Advanced Visualization Tool のリアルタイム アラートについて

適用対象： WatchGuard Advanced Reporting Tool および Data Control。 本トピックは、WatchGuard Endpoint Security モジュール、Advanced Reporting Tool、Data Control に適用されます。これらのオプションのモジュールは、WatchGuard EPDR および WatchGuard EDR で使用可能です。

異常な動作を通知するアラートにより、攻撃を初期段階で防止することができます。セキュリティ侵害や企業データ管理ポリシー違反を示唆するイベントに基づいて発信されるリアルタイム アラートを構成することができます。

たとえば、Web サーバーのイベントに特定のステータス コードが表示されるたびに通知が発信されるようなアラートを定義することができます。あるいは、あるサーバーの 30 分間の平均応答時間が設定したしきい値を超えた場合にトリガされるアラートを設定することもできます。

データ侵害やその他の不明な悪質なアクティビティを防止することを目的として、大量のトラフィックが発生した場合に警告を発するアラートを作成することが勧められます。アラートの作成方法については、次を参照してください：Advanced Visualization Tool でアラートを作成する。

Advanced Visualization Tool のアラート機能には、以下が含まれます。

• 高リスクの状況を示す既定アラート
• 独自の基準に基づいて、最大 10 個のカスタム アラートを定義可能 詳細については、次を参照してください：Advanced Visualization Tool でアラートを作成する。
• 受信者にアラートを送信する複数の配信手段 (電子メール、HTTP-JSON、サービス デスク、Jira、Pushover、PagerDuty、Slack など) 詳細については、次を参照してください：アラートの配信方法を構成する。
• アラートのフラッド防止を目的としたフラッド対策の設定 詳細については、次を参照してください：フラッド対策ポリシーを作成する。

WatchGuard Advanced Reporting Tool の既定のアラート

Advanced Visualization Tool には、既定で以下の WatchGuard Advanced Reporting Tool の事前定義アラートが含まれています。

• Malware per endpoint hourly — 各ネットワーク コンピュータで過去 1 時間に検出されたマルウェアの検出件数が表示されます。
• Malware in the network hourly — 各ネットワーク コンピュータで過去 1 時間に検出されたマルウェアの検出数が表示されます。
• Malware executed in different endpoints hourly — 過去 1 時間に特定種類のマルウェアが実行されたコンピュータの数が表示されます。
• Bandwidth consumption to endpoint hourly — 過去 1 時間に各ネットワーク コンピュータで受信に消費された帯域幅が表示されます。
• Bandwidth consumption from endpoint hourly — 過去 1 時間に各ネットワーク コンピュータで送信に消費された帯域幅が表示されます。
• Bandwidth consumption per app hourly — 過去 1 時間に各アプリで送受信に消費された帯域幅が表示されます。
• Users and outbound data hourly — 過去 24 時間に各ユーザーが送信したデータの量が表示されます。

WatchGuard Data Control の既定のアラート

Advanced Visualization Tool には、既定で以下の WatchGuard Data Control の事前定義アラートが含まれています。

• Too many operations by process — プロセスにより、10 秒間隔で 1 つまたは複数の PII ファイルに 50 以上の操作が実行されるたびにアラートが生成されます。
• Malware detected — 悪質なプロセスによって PII ドキュメントに操作が実行されるたびにアラートが生成されます。
• Too many exfiltration operations by user — ユーザーが「データ抽出」として分類されている操作を 2 分間隔で 5 回以上実行するたびにアラートが生成されます。
• User operations — 4 時間間隔で検出されたすべてのデータ抽出操作の 5% 以上を 1 人のユーザーが実行するたびにアラートが生成されます。
• User rename operations — 4 時間間隔で検出されたすべてのファイル名変更操作の 5% 以上を 1 人のユーザーが実行するたびにアラートが生成されます。
• User create operations — 4 時間間隔で検出されたすべてのファイル作成操作の 5% 以上を 1 人のユーザーが実行するたびにアラートが生成されます。
• User open operations — 4 時間間隔で検出されたすべてのファイルを開く操作の 5% 以上を 1 人のユーザーが実行するたびにアラートが生成されます。
• User copy-paste operations — 4 時間間隔で検出されたすべてのコンテンツのコピーアンドペースト操作の 5% 以上を 1 人のユーザーが実行するたびにアラートが生成されます。
• Data leak — 25 MB 以上のドキュメントに抽出操作が実行されるたびにアラートが生成されます。

関連トピック

Advanced Reporting Tool について

使用可能なアラートを管理する

Advanced Visualization Tool でアラートを作成する