ThreatSync+ NDR について

適用対象: ThreatSync+ NDR 

ThreatSync+ は、ネットワークを重視したクラウドベースの脅威検出・対応ソリューションです。これにより、組織は高度な多層的アプローチを通じてネットワークベースのサイバー攻撃を特定および検出し、それに対応することができます。高度な人工知能 (AI) と機械学習機能を搭載した ThreatSync+ を活用することで、ハイブリッド ネットワーク全体にわたるエンタープライズ レベルのサイバー防御体制を実現することが可能です。

このドキュメントすべてにおいて、一般的に ThreatSync+ はすべての ThreatSync+ 製品を指しています。機能がある製品に特有のものである場合は、トピックがどの製品に関連するかについては、ヘルプ トピック上部にある対象の記述を参照してください。

データ フローを継続的に監視および分析する ThreatSync+ NDR により、以下が可能となります。

  • 物理ネットワークとプライベート ネットワークの検出と対応。
  • 南北トラフィック (ネットワークに出入りするトラフィック) と東西トラフィック (ネットワーク内のトラフィック) の両方のネットワーク分析。
  • WatchGuard Firebox、サードパーティのスイッチ、サードパーティのファイアウォールなど、マルチベンダー ネットワークのオープン ソリューション。
  • エグゼクティブ概要およびランサムウェア防止防御目標レポート。
  • サイバー ネットワークに関する継続的な Compliance Reporting を追加できるオプションのCompliance Reporting ライセンス。

ThreatSync+ NDR は複数の場所に配備して、既存の環境と迅速に統合することができます。自動化により、脅威ハンターやフォレンジック アナリストの必要性が排除されます。

ThreatSync+ では、以下が監視の対象となります。

  • 認証に対する脅威 (パスワード攻撃、認証情報攻撃など)
  • ネットワークとクラウドのリスク (ファイアウォール ルールの失敗、危険なポートなど)
  • サイバー攻撃 (ランサムウェア攻撃、サプライチェーン攻撃など)
  • ファイルとデータに対する脅威 (機密ファイルのパブリック クラウドや公開ファイル共有への移動など)

ThreatSync+ により、上記のイベントが相関付けられ、ネットワーク脅威スコアという形式で、修正アクションの優先順位付けに有用となる実用的なインテリジェンスが得られます。詳細については、ネットワーク脅威スコア を参照してください。

ThreatSync+ NDR の詳細については、以下のセクションを参照してください。

ライセンス

ThreatSync+ NDR を使用するには、ThreatSync+ NDR ライセンスを購入して、アクティブ化する必要があります。ThreatSync+ NDR は、ユーザーごとにライセンス付与されます。ThreatSync+ NDR では、ライセンスのユーザー数の最大 2 倍のアクティブなネットワーク デバイスを監視することができます。たとえば、ライセンスで使用可能なユーザー数が 250 である場合、ThreatSync+ NDR で最大 500 台のアクティブなネットワーク デバイス (ワークステーション、携帯電話、IP 電話、サーバー、カメラ、その他の IoT デバイスなど) のネットワーク トラフィックを監視することが可能です。監視される内部デバイスの数の経時的なグラフは、ThreatSync+ NDR 監視ダッシュボード (監視 > ネットワーク概要 > 合計デバイス数 > 経時的なデバイス) で表示することができます。

ライセンスの詳細については、次を参照してください:ThreatSync+ NDR ライセンスについて

ThreatSync+ NDR ライセンスと実行の詳細については、次のナレッジ ベースの記事を参照してください。ThreatSync+ NDR ライセンスの FAQ。(外部)

(オプション) WatchGuard Compliance Reporting ライセンス

WatchGuard Cloud で Compliance Reporting を使用するには、ThreatSync+ NDR ライセンスと Compliance Reporting ライセンスをアクティブ化する必要があります。ThreatSync+ NDR と同様に、Compliance Reporting は、ユーザーごとにライセンス付与されます。これにより、WatchGuard Cloud レポートにアクセスできるようになります。

Compliance Reporting にすべての ThreatSync+ NDR ユーザーからのデバイス データが反映されるように、WatchGuard Compliance Reporting ライセンスのユーザー数と ThreatSync+ NDR ライセンスのユーザー数を一致させることが勧められます。たとえば、250 のユーザー分の ThreatSync+ NDR ライセンスを購入する場合は、250 のユーザー分の WatchGuard Compliance Reporting ライセンスを購入します。詳細については、次を参照してください:WatchGuard Compliance Reporting ライセンスについて

データ収集

ネットワークの全領域を可視化するには、ネットワークのすべてのデバイスの IP トラフィックを監視する必要があります。Fireware v12.10.3 以降を実行しており、クラウド レポート機能を備えたクラウド管理の Firebox とローカル管理の Firebox では、ネットワーク トラフィック データが WatchGuard Cloud および ThreatSync+ に自動的に送信されます。(クラウド レポート機能を備えたローカル管理の Firebox の場合は、各パケット フィルタ ポリシーで、レポートのログ メッセージが送信されるように Firebox を有効化する必要があります) このデータ フィードにより、ThreatSync+ NDR で横移動、DNS トンネル、高速スキャンと低速スキャン、データ漏洩といった潜在的な脅威や不審なアクティビティが特定および検出されるために必要となる情報が提供されます。

旧バージョンの Fireware またはサードパーティのファイアウォールやスイッチを実行している Firebox の場合は、コレクター と呼ばれるオンプレミスの収集デバイスを使用して、ネットワーク トラフィックが監視されます。コレクターにより、NetFlow や sFlow といったデータ フィードがサードパーティのスイッチやファイアウォールから取得され、安全な接続を介して WatchGuard Cloud に転送されます。こうしたデータ フィードには、スイッチまたはファイアウォールを介してネットワーク デバイスに流れるトラフィックに関する情報が含まれています。こうしたコレクター経由でネットワーク トラフィック データが中継されて WatchGuard Cloud に転送されるようにスイッチとファイアウォールを構成することが勧められます。Linux のコンピュータおよびサーバーにコレクターをインストールして構成する方法については、次を参照してください:ThreatSync+ NDR のコレクターを構成する (Linux コンピュータ)。Windows のコンピュータおよびサーバーにコレクターをインストールして構成する方法については、次を参照してください: ThreatSync+ NDR のコレクターを構成する (Windows コンピュータ)

Firebox の他に、サードパーティのスイッチやファイアウォールにエージェント ベースのコレクターをインストールして、安全な IPSec トンネル経由で、NetFlow、sFlow、VPN、Active Directory、または DHCP ログを WatchGuard Cloud に中継することができます。

レポート

組織の脅威を監視する上で、レポートは重要な役割を果たします。ThreatSync+ によって得られるレポートを活用することで、ネットワークの健全性を追跡することができます。

ThreatSync+ NDR には、以下のような既定のレポートが含まれています。

  • エグゼクティブ概要レポート
  • ランサムウェア防止防御目標レポート

さらにレポートを追加し、カスタム レポートを生成する能力を追加するには、WatchGuard Compliance Reporting ライセンスを追加することをお勧めします。WatchGuard Compliance Reporting により、サイバーセキュリティ規制や規格に関連する追加の防御目標レポートだけでなく、特定の防御目標のカスタム レポートを生成する機能が得られます。

WatchGuard Compliance Reporting ライセンスには、以下のレポートが含まれています。

Cyber Essentials 認定

このレポートは、ネットワーク防御の概要を提供し、ユーザーが英国国家サイバーセキュリティセンター (NCSC) の Cyber Essentials 認定で概説された目標と制御に準拠しているかどうかを示します。この認定は、最も一般的なサイバー攻撃から組織を保護するのに役立ちます。

FFIEC

このレポートは、ネットワーク防御の概要を提供し、ユーザーが米国連邦金融機関検査協議会 (FFIEC) のガイドラインで概説された目標と制御に準拠しているかどうかを示します。これらのガイドラインは、金融機関が安全に業務を運営し、適用される規制を遵守し、法的要件に従い、サイバーセキュリティ リスクを適切に管理するのに役立ちます。

ISO 27001 – 情報セキュリティ、サイバーセキュリティおよびプライバシー保護

ISO 27001 防御目標レポートには、2013 年版と 2022 年版の 2 種類があります。

これらのレポートは、ネットワーク防御の概要を提供し、ユーザーが ISO 27001 で概説された目標と制御に準拠しているかどうかを示します。この規格は、企業が情報セキュリティ管理システムを確立し、実施し、維持し、改善するためのガイダンスを提供するものです。

モーション・ピクチャー・アソシエーション (MPA) のコンテンツ セキュリティ プログラム

このレポートは、ネットワーク防御の概要を提供し、ユーザーがモーション・ピクチャー・アソシエーション (MPA) のコンテンツ セキュリティ プログラムによって概説された目標と制御に準拠しているかどうかを示します。このプログラムは、知的財産を盗難、著作権侵害および改竄から保護するための自主的な一連のコンテンツ セキュリティのベストプラクティスです。

NIST 800-53 – 情報システムおよび組織のためのセキュリティおよびプライバシー管理

このレポートは、ネットワーク防御の概要を提供し、ユーザーが米国立標準技術研究所 (NIST) のガイドライン 800-53 で概説された目標と制御に準拠しているかどうかを示します。NIST 800-53 は、安全で回復力のある連邦情報システムの開発を支援するガイドラインのカタログを提供します。これらのガイドラインには、連邦情報システムの完全性、機密性、およびセキュリティを維持するための運用上、技術的および管理的保護措置が含まれています。

NIST 800-171 – 連邦政府外のシステムと組織における管理された非機密情報の保護

このレポートは、ネットワーク防御の概要を提供し、ユーザーが米国立標準技術研究所 (NIST) のガイドライン 800-171 で概説された目標と制御に準拠しているかどうかを示します。NIST SP 800-171 は、連邦政府請負業者の IT システムおよびネットワーク上の機密情報を保護するための基準を定めています。

NIST CSF – サイバーセキュリティ フレームワーク

このレポートは、ネットワーク防御の概要を提供し、ユーザーが米国立標準技術研究所 (NIST) のサイバーセキュリティ フレームワーク (CSF) で概説された目標と制御に準拠しているかどうかを示します。CSF は、サイバーセキュリティ上のリスクを管理するためのガイダンスを業界、政府機関およびその他の組織に提供します。これには、組織がサイバーセキュリティの取り組みをより良く理解し、評価し、優先順位を付け、伝達するために使用できる、高レベルのサイバーセキュリティ成果の分類法が含まれています。

ネットワークおよび情報セキュリティ指令 (NIS2) – 法的フレームワーク

このレポートは、ネットワーク防御の概要を提供し、ユーザーがネットワークおよび情報セキュリティ指令 (NIS2) で概説された目標と制御に準拠しているかどうかを示します。NIS2 指令は、事業継続性、サプライチェーンのセキュリティ、ネットワークおよび情報システム取得におけるセキュリティ、脆弱性管理に関する立法ガイダンスを欧州連合に提供しています。NIS2 に準拠することで、組織はサイバーセキュリティ能力を強化し、サイバー脅威に対する耐性を高めることができます。

デジタル オペレーション レジリエンス法 (DORA) – リスク管理フレームワーク

このレポートは、ネットワーク防御の概要を提供し、ユーザーがデジタル オペレーション レジリエンス法 (DORA) で概説された目標と制御に準拠しているかどうかを示します。DORA は、銀行や保険会社、投資会社、その他の金融サービス提供者に対する規制を定める包括的な欧州連合の規制です。この規制により、金融業界におけるデジタル リスクや脅威に対する運用上の回復力が徹底されます。

詳細については、次を参照してください:WatchGuard Compliance Reporting について

エグゼクティブ概要レポート

エグゼクティブ概要レポートには、ThreatSync+ NDR で検出された脅威と脆弱性の概要が表示されます。レポートには、全体的なネットワーク脅威スコアが含まれており、脅威スコアの傾向の経時的な変化が表示されます。スコアが低い場合は、ネットワークが完全に保護されていない可能性があります。

これに含まれているメトリックには、ThreatSync+ NDR により実現する検出と対応機能の範囲が反映されます。全体的なネットワーク脅威スコアは、次の 3 つの保護領域のメトリックに基づき計算されます。脅威検出、ネットワーク可視性、ポリシー保証。

レポートの推奨事項に従って、脅威スコアを改善し、ネットワークを保護してください。

詳細については、次を参照してください:ThreatSync+ NDR エグゼクティブ概要レポート

ランサムウェア防止防御目標レポート

ランサムウェア防止防御目標レポートでは、ランサムウェアの被害を受けやすいネットワーク脆弱性が監視されます。ランサムウェアの拡散を防止できるように、このレポートには、ThreatSync+ NDR で監視されている制御の概要が示されます。レポートに含まれる各制御は、ThreatSync+ NDR ポリシーに基づいています。

ランサムウェア防止防御目標レポートを活用することで、ネットワーク防御の概要を取得でき、指定された期間の目的と制御に準拠しているかどうかを把握することができます。このレポートにより、ポリシー アラートの継続的な監視および Smart Alert の終了に加えて、監査やサイバー保険の目的でコンプライアンスを証明することができます。

詳細については、次を参照してください:ランサムウェア防止防御目標レポート

ThreatSync+ UI

ThreatSync+ の構成および監視には、WatchGuard Cloud の ThreatSync+ UI を使用します。WatchGuard Cloud に接続するには、cloud.watchguard.com に移動して、アカウント認証情報を用いてログインします。

ThreatSync+ を監視する

ThreatSync+ NDR では、WatchGuard Cloud の Firebox からデータが自動的に収集されます。また、これには、既定のポリシーと Smart Alert が備わっています。これにより、ネットワークの潜在的な問題を監視することができます。

使用可能なページと機能はライセンスの種類によって異なります。このドキュメント全体にわたり、一般的に ThreatSync+ はすべての製品を指しています。ThreatSync+ UI にページまたは機能が表示されない場合、それが製品でサポートされていないと考えてください。

ThreatSync+ を監視するには、監視 > ThreatSync+ の順に選択します。

Screenshot of the Summary page on the Monitor menu

ThreatSync+ を監視するには、以下のページを使用します。

  • ネットワーク概要 — ネットワークの傾向の概要が示されます。これには、Smart Alert、ポリシー アラート、デバイスのリスク、ユーザー、ネットワーク トラフィックに関する詳細情報へのリンクが含まれています。詳細については、次を参照してください:ThreatSync+ 概要ページについて
  • Smart Alert — ネットワークで攻撃が進行している可能性があることを示す未解決の Smart Alert、および脅威の修正に有用となるガイダンスが表示されます。詳細については、次を参照してください:Smart Alert について
  • ポリシー アラート — ネットワークのポリシー違反に関するアラートが表示されます。詳細については、次を参照してください:ポリシー アラートについて

  • ユーザー — Microsoft 365 のユーザー アクティビティおよび脅威検出に関する詳細が表示されます。このページは、ThreatSync+ SaaS ライセンスが割り当てられている場合に使用することができます。詳細については、次を参照してください:ThreatSync+ SaaS ライセンスについて および ThreatSync+ ユーザー

  • 検出 — サブネットと重要なサーバー、および ThreatSync+ で自動的に特定されたネットワーク デバイスが表示されます。詳細については、次を参照してください:ThreatSync+ NDR 資産の検出
  • ThreatSync+ 監査ログ — ネットワークにおいて ThreatSync+ ポリシーとゾーンに基づき実行された構成アクティビティの詳細、IP アドレスとユーザーの修正履歴、SaaS コレクターと Smart Alert 制御のログが表示されます。詳細については、次を参照してください:ThreatSync+ 監査ログ
  • 生ログを検索する — Microsoft 365 ドキュメントとユーザー アクセス ログの詳細が表示されます。このページの情報を使用して、Microsoft 365 の生ログを検索、並べ替え、フィルタリングすることができます。詳細については、次を参照してください:ThreatSync+ SaaS の 生ログを検索する
  • すべての IP アドレス — 内部 IP アドレスおよび外部 IP アドレスの詳細が表示されます。このページの情報を使用して、IP アドレスのアクティビティおよびデバイスのアクティビティに関する詳細情報および関連する Smart Alert やポリシー アラートを表示すること、また特定の外部 IP アドレスを手動でブロックするアクションとブロック解除するアクションを実行することができます。詳細については、次を参照してください:すべての IP アドレス

ThreatSync+ を構成する

ThreatSync+ は組織やネットワークに合わせて構成することができます。

ThreatSync+ を構成するには、構成 > ThreatSync+ の順に選択します。

Screenshot of the Summary page on the Configure menu in WatchGuard Cloud.

以下のページを使用して、ThreatSync+ を構成することができます。

  • エグゼクティブ概要レポート — エグゼクティブ概要レポートの設定を構成することができます。詳細については、次を参照してください:エグゼクティブ概要レポートの設定を構成する
  • Compliance Reporting — 防御目標レポートのネットワーク防御目標と目的を管理します。詳細については、次を参照してください:ネットワーク防御目標を管理する
  • サブネットと組織 — サブネットと IP アドレスの範囲を構成して、内部ネットワークと重要なシステムにラベルを付け、Rogue デバイスを特定します。詳細については、次を参照してください:サブネットと組織を構成する
  • デバイス — ネットワークのデバイスを管理し、新規デバイスを追加またはインポートします。詳細については、次を参照してください:デバイスを管理する
  • ポリシー — 既定のポリシーを管理し、ネットワークのカスタム ポリシー定義を使用してポリシーを追加します。詳細については、次を参照してください:ThreatSync+ ポリシーを構成する
  • ゾーン — ネットワークのゾーンを管理し、カスタム ゾーンを作成することができます。詳細については、次を参照してください:ThreatSync+ ゾーンを管理する
  • アラート — 電子メール通知が生成されるポリシー アラート、Smart Alert、コレクター、修正アラートを指定します。詳細については、次を参照してください:ThreatSync+ のアラートと通知ルールを構成する
  • Smart Alert 制御 — ルールを構成して、Smart Alert をフィルタリングします。詳細については、次を参照してください:ThreatSync+ NDR Smart Alert 制御を構成する

関連トピック

クイック スタート — ThreatSync+ NDR をセットアップする

ThreatSync+ を構成する

ThreatSync+ を監視する

ThreatSync+ NDR のベストプラクティス

ThreatSync+ SaaS 統合について — Microsoft 365