クイック スタート — ThreatSync をセットアップする

適用対象: ThreatSync 

このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。

クイック スタートに関する本トピックでは、WatchGuard Cloud で ThreatSync をセットアップおよび構成する一般的な手順の概要について説明します。

ThreatSync+ NDR は、WatchGuard Cloud の既存の ThreatSync 機能を拡張し、強化されたネットワーク検出とレスポンス、ネットワーク デバイス識別、および Firebox、サードパーティ ファイアウォールおよび LAN インフラストラクチャの Advanced Reporting を提供します。詳細については、次を参照してください:ThreatSync+ NDR について

ThreatSync+ SaaS を使用すると、Microsoft 365 のようなサードパーティの SaaS やクラウド環境からのアクティビティを監視し、検出し、それについてレポートすることができます。詳細については、次を参照してください:ThreatSync+ SaaS 統合について — Microsoft 365

開始する前に

ThreatSync を有効化して使用するために新しいライセンスを購入する必要はありません。

ThreatSync を使用する前に、以下を確認してください。

  • Total Security Suite サブスクリプションがある Firebox で、これがログ記録とレポート作成のために WatchGuard Cloud に接続されていること、USP Wi-Fi Management ライセンスが割り当てられているアクセス ポイントがあること、または WatchGuard Endpoint Security (EPDR、Advanced EPDR、または EDR) のフル ライセンスまたはトライアル ライセンスが 1 つまたは複数の Endpoint デバイスにインストールされていること

WatchGuard EDR Core は、Firebox Total Security Suite に含まれています。詳細については、次を参照してください:WatchGuard EDR Core の機能

  • Firebox で Fireware v12.9 以降が実行されていること
  • アクセス ポイントでファームウェア v2.0 以降が実行されており、空域の監視が有効になっていること
  • ThreatSync と統合されている場合に脅威のアクセス ポイントに対して応答アクションを実行するには、アクセス ポイントでファームウェア v2.7 以降が実行されており、空域の監視が有効になっている必要があります。
  • 無線で Evil Twin を検出し、ThreatSync の対応アクションを実行し、悪質なアクセス ポイントへのワイヤレス クライアント接続をブロックするための専用のスキャニング ラジオを搭載した AP230W、AP330、または AP430CR が必要です。
  • Endpoint Security Windows ソフトウェアが v.8.00.21.0001 以降であること
  • Firebox と Endpoint Security の両方のライセンスが割り当てられている場合に、Endpoint が Firebox の背後に配置されていること

使用している WatchGuard 製品が多いほど、ThreatSync でイベントを関連付けるために必要となる情報も増加します。

ライセンスをアクティブ化した後、数分間待機してから ThreatSync を有効化することが勧められます。

アカウントで ThreatSync を有効化する

アカウントの ThreatSync を有効化するには、WatchGuard Cloud で以下の手順を実行します。

  1. アカウント マネージャー で、マイ アカウントを選択します。
  2. 監視 > 脅威 または 構成 > ThreatSync の順に選択します。

Screen shot of the Enable ThreatSync widget

  1. ThreatSync タイルで、ThreatSync を有効化する をクリックします。
    ThreatSync を有効化する ダイアログ ボックスが開きます。ThreatSync は、アカウントのすべてのデバイスで自動的に有効化されます。

Screen shot of the Enable ThreatSync dialog box

  1. 閉じる をクリックします。
    デバイス設定ページが開きます。

デバイス設定を構成する

ThreatSync を有効化すると、アカウントに割り当てられている Firebox、アクセス ポイント、Endpoint デバイスでこれが自動的に有効化されます。デバイス設定ページで、Endpoint デバイス、特定の Firebox、またはアクセス ポイント デバイスから ThreatSync にデータが送信されるようにするかどうかを構成することができます。

ThreatSync デバイス設定を構成するには、以下の手順を実行します。

  1. 構成 > ThreatSync > デバイス設定 の順に選択します。
    デバイス設定ページが開きます。
  2. インシデント データがすべての Endpoint デバイスから ThreatSync に送信されるようにするかどうかを指定するには、Endpoint トグルを有効化または無効化します。
  3. WatchGuard Cloud のアカウントに割り当てられた新規 Firebox またはアクセス ポイントで ThreatSync を自動的に有効化するには、デバイスの種類の横にあるチェックボックスを選択します。
  4. ThreatSync にデータを送信し、ThreatSync からアクションを受信する Firebox またはアクセス ポイントを指定するには、Firebox 名またはアクセス ポイント名の横にあるチェックボックスを選択または選択解除します。

Screenshot of ThreatSync Device Settings page

  1. 保存 をクリックします。

脅威を監視する

ThreatSync 管理 UI のメニューで 監視 > 脅威 の順に移動すると、特定期間において相関しているインシデント アクティビティの概要が表示されます。メニューには以下のページがあります。

概要ページ

Service Provider か Subscriber の場合は、既定では、メニューで 監視 > 脅威 の順に移動すると概要ページが開きます。このページには、アカウントのインシデント アクティビティの概要が表示されます。

タイルには、各リスク レベルにおけるさまざまなステータスのインシデントの数およびインシデント発生時のタイムラインが表示されます。タイルのタイトルをクリックすると、インシデント ページにそれぞれのインシデントの詳細が表示されます。

詳細については、次を参照してください:ThreatSync インシデントの概要

インシデント ページ

インシデント ページには、インシデントの一元化リストが表示されます。インシデント応答側は、これを確認および管理することができます。日付、インシデントの種類、アクション、リスク、またはステータスでリストをフィルタリングして、1 つまたは複数のインシデントに対してアクションを実行することができます。

Screen shot of the Incidents page in ThreatSync

既定では、リストはリスク レベルの降順で表示されます。インシデント リストの先頭に最も重大な脅威が表示されるため、必要に応じてアクションを実行することが可能となります。詳細については、次を参照してください:ThreatSync インシデントを監視する

特定のインシデントの詳細情報を表示するには、リストのインシデントをクリックします。詳細については、次を参照してください:インシデントの詳細を確認する

WatchGuard Cloud で通知ルールを構成して、ThreatSync イベントのアラートが送信されるように設定することができます。詳細については、次を参照してください:ThreatSync 通知ルールを構成する

Endpoint ページ

Endpoint ページには、Endpoint の一元化リストが表示されます。インシデント応答側は、Endpoint デバイスを確認して、対応アクションを実行することができます。

既定では、Endpoint リストには、現在の日付のインシデントに関連付けられた Endpoint が表示されます。日付範囲を変更して、さまざまな日付の Endpoint を表示することができます。詳細については、次を参照してください:ThreatSync Endpoint を監視する

インシデントへの対応アクションを実行する

ThreatSync で検出された脅威を監視し、インシデントの詳細を確認する際、インシデントに対して以下のいずれかの対応アクションを実行することができます。

  • IP をブロック/ブロック解除する — インシデントに関連付けられる外部 IP アドレスをブロックまたはブロック解除します。このアクションを選択すると、WatchGuard Cloud アカウントのすべての Firebox で、IP アドレスとの間の接続がブロックまたはブロック解除されます。

    ThreatSync によりブロックされた IP アドレスは、Fireware または WatchGuard Cloud で、Firebox のブロックされたサイト リストには表示されません。詳細については、次を参照してください:ThreatSync によりブロックされた項目を管理する

  • ファイルを削除/復元する — インシデントに関連付けられるフラグ付きファイルを削除する、または以前に削除されたファイルを復元します。
  • デバイスを隔離する/デバイスの隔離を停止する — 脅威の拡散および機密データの流出を防止するために、コンピュータをネットワークから隔離する、または以前に隔離されているコンピュータの隔離を停止します。
  • アクセス ポイントをブロックする/アクセス ポイントのブロックを停止する — 悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされます。

    WatchGuard アクセス ポイントが悪意のあるデバイスを検出するためには、専用のスキャニング ラジオを備えている必要があります。これにより、無線経由での対応を実行し、悪意のあるアクセス ポイントへのワイヤレス クライアントの接続をブロックすることが可能になります。

  • プロセスを強制終了する — インシデントに関連して悪質な動作が検出されたプロセスを強制終了します。
  • リモート コントロール — ネットワークにある特定の Windows コンピュータにリモートで接続することで、潜在的な攻撃を調査して修正することができます。リモート コントロール ツールには、Advanced EPDR が必要です。詳細については、次を参照してください:リモート コントロール ツールについて
  • ユーザーをブロック/ブロック解除する — AuthPoint の認証情報アクセス インシデントに関連付けられたユーザーがブロックまたはブロック解除されます。AuthPoint でユーザーをブロックする方法またはブロックされたユーザーをアクティブ化する方法の詳細については、次を参照してください:ユーザーまたはトークンをブロックする

すべてのアクションがすべてのインシデントの種類に適用されるわけではありません。

1 つまたは複数のインシデントに対してアクションを実行するには、インシデント ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. 1 つまたは複数のインシデントの横にあるチェックボックスを選択します。
    ステータスの変更とアクションのメニューが表示されます。
  3. アクション ドロップダウン リストから、実行するアクションを選択します。

Screenshot of the Actions drop-down list in the Incidents page

インシデントの詳細ページのインシデントに対する推奨事項により、インシデント ページのアクション ドロップダウン リストで使用できるアクションが決まります。たとえば、インシデントに対して実行することが推奨されるアクションがデバイスの隔離である場合は、アクション ドロップダウン リストで、デバイスを隔離する/隔離を停止する オプションが有効化されています。

インシデントのアクションを実行するには、インシデントの詳細ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. インシデント リストにあるインシデントをクリックします。
    インシデントの詳細ページが開きます。
  3. アクションを実行するには、以下の手順を実行します。
    • 脅威の詳細 セクションで、アクションをクリックします。
    • 他のセクションで、稲妻アイコン Screen shot of bolt icon をクリックしてアクション メニューを開き、アクションを選択します。

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

1 つまたは複数の Endpoint に対してアクションを実行するには、Endpoint ページで以下の手順を実行します。

  1. 監視 > 脅威 > Endpoint の順に選択します。
    Endpoint ページが開きます。
  2. 1 つまたは複数の Endpoint の横にあるチェックボックスを選択します。
    アクション メニューが表示されます。
  3. アクション ドロップダウン リストから、実行するアクションを選択します。

Screenshot of the Actions menu on the Endpoints page

対応アクションの詳細については、次を参照してください:インシデントおよび Endpoint に対してアクションを実行する

インシデントを確認した後、インシデントのステータスを終了または変更することもできます。詳細については、次を参照してください:インシデントのステータスを終了または変更する

自動化ポリシーを追加する

自動化ポリシーを構成して、ThreatSync アクションが自動的に実行されるように設定することができます。

既定の自動化ポリシー以外の自動化ポリシーを追加しないことが勧められます。ThreatSync のベストプラクティス 自社の環境で発生し得るさまざまな種類のインシデントおよび実行する対応アクションに精通するまでは、追加しないでください。

自動化ポリシーを追加するには、以下の手順を実行します (Subscriber アカウント) 。

  1. WatchGuard Cloud アカウントにログインします。
  2. Service Provider が自動化ポリシーを自身の Subscriber アカウントに追加する場合は、アカウント マネージャーで、マイ アカウント を選択します。
  3. 構成 > ThreatSync の順に選択します。
    自動化ポリシー ページが開きます。
  4. 自動化ポリシーを追加する をクリックします。
    ポリシーを追加する ページが開きます。

Screen shot of the Add Policy page in ThreatSync

  1. 有効 トグルをクリックして、新しいポリシーを有効化します。
  2. ポリシーとコメントの 名前 を入力します。
  3. ポリシーの種類 セクションで、種類 ドロップダウン リストから、作成するポリシーの種類を選択します。
    • 修正 — この自動化ポリシーにより、ポリシー条件に該当するインシデントが発生した際に、指定した修正アクションを実行することができます。
    • 終了 — この自動化ポリシーにより、条件に該当するインシデントのステータスを終了済みに変更することができます。

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. 条件 セクションで、この自動化ポリシーを適用するためにインシデントが満たす必要がある条件を指定します。

    2. Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • インシデントの種類 — 以下のインシデントの種類を 1 つまたは複数選択します。
      • 高度なセキュリティ ポリシー — 高度な感染手法が使用されている悪質なスクリプトや不明のプログラムの実行。
      • エクスプロイト — 悪質なコードを挿入して脆弱なプロセスの悪用を試みる攻撃。
      • 侵入試行 — 侵入者がシステムへの不正アクセスを試みるセキュリティ イベント。
      • IOA — IOA (Indicators of Attack) は攻撃である可能性が高いインジケータ。
      • 悪質な URL — ランサムウェアなど、マルウェアの配布を目的として作成された URL。
      • 悪質な IP — 悪質なアクティビティに関連付けられる IP アドレス。
      • マルウェア — コンピュータ システムを損傷または中断させること、あるいはコンピュータ システムに不正アクセスすることを目的とした悪質なソフトウェア。
      • PUP — コンピュータへのソフトウェアのインストールに伴いインストールされる可能性のある不審なプログラム (PUP)。
      • ウイルス — コンピュータ システムに侵入する悪質なコード。
      • 認証情報アクセス — アカウント認証情報侵害の試みを示す AuthPoint インシデント。
      • 悪質なアクセス ポイント — ネットワークに接続する不正なアクセス ポイントまたは空域で動作している不正なアクセス ポイント。

      Screenshot of the Incident Types in the Add Automation Policy Wizard

    • デバイスの種類 — 以下のデバイスの種類を 1 つまたは複数選択します。
      • Firebox
      • Endpoint
      • AuthPoint
      • アクセス ポイント

    Screenshot of the Select Device Types dialog box

  • 実行されたアクション — インシデントが発生した際に実行する以下のアクションを 1 つまたは複数選択します (終了ポリシーの種類のみ)。

    • 許可済み (監査モード) — インシデントが検出されたものの、デバイスが監査モードであるため、アクションは実行されませんでした。
    • 接続のブロック — 接続がブロックされました。
    • プロセスのブロック — Endpoint デバイスにより、プロセスがブロックされました。
    • デバイスの隔離 — デバイスとの通信がブロックされました。
    • ファイルの削除 — ファイルがマルウェアとして分類され、削除されました。
    • IP のブロック — この IP アドレスとの間のネットワーク接続がブロックされました。
    • アクセス ポイントをブロックする — この悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされました。
    • プロセスが強制終了されました — Endpoint デバイスによって、プロセスが終了されました。
    • 検出済み — インシデントは検出されたものの、アクションは実行されませんでした。
    • ユーザーのブロック — AuthPoint でユーザーがブロックされた認証情報アクセス インシデント。

    Screenshot of the Select Actions Performed dialog box on the Add Policy page

  1. アクション セクションのドロップダウン リストから、指定したアクションを実行するか防止するかを選択します。
    • Perform (実行) — ポリシー条件に該当するインシデントの発生時に、指定されているアクションが ThreatSync で実行されます。
    • Prevent (防止) — 指定されているアクションが、ThreatSync により阻止されます。より広範な Perform (実行) ポリシーにおける例外を作成するには、Prevent (防止) アクションが設定されたポリシーを追加して、ポリシー リストでこれを他のポリシーよりも上位にランク付けします。防止アクションのポリシーによって、管理ユーザーによるアクションの手動実行が妨げられることはありません。
  2. 実行または防止する以下のアクションを 1 つまたは複数選択します。
    • 脅威の送信元 IP をブロックする (外部 IP のみ) — インシデントに関連付けられる外部 IP アドレスがブロックされます。このアクションを選択すると、WatchGuard Cloud アカウントで ThreatSync が有効化されているすべての Firebox で、IP アドレスとの間の接続がブロックされます。
    • ファイルを削除する — インシデントに関連付けられるフラグ付きファイルが削除されます。
    • デバイスを隔離する — コンピュータがネットワークから隔離されます。これにより、脅威の拡散と機密データの流出を防止することができます。
    • アクセス ポイントをブロックする — 悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされます。
    • 悪質なプロセスを強制終了する — インシデントに関連して悪質な動作が検出されたプロセスが強制終了されます。
    • ユーザーをブロック/ブロック解除する — AuthPoint の認証情報アクセス インシデントに関連付けられたユーザーがブロックまたはブロック解除されます。AuthPoint でユーザーをブロックする方法またはブロックされたユーザーをアクティブ化する方法の詳細については、次を参照してください:ユーザーまたはトークンをブロックする
    • インシデントを終了する — インシデントのステータスが終了済みに変更されます (終了ポリシーの種類のみ)。

    3. ポリシーの種類が 終了 の場合は、インシデントを終了する アクションが自動的に選択されます。別のアクションを選択することはできません。

Screenshot of the Actions dialog box on the Add Policy page

  1. 追加 をクリックします。
    新しいポリシーが、ポリシー リストに追加されます。

Service Provider は、複数の自動化ポリシーが含まれる自動化ポリシー テンプレートを作成し、そのテンプレートを管理対象アカウントに割り当てることができます。詳細については、次を参照してください:ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider)

関連トピック

ThreatSync について

ThreatSync のベストプラクティス

ThreatSync を構成する

ThreatSync を監視する

ThreatSync 自動化ポリシーについて

ThreatSync 通知ルールを構成する