適用対象: ThreatSync+ NDR, ThreatSync+ SaaS
既定のポリシーか定義したカスタム ポリシーかを問わず、ThreatSync+ により、ネットワークで発生した企業のポリシー違反を監視することができます。
- 既定のポリシー — ThreatSync+ には既定のポリシーが含まれています。これを有効化することで、危険な Web サイト、未承認のアプリケーションや国へのトラフィック、受信リモート デスクトップ プロトコル (RDP) セッションなどの未承認トラフィック、開発環境と本番環境といった内部ネットワーク間の未承認トラフィックを検出することができます。
- カスタム ポリシー — 70 超のフィルタを使用して、カスタム ポリシーとゾーンを作成し、ThreatSync+ NDR でトラフィック フローや異常イベントを監視して検出することができます。こうしたフィルタの詳細については、次を参照してください:ポリシー アクティビティ フィルタ。
使用可能なページと機能はライセンスの種類によって異なります。このドキュメント全体にわたり、一般的に ThreatSync+ はすべての製品を指しています。ThreatSync+ UI にページまたは機能が表示されない場合、それが製品でサポートされていないと考えてください。
ポリシー アラート
ポリシー アラートにより、ポリシー違反に関する通知を受信し、違反を重要資産にリンクし、そして最も頻繁に違反を犯すユーザーを把握することができます。ThreatSync+ には、ネットワークからの NetFlow ログとデータが取り込まれます。これにより、ポリシーが評価され、違反発生時にアラートが生成されます。
ポリシー アラートの詳細については、次を参照してください:ポリシー アラートについて。
ポリシーの評価
ThreatSync+ NDR では、30 分間の単位で、取り込まれた NetFlow トラフィックとイベントのグループに対してポリシー評価が実行されます。各ポリシーにより、30 分間の送信元ゾーンと宛先ゾーン間のトラフィックまたはイベント ログすべてが評価され、ポリシー条件が満たされた場合にアラートが生成されます。こうした条件は、アクティビティ トリガー と呼ばれるものです。
アクティビティ トリガーを使用することで、ログの内容に基づいて、データをフィルタリングすることができます。NetFlow トラフィックをフィルタリングする場合は、ポリシーで、ポート、プロトコルの種類、トラフィック量、他のトラフィック プロパティに基づいてフィルタを適用することが可能となります。イベントをフィルタリングする場合は、ポリシーで、イベント作成時に ThreatSync+ NDR で生成されるイベントの種類、ポート、他のプロパティに基づいてフィルタを適用することができます。
ゾーンを使用して、トラフィックのフィルタリングに使用される送信元と宛先のセットが特定されます。ゾーンは、IP アドレス、資産、組織、国、ドメイン、または場所のグループである可能性があります。詳細については、次を参照してください:ThreatSync+ ゾーンを管理する。
既定のポリシーとゾーン
ThreatSync+ のポリシーは、ネットワーク ゾーンに関連付けられています。ThreatSync+ には、既定のポリシーとゾーンが備わっています。これは、脅威の監視を開始する際に有用となります。こうした既定のポリシーとゾーンには、基本的な監視ツール セット、およびカスタム ポリシーとゾーンの構築方法の例が含まれています。
既定とカスタムのポリシーとゾーンの機能の仕組みは似ています。しかし、ゾーンを変更する場合、または ThreatSync+ NDR の既定のゾーン オブジェクトの定義を更新する場合に相違があります。
ポリシー
大半の既定のポリシーは既定で無効化されていますが、レベル 1 タグが付けられているポリシーのサブセットは既定で有効化されており、自動的にアラートが生成されます。ThreatSync+ NDR では、使用可能な 75 個を超える既定のポリシーの中の約 30 個がレベル 1 ポリシーです。詳細については、次を参照してください:ThreatSync+ NDR レベル 1 ポリシー。
ThreatSync+ SaaS では、使用可能な 9 個のポリシーがレベル 1 ポリシーです。詳細については、次を参照してください:ThreatSync+ SaaS のレベル 1 ポリシー — Microsoft 365。
ポリシーをアクティブ化すると、または構成を変更すると、プライベート コピーが保存されます。コピーを削除すると、ポリシー定義に加えられた変更がすべて破棄され、ポリシーが既定のポリシーに戻ります。既定のポリシーを変更しても、編集したバージョンを削除してポリシーが既定のポリシー定義に戻るまで、既定のポリシーの定義に加えられた変更は表示されません。
ゾーン
既定のゾーンには、オブジェクトのリストが含まれています。既定のゾーンを編集すると、変更内容が含まれたプライベート コピーが保存されます。このゾーンが使用されるすべてのポリシーでは、そのプライベート コピーが使用されます。コピーを削除すると、ゾーン定義に加えられた変更が破棄され、ゾーンが既定の定義に戻り、そしてコピーが使用されていたポリシーすべてで既定のゾーンが使用されるようになります。
既定のゾーンを変更しても、編集したコピーを削除してゾーンが既定のゾーン定義に戻るまで、WatchGuard が実行した既定ゾーンの定義に対する変更はアカウントには適用されません。既定のゾーンを編集していない場合は、ゾーン定義を変更するアップグレードがアカウントに自動的に適用されます。
例
ファイル共有サイトの既定のゾーンには、インターネットにおけるファイル共有サービスのリストが含まれています。WatchGuard はこのサイトのリストを管理して、定期的に更新しています。
- ユーザーがこの既定のゾーンを編集していない場合は、WatchGuard がゾーン定義に追加した新規サイトが自動的にポリシー違反評価に含まれます。
- ユーザーがこの既定のゾーンを編集した場合は、プライベート コピーが作成され、そのコピーに含まれているファイル共有サイトのリストには WatchGuard による更新が自動的に適用されません。WatchGuard が追加した新規サイトを含めるには、ゾーンのプライベート コピーを削除して既定のゾーンに戻してから、それを再度編集して、以前に行った変更を反映させる必要があります。
カスタムのポリシーとゾーン
ThreatSync+ では、組織固有のカスタムのポリシーとゾーンを作成することができます。
ゾーンは、包含的なものにすることも、排他的なものにすることもできます。包含ゾーンには、IP アドレス、資産、組織、国、ドメイン、または場所の静的リストを含めることができます。排他ゾーンには、ゾーンの定義に明示的に一覧されているデバイスを除き、ネットワークにあるすべてのデバイスが含まれます。ゾーンを定義したら、それを複数のポリシーで使用することができます。
国、組織、ドメイン、場所が含まれているゾーンは、ThreatSync+ で使用されているメタデータ リストの名前と一致している必要があります。WatchGuard はサードパーティのサービスを使用して、こうしたリストを定期的に更新しています。カスタム ゾーンでこうしたゾーンを使用する場合は、名前が ThreatSync+ NDR の NetFlow トラフィックとノード詳細の名前と一致していることを確認してください。
カスタム ポリシーを定義するには、送信元ゾーン、宛先ゾーン、アクティビティ フィルタを構成します。アクティビティ フィルタにより、選択されているゾーン間のトラフィックまたはイベント ログを評価し、アクティビティがアクティビティ フィルタに一致した際にアラートをトリガーすることができます。
トラフィックをフィルタリングする場合は、アクティビティ フィルタを以下と一致させることができます。
- トラフィック フローのポート。
- 通信クラス — プロトコルの種類 (TCP、UDP、ICMP のいずれか) と通信の種類 (双方向、無応答のスキャン、不正な形式など) の組み合わせ
- トラフィック フローのデータ量
イベントをフィルタリングする場合は、アクティビティ フィルタを以下と一致させることができます。
- イベントで示された異常の種類
- イベント ログのポート
- 通信クラス — プロトコルの種類 (TCP、UDP、ICMP のいずれか) と通信の種類 (双方向、無応答のスキャン、不正な形式など) の組み合わせ