ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider)

適用対象: ThreatSync 

このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。

WatchGuard Service Provider は、複数の自動化ポリシーが含まれる ThreatSync 自動化ポリシー テンプレートを作成し、管理対象の Subscriber アカウントまたはアカウント グループにそのテンプレートを割り当てることができます。

自動化ポリシー テンプレートを使用すると、管理対象アカウントおよびアカウント グループ全体に自動化ポリシーを一貫して適用できるほか、新しいアカウントに ThreatSync を設定する時間を節約することができます。

複数の管理対象アカウントを同じテンプレートに割り当てることができます。しかし、Subscriber アカウントを割り当てることができる自動化ポリシー テンプレートは 1 つだけです。

  • アカウントを 2 番目のテンプレートに割り当てると、元のテンプレートが新しいテンプレートに置き換えられます。
  • 複数のアカウントをテンプレートに割り当てる場合で、こうしたアカウントの一部に既存のテンプレートがすでに割り当てられている場合は、そのアカウントの既存のテンプレートを維持するか置き換えるかを選択する必要があります。

自動化ポリシー テンプレートをアカウントに割り当てると、割り当てられたアカウントでは、自動化ポリシー リストのテンプレートでポリシーを表示できますが、ユーザーがこれを編集することはできません。

自動化ポリシー テンプレート ページでは、以下を実行することができます。

自動化ポリシー テンプレートを追加する

自動化ポリシー テンプレートを作成する際に、アカウントをテンプレートに割り当てて、自動化ポリシーを追加します。テンプレートのポリシーを追加または変更すると、割り当てられているアカウントでは更新されたポリシーが自動的に受信されます。

テンプレートの自動化ポリシーの優先度を変更して、上から順にランク付けすることができます。インシデントが複数のポリシーで構成されている条件に該当する場合は、適用される最も高いランクのポリシーで指定されているアクションが ThreatSync で実行されます。インシデントに対する各推奨アクションは、ポリシーに基づき個別に評価されます。インシデントにおいて、ポリシーで指定されているアクションと一致する推奨アクションが存在しない場合は、そのポリシーが省略されます。詳細については、次を参照してください:ThreatSync 自動化ポリシーの優先付け

テンプレート経由で割り当てられた自動化ポリシーは、Subscriber アカウントのポリシー リストの先頭に表示されます。

自動化ポリシー テンプレートを追加するには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。
    自分自身の Service Provider アカウントを選択するには、概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。

Screen shot of the Automation Policy Templates page for Service Providers

  1. 自動化ポリシー テンプレートを追加する をクリックします。
    自動化ポリシー テンプレートを追加する ページが開きます。

Screen shot of the Add Automation Policy Template page for Service Providers

  1. 自動化ポリシー テンプレートの 名前 を入力します。
  2. (任意) 自動化ポリシー テンプレートの 説明 を入力します。
  3. 割り当て テキスト ボックスで、アカウントを追加する をクリックします。
    アカウントを追加する ダイアログ ボックスが開きます。
  4. テンプレートを割り当てるアカウントまたはアカウント グループを選択します。
    1 つのアカウントに割り当てることができるテンプレートは 1 つのみです。アカウントを 2 番目のテンプレートに割り当てると、元のテンプレートが削除されます。
  5. 複数のアカウントまたはアカウント グループに自動化ポリシー テンプレートを割り当てる場合で、それらのアカウントの一部に既存のテンプレートがすでに割り当てられているときには、ポリシー テンプレートを割り当てる ダイアログ ボックスが開きます。次のうちいずれかのオプションを選択します。
    • 既存のテンプレートを維持する — 選択されているアカウントの中で、既存のテンプレートが割り当てられていないアカウントのみに新しいテンプレートが割り当てられます。既存のテンプレートが割り当てられているアカウントでは、そのテンプレートが維持されます。
    • すべてをこのテンプレートに置き換える — 選択されているすべてのアカウントに新しいテンプレートが割り当てられます。

Screen shot of the Assign Policy Template dialog box

  1. 追加 をクリックします。
  2. 追加するアカウントごとに手順 6 ~ 9 を繰り返します。
  3. テンプレートに含める自動化ポリシーを追加します。詳細については、次を参照してください:自動化ポリシーをテンプレートに追加する
  4. 保存 をクリックします。

自動化ポリシーをテンプレートに追加する

自動化ポリシーを追加する際に、条件およびインシデント発生時に ThreatSync で実行されるアクションを指定します。Service Provider アカウントには、推奨設定の既定の自動化ポリシーが含まれています。既定のポリシーを編集し、ネットワークの要件に基づいて、追加の ThreatSync 自動化ポリシーを構成することができます。

既定の ThreatSync 自動化ポリシーは、既定で無効化されています。新規アカウントの場合は、既定の自動化ポリシーが自動化ポリシー ページに表示されます。既存のアカウントの場合は、自動化ポリシー ページで 既定のポリシーを生成する をクリックして、それを自動化ポリシー リストに表示する必要があります。手動による調査と修正が必要なインシデントに焦点を当てられるように、既定の自動化ポリシーを有効化することが勧められます。

既定の ThreatSync 自動化ポリシーの詳細については、次を参照してください:ThreatSync 自動化ポリシーについて

自動化ポリシーをテンプレートに追加するには、以下の手順を実行します。

  1. 自動化ポリシー テンプレートを追加または編集します。
  2. 自動化ポリシーを追加する をクリックします。
    ポリシーを追加する ページが開きます。

Screen shot of the Add Policy page in ThreatSync

  1. 有効 トグルをクリックして、新しいポリシーを有効化します。
  2. ポリシーとコメントの 名前 を入力します。
  3. ポリシーの種類 セクションで、種類 ドロップダウン リストから、作成するポリシーの種類を選択します。
    • 修正 — この自動化ポリシーにより、ポリシー条件に該当するインシデントが発生した際に、指定した修正アクションを実行することができます。
    • 終了 — この自動化ポリシーにより、条件に該当するインシデントのステータスを終了済みに変更することができます。

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. 条件 セクションで、この自動化ポリシーを適用するためにインシデントが満たす必要がある条件を指定します。

    2. Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • インシデントの種類 — 以下のインシデントの種類を 1 つまたは複数選択します。
      • 高度なセキュリティ ポリシー — 高度な感染手法が使用されている悪質なスクリプトや不明のプログラムの実行。
      • エクスプロイト — 悪質なコードを挿入して脆弱なプロセスの悪用を試みる攻撃。
      • 侵入試行 — 侵入者がシステムへの不正アクセスを試みるセキュリティ イベント。
      • IOA — IOA (Indicators of Attack) は攻撃である可能性が高いインジケータ。
      • 悪質な URL — ランサムウェアなど、マルウェアの配布を目的として作成された URL。
      • 悪質な IP — 悪質なアクティビティに関連付けられる IP アドレス。
      • マルウェア — コンピュータ システムを損傷または中断させること、あるいはコンピュータ システムに不正アクセスすることを目的とした悪質なソフトウェア。
      • PUP — コンピュータへのソフトウェアのインストールに伴いインストールされる可能性のある不審なプログラム (PUP)。
      • ウイルス — コンピュータ システムに侵入する悪質なコード。
      • 認証情報アクセス — アカウント認証情報侵害の試みを示す AuthPoint インシデント。
      • 悪質なアクセス ポイント — ネットワークに接続する不正なワイヤレス アクセス ポイントまたは空域で動作している不正なワイヤレス アクセス ポイント。

      Screenshot of the Incident Types in the Add Automation Policy Wizard

    • デバイスの種類 — 以下のデバイスの種類を 1 つまたは複数選択します。
      • Firebox
      • Endpoint
      • AuthPoint
      • アクセス ポイント

    Screenshot of the Select Device Types dialog box

  • 実行されたアクション — インシデントが発生した際に実行する以下のアクションを 1 つまたは複数選択します (終了ポリシーの種類のみ)。

    • 許可済み (監査モード) — インシデントが検出されたものの、デバイスが監査モードであるため、アクションは実行されませんでした。
    • 接続のブロック — 接続がブロックされました。
    • プロセスのブロック — Endpoint デバイスにより、プロセスがブロックされました。
    • デバイスの隔離 — デバイスとの通信がブロックされました。
    • ファイルの削除 — ファイルがマルウェアとして分類され、削除されました。
    • IP のブロック — この IP アドレスとの間のネットワーク接続がブロックされました。
    • アクセス ポイントをブロックする — この悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされました。
    • プロセスが強制終了されました — Endpoint デバイスによって、プロセスが終了されました。
    • 検出済み — インシデントは検出されたものの、アクションは実行されませんでした。
    • ユーザーのブロック — AuthPoint でユーザーがブロックされた認証情報アクセス インシデント。

    Screenshot of the Select Actions Performed dialog box on the Add Policy page

  1. アクション セクションのドロップダウン リストから、指定したアクションを実行するか防止するかを選択します。
    • Perform (実行) — ポリシー条件に該当するインシデントの発生時に、指定されているアクションが ThreatSync で実行されます。
    • Prevent (防止) — 指定されているアクションが、ThreatSync により阻止されます。より広範な Perform (実行) ポリシーにおける例外を作成するには、Prevent (防止) アクションが設定されたポリシーを追加して、ポリシー リストでこれを他のポリシーよりも上位にランク付けします。防止アクションのポリシーによって、管理ユーザーによるアクションの手動実行が妨げられることはありません。
  2. 実行または防止する以下のアクションを 1 つまたは複数選択します。
    • 脅威の送信元 IP をブロックする (外部 IP のみ) — インシデントに関連付けられる外部 IP アドレスがブロックされます。このアクションを選択すると、WatchGuard Cloud アカウントで ThreatSync が有効化されているすべての Firebox で、IP アドレスとの間の接続がブロックされます。
    • ファイルを削除する — インシデントに関連付けられるフラグ付きファイルが削除されます。
    • デバイスを隔離する — コンピュータがネットワークから隔離されます。これにより、脅威の拡散と機密データの流出を防止することができます。アクションとして デバイスを隔離する を選択する場合は、隔離の例外を指定して、選択したプロセスからの通信を許可することができます。詳細については、次を参照してください:隔離の例外
    • アクセス ポイントをブロックする — 悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされます。
    • 悪質なプロセスを強制終了する — インシデントに関連して悪質な動作が検出されたプロセスが強制終了されます。
    • インシデントを終了する — インシデントのステータスが終了済みに変更されます (終了ポリシーの種類のみ)。

    3. ポリシーの種類が 終了 の場合は、インシデントを終了する アクションが自動的に選択されます。別のアクションを選択することはできません。

Screenshot of the Actions dialog box on the Add Policy page

  1. 追加 をクリックします。
    新しいポリシーが、ポリシー リストに追加されます。

隔離の例外

自動化ポリシーでアクションとして デバイスを隔離する を選択する場合は、隔離の例外を作成して、特定のプロセスからの通信を許可することができます。

自動化ポリシーで隔離の例外を作成するには、以下の手順を実行します。

  1. ポリシーを追加する ページの アクション セクションで、デバイスを隔離する を選択します。
    デバイスを隔離する セクションが表示されます。
  2. 詳細オプション を有効化します。
    詳細オプション セクションが表示されます。

Screenshot of Isolate Device Advanced Options section on the Add Policy page.

  1. これらのプロセスからの通信を許可する テキスト ボックスに、隔離の例外として許可するプロセスの名前を入力します。たとえば、chrome.exe と入力すると、Google Chrome との通信が許可されます。
  2. (オプション) 隔離されているデバイスにメッセージを表示する場合は、デバイスにメッセージを表示する を有効化し、デバイスにメッセージを表示する テキスト ボックスにカスタム メッセージを入力します。隔離されたデバイスにメッセージが表示されないようにする場合は、デバイスにメッセージを表示する を無効化します。
  3. 追加 をクリックします

テンプレートの自動化ポリシーを無効化する

自動化ポリシー テンプレートを編集する ページで、テンプレートにある 1 つまたは複数の自動化ポリシーを無効化することができます。これは、後で再度有効化することもできます。

テンプレートの自動化ポリシーを無効化するには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。自分自身の Service Provider アカウントを選択するには、概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。
  3. 自動化ポリシーを無効化するテンプレートを選択します。
    自動化ポリシー テンプレートを編集する ページが開きます。
  4. 自動化ポリシーの行で、有効 トグルを無効化します。
  5. 保存 をクリックします。

テンプレートから自動化ポリシーを削除する

自動化ポリシー テンプレートを編集する ページで、テンプレートから自動化ポリシーを削除することができます。

テンプレートから自動化ポリシーを削除するには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。自分自身の Service Provider アカウントを選択するには、概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。
  3. 自動化ポリシーを削除するテンプレートを選択します。
  4. 削除するポリシーの名前の横にある オプション アイコン。 をクリックします。削除 をクリックします。
  5. 削除 をクリックします。
  6. 保存 をクリックします。

自動化ポリシー テンプレートをコピーする

自動化ポリシー テンプレート ページで、自動化テンプレートをコピーして、新しいテンプレートの開始点として使用することができます。

自動化ポリシー テンプレートをコピーするには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。自分自身の Service Provider アカウントを選択するには、概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。
  3. コピーするテンプレートの行で、コピー アイコン をクリックします。

Screenshot of the Automation Policy Templates section showing the Copy Icon next to an automation policy

  1. 自動化ポリシー テンプレートをコピーする ページで、新しいテンプレートの 名前 を入力します。
  2. 必要に応じて、テンプレートを変更します。
    • 割り当てを追加する
    • ポリシーを追加または削除する
    • ポリシーを有効化または無効化する
  3. 保存 をクリックします。

自動化ポリシー テンプレートを削除する

その自動化テンプレートが管理対象アカウントに割り当てられていなければ、自動化ポリシー テンプレート ページで、その自動化テンプレートを削除することができます。

自動化ポリシー テンプレートを削除するには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。自分自身の Service Provider アカウントを選択するには、概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。
  3. 削除するテンプレートの行で、削除アイコン をクリックします。

  1. 削除 をクリックします。
  2. 保存 をクリックします。

アカウント レベルの自動化ポリシーが割り当てられている管理対象アカウントを表示する

自動化ポリシー テンプレート ページで、アカウント レベルの自動化ポリシーが割り当てられている管理対象アカウントのリストを表示し、保留中のポリシー変更を配備することができます。

1 つまたは複数の管理対象アカウントに保留中のポリシー変更を配備するには、以下の手順を実行します。

  1. 保留中のポリシー変更がある管理対象アカウントの横にある 配備 をクリックします。
  2. 複数の管理対象アカウントに保留中のポリシー変更を配備するには、保留中の変更をすべて配備する をクリックします。

Screenshot of the Accounts with Account-Level Automation Policies section

変更は、ThreatSync 決定エンジンに配備されます。そして、インシデントが自動化ポリシーに一致すると、WatchGuard デバイスまたはサービスにアクションが送信されます。

関連トピック

ThreatSync 自動化ポリシーについて

ThreatSync 自動化ポリシーを管理する (Subscriber)

アカウント グループを管理する

ThreatSync デバイス設定を構成する

ThreatSync を構成する

ThreatSync について