適用対象: ThreatSync
このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。
ThreatSync は、WatchGuard Cloud サービスの一部です。これにより、WatchGuard ネットワーク デバイス (Firebox およびアクセス ポイント) と Endpoint Security 製品で eXtended Detection and Response (XDR) テクノロジーを利用することが可能となります。このサービスの概要は以下の通りです。
- これにより、主にインシデント応答側向けのユーザー インターフェイスを利用できるようになります。
- 悪質な要素が検出されると、これがインシデントとして表示されます。
- イベントを相関付けて、新しい悪質な検出を作成することができます。
- 担当者はオンデマンドで応答することができます。また、悪質な要素や異常な動作が検出された際に発信する自動応答を構成することも可能です。
ThreatSync+ NDR は、WatchGuard Cloud の既存の ThreatSync 機能を拡張し、強化されたネットワーク検出とレスポンス、ネットワーク デバイス識別、および Firebox、サードパーティ ファイアウォールおよび LAN インフラストラクチャの Advanced Reporting を提供します。詳細については、次を参照してください:ThreatSync+ NDR について。
ThreatSync+ SaaS を使用すると、Microsoft 365 のようなサードパーティの SaaS やクラウド環境からのアクティビティを監視し、検出し、それについてレポートすることができます。詳細については、次を参照してください:ThreatSync+ SaaS 統合について — Microsoft 365。
ThreatSync の詳細については、以下のセクションを参照してください。
ThreatSync のライセンス
ThreatSync は、WatchGuard 統合セキュリティ機能です。これは、以下のライセンスに含まれています。
- Firebox Total Security Suite (TSS)
- アクセス ポイント USP Wi-Fi Management
- WatchGuard EPDR
- WatchGuard EDR
- Advanced EPDR
- AuthPoint 多要素認証
- AuthPoint Total Identity Security
WatchGuard EDR Core は、Firebox Total Security Suite に含まれています。詳細については、次を参照してください:WatchGuard EDR Core の機能。
使用する WatchGuard 製品が多いほど、可視性が高まり、XDR 機能をより拡張することができます。
相関
ThreatSync により、以下の WatchGuard セキュリティ製品からのデータを相関付けることで、拡張された検出機能が実現します。
- Firebox — データを ThreatSync に送信してアクションを受信するには、Firebox で Fireware v12.9 以降が実行されている必要があります。また、これが WatchGuard Cloud のログ記録とレポートまたはクラウド管理に追加されている必要があります。
- アクセス ポイント
- ThreatSync にデータを送信するには、アクセス ポイントでファームウェア v2.0 以降が実行されており、空域の監視 が有効になっている必要があります。
- ThreatSync と統合されている場合に悪質なアクセス ポイントに対して応答アクションを実行するには、アクセス ポイントでファームウェア v2.7 以降が実行されており、空域の監視 が有効になっている必要があります。
- 無線で Evil Twin を検出し、ThreatSync の対応アクションを実行し、悪質なアクセス ポイントへのワイヤレス クライアント接続をブロックするための専用のスキャニング ラジオを搭載した AP230W、AP330、または AP430CR が必要です。
- WatchGuard Endpoint Security (Advanced EPDR、EPDR、EDR、EDR Core)
- AuthPoint (AuthPoint 多要素認証および AuthPoint Total Identity Security)
ThreatSync では、相関のために以下のイベントが使用されます。
- ネットワークで検出され、Endpoint または Firebox で発見された高度な持続的脅威 (APT)
- ネットワークで検出され、Endpoint または Firebox で発見されたマルウェア
- Endpoint プロセスまたは Firebox に相関付けられる悪質なネットワーク接続
- WatchGuard Cloud 管理対象アクセス ポイントの空域の監視によって検出された悪質なアクセス ポイント (Rogue、不審な Rogue、および Evil Twin)
- AuthPoint によって検出された認証情報アクセス イベント
ThreatSync 管理 UI では、相関付けられたイベントがインシデントとして表示されるため、ユーザーはこれを評価して管理することができます。
ThreatSync のリスク レベルとスコア
ThreatSync では、各インシデントにインシデントのリスク スコアと Endpoint のリスク スコアが自動的に割り当てられます。インシデントのリスク スコアは、監視 > 概要 の順に移動したページおよび 監視 > インシデント の順に移動したページに表示されます。Endpoint のリスク スコアは、監視 > Endpoints の順に移動したページに表示されます。
インシデントのリスク スコア
インシデントのリスク スコアは、インシデントの重大度を示すものです。
リスク スコアに基づき、リスク レベルが以下のカテゴリに分類されます。
- 重大 — スコア 9、10
- 高 — スコア 7、8
- 中 — スコア 4、5、6
- 低 — スコア 1、2、3
ThreatSync では、複数の WatchGuard 製品とサービスからのデータを相関付けるアルゴリズムに基づき、インシデントのリスク スコアが計算されます。
各リスク レベルのリスク スコアは、インシデントの相対的な重大度を示すものです。これにより、インシデント応答側は優先して評価するべきインシデントを判断することができます。たとえば、ThreatSync によりリスク スコア 9 が割り当られている重大インシデントとリスク スコア 10 が割り当てられている重大インシデントが存在する場合は、リスクがより高いことを示すスコア 10 のインシデントをまず評価することが勧められます。
Endpoint のリスク スコア
インシデント応答側は Endpoint のリスク スコアを使用して、デバイスがネットワークに脅威を与えるかどうかを調査することができます。リスク スコアは、Endpoint リストの Endpoint の横にある四角いアイコンに数値として表示されます。
リスク スコアに基づき、Endpoint のリスク レベルが以下のカテゴリに分類されます。
- 重大 — スコア 9、10
- 高 — スコア 7、8
- 中 — スコア 4、5、6
- 低 — スコア 1、2、3
ThreatSync では、過去 30 日の間に Endpoint に関連付けられたインシデントのリスク スコアに基づいて、Endpoint のリスク スコアが決定されます。過去 30 日の間に Endpoint で検出されたインシデントの最高リスク スコアの値が、Endpoint のリスク スコアの値となります。たとえば、30 日の間に Endpoint に未処理のインシデントが 2 つ存在すると想定します。一方のインシデントのリスク スコアが 9 で、他方のインシデントのリスク スコアが 7 である場合、Endpoint のリスク スコアは 9 になります。
ThreatSync では、終了したインシデントではなく、新規および既読のインシデントのみに基づき、Endpoint のリスク スコアが決定されます。新規インシデントが発生した場合、またはインシデントが終了済みになった場合は、ThreatSync で Endpoint のリスク スコアが再計算されます。新規インシデントが検出された後に再計算された Endpoint のリスク スコアが ThreatSync に表示されるまで数秒かかる場合があります。
ThreatSync 管理 UI
ThreatSync を構成および監視するには、WatchGuard Cloud の ThreatSync 管理 UI を使用します。WatchGuard Cloud に接続するには、cloud.watchguard.com に移動して、アカウント認証情報を用いてログインします。
ThreatSync を構成する
ThreatSync+ を構成するには、設定 > ThreatSync+ の順に選択します。
Subscriber は以下のページを使用して、WatchGuard Cloud で ThreatSync を構成することができます。
- 自動化ポリシー — 自動化ポリシー ページで、特定のインシデント発生時にアクションが自動的に実行されるようにポリシーを構成します。詳細については、次を参照してください:ThreatSync 自動化ポリシーについて。
- デバイス設定 — デバイス設定ページで、ThreatSync にインシデント データを送信するデバイスを選択することができます。詳細については、次を参照してください:ThreatSync デバイス設定を構成する
- ThreatSync によりブロックされた項目 — ThreatSync によりブロックされた項目ページの Firebox タブで、IP アドレスのブロックを解除することができます。また、アクセス ポイント タブで、ThreatSync アクションによりブロックされたアクセス ポイントの MAC アドレスのブロックを解除することができます。詳細については、次を参照してください:ThreatSync によりブロックされた項目を管理する。
Service Provider ビューには、自動化ポリシー テンプレートを構成できるページが表示されます。詳細については、次を参照してください:ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider)。
ThreatSync を監視する
ThreatSync を監視するには、監視 > 脅威 の順に選択します。Service Provider か Subscriber の場合は、既定で概要ページが開きます。
以下のページを使用して、WatchGuard Cloud で ThreatSync を監視します。
- 概要ページ — 概要ページには、アカウントのインシデント アクティビティのスナップショットが表示されます。詳細については、次を参照してください:ThreatSync インシデントの概要。
- インシデント ページ — インシデント ページには、指定された期間のインシデントのリストが表示されます。ここで、インシデントを修正するアクションを実行することができます。詳細については、次を参照してください:ThreatSync インシデントを監視する。
- Endpoint ページ — Endpoint ページでは、指定した期間のインシデント アクティビティに関する Endpoint ベースのビューが表示されます。このページで、Endpoint のインシデントを修正するアクションを実行することができます。詳細については、次を参照してください:ThreatSync Endpoint を監視する
インシデントの修正
WatchGuard 製品またはサービスでセキュリティ脅威が検出されると、脅威を防止するアクションが実行される場合があります。たとえば、Firebox で悪質な IP アドレスがブロックされる可能性、または Endpoint Security ソフトウェアによってデバイスが隔離される可能性があります。ThreatSync 管理 UI では、インシデントへの自動応答がインシデントの詳細ページに表示されます。詳細については、次を参照してください:インシデントの詳細を確認する。
ThreatSync では、インシデントを修正する方法が 2 通りあります。
ThreatSync でユーザーが手動でアクションを実行する方法
ThreatSync で検出された脅威を監視し、インシデントの詳細を確認する際、手動でアクションを実行してインシデントを修正すること、または WatchGuard 製品やサービスにより自動的に実行されたアクションを元に戻すことができます。たとえば、IP アドレスをブロックする、悪質なファイルを削除する、アクセス ポイントをブロックする、コンピュータを隔離するといった操作を実行することが可能です。
インシデントを確認する際に、ThreatSync 管理 UI を利用して、さまざまな場所からアクションを手動で実行することができます。
詳細については、次を参照してください:インシデントおよび Endpoint に対してアクションを実行する。
Automation (自動化) ポリシーに基づきアクションを自動的に実行する方法
自動化ポリシーを構成して、定義した条件に該当するインシデントが発生した際にアクションを自動的に実行することができます。たとえば、自動化ポリシーを作成して、リスク スコアが 9 や 10 の特定の種類のインシデントに関連付けられるファイルを自動的に削除することができます。
自動化ポリシーにより、インシデント応答側は、手動修正が必要となり得るインシデントの確認に焦点を当てることができます。Service Provider は、自動化ポリシー テンプレートを使用して、管理するアカウントまたはアカウント グループに複数のポリシーを割り当てることができます。
詳細については、次を参照してください:ThreatSync 自動化ポリシーについて。