適用対象: ThreatSync+ NDR, ThreatSync+ SaaS
概要ページから、ThreatSync+ 構成のさまざまな領域に迅速にアクセスすることができます。
使用可能なページと機能はライセンスの種類によって異なります。このドキュメント全体にわたり、一般的に ThreatSync+ はすべての製品を指しています。ThreatSync+ UI にページまたは機能が表示されない場合、それが製品でサポートされていないと考えてください。
ThreatSync+ 概要ページを開くには、WatchGuard Cloud で以下の手順を実行します。
- 構成 > ThreatSync+ の順に選択します。
- 概要 を選択します。
概要 ページが開きます。
ThreatSync+ 概要ページには、以下のウィジェットが含まれています。
エグゼクティブ概要レポート
エグゼクティブ概要レポート をクリックして、エグゼクティブ概要レポートの脅威スコアの計算の重み付けとメトリックを構成します。計算の重み付けにより、メトリック カテゴリ間で脅威スコアに適用される重み付けが制御されます。各カテゴリに重み付けを設定して、ThreatSync+ NDR で脅威スコアが計算される方法を制御することができます。また、エグゼクティブ概要レポートと脅威スコアの計算に含めるメトリックを制御することが可能です。
詳細については、次を参照してください:エグゼクティブ概要レポートの設定を構成する。
コンプライアンス レポート
Compliance Reporting をクリックすると、ネットワーク防御目標と目的を有効化または無効化することができます。
ネットワーク防御目標は、防御目標レポートを構成するために使用されます。
詳細については、次を参照してください:ネットワーク防御目標を管理する および ThreatSync+ NDR レポート。
サブネットと組織
サブネットと組織 をクリックして、サブネットを追加および管理します。
サブネットと IP アドレス範囲を構成して、内部ネットワークと重要なシステムにラベルを付けます。ThreatSync+ NDR では、「非信頼プライベート」グループのメンバーとしてラベル付けされていない内部システムが特定されます。これにより、Rogue デバイスをより簡単に検出できるようになります。
詳細については、次を参照してください:サブネットと組織を構成する。
デバイス
デバイス をクリックして、ThreatSync+ NDR の監視の対象となるデバイスを追加またはインポートします。ネットワークの静的デバイスを特定して、名前、ロール、タグを割り当てることができます。
詳細については、次を参照してください:デバイスを管理する。
ポリシー
ポリシー をクリックして、ネットワークの ThreatSync+ のポリシーとゾーンを有効化および編集します。ポリシーは、組み込みまたはユーザー定義のルール セットです。こうしたルールは、トラフィックまたは ThreatSync+ の異常やイベントに直接基づいています。既定のポリシーにより、禁止されているサイトや国、データ漏洩、重要な資産との通信が検出されます。
詳細については、次を参照してください:ThreatSync+ ポリシーを構成する。
ゾーン
ゾーン をクリックして、内部ゾーンと外部ゾーンを構成します。内部ゾーンの例として、以下が挙げられます。
- すべての内部ノード
- 資産
- 組織
- IP アドレス
外部ゾーンの例として、以下が挙げられます。
- すべての外部ノード
- 国
- 場所
- 組織
- ドメイン
- IP アドレス
詳細については、次を参照してください:ThreatSync+ ゾーンを管理する。
アラート
アラート をクリックして、ThreatSync+ SaaS コレクター、ThreatSync+ ポリシー、および Smart Alert のアラートを構成します。Smart Alert は、スキャン シーケンス、偵察と C2 (コマンド アンド コントロール) アクティビティの組み合わせなど、特定の動作との相関関係を通じて検出されます。
詳細については、次を参照してください:ThreatSync+ のアラートと通知ルールを構成する。
Smart Alert 制御
Smart Alert をフィルタリングするルールを構成するには、Smart Alert 制御 をクリックします。実行されないようにルールを無効化すること、以前に無効化されていたルールを有効化すること、またはルールを削除してリストから削除することができます。
詳細については、次を参照してください:ThreatSync+ NDR Smart Alert 制御を構成する。