでインシデント リストをフィルタリングします。リスク レベルまたは日付でリストをソートすることもできます。

インシデント リストをソートするには、以下の手順を実行します。

1. ページの右上にある をクリックします。
   ドロップダウン リストが開きます。

2. 昇順または降順、日付またはリスク レベルのいずれでインシデントをソートするかを選択します。

インシデント リストをフィルタリングするには、以下の手順を実行します。

1. ページの右上にある をクリックします。
   フィルタ ダイアログ ボックスが開きます。

2. フィルタ オプションを 1 つまたは複数選択します。
   • インシデントの種類
   • アクション
   • リスク
   • ステータス
3. フィルタを適用する をクリックします。

インシデントの種類

インシデントの種類でインシデント リストをフィルタリングするには、以下のオプションを 1 つまたは複数選択します。

• 高度なセキュリティ ポリシー — 高度な感染手法が使用されている悪質なスクリプトや不明のプログラムの実行。
• エクスプロイト — 悪質なコードを挿入して脆弱なプロセスの悪用を試みる攻撃。
• 侵入試行 — 侵入者がシステムへの不正アクセスを試みるセキュリティ イベント。
• IOA — IOA (Indicators of Attack) は攻撃である可能性が高いインジケータ。
• 悪質な URL — ランサムウェアなど、マルウェアの配布を目的として作成された URL。
• 悪質な IP — 悪質なアクティビティに関連付けられる IP アドレス。
• マルウェア — コンピュータ システムを損傷または中断させること、あるいはコンピュータ システムに不正アクセスすることを目的とした悪質なソフトウェア。
• PUP — コンピュータへのソフトウェアのインストールに伴いインストールされる可能性のある不審なプログラム (PUP)。
• ウイルス — コンピュータ システムに侵入する悪質なコード。
• 不明なプログラム — WatchGuard Endpoint Security でまだ分類されていないためにブロックされたプログラム。Endpoint Security で不明なプログラムが再分類された場合に実行される操作の詳細については、次を参照してください：インシデントの再分類。
• 悪質なアクセス ポイント — ネットワークに接続する不正なワイヤレス アクセス ポイントまたは空域で動作している不正なワイヤレス アクセス ポイント。
• 認証情報アクセス — アカウント認証情報侵害の試みを示す AuthPoint インシデント。

アクション

インシデントに対して実行されたアクションでインシデント リストをフィルタリングするには、以下のチェックボックスを 1 つまたは複数選択します。

• 許可済み (監査モード) — インシデントが検出されたものの、デバイスが監査モードであるため、アクションは実行されませんでした。
• 接続のブロック — 接続がブロックされました。
• プロセスのブロック — Endpoint デバイスにより、プロセスがブロックされました。
• デバイスの隔離 — デバイスとの通信がブロックされました。
• ファイルの削除 — ファイルがマルウェアとして分類され、削除されました。
• IP のブロック — この IP アドレスとの間のネットワーク接続がブロックされました。
• アクセス ポイントをブロックする — この悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされました。
• プロセスが強制終了されました — Endpoint デバイスによって、プロセスが終了されました。
• 検出済み — インシデントは検出されたものの、アクションは実行されませんでした。
• ユーザーのブロック — AuthPoint でユーザーがブロックされた認証情報アクセス インシデント。

アクション ステータスでインシデント リストをフィルタリングするには、以下のチェックボックスを 1 つまたは複数選択します。

• 実行済み — 要求されたアクションが完了しています。
• 実行中 — 要求されたアクションが進行中です。
• 未実行 — 要求されたアクションがまだ実行されていません。
• エラー — 要求されたアクションが完了せず、エラーが返されました。詳細については、次を参照してください：インシデント エラーをトラブルシューティングする。

リスク

リスク レベルでインシデント リストをフィルタリングするには、以下のオプションを 1 つまたは複数選択します。

• 10 — 重大
• 9 - 重大
• 8 - 高
• 7 - 高
• 6 - 中
• 5 - 中
• 4 - 中
• 3 - 低
• 2 - 低
• 1 - 低

詳細については、次を参照してください：ThreatSync のリスク レベルとスコア。

ステータス

既定では、インシデント リストには、ステータスが新規および既読のインシデントが表示されます。ステータスでインシデント リストをフィルタリングするには、以下のオプションを 1 つまたは複数選択します。

• 新規 — インシデントの詳細ページでまだ確認されていない新しいインシデント。
• 既読 — インシデントの詳細ページですでに確認されているインシデント、または手動で既読としてマーク付けされたインシデント。
• 終了済み — 自動化ポリシーによって終了されたインシデント、または脅威がもはや懸念事項ではないとアナリストが判断したために手動で終了されたインシデント。

インシデントのステータスを終了または変更する方法については、次を参照してください：インシデントのステータスを終了または変更する。

インシデント チャートを表示する

インシデント ページの チャートを表示する ドロップダウン リストから、チャートを表示することができます。各チャートには、指定されている日付範囲のデータが含まれています。

• インシデントのリスク — 低、中、高、重大のリスク レベルのインシデントが円グラフで示されます。

• インシデントのステータス — 新規、既読、終了済みのインシデントが円グラフで表示されます。

• 実行済みアクション — インシデントに対して実行されたアクションがグラフで示されます。

• インシデントのタイムライン — インシデントのタイムラインが棒グラフまたは折れ線グラフのいずれかで示されます。チャートのデータの上にマウスを移動すると、インシデントの日時が表示されます。

• インシデントの種類 — インシデントの種類の円グラフが表示されます。

WatchGuard Endpoint Security (EPDR) により、ファイルがブロックされて、それがインシデントとして記録された場合は、そのファイルが許可されるように Endpoint Security を設定することができます。詳細については、次を参照してください：承認済みソフトウェア設定を構成する (Windows コンピュータ)。

インシデント リスト レポートをダウンロードする

インシデント ページで、インシデント リスト レポートを CSV または PDF の形式でダウンロードすることができます。レポートには、ソートおよびフィルタ オプションに応じて、指定された期間のインシデント データが表示されます。

チャートを表示する ドロップダウン リストから表示するチャートを選択すると、選択したチャートに PDF インシデント リスト レポートも表示されます。チャートで PDF レポートを表示する必要がない場合は、チャートを表示する ドロップダウン リストから なし を選択します。

インシデント リスト レポートをダウンロードするには、 をクリックして、CSV レポートをダウンロードする または PDF レポートをダウンロードする を選択します。

PDF レポートには、選択した通りにインシデントの種類、アクション、リスク、ステータスのいずれかでフィリタリングされた状態で、選択した日付範囲のインシデントに関する詳細が表示されます。

インシデント ページからレポートをダウンロードする際、レポートに最初の 10,000 件のインシデントのみを含めるか、すべてのインシデントを含めるかを選択することができます。最初の 10,000 件のインシデントのみを含める場合は、レポートが速やかに生成されてダウンロードされます。すべてのインシデントを含める場合は、レポートがバックグラウンドで生成されます。レポートをダウンロードできる準備が整ったら、その通知が表示されます。

脅威の概要レポートのダウンロード方法については、次を参照してください：ThreatSync インシデントの概要。

ThreatSync レポートをスケジュールする方法については、次を参照してください：ThreatSync レポートをスケジュールする。

リモート コントロール

リモート コントロール ツールを使用することで、ネットワークにある Windows、Mac、または Linux コンピュータにリモートで接続し、潜在的な攻撃を調査して修正することができます。

この機能を使用するには、リモート コンピュータが以下の要件を満たしている必要があります。

• アクティブな WatchGuard Advanced EPDR ライセンスがある
• Endpoint Security にリモート コントロール設定プロファイルが割り当てられている 詳細については、次を参照してください：リモート コントロール設定を構成する。

詳細については、次を参照してください：リモート コントロール ツールについて (Endpoint Security ヘルプ に記載)。

リモート コントロール セッションを開始するには、インシデント ページで以下の手順を実行します。

1. インシデントの横にあるチェックボックスを選択します。
   アクション メニューが表示されます。
2. アクション ドロップダウン リストから リモート コントロール を選択します。

3. リモート コントロール を選択します。
   コンピュータのリモート コントロール ウィンドウが開きます。

関連トピック

ThreatSync を監視する

インシデントおよび Endpoint に対してアクションを実行する

インシデントの詳細を確認する

ThreatSync Endpoint を監視する

ThreatSync を構成する

監査モードを構成する

リモート コントロール ツールについて

承認済みソフトウェア設定を構成する (Windows コンピュータ)

WatchGuard Endpoint Security で例外を作成する