Endpoint アクセス コントロール設定を構成する (Windows コンピュータ)

適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。

Endpoint アクセス コントロール設定を割り当てることができるのは、Windows サーバーまたはワークステーションのみです。

Endpoint アクセス コントロールにより、ネットワークにあるコンピュータへの接続を監視し、保護対象外のデバイス (Windows、Mac、Linux) からもたらされ得る脅威を軽減することができます。Endpoint アクセス コントロール設定プロファイルで設定を構成して、リスクのあるコンピュータを特定する条件、およびリスクのあるコンピュータからのインバウンド接続に対して実行するアクションを指定します。既定では、Endpoint アクセス コントロールは、SMB および RDP トラフィックのインバウンド接続の監視が行われるように設定されています。追加プロトコルを指定して、インバウンド接続を監視することができます。

Advanced EPDR、EPDR、EDR では、Endpoint アクセス コントロール ダッシュボードで、リスクのあるコンピュータからのインバウンド接続を監視することができます。ダッシュボードの情報を使用して、リスクのあるデバイスに対してアクションを実行することが可能です。詳細については、次を参照してください:Endpoint アクセス コントロール ダッシュボード

Advanced EPDR では、リスクのあるコンピュータからの接続をブロックすることもできます。

システム要件

Endpoint アクセス コントロールを使用する場合は、コンピュータが以下のシステム要件を満たしていることを確認してください。

  • WatchGuard エージェント:リスクのあるコンピュータからのインバウンド接続を監視するには、コンピュータに Advanced EPDR、EPDR、または EDR v 4.40 以降がインストールされている必要があります。リスクのあるコンピュータからの接続をブロックするには、Advanced EPDR v4.40 以降がインストールされている必要があります。

  • オペレーティング システム: Endpoint アクセス コントロールは、Windows コンピュータと互換性があります。

    macOS または Linux オペレーティング システムを実行しているコンピュータに Advanced EPDR v4.40 以降がインストールされている場合は、リスク レベルを評価する Windows コンピュータにセキュリティ ソフトウェアのステータスが報告されます。

  • コンピュータのオープン ポート:コンピュータにインストールされている WatchGuard エージェントが、TCP ポート 33000 経由で他のコンピュータと通信できる状態になっている必要があります。

Service Provider 設定に許可済み IP アドレスを追加する

既定では、Service Provider によって割り当てられた Endpoint アクセス コントロール設定を編集または削除することはできません。Service Provider がプロトコルの許可済み IP アドレスを編集可能に設定している場合は、設定プロファイルに 編集可能なプロトコル というラベルが表示され、許可済み IP アドレスを追加することができます。Service Provider によって定義されたリストを削除または編集することはできません。これは、バックアップ サーバーや Active Directory サーバーなど、ワークステーションへの接続が頻繁に発生する内部サーバーまたはサーバーで、かつ WatchGuard Endpoint Security で監査やブロック (Advanced EPDR のみ) を行わないサーバーに有用です。

Service Provider が設定のステータスを編集可能から編集不可に変更すると、追加した許可済み IP アドレスは適用されなくなり、Service Provider からの許可済み IP アドレスのみが適用されます。Service Provider が構成を再度編集可能に変更すると、追加した許可済み IP アドレスが復元されて適用されます。

Endpoint アクセス コントロール設定を構成する

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、Endpoint アクセス コントロールを構成する 権限のあるロールが付与されている必要があります。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

Endpoint アクセス コントロール設定を構成するには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. 設定 を選択します。
  3. 左ペインで、Endpoint アクセス コントロール を選択します。
  4. 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
    設定の追加または設定の編集 ページが開きます。

Screen shot of WatchGuard Endpoint Security, Endpoint Access Enforcement settings

  1. 必要に応じて、プロファイルの 名前説明 を入力します。
  2. リスクのあるコンピュータを特定する条件を選択します。
    • 管理対象外/使用不可の場合 — 検出されたコンピュータに Advanced EPDR、EPDR、EDR のいずれかがインストールされていない場合、または接続できない場合。保護が最小要件を満たしていることを確認してください。詳細については、次を参照してください:システム要件
    • 別のアカウントの管理対象である場合 — 検出されたコンピュータに Advanced EPDR、XDR、EDR のいずれかがインストールされてはいるものの、別のアカウントによって管理されている場合。
    • 保護が有効化されていない場合 — 検出されたコンピュータに Advanced EPDR、XDR、EDR のいずれかがインストールされてはいるものの、保護ソフトウェアが無効になっている場合。
    • リスク レベルがより大きい場合 — 検出されたコンピュータのリスク レベルが、選択されている重大度以上である場合。
      • 中程度 — 対処する必要のある追加のリスク要因が見つかったことを示しています。
      • — 今にも実行される可能性のある潜在的なマルウェアが見つかったこと、または攻撃対象領域を緊急に削減する必要があることを示しています。
      • 重大 — マルウェアの実行が確認されたこと、またはサイバー攻撃を受ける可能性が危険なレベルに達していることを示しています。
  3. リスクのあるコンピュータからの接続が Endpoint アクセス コントロールによって検出された際に実行するアクションを選択します。
    • 監査 — 検出されたインバウンド接続は報告されますが、接続はブロックされません。これが、既定のアクションです。検出された接続は、Endpoint アクセス コントロール ダッシュボードに表示されます。詳細については、次を参照してください:Endpoint アクセス コントロール ダッシュボード
    • ブロック — 検出されたインバウンド接続が報告およびブロックされます。(Advanced EPDR のみ)
  4. (オプション) 監視対象の既定のプロトコルを変更するには、コンピュータでインバウンド接続が発生した際にこれらのプロトコルを監視する セクションで、既存のプロトコルを追加、編集、または削除します。

    Endpoint アクセス コントロールでは、選択されているプロトコルに関連付けられた標準 TCP/UDP ポートのみが監視されます。ICMP はサポートされていません。

    1. 新規プロトコルを追加するには、追加アイコン をクリックします。既存のプロトコルを編集するには、プロトコルを選択して、編集アイコン をクリックします。
      プロトコルを構成する ダイアログ ボックスが開きます。
      Screen shot of the Configure Protocol dialog box
    2. プロトコル ドロップダウン リストから、監視するポート番号のトラフィック プロトコルを選択します。
      選択されているプロトコルに関連付けられた標準 TCP/UDP ポートがポート テキスト ボックスに表示されます。
      Screen shot of the Configure Protocol dialog box
    3. 必要に応じて、ポート テキスト ボックスを使用して、ポートを追加または削除します。
    4. サーバーへの接続を監視するには、ワークステーションにのみ適用する (サーバーには適用しない) を無効化します。
    5. 特定の IP アドレスからの接続を常に許可するには、テキスト ボックスに IPv4 または IPv6 のアドレスまたは範囲を入力します。
    6. 保存 をクリックします。
      プロトコルがリストに表示されます。プロトコルを削除するには、プロトコルを選択して、削除アイコン をクリックします。
      Screen shot of the protocol list
  5. (Advanced EPDR) ブロック アクションを選択した場合は、Endpoint デバイスにローカル アラートを表示することができます。
    1. リスクのあるコンピュータからの接続が Endpoint アクセス コントロールによって検出された際に Endpoint デバイスにローカル アラートを表示するには、Endpoint アクセス コントロールによって接続が検出された際にアラートを表示する を有効化します。
      カスタム アラート テキスト ボックスが表示されます。
      Screen shot of the Show alert toggle and custom message text box
    1. アラートのカスタム メッセージを追加するには、テキスト ボックスにメッセージを入力します。
  6. 保存 をクリックします。
  7. 必要に応じて、プロファイルを選択して、受信者を割り当てます。
    詳細については、次を参照してください:設定プロファイルを割り当てる

関連トピック

Endpoint アクセス コントロール ダッシュボード