WatchGuard MDR 管理サービスの概要

適用対象: WatchGuard Core MDR 本トピックは、WatchGuard Core MDR 管理サービスに適用されます。, WatchGuard Core MDR for Microsoft 本トピックは、WatchGuard Core MDR for Microsoft 管理サービスに適用されます。

WatchGuard MDR は、WatchGuard が適格パートナーに提供している管理サービスです。WatchGuard SOC 部門がパートナーと連携しながら MDR サービスを提供する仕組みの詳細については、以下のセクションを参照してください。

• 責任
• パートナーの資格とオンボーディング
• インシデント対応

責任

パートナーと WatchGuard SOC 部門が連携を図りながら、顧客に MDR サービスを提供します。WatchGuard MDR の使用を開始する前に、パートナーと WatchGuard SOC 部門両方のロールと責任を把握してください。

パートナー

WatchGuard MDR のパートナーの責任には、以下が含まれます。

資格の有無を判定して、パートナー オンボーディングを開始する

WatchGuard アカウント マネージャーと面談することで、資格要件を確認し、パートナー オンボーディング プロセスを開始します。詳細については、次を参照してください：パートナーの資格とオンボーディング。

ライセンスの購入と割り当て

新規 MDR ライセンスを購入するたびに、ライセンスをアクティブ化して、WatchGuard Cloud で顧客の Endpoint に MDR サービスを割り当てます。詳細については、次を参照してください：管理サービスのライセンスについて。

顧客を登録する

新規顧客ができるたびに、手順に従って、顧客をオンボーディングして環境を設定します。

WatchGuard Core MDR ライセンスと WatchGuard Endpoint Security

• 次に記載されている構成手順を完了します：WatchGuard Core MDR 設定を構成する。
• 次に記載されている構成手順を実行して、WatchGuard SOC 部門が Microsoft Office 365 環境を監視できるようにします：WatchGuard MDR と Microsoft Office 365 を接続する。

WatchGuard Core MDR for Microsoft ライセンスと Microsoft Defender for Endpoint

• 次に記載されている構成手順を完了します：WatchGuard Core MDR for Microsoft と Microsoft Defender を接続する。
• 次に記載されている構成手順を実行して、WatchGuard SOC 部門が Microsoft Office 365 環境を監視できるようにします：WatchGuard MDR と Microsoft Office 365 を接続する。

修正ガイドラインに従う

インシデントが発生した場合は、極力早く通常業務に戻れるように、自社または顧客が WatchGuard SOC 部門の推奨事項に従ってインシデントを修正するようにしてください。詳細については、次を参照してください：インシデント対応。

WatchGuard SOC 部門

WatchGuard MDR に関する WatchGuard SOC 部門の責任には、以下が含まれます。

監視、分析、トリアージする

WatchGuard は、顧客の Endpoint からのテレメトリ データをプロアクティブに監視および分析し、インジケータやアラートを特定、集約、優先順位付けします。

調査する

WatchGuard は、異常なアクティビティが悪質であるかどうか、また対応が必要かどうかを判断します。

脅威に対する対応手段を提供する

脅威への対応には、アラートの発信が含まれます。アラートには、調査の詳細、影響を受けた Endpoint のリスト、脅威を修正するためのガイドラインが含まれています。WatchGuard Core MDR 顧客をオンボードする際に、脅威への対処として影響を受けた Endpoint を WatchGuard SOC が隔離することを許可するかどうかを指定することができます。

脅威を探索する

WatchGuard の脅威ハンターは、脅威インテリジェンスと経時的に観察された関連 IoC (侵害インジケーター) に基づいて、既存の検出制御機能を回避した可能性のある脅威を探します。脅威ハンティング活動によって悪質なアクティビティのインジケータが見つかった場合は、脅威ハンターによって調査が実施されます。また、サービスの有効性と効率性を向上させるために、WatchGuard で新たな IOA (Indicators of attack) と IoC が作成されます。

レポートを配信する

WatchGuard MDR から、定期的に健全性ステータスとサービス アクティビティ レポートが自動的に配信されます。詳細については、次を参照してください：MDR レポート。

修正に関するガイダンスを提供する

WatchGuard SOC から、検出された脅威に関する修正ガイダンスが提供されます。詳細については、次を参照してください：インシデントの緩和と修正。

パートナーの資格とオンボーディング

WatchGuard MDR サービスを顧客に提供する場合は、WatchGuard EDR、EPDR、Advanced EPDR、Panda AD360、Microsoft Defender、または Microsoft Office 365 のインストール、サポート、トラブルシューティングの経験があることが望まれます。

また、貴社のスタッフが顧客環境へのアクセス権を取得する必要があります。または、SOC 部門にその許可を付与すれば、MDR サービスによって侵害の試みが検出された場合に、当該部門が顧客を直接支援することが可能となります。

さらに、最初のパートナー オンボーディング セッションに参加する必要があります。

資格

MDR サービスを提供するには、WatchGuard SOC 部門から連絡する必要性が発生した場合に備えて、1 日 8 時間 / 週 5 日、または 1 日 24 時間 / 週 7 日 (オンボーディング プロセスで選択したモデルに基づき異なる) 対応可能な担当者を少なくとも 1 人配置する必要があります。たとえば、顧客ネットワークで検出されたアクティビティが貴社またはその顧客によって承認されたものかどうか、それとも潜在的なセキュリティ脅威であるかどうかを判断する上で貴社の協力が必要になる場合があります。

さらに、以下のことが勧められます。

• MDR サービスの成長をサポートできるスケーラブルなビジネス プランが用意されていること
• WatchGuard Core MDR 顧客の場合は、社内に現行の WatchGuard Endpoint Security 技術認定を受けているスタッフが少なくとも 1 人存在すること

オンボーディング プロセス

資格要件が満たされたら、WatchGuard と連携しながらオンボーディング プロセスを完了します。

1. アカウント マネージャーに連絡して、WatchGuard MDR に関心がある旨を伝えてください。
2. 担当のアカウント マネージャーが貴社を適格と判断した場合は、要求がオンボーディング部門に転送されます。
3. オンボーディング部門が貴社または貴社の部門の審査を行い、重要なデータを収集し、そして貴社の責任を確認します。
4. 利用規約に同意します。
5. 以下のフォームに記入します (オンボーディング部門から提供されます)。
   • MDR オンボーディング フォーム
   • MDR O365 オンボーディング フォーム
   • MDR クライアント委任フォーム
   • MDR Microsoft Defender for Endpoint オンボーディング フォーム

インシデント対応

WatchGuard MDR サービスでは、インシデントの修正と最適化は積極的に実施されません。WatchGuard SOC 部門から貴社またはそのセキュリティ部門にインシデントに関する連絡が入った場合は、当社が提供するガイドラインに従って自社でインシデントに対応する必要があります。

インシデント アラート通知

WatchGuard MDR 顧客にセキュリティ インシデントが発生した場合は、パートナー オンボーディングで選択されているエスカレーション パスに応じて、SOC 部門メンバーから電子メールまたは電話で貴社に連絡が入ります。

以下の重大度のインシデントが発生した場合に、WatchGuard から連絡が入ります。

重大度レベル	説明	通知
重大	アクティブな攻撃者、データの暗号化や破壊、データ漏洩など、顧客資産に差し迫った危険をもたらす侵害またはシステムへの不正侵入が検証された場合	WatchGuard Core MDR — WatchGuard SOC メンバーから、インシデント情報が記載された電子メールが送信されます。その後、オンボーディング プロセスで指定されているアラート電話番号のリスト宛に電話連絡が入ります。 WatchGuard Core MDR for Microsoft — WatchGuard MDR には、Microsoft Defender for Endpoint のインシデント重大度分類が継承されます。Microsoft Defender for Endpoint には 重大 という既定の重大度レベルがないため、WatchGuard MDR では、初めからインシデントの重大度レベルが 重大 となることはありません。
高	顧客資産に差し迫った脅威をもたらす標的型攻撃の兆候が確認され、侵害やシステムへの不正アクセスが事実である可能性がある場合	WatchGuard Core MDR — WatchGuard SOC 部門から、オンボーディング プロセスで共有されているアドレス宛に重大度レベルが 高 のアラート メールが送信されます。 WatchGuard Core MDR for Microsoft — 重大度レベルが 高 の Microsoft Defender for Endpoint アラートの場合は、WatchGuard SOC 部門メンバーから、インシデントの詳細が記載された電子メール通知が送信されます。その後、オンボーディングで提供されているアラート連絡先リストに電話連絡が入ります。重大 というレベルは、Microsoft Defender による個々の検出の既定の重大度レベルではありませんが、SOC 部門は特定のアラートまたはアラートの組み合わせを確認して、それぞれの潜在的な影響に基づいて、問題を重大というレベルにエスカレートさせる場合があります。

インシデントの緩和と修正

WatchGuard Endpoint Security を使用している場合で、WatchGuard Cloud で顧客の WatchGuard Core MDR 設定を構成している場合は、インシデント発生時に SOC 部門が顧客ネットワークのコンピュータを自動的に隔離することを許可するかどうかを選択することができます。WatchGuard Core MDR 設定の変更方法に関する詳細については、次を参照してください：WatchGuard Core MDR 設定を構成する。

インシデント発生時に SOC 部門が顧客を直接補助することを許可している場合を除き、インシデントの修正またはインシデント発生後のアクティビティは貴社の責任となります。SOC 部門から、修正方法に関するガイドラインを顧客に提供することができます。また、同じ手法を使用する脅威アクターによる侵害が再発するのを回避するために、顧客のセキュリティ態勢を改善する方法に関する推奨事項を提供できる場合もあります。

関連トピック

WatchGuard MDR について

Managed Services Portal について