適用対象: ThreatSync+ NDR, ThreatSync+ SaaS
ThreatSync+ ポリシーにより、ネットワークが継続的に監視され、組織のポリシーに違反するアクティビティが検知されます。ポリシーにより、ネットワークの脆弱性と脅威が検出されます。そして、未承認のアクティビティが検出された場合は、ポリシー アラートが生成されます。
応答時間を最小限に抑え、保護を最大限に高めるために、以下のようにポリシーを構成および調整することが重要となります。
- 組織のセキュリティ ポリシーを反映させる。
- 組織のポリシーによって管理されるネットワークの一部にのみポリシーを適用する。
- 組織に対する適切な重大度を反映させる。
以下に従って、ThreatSync+ ポリシーの使用を開始することが勧められます。
- 小さくて管理しやすいポリシー一式から開始します。
- 対応可能なアラート (再発しないように対応および修正できるアラート) のみが受信されるようにポリシーを調整します。
- 追加のポリシーを作成することで、ネットワークの保護を拡張し、アラートの多発を防止できるように調整します。
ポリシーの調整方法に関する推奨事項については、次を参照してください:ポリシーの調整。
ネットワークの監視と学習を実行する時間的余裕を ThreatSync+ に与えるために、2 ~ 3 日待ってからポリシーを構成することが勧められます。
既定の ThreatSync+ ポリシーを有効化する
ThreatSync+ NDR には、有効化できる 100 超の既定ポリシーが含まれています。各社のネットワークやセキュリティ ポリシーに適さない既定ポリシーもあるため、大半の既定ポリシーは既定で無効化されています。レベル 1 ポリシーのサブセットのみが既定で有効化されています。これにより、アラートが自動的に生成されます。既定のポリシーのリストについては、次を参照してください:既定のポリシーとゾーン。
使用できる既定のポリシーは、ライセンスによって異なります。ThreatSync+ SaaS ポリシーの詳細については、次を参照してください:ThreatSync+ SaaS のレベル 1 ポリシー — Microsoft 365。
多数の既定ポリシーを有効化すると、対応できないほど多くのアラートが発信される可能性があります。有効化するポリシーが少なすぎると、ネットワークにおける潜在的な脅威に関する重要なアラートを見逃す可能性があります。
既定の ThreatSync+ ポリシーを有効化するには、以下の手順を実行します。
- WatchGuard Cloud アカウントにログインします。
- 構成 > ThreatSync+ > ポリシー の順に選択します。
- 有効化する既定のポリシーの横にある 非アクティブ をクリックします。
ポリシーのステータスがライブに変わります。
カスタム ThreatSync+ ポリシーを追加する — ThreatSync+ NDR
新規 ThreatSync+ ポリシーを作成して、ネットワークのポリシー定義をカスタマイズすることができます。それぞれのポリシーにより、送信元ゾーンと宛先ゾーン間のすべてのトラフィックまたはイベント ログが評価され、特定の条件が満たされると、アラートがトリガーされます。こうした条件は、アクティビティ トリガー と呼ばれるものです。
詳細については、次を参照してください:ポリシーの評価。
カスタム ThreatSync+ NDR ポリシーを追加するには、以下の手順を実行します。
- WatchGuard Cloud アカウントにログインします。
- 構成 > ThreatSync+ > ポリシー の順に選択します。
- ThreatSync+ ポリシーを管理する ページで、新規ポリシー をクリックします。
新規ポリシーを作成する ページが開きます。
- (オプション) ポリシー ID テキスト ボックスに、ポリシー ID を入力します。
ポリシー ID により、ポリシーが一意に識別されます。Compliance Reporting ライセンスでカスタム防御目標レポートを作成する場合は、防御目標で定義されている制御のいずれかのカスタム ポリシーを参照することを検討してください。このポリシー ID を使用して、ポリシーを一意に識別します。ポリシー ID を入力しないと、ThreatSync+ によって ID が割り当てられます。Compliance Reporting の詳細については、次を参照してください:WatchGuard Compliance Reporting について。
- ポリシー名 テキスト ボックスに、新規ポリシーの名前を入力します。
- (オプション) 説明を入力します。
- タグ テキスト ボックスで、ポリシーに適用するタグを選択または作成します。
- アクティビティ トリガー をクリックします。
アクティビティ トリガー セクションが展開されます。 - アクティビティ トリガー セクションで、アラートを設定するアクティビティの種類を選択します。(トラフィック、異常、サービス イベント のいずれか)
- 重要度 ドロップダウン リストから、アクティビティに割り当てる重要度を選択します。(超低、低、中、高、超高 のいずれか)
- 特定のトラフィックのアラートのみを受信する場合は、特定のトラフィックに関するアラートを送信する を選択して、アラート条件を指定します。
- 特定の異常に関するアラートのみを受信する場合は、特定の異常に関するアラートを送信する を選択して、アラート条件を指定します。
- 特定のサービス イベントに関するアラートのみを受信する場合は、特定のサービス イベントに関するアラートを送信する を選択して、アラート条件を指定します。
- 修正 をクリックします。
修正セクションが展開されます。
- 自動修正を有効化する場合は、このポリシー違反が発生した場合に、関連する外部 IP を自動的にブロックする チェックボックスを選択します。
既存の ThreatSync+ NDR ポリシーの自動修正を有効化または無効化するには、ポリシーの横にある 
をクリックして、修正セクションで、このポリシー違反が発生した場合に、関連する外部 IP を自動的にブロックする チェックボックスを選択または選択解除します。
- トラフィック フロー をクリックします。
トラフィック フロー セクションが展開されます。 - 送信元と宛先のトラフィック フロー設定を構成します。新規ゾーンを作成する場合は、ゾーンを作成する をクリックして、ゾーン ページに移動します。詳細については、次を参照してください:ThreatSync+ ゾーンを管理する。
- ポリシーの詳細を確認します。
- ポリシーをアクティブ化します。または、ドラフトとして保存して、後で確認します。
カスタム ThreatSync+ ポリシーを追加する — ThreatSync+ SaaS
新規 ThreatSync+ ポリシーを作成して、ネットワークのポリシー定義をカスタマイズすることができます。それぞれのポリシーにより、ユーザー イベントが評価され、特定の条件が満たされると、アラートがトリガーされます。こうした条件は、アクティビティ トリガー と呼ばれるものです。
カスタム ThreatSync+ SaaS ポリシーを追加するには、以下の手順を実行します。
- WatchGuard Cloud アカウントにログインします。
- 構成 > ThreatSync+ > ポリシー の順に選択します。
- ThreatSync+ ポリシーを管理する ページで、新規ポリシー をクリックします。
新規ポリシーを作成する ページが開きます。
- (オプション) ポリシー ID テキスト ボックスに、ポリシー ID を入力します。
ポリシー ID により、ポリシーが一意に識別されます。Compliance Reporting ライセンスでカスタム防御目標レポートを作成する場合は、防御目標で定義されている制御のいずれかのカスタム ポリシーを参照することを検討してください。このポリシー ID を使用して、ポリシーを一意に識別します。ポリシー ID を入力しないと、ThreatSync+ によって ID が割り当てられます。Compliance Reporting の詳細については、次を参照してください:WatchGuard Compliance Reporting について。
- ポリシー名 テキスト ボックスに、新規ポリシーの名前を入力します。
- 説明を入力してください。
- タグ テキスト ボックスで、Office 365 タグを選択するか、ポリシーに適用するタグを作成します。
- アクティビティ トリガー をクリックします。
アクティビティ トリガー セクションが展開されます。 - アクティビティ トリガー セクションで、ユーザー イベント を選択します。
- 重要度 ドロップダウン リストから、アクティビティに割り当てる重要度を選択します。(超低、低、中、高、超高 のいずれか)
- すべてのユーザー イベントに関するアラートを受信する場合は、すべてのユーザー イベントに関するアラートを送信する を選択します。
- 特定のユーザー イベントに関するアラートのみを受信する場合は、特定のユーザー イベントに関するアラートを送信する を選択して、アラート条件を指定します。
- ユーザー ゾーン をクリックします。
ユーザー ゾーン セクションが展開されます。
- ユーザー ゾーン設定を構成します。新規ゾーンを作成する場合は、ゾーンを作成する をクリックして、ゾーン ページに移動します。詳細については、次を参照してください:ThreatSync+ ゾーンを管理する。
- 修正 をクリックします。
修正セクションが展開されます。
- 自動修正を有効化する場合は、このポリシー違反が発生した場合に、関連付けられているゾーン ユーザーを自動的に無効化する チェックボックスを選択します。
既存の ThreatSync+ SaaS ポリシーの自動修正を有効化または無効化するには、ポリシーの横にある をクリックして、修正セクションで、このポリシー違反が発生した場合に、関連付けられているゾーン ユーザーを自動的に無効化する チェックボックスを選択または選択解除します。
- ポリシーの詳細を確認します。
- ポリシーをアクティブ化します。または、ドラフトとして保存して、後で確認します。
ThreatSync+ ポリシーをアクティブ化または非アクティブ化する
ポリシーを管理する ページで、1 つまたは複数のポリシーをアクティブ化または非アクティブ化することができます。ポリシーをアクティブ化にすると、ThreatSync+ により、組織のアクセス ポリシー違反が検出され、そのポリシー違反を通知するポリシー アラートが生成されます。
既定のポリシーはテンプレートとよく似ています。既定のポリシーをアクティブ化または編集すると、そのポリシーのコピーが ThreatSync+ に保存されます。コピーを削除すると、ポリシー定義に加えられた変更がすべて破棄され、ポリシーが既定のポリシーの定義に戻ります。詳細については、次を参照してください:ThreatSync+ のポリシーおよびゾーンについて。
ThreatSync+ ポリシーをアクティブ化または非アクティブ化するには、ポリシーを管理する ページで以下の手順を実行します。
- 編集するポリシーを 1 つまたは複数選択します。
-
をクリックします。 - 選択されているものをアクティブ化する または 選択されているものを非アクティブ化する を選択します。
- また、ステータス 列で ライブ をクリックして、ポリシーを非アクティブ化して、ステータスを 非アクティブ に変更することができます。または、非アクティブ をクリックして、ポリシーをアクティブ化し、ステータスを ライブ に変更することができます。
ポリシーのアラート重大度の尺度を編集する
機械学習に基づくポリシー アラートの場合は、ThreatSync+ によってアクティビティのベースラインが構築され、トラフィックがこのベースラインと異なる場合にのみアラートが生成されます。たとえば、インターネットに不測の大量データが送信された場合は、ベースライン アクティビティと大幅に異なるため、アラートが生成されます。
生成されるアラートの数を減らす場合は、アラートの感度を調整して、検出の感度を低くします。
特定の ThreatSync+ ポリシーのアラート重大度の尺度を編集するには、以下の手順を実行します。
- ThreatSync+ ポリシーを管理する ページで、編集するポリシーの横にある をクリックします。
ポリシーの詳細ページが開きます。 - アクティビティ トリガー セクションで、アラート重大度の尺度 の横にある をクリックします。
アラート重大度の尺度を編集する ダイアログ ボックスが開きます。
- アラート重大度の尺度を変更するには、スライダーを所望の値までドラッグします。生成されるアラートの数を減らすには、より高い値を選択します。生成されるアラートの数を増やすには、より低い値を選択します。
- 保存 をクリックします。
また、イベント データ ソースで特定の異常の種類が選択されている場合は、トラフィック ページで、アラート重大度の尺度を編集することができます。詳細については、次を参照してください:ThreatSync+ トラフィックを調査する。