MDR 調査を確認する

適用対象: WatchGuard Core MDR, WatchGuard Core MDR for Microsoft

Managed Services Portal の調査ページには、アカウントの MDR アラートのリストが表示されます。調査は、WatchGuard から各社の部門に送信する自動アラートと手動アラートの組み合わせで構成されています。こうしたアラートには、顧客の環境を保護することを目的として WatchGuard SOC 部門が実行した重要なアクションに関する内容、およびより詳細な調査が必要な項目に関する内容が含まれています。

調査ページで、調査をフィルタリングして、調査の詳細を確認することができます。

調査ページを開くには、以下の手順を実行します。

  1. WatchGuard Cloud で、監視 > 管理サービス の順に選択します。
    新しいブラウザ タブで Managed Services Portal が開きます。
  2. Service Provider の場合は、ドロップダウン リストから Subscriber アカウントを選択します。
  3. アクティビティ > 調査 の順に選択します。
    調査ページが開きます。

Screen shot of MDR portal Investigations page

調査ステータス

WatchGuard MDR により、脅威となり得るインシデントが検出されると、その検出が調査になります。ステータスには最初 ActZero を待機中 と表示されます。WatchGuard SOC 部門がインシデントを調査して、顧客と協力しながら問題や潜在的脅威の解決に取り組む過程で、そのステータスが変化していきます。

調査の状態は、以下のいずれかとなります。

ActZero を待機中

WatchGuard SOC アナリストが問題を調査中

顧客を待機中

問題が解決されたことを顧客が確認する、調査に関して顧客がコメントで応答する、または問題解決に向けて講じる必要のある次の手順を顧客が実行するのを WatchGuard SOC 部門が待機している状態です。

解決済み

問題が解決された状態です。WatchGuard SOC 部門側にも顧客側にも保留中のアクションは残っていません。

終了済み

48 時間が経過すると、解決済みステータスの調査が終了済みステータスに移行します。問題が解決されたことを顧客が確認した場合も、調査を終了することができます。

再開

顧客が終了済みの調査にコメントを追加すると、そのステータスが再開に変わります。

調査の詳細を確認する

調査ページのリストには、フィルタに一致する調査が表示されます。

調査の詳細を確認するには、リストから調査を選択します。
リストの右側に詳細が表示されます。

Screen shot of MDR portal Investigations details

調査の詳細には、アラートの日時、重大度レベル、チケットのステータス、最終更新日時、検出 ID、顧客に送信されたアラート メール メッセージの全文が含まれています。メッセージには、潜在的な脅威に関する詳細およびインシデントの修正に関する推奨事項が記載されています。

調査につながった検出を検出ページに表示するには、検出 ID をクリックします。チケットのステータスに応じて、調査に応答することもできます。

調査に応答する

調査ステータスが 顧客を待機中 の場合は、アクションを実行すること、またコメントで SOC 部門に応答することができます。

ポータルからアクションを実行する

調査の詳細で、以下のいずれかのアクション ボタンをクリックすることができます (使用可能な場合)。

  • ユーザーのパスワードをリセットする — 影響を受けるユーザー アカウントを無効化し、すべてのアクティブなセッションからユーザーをログアウトします。そして、ユーザー パスワードをリセットして、ユーザーの MFA をリセットします。
  • 検出を拒否する — これにより、調査が終了します。

ネットワークまたは環境でアクションを実行する

アラートの詳細メッセージにインシデントを修正する手順が提案されている場合は、ネットワークまたは環境で直接アクションを実行し、実行したアクションをインシデントの詳細にコメントとして追加して応答することができます。

コメントで応答する

WatchGuard SOC 部門に調査に関する情報を送信するには、アラートの詳細の一番下までスクロールします。コメント テキスト ボックスに、メッセージを入力して、更新 をクリックします。

調査リストをソートおよびフィルタリングする

既定では、調査リストには選択されている期間に実施された調査がすべて表示されます。リストは時間順に降順で表示されるため、最新の調査がリストの一番上に表示されます。調査の順序を変更するには、列ヘッダーをクリックします。

調査の表示をカスタマイズするには、日付、重大度、送信元、ステータス、時間でリストをフィルタリングします。

重大度

調査リストを重大度でフィルタリングするには、重大度リストからオプションを 1 つまたは複数選択します。

送信元

調査リストを送信元でフィルタリングするには、以下のオプションを 1 つまたは複数選択します。

  • Endpoint — WatchGuard Endpoint Security または Microsoft Defender を実行している接続済み Endpoint
  • クラウド — Office 365 など、接続済みクラウド サービス

ステータス

調査リストをステータスでフィルタリングするには、オプションを 1 つまたは複数選択します。

時間

既定では、調査リストには過去 30 日間に発生した調査が表示されます。調査リストを日付範囲でフィルタリングするには、時間 セクションで、期間またはカスタムの日付範囲を選択します。

フィルタをリセットするには、フィルタをリセットする をクリックします。調査リストを CSV ファイルとしてエクスポートするには、エクスポート をクリックします。

関連トピック

MDR 検出を確認する