適用対象: ThreatSync+ NDR, ThreatSync+ SaaS
ポリシー アラートにより、ネットワークにおける未承認のアクティビティまたは不測のアクティビティが通知されます。組織のアクセス ポリシーが反映されるように ThreatSync+ ポリシーを構成すると、受信する各ポリシー アラートに、組織にとって脅威となり得るポリシー違反が表示されます。
既定の ThreatSync+ NDR ポリシー
ThreatSync+ NDR を初めてセットアップする際に、ポリシーのサブセットが既定でアクティブ化されます。これは、タグ レベル 1 によって識別することができます。これにより、ポリシー アラートが自動的に生成されます。75 個を超える使用可能なポリシーの中の約 30 個がレベル 1 に含まれます。こうした既定のポリシー アラートには、最も一般的で修正が最も簡単な脅威と脆弱性が反映されます。詳細については、次を参照してください:ThreatSync+ NDR レベル 1 ポリシー。
既定の ThreatSync+ SaaS ポリシー
Microsoft 365 との ThreatSync+ SaaS 統合を初めてセットアップする際に、7 個のポリシーが既定でアクティブ化されます。これは、タグ レベル 1 によって識別することができます。これにより、ポリシー アラートが自動的に生成されます。詳細については、次を参照してください:ThreatSync+ SaaS のレベル 1 ポリシー — Microsoft 365。
機械学習に基づくポリシー アラートの場合は、ThreatSync+ によってアクティビティのベースラインが構築され、トラフィックがこのベースラインと異なる場合にのみポリシー アラートが生成されます。受信するポリシー アラートが多すぎる場合、または脅威の感度を変更する場合は、ポリシーを調整することができます。詳細については、次を参照してください:ポリシーの調整。
ポリシー アラートを監視する
ポリシー アラートは、ThreatSync+ ポリシー アラート ページに表示されます。ThreatSync+ ポリシー アラート ページには、ポリシー アラートの一元化されたリストが表示されるため、管理ユーザーはこれを確認して対応することができます。ポリシー アラートに対応するには、デバイスを手動でブロックすること、または未承認のアクセスをブロックすることができます。また、今後予想されるアクティビティは無視されるようにポリシーを調整することが可能です。
ポリシー アラートの作成に関する電子メール通知を設定することもできます。詳細については、次を参照してください:ThreatSync+ のアラートと通知ルールを構成する。
ThreatSync+ ポリシーアラート ページには、以下の詳細が表示されます。
- ステータス — ポリシーのステータス。ステータスは、ライブまたは非アクティブとなります。ライブ をクリックすると、ステータスが非アクティブに変わり、ポリシーが非アクティブになります。非アクティブ をクリックすると、ステータスがライブに変わり、ポリシーがアクティブ化されます。
- ポリシー名 — ポリシーの名前。ポリシー名をクリックすると、ポリシー アラートの詳細ページが表示されます。
- タグ — デバイス、サブネット、組織を整理するために定義して適用するタグ。
- 脅威スコア — ポリシー アラートの脅威スコア。既定では、ポリシー アラート リストは最高の脅威スコア順に表示されます。
- アラート — 特定のポリシーのポリシー アラートの数。アラート番号をクリックすると、ポリシー アラートの詳細ページが表示されます。
- 重要度 — 組織におけるこのデバイスの価値の高さを示すために割り当てる評価。重要度レベルには、このデバイスの破損または紛失が発生した場合に組織に及ぼされる影響度が反映されている必要があります。ThreatSync+ の高度な脅威検出機能と組み合わせて、資産のリスク レベルを計算する際にこの値が使用されます。
- ATT&CK® 参考資料 — MITRE ATT&CK の種類とリンク(存在する場合)が表示されます。
- 説明 — ポリシー アラートの説明。
ポリシー アラートを監視するには、以下の手順を実行します。
- 監視 > ThreatSync+ > ポリシー アラート の順に選択します。
ThreatSync+ ポリシー アラート ページが開きます。 - 特定のポリシー アラートを表示するには、以下の手順を実行します。
- 特定のポリシー アラートを表示するには、ポリシー アラートをクリックします。詳細については、次を参照してください:ポリシー アラートの詳細を表示する。
日付範囲を変更する
既定では、ポリシー アラート リストには過去 7 日間のポリシー アラートが表示されます。日付を変更して、異なる日付のポリシー アラートを表示することができます。
ポリシー アラート リストを日付でフィルタリングするには、以下の手順を実行します。
- 日付ウィジェットの日付を使用して、以下のいずれかの期間をクリックします。
- 24 時間
- 7 日
- 30 日
- 90 日
- カスタム
- カスタム を選択した場合は、カスタム期間の開始日時と終了日時を指定します。
ポリシー アラート リストを並べ替える、およびフィルタリングする
既定では、ポリシー アラート リストには脅威スコアが最も高いポリシー アラートが降順に一覧されるため、最も重大なポリシー アラートがリストの先頭に表示されます。
表示するポリシー アラートをカスタマイズするには、ステータスの種類、タグ、またはキーワード検索で、ポリシー リストをフィルタリングします。
ポリシー アラート リストを並べ替えるには、列名をクリックして、その列でポリシー アラート リストを並べ替えます。
ポリシー アラート リストをフィルタリングするには、以下の手順を実行します。
- ステータスの種類 ドロップダウン リストから、ポリシー アラート リストをライブ ステータスまたは非アクティブ ステータスのいずれかでフィルタリングするか、またはその両方でフィルタリングするかを選択します。
- タグ ドロップダウン リストから、フィルタリングされた結果に含めるタグを選択します。
- ポリシー アラートをフィルタリングする テキスト ボックスに、結果をフィルタリングするキーワードを入力します。
ポリシー アラートの詳細を表示する
特定のポリシー アラートの詳細を表示するには、ポリシー名をクリックします。
ポリシー アラートの詳細ページには、以下の詳細が含まれます。
- 送信元と宛先のゾーン情報
- ポリシー アラートの説明
- ポリシー アラートの仕組み
- ポリシー アラートの調整方法
- 重要度
- 脅威スコア
- ポリシーに関連付けられているタグ
ポリシー構成の詳細は、ポリシー オプションを絞り込む ドロップダウン リストで変更することができます。
- アクティビティ トリガーを絞り込む
- 送信元ゾーンを絞り込む
- 宛先ゾーンを絞り込む
詳細については、次を参照してください:ThreatSync+ ポリシーを構成する。
以下の 3 つのタブに詳細なポリシー アラート情報が表示されます。
- ポリシー チャート — ポリシー アラートの種類によって異なるグラフが表示されます。詳細には、送信元、時間、宛先、アプリケーション ポート別のポリシー アラートの分布が含まれている可能性があります。チャートをポイントして詳細を表示し、アクションを実行します。たとえば、ポリシーから除外する をクリックして、デバイスをポリシーから除外します。または、トラフィックの詳細を表示する をクリックして、異常なトラフィック情報を表示します。
- アラート — ポリシー アラートに関するゾーンと脅威スコアの詳細が表示されます。タブをフィルタリングして、送信元ゾーンや宛先ゾーンのチャートを表示すること、または脅威スコアでリストをフィルタリングすることができます。送信元ゾーン名をクリックすると、デバイスの詳細およびアクティビティが表示されます。
- コメント — ポリシー アラートに関連付けられているコメントの履歴が表示されます。コメント をクリックすると、ポリシー アラートにコメントを追加することができます。
ポリシーを非アクティブ化する
ポリシー アラート ページでポリシーを直接非アクティブ化するには、ポリシー名の横にある ライブ をクリックして、ステータスを 非アクティブ に変更します。