適用対象: WatchGuard Advanced EPDR
ページ上の高度なセキュリティ ポリシーによるブロック リストからアイテムを選択すると、高度なセキュリティ ポリシーによるブロックの詳細ページが開きます。このページを使用して影響を受けたコンピュータ、詳細ポリシーおよびブロックされたプログラムを確認し、ブロックされたプログラムがネットワーク内の他のコンピュータに影響する稼動かを確認します。
詳細タブでは、影響を受けたコンピュータ、ユーザーおよびブロックされたプログラムに関する情報を確認することができます。ブロックされたプログラムの包括的なアクティビティの詳細を表示するには、アクティビティの詳細の表示 をクリックするか、アクティビティ タブを選択します。
高度なセキュリティ ポリシーによるブロックの詳細ページには、詳細タブとアクティビティ タブが含まれています。ページの概要セクションでは、プログラムの名前、プログラムをブロックした高度なセキュリティ ポリシー、および WatchGuard Endpoint Security によって実行されたアクション (ブロック済み、検出済みなど) を確認することができます。
アクティビティ タブでは、Endpoint Security が、高度なセキュリティ ポリシーがユーザーのコンピュータ上で検出したプログラムによって実行されたアクションを表示します。プロセスによってトリガーされるアクションやイベントの数は非常に多いため、アクション表には、脅威によってトリガーされる最も関連性の高いイベントのみが表示されます。
管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、Endpoint Security 権限のあるロールを担っている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する。
高度なセキュリティ ポリシーによるブロックの詳細ページを開く
高度なセキュリティ ポリシーによるブロックの詳細ページを開くには、以下の手順を実行します:
- WatchGuard Cloud で、監視 > Endpoint の順に選択します。
- 高度なセキュリティ ポリシーによる検出 タイルをクリックします。
- リストで、詳細を表示するコンピュータを選択します。
同じ検出が何度も発生するのを回避するため、Advanced EPDR では、最初の検出が個別に報告されます。その後、Advanced EPDR では、最初の検出から 1 時間ごとに、同じ種類の他すべての検出が 1 つの検出にグループ化されます。
MD5 または SHA-256 ハッシュを使用してプログラムをブロックするルールが定義されている場合は、24 時間ごとに各コンピュータで検出されたハッシュあたり 1 つのインシデントのみが発生列の数量に含まれます。