ThreatSync Endpoint を監視する

適用対象: ThreatSync 

Endpoint ページには、Endpoint の一元化リストが表示されます。インシデント応答側は、Endpoint デバイスを確認して、修正アクションを実行することができます。

ThreatSync の Endpoint ページを開くには、監視 > 脅威 > Endpoint の順に選択します。

Endpoint ページでは、以下を実行することができます。

Endpoint でアクションを実行する方法の詳細については、次を参照してください:インシデントおよび Endpoint に対してアクションを実行する

ThreatSync の Endpoint ページを開くには、以下の手順を実行します。

  1. 監視 > 脅威 > Endpoint の順に選択します。
    Endpoint ページが開きます。

  1. ページで特定の Endpoint を表示するには、以下の手順を実行します。
  2. 特定の Endpoint のインシデントのリストを表示するには、リストで Endpoint を見つけて、行の右側にある 展開アイコン をクリックします。詳細については、次を参照してください:Endpoint の詳細を確認する
    その Endpoint のインシデントのリストが開きます。

Screenshot of the Endpoints page with an endpoint incident list expanded.

  1. 特定のインシデントの詳細情報を表示するには、インシデント ページで、インシデントをクリックします。ヒント! 詳細については、次を参照してください:インシデントの詳細を確認する

Endpoint ページから直接、Endpoint および関連インシデントに対するアクションを実行することができます。詳細については、次を参照してください:インシデントおよび Endpoint に対してアクションを実行する

Endpoint の詳細を確認する

Endpoint リストの Endpoint には、Endpoint リスク スコア、Endpoint に関連するインシデントのタイムライン、Endpoint で発生したインシデントの展開可能なリストが含まれています。

Endpoint のリスク スコア

インシデント応答側は Endpoint のリスク スコアを使用して、デバイスがネットワークに脅威を与えるかどうかを調査することができます。リスク スコアは、Endpoint リストの Endpoint の横にある四角いアイコンに数値として表示されます。

Screenshot of an endpoint risk score on the Endpoints page in ThreatSync.

リスク スコアに基づき、Endpoint のリスク レベルが以下のカテゴリに分類されます。

  • 重大 — スコア 9、10
  • — スコア 7、8
  • — スコア 4、5、6
  • — スコア 1、2、3

ThreatSync では、過去 30 日の間に Endpoint に関連付けられたインシデントのリスク スコアに基づいて、Endpoint のリスク スコアが決定されます。過去 30 日の間に Endpoint で検出されたインシデントの最高リスク スコアの値が、Endpoint のリスク スコアの値となります。たとえば、30 日の間に Endpoint に未処理のインシデントが 2 つ存在すると想定します。一方のインシデントのリスク スコアが 9 で、他方のインシデントのリスク スコアが 7 である場合、Endpoint のリスク スコアは 9 になります。

ThreatSync では、終了したインシデントではなく、新規および既読のインシデントのみに基づき、Endpoint のリスク スコアが決定されます。新規インシデントが発生した場合、またはインシデントが終了済みになった場合は、ThreatSync で Endpoint のリスク スコアが再計算されます。新規インシデントが検出された後に再計算された Endpoint のリスク スコアが ThreatSync に表示されるまで数秒かかる場合があります。

Endpoint のタイムライン

Endpoint のタイムラインには、特定の期間に検出されたインシデントのシーケンスが表示されます。

Screenshot of an endpoint timeline.

タイムラインは、色分けされた四角形に分割されています。タイムラインの各四角形が 1 日を表しています。四角形の色が、その日における最高リスクのインシデントのリスク スコアに対応しています。

特定の日に発生したインシデントの種類の詳細を表示するには、四角形をクリックします。

Screenshot of an endpoint timeline with the details for a day on the timeline open.

選択した日の詳細には、以下が含まれます。

  • インシデント — 各インシデントの種類で検出されたインシデントの数。
  • 最初の検出日 — インシデントが最初に検出された日時。
  • 最後の検出日 — インシデントが最後に検出された日時。
  • アカウント — Endpoint に関連付けられたアカウント。

日付範囲を変更する

既定では、Endpoint リストには、現在の日付のインシデントに関連付けられた Endpoint が表示されます。異なる日付の Endpoint を表示するには、日付の範囲を変更します。

Endpoint リストを日付範囲でフィルタリングするには、以下の手順を実行します。

  1. カレンダー アイコン Screen shot of the calendar icon for the date picker をクリックします。
  2. ドロップダウン リストから、以下の期間のいずれかを選択します。
    • 今日
    • 昨日
    • 過去 24 時間
    • 過去 7 日間
    • 過去 14 日間
    • 今月
    • 先月
    • カスタム
  3. カスタム を選択した場合は、カスタム期間の開始日と終了日を指定してから、保存 をクリックします。

インシデント リストをソートおよびフィルタリングする

既定では、Endpoint リストに Endpoint がリスク レベルの降順で表示されるため、最も重大な脅威がリストの先頭に表示されます。

Endpoint の表示をカスタマイズするには、リストをアルファベット順、日付順、またはリスク レベルでフィルタリングします。

ThreatSync で Endpoint リストを並べ替えるには、以下の手順を実行します。

  1. Endpoint ページの右上にある 並べ替えアイコン をクリックします。
    ドロップダウン リストが開きます。

Screenshot of the Sort drop-down list on the Endpoints page in ThreatSync.

  1. インシデントをどのように並べ替えるかを選択します (アルファベット順、日付順、リスク レベル順のいずれかの昇順または降順)。

ThreatSync でインシデントのリストをフィルタリングするには、以下の手順を実行します。

  1. Endpoint ページの右上にある フィルタ アイコン をクリックします。
    フィルタ ダイアログ ボックスが開きます。

Screenshot of the Filter dialog box.

  1. フィルタ オプションを 1 つまたは複数選択します。
  2. フィルタを適用する をクリックします。

インシデントの種類

インシデントの種類でインシデント リストをフィルタリングするには、以下のオプションを 1 つまたは複数選択します。

  • 高度なセキュリティ ポリシー — 高度な感染手法が使用されている悪質なスクリプトや不明のプログラムの実行。
  • エクスプロイト — 悪質なコードを挿入して脆弱なプロセスの悪用を試みる攻撃。
  • 侵入試行 — 侵入者がシステムへの不正アクセスを試みるセキュリティ イベント。
  • IOA — IOA (Indicators of Attack) は攻撃である可能性が高いインジケータ。
  • 悪質な URL — ランサムウェアなど、マルウェアの配布を目的として作成された URL。
  • 悪質な IP — 悪質なアクティビティに関連付けられる IP アドレス。
  • マルウェア — コンピュータ システムを損傷または中断させること、あるいはコンピュータ システムに不正アクセスすることを目的とした悪質なソフトウェア。
  • PUP — コンピュータへのソフトウェアのインストールに伴いインストールされる可能性のある不審なプログラム (PUP)。
  • ウイルス — コンピュータ システムに侵入する悪質なコード。
  • 不明なプログラム — WatchGuard Endpoint Security でまだ分類されていないためにブロックされたプログラム。Endpoint Security で不明なプログラムが再分類された場合に実行される操作の詳細については、次を参照してください:インシデントの再分類
  • 悪質なアクセス ポイント — ネットワークに接続する不正なワイヤレス アクセス ポイントまたは空域で動作している不正なワイヤレス アクセス ポイント。
  • 認証情報アクセス — アカウント認証情報侵害の試みを示す AuthPoint インシデント。

アクション

インシデントに対して実行されたアクションでインシデント リストをフィルタリングするには、以下のチェックボックスを 1 つまたは複数選択します。

  • 許可済み (監査モード) — インシデントが検出されたものの、デバイスが監査モードであるため、アクションは実行されませんでした。
  • 接続のブロック — 接続がブロックされました。
  • プロセスのブロック — Endpoint デバイスにより、プロセスがブロックされました。
  • デバイスの隔離 — デバイスとの通信がブロックされました。
  • ファイルの削除 — ファイルがマルウェアとして分類され、削除されました。
  • IP のブロック — この IP アドレスとの間のネットワーク接続がブロックされました。
  • アクセス ポイントをブロックする — この悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされました。
  • プロセスが強制終了されました — Endpoint デバイスによって、プロセスが終了されました。
  • 検出済み — インシデントは検出されたものの、アクションは実行されませんでした。
  • ユーザーのブロック — AuthPoint でユーザーがブロックされた認証情報アクセス インシデント。

アクション ステータスでインシデント リストをフィルタリングするには、以下のチェックボックスを 1 つまたは複数選択します。

  • 実行済み — 要求されたアクションが完了しています。
  • 実行中 — 要求されたアクションが進行中です。
  • 未実行 — 要求されたアクションがまだ実行されていません。
  • エラー — 要求されたアクションが完了せず、エラーが返されました。詳細については、次を参照してください:インシデント エラーをトラブルシューティングする

Endpoint のリスク

Endpoint リストをリスク レベルでフィルタリングするには、以下のオプションを 1 つまたは複数選択します。

  • 10 — 重大
  • 9 - 重大
  • 8 - 高
  • 7 - 高
  • 6 - 中
  • 5 - 中
  • 4 - 中
  • 3 - 低
  • 2 - 低
  • 1 - 低

リスク レベルとスコアの決定方法の詳細については、次を参照してください:ThreatSync のリスク レベルとスコア

インシデントのリスク

Endpoint リストをリスク レベルでフィルタリングするには、以下のオプションを 1 つまたは複数選択します。

  • 10 — 重大
  • 9 - 重大
  • 8 - 高
  • 7 - 高
  • 6 - 中
  • 5 - 中
  • 4 - 中
  • 3 - 低
  • 2 - 低
  • 1 - 低

リスク レベルとスコアの決定方法の詳細については、次を参照してください:ThreatSync のリスク レベルとスコア

Endpoint の隔離または隔離停止を行う

1 つまたは複数の Endpoint を隔離すること、また隔離を停止することできます。

Endpoint を隔離するには、以下の手順を実行します。

  1. 監視 > 脅威 > Endpoint の順に選択します。
    Endpoint ページが開きます。
  2. 1 つまたは複数の Endpoint の横にあるチェックボックスを選択します。
    アクション メニューが表示されます。

Screenshot of the Actions menu on the Endpoints page.

  1. アクション ドロップダウン リストから、デバイスを隔離する を選択します。または、Endpoint の隔離を停止する場合は、隔離を停止する を選択します。
    デバイスを隔離する ダイアログ ボックスが開きます。

Screenshot of the Isolate Device dialog box.

  1. (オプション) テキスト ボックスに、隔離アクションに関するコメントを入力します。
  2. (オプション) 隔離の例外を作成して、特定のプロセスからの通信を許可する場合は、詳細オプション を有効化します。
    デバイスを隔離する ダイアログ ボックスに、詳細オプションおよび デバイスにメッセージを表示する セクションが表示されます。

Screenshot of the Isolate Device dialog box with Advanced Options enabled.

  1. これらのプロセスからの通信を許可する テキスト ボックスに、隔離の例外として許可するプロセスの名前を入力します。たとえば、chrome.exe と入力すると、Google Chrome からの通信が許可されます。
  2. (オプション) デバイスにメッセージを表示する テキスト ボックスに、隔離されたコンピュータに表示されるカスタム メッセージを入力します。隔離されたデバイスにメッセージが表示されないようにする場合は、デバイスにメッセージを表示する を無効化します。
  3. デバイスを隔離する をクリックします。

リモート コントロール

リモート コントロール ツールを使用することで、Endpoint ページで、ネットワークにある Windows、Mac、Linux コンピュータにリモートで接続し、潜在的な攻撃を調査して修正することができます。

この機能を使用するには、リモート コンピュータが以下の要件を満たしている必要があります。

  • アクティブな WatchGuard Advanced EPDR ライセンスがある
  • Endpoint Security にリモート コントロール設定プロファイルが割り当てられている 詳細については、次を参照してください:リモート コントロール設定を構成する

リモート コントロール セッションを開始するには、ThreatSync で以下の手順を実行します。

  1. 監視 > 脅威 > Endpoint の順に選択します。
    Endpoint ページが開きます。
  2. Endpoint の横にあるチェックボックスを選択します。
    アクション メニューが表示されます。

Screenshot of the Actions menu with Remote Control highlighted.

  1. アクション ドロップダウン リストから リモート コントロール を選択します。
    コンピュータのリモート コントロール ウィンドウが開きます。

Screenshot of the Remote Control window with the Terminal tab open.

リモート コントロールの使用方法については、次を参照してください:リモート コントロール ターミナル — コマンドとパラメータ および リモート コントロール ツールについて

関連トピック

ThreatSync を監視する

インシデントの詳細を確認する

ThreatSync インシデントの概要

ThreatSync を構成する

リモート コントロール ツールについて