適用対象: ThreatSync+ NDR
ThreatSync+ NDR エグゼクティブ概要レポートには、ThreatSync+ NDR で検出された脅威と脆弱性の概要が表示されます。レポートには、全体的なネットワーク脅威スコアが含まれており、脅威スコアの傾向の経時的な変化が表示されます。スコアが低い場合は、ネットワークが完全に保護されていない可能性があります。経時的に脅威スコアが改善されれば、ThreatSync+ NDR の機能を使用して脅威を監視および検出している効果が出ているということです。
レポートの最初のセクションには、脅威評価の概要が表示されます。
レポート期間
レポートの冒頭に表示されるレポート期間には、レポートの生成期間に関するデータが示されます。一般的なレポート期間は 1 週間と 1 ヵ月です。
脅威スコア
ThreatSync+ では、300 〜 850 の範囲で脅威スコアが計算されます。スコアとして、ネットワークに適用されるメトリックの平均が示されます。また、スコアは A 〜 F の評価ランクでも表示されます。
脅威スコアには、ネットワークがどの程度保護されているかが反映されます。このスコアが高いほど、ThreatSync+ で検出される脅威や脆弱性が少なく、ネットワーク可視性が高いという意味になります。
ターゲット脅威スコア
ターゲット脅威スコアは、達成または超越するべき目標を示すものです。このターゲットは、多数の顧客ネットワークに関する当社の経験に基づいており、B 評価 (非常に良好) が基準となっています。
このレポートの使用方法
ThreatSync+ NDR の継続的な使用は、脅威スコアを向上させること、および重要な IT デバイスのセキュリティを確保することを目的とするものです。このレポートにより、ネットワークの概要を把握して、脅威と脆弱性を正確に特定することができます。
脅威スコア
脅威スコアは、ThreatSync+ NDR で検出された脅威と脆弱性に基づき測定された全体的なネットワーク健全性の程度を示すものです。このスコアを活用することで、経時的な進捗状況を追跡し、自社のネットワークを他の ThreatSync+ NDR ユーザーのネットワークと比較することができます。スコアは 300 〜 850 の範囲で計算されます。健全性評価には、他社との比較による評価が反映されます。大半は B 評価ですが、どの組織も A 評価を目指す必要があります。
メトリック ターゲット
達成または超越するべきメトリックのターゲットは、ネットワークの規模と組織の種類によって異なる場合があります。ThreatSync+ NDR では、お客様の組織およびお客様の組織に類似したサイトに関する当社の知識に基づいて、こうしたターゲットが割り当てられます。
各メトリックの傾向チャートでは、個別のシリーズでターゲット値がチャート上に表示されます。レポートを表示して、ThreatSync+ NDR で推奨されているターゲットを確認してください。ターゲットを達成すると、B 評価が得られます。ターゲットを超越すると、A 評価を取得することができます。
ThreatSync+ NDR エグゼクティブ概要レポートには、以下のセクションが含まれています。
レポートに表示される脅威スコアの ThreatSync+ NDR での計算方法を構成し、レポートに含めるメトリックを指定するには、次のドキュメントに記載されている手順に従います:エグゼクティブ概要レポートの設定を構成する。
WatchGuard Cloud をスケジュール設定して、ThreatSync+ NDR レポートを自動的に実行し、指定した受信者にレポートを電子メールで送信することができます。また、WatchGuard Cloud からスケジュールされたレポートをダウンロードすることができます。詳細については、次を参照してください:ThreatSync+ レポートをスケジュールする。
脅威検出の概要
脅威検出の概要セクションには、ネットワークに対する脅威の概要の一覧が表示されます。
脅威検出メトリックにより、ThreatSync+ NDR Smart Alert を確認して、それに対応することができます。メトリックにより、未解決の Smart Alert の数、対応の速度、および ThreatSync+ NDR によって (人間の手を煩わせずに) 潜在的な脅威を監視したことで節約された時間が追跡されます。
ネットワーク可視性の概要
レポートのネットワーク可視性セクションには、ネットワークと資産に関する情報が表示されます。
ネットワーク可視性メトリックにより、ネットワークの重要なサブネットとデバイスを特定することができます。組織にとって最も重要な資産とサブネットを ThreatSync+ NDR に認識させることで、ThreatSync+ NDR からより効果的な脅威情報が得られます。資産にラベルを付けてそのロールを指定すると、ThreatSync+ NDR で、その種類のシステムのポリシー違反が自動的に検出されます。ThreatSync+ NDR では、サブネット ラベルを使用することで、Rogue デバイスや不明な脅威がより効果的に特定されます。
ポリシー保証の概要
ポリシー違反メトリックにより、ThreatSync+ NDR によってネットワークで検出された違反の数が追跡されます。このポリシーにより、未承認のアクティビティが示されているトラフィックを特定することができます。他のセキュリティ ツールのエラーや構成ミスを特定できるポリシーを有効化します (セキュリティ ツールの例:ファイアウォール、 EDR、資産管理システム)。これにより、こうしたツールによって未承認のトラフィックがブロックされなかった場合に、速やかにそれを特定することができます。
加重ポリシー アラート脅威スコアは、リスクの高いポリシー アラートに強く重点を置いて、重み付けされたスコアです。重大度と重要度の高いポリシー アラートが存在すると、全体的な脅威スコアが上昇します。
脅威検出の詳細
脅威検出の詳細セクションには、脅威検出メトリックの詳細が表示されます。
このセクションには、以下の情報が含まれています。
未解決の Smart Alert メトリック
未解決の Smart Alert メトリックは、現時点で確認して対処する必要のある Smart Alert の数に基づいて計算された評価です。Smart Alert は、ネットワークに対する潜在的な脅威を示すものです。Smart Alert を確認し、修正して終了することで、このスコアを向上させることができます。傾向チャートには、過去 14 日間における未解決のアラート数の変化が表示されます。
Smart Alert を終了するまでの平均時間
Smart Alert を終了するまでの平均時間メトリックにより、未解決の Smart Alert が存在している時間の長さを追跡することができます。Smart Alert に迅速に対応して終了することで、このスコアを向上させることができます。B 評価のターゲットは、存在する未解決の Smart Alert の数を常に 2 件以下に抑えることです。
チャートには、Smart Alert 終了時に記入された理由が表示されます。可能性のある理由として、以下の 4 つが挙げられます。
- 異常であり、未承認であるため — これは、調査が必要となる実際の脅威です。ThreatSync+ NDR で異常なアクティビティが正しく特定され、そのアクティビティがネットワークで承認されていない場合が、これに当てはまります。これは、正当なビジネス活動の一部として認められるアクティビティではありません。
- 異常ではあるものの、承認済みであるため — ThreatSync+ NDR で異常なアクティビティが正しく特定されたものの、アクティビティの送信元が分かっており、それがネットワークで承認済みであることが判明している場合です。例として、独自のテストの一環としてネットワーク スキャンが実行された場合などが挙げられます。
- 正常なアクティビティであるため — ネットワークで期待されているアクティビティの場合です。こうした Smart Alert を終了する際に、今後この種のアラートが抑制されるように ThreatSync+ NDR を構成することができます。
- その他 — どのような種類の Smart Alert か判断できない場合です。これは、脅威となる可能性はあるものの、根本的な原因を特定できないものです。こうした Smart Alert を終了する際には、より詳細な情報を提供することができます。これにより、ThreatSync+ NDR で脅威か否かがより正確に判断されるようになります。
手作業時間の削減
手作業時間の削減メトリックは、ThreatSync+ の潜在的な脅威と脆弱性の自動確認によって節約できた時間の量を示すものです。これは、ThreatSync+ によって検出された Smart Alert と動作の数に基づき、フローログを手動で確認した場合に異常なアクティビティと潜在的な脅威を検出するためにかかる時間 (分) が各検出によってどれだけ節約されたかを推定して計算されます。このメトリックには、確認する必要のないアクティビティのみが含まれます。ThreatSync+ で検出された未確認の Smart Alert ごとに 1 時間、個別の動作ごとに 15 分を節約できると推定して計算されます。最大値は毎週 10 人の労働時間 (日) に制限されています。ネットワークを積極的に監視し、コレクターから継続的に ThreatSync+ にデータが送信されるようにすることで、良好なスコアを維持することができます。
Smart Alert の概要
Smart Alert の概要では、レポート期間中に発生した Smart Alert の種類を簡単に確認することができます。各行に、その種類の脅威に対して生成された Smart Alert の概要と以下の情報が表示されます。
- ステータス — 発生回数が多いか、数回か、または全く発生していないかが示されます。
- 主要アクター — 潜在的な脅威に関係した内部資産またはシステムの数が示されます。
- 最初の検出時間 — この種類の Smart Alert が最初に検出された時間が示されます。Smart Alert の時間範囲がレポート期間の一部に被さっている場合は、時間がレポート期間よりも前になる可能性があります。
- 最後のトリガー時間 — この種類の Smart Alert が最後に確認された日時が示されます。
ネットワーク可視性の詳細
ネットワーク可視性の詳細セクションには、ネットワークに関する詳細が表示されます。
このセクションには、以下の情報が含まれています。
貴社のネットワーク
ネットワークには、ThreatSync+ NDR で特定されたデバイスに関する基本的な統計情報が表示されます。内部 IP アドレスとは、組織の一部である IP アドレスを指します。ThreatSync+ NDR では、プライベート IP アドレスが割り当てられているアドレス、またはサブネット設定で明示的に内部としてラベル付けされているアドレスとして、内部 IP アドレスが識別されます。信頼済み内部 IP アドレスとは、ThreatSync+ NDR 資産検出によって自動的にラベル付けされた IP アドレス、またはサブネット設定によって手動でラベル付けされた IP アドレスを指します。
内部 IP アドレス以外のすべての IP アドレスが外部 IP アドレスとなります。こうしたアドレスは、従業員またはユーザーが通信を図るパブリック IP アドレスです。
このセクションには、データがネットワークを移動した場合に ThreatSync+ NDR で特定されたそのデータの量に関する基本的な統計情報も含まれています。合計トラフィックとは、監視対象データのバイト数を指します。フロー数には、レポート期間に発生した IP アドレスとポート間の通信の総数が反映されます。
未確認資産
未確認資産メトリックは、ThreatSync+ NDR で検出された未確認資産の割合を示すものです。ネットワーク可視性の重要な点は、デバイスがネットワークで果たす役割です。既知の資産を特定しておくことで、ThreatSync+ NDR で重要資産と不明な資産に焦点が当てられ、重要でないデバイスに関する通知が送信されなくなります。未確認資産の割合を低く維持することで、未承認の資産が現れた場合に容易にそれを検知できるようになります。ThreatSync+ UI の検出ページでデバイスに関する提案を確認し、ネットワークで重要な資産を受け入れることで、割合を低く維持することができます。
高リスク資産
高リスク資産メトリックは、リスク レベルの高い資産を特定し、定義されている現時点の全資産の中で高リスクである資産の割合を示すものです。
以下の要因が存在する場合に、資産のリスク レベルが上昇します。
- 資産が未解決の Smart Alert や動作の主要アクターまたは副次アクターである場合
- 異常なイベントの多くが資産の IP アドレスに関連している場合
- 資産が重要としてラベル付けされている場合
付随しているチャートには、高リスク資産と低リスク資産に割り当てられている一般的なロールが表示されます。
Smart Alert を適時に終了し、今後その Smart Alert が発生しないように脅威を修正し、そして重要でない資産によって誤ったリスク認識が発生しないように資産の重要度レベルを正確に設定することで、このメトリックを低く維持することができます。
未確認のサブネットまたは IP 範囲
未確認のサブネットまたは IP 範囲メトリックは、ThreatSync+ NDR で検出された未確認のサブネットまたは IP アドレス範囲の割合を示すものです。ネットワーク内でアクティブなサブネットを把握することは、ThreatSync+ NDR がネットワーク上のデバイスを正しく認識するための重要な基盤となります。Rogue サブネットの存在は、ネットワークにある未承認のルーターまたは未承認の構成変更の兆候である可能性があります。このメトリックの割合を低く維持することで、不測の変更が発生した場合に迅速に対応できるようになります。ThreatSync+ UI の検出ページでサブネットに関する提案を確認し、ネットワークで重要な資産を受け入れることで、このメトリックを低く維持することができます。
ポリシー保証の詳細
ポリシー保証の詳細セクションには、ポリシー アラートと一般的なポリシー違反に関する詳細が表示されます。
ポリシー違反メトリックにより、それぞれの日に発生した違反の数の 7 日間の平均値を追跡することができます。ThreatSync+ NDR では、各ポリシーが定期的に (最短で 30 分おきに 1 回) 評価されます。ポリシー ルール違反は、それぞれが違反として計算されます。
たとえば、1 台の内部デバイスから禁止国への通信が発生した場合は、評価期間あたり 1 つのブロック済みの国へのアクティビティ ルール違反として捉えられる可能性があります。2 台の内部デバイスから同じ禁止国への通信が発生した場合は、ThreatSync+ NDR で 2 つの違反が生成されます。
傾向には、14 日間の履歴が表示されます。これには、違反のあるポリシーと違反のないポリシーが含まれます。アクティブ化されていないポリシーは傾向に表示されません。
最初はネットワークを保護するために最も有用となるポリシーを判断するための試行錯誤があるため、多数の違反が発生する可能性があります。アクティビティが重要なポリシーに違反した場合にのみ、違反がトリガーされるようにする必要があります。悪質なアクティビティ発生時にアラートを発信して対処を促してくれるポリシーを有効化します。ポリシーとゾーンを調整して、重大な事態のみにアラートが発信されるようにします。小規模ネットワークの場合は、1 日のポリシー数を 2 件以下に維持することで、このメトリックのスコアを向上させることができます。
最も一般的な上位 5 つの違反チャートには、レポート期間中に最も多くの違反をトリガーしたポリシーが表示されます。上位 5 つのポリシーのみが含まれています。x 軸は違反数です。
カテゴリ別違反チャートには、レポート期間中に最も多くの違反をトリガーしたポリシーの種類が表示されます。適用するポリシーの種類を反映するカテゴリを割り当てると、ネットワークで最もよく発生する問題の種類を明確に把握できるようになります。
アクティブなポリシーの数は経時的に非常に増える可能性があるため、ポリシーをカテゴリ別にグループ化することで、ネットワークの弱点の箇所を速やかに把握することが可能となります。
最も違反の多い資産または IP チャートには、レポート期間中に最も多くの違反をトリガーしたネットワークのシステムが表示されます。上位 5 つのシステムのみが含まれています。x 軸は違反数です。
エグゼクティブ概要レポートの脅威スコアを改善するための推奨事項
定期的に簡単なメンテナンスを実行し、Smart Alert やポリシー アラートに迅速に対応することで、良好なスコアを維持することができます。良好なスコアが維持されれば、ThreatSync+ NDR が最も効果的に機能します。また、それがコンプライアンスのメトリックにもなります。
以下の推奨事項に従って、エグゼクティブ概要レポートの脅威スコアを高い値に維持してください。
Smart Alert を終了する
Smart Alert に迅速に対応することで、スコアを向上させることができます。潜在的な脅威を確認、対応、修正することで、ネットワークを安全に保つことが可能となります。未解決の Smart Alert が大量に存在するということは、ネットワークに対する脅威に適切に対応できていないということです。
アラートに迅速に対応することで、アラートを終了するまでの時間が改善されます。速やかに対応して、脅威を評価して修正アクションを実行することで、Smart Alert を迅速に終了することができます。
未確認資産に関する提案を確認する
脅威の深刻度について ThreatSync+ NDR でより適切な判断が下されるように、重要資産を特定します。重要資産への攻撃と重要でない資産への攻撃では、その対応が異なります。資産を定義して重要度レベルを割り当てることで、ThreatSync+ NDR でアラートの優先順位がより適切に処理されます。
経時的に、新規資産がネットワークに加わり、既存の資産のロールが変化します。ThreatSync+ UI の検出ページには、その状況が発生したタイミングが表示されるため、新規資産を作成すること、または既存の資産を更新することができます。
資産に関する提案では、以下のアクションが推奨されます。
- 未構成の新規資産を追加する
- 既存の資産に追加のロールを追加する
- 既存の資産からロールを削除する
提案された資産を認識できない場合は、それが未承認の資産である可能性があります。直ちにタグ付けして、修正アクションを講じてください。
未確認のサブネットに関する提案を確認する
ネットワークのさまざまな領域を認識しやすくするために、サブネットにラベルを付けます。たとえば、IP アドレスはよく似ているため、追跡が困難です。内部サブネットに組織名とタグを添付して、それにラベルを付けることができます。これにより、ThreatSync+ NDR によって Smart Alert、動作、ポリシー アラートに示された潜在的な脅威を理解しやすくなります。資産と同様に、サブネットに関する提案も検出ページに表示されます。
ネットワークに適したポリシーのみを定義する
ポリシー アラートにより、確立されている情報セキュリティ ポリシーに違反するアクティビティがネットワークで発生した場合に通知を受け取ることができます。ネットワークで受け入れられている慣行が反映されているポリシーを作成することが重要となります。そうしないと、重要でないポリシー アラートを常に確認しなければならない状況が発生します。たとえば、特定のソーシャル メディア サイトへのアクセスを禁止する明確なポリシーが組織に設定されている場合は、そのポリシーを有効化します。そうした禁止事項がない場合は、そのポリシーを無効化します。
自社のファイアウォール ルールおよび使用している他のセキュリティ強制ツールをポリシーに反映させる必要があります。セキュリティ システムに障害が発生した場合にアラートを受け取る手段として、ThreatSync+ NDR ポリシーを使用します。ThreatSync+ NDR ポリシーを適切に構成することで、企業の情報セキュリティ ポリシーへの準拠を強制することができます。
ゾーンを使用して、ポリシーの対象となる IP アドレス、組織、ドメインなどの数を減らします。これにより、必要なシステムに対してのみルールを適用することができます。たとえば、ゾーンにすべての内部 IP アドレスを含めるのではなく、アラートを受信するサブネットのみが含まれている別のゾーンを作成することができます。
また、ドメイン リストを使用して、アラート発信の対象となるパブリック サイトの明確なセットを確立すること、または例外リストを作成することで、ポリシー違反を許可する特定の送信元や宛先にはアラートが生成されないように設定することができます。