ThreatSync+ NDR のコレクターを構成する (Windows コンピュータ)

Windows 用 ThreatSync+ NDR 収集エージェントにより、ネットワークのスイッチおよびルータからのログデータが受信され、そのデータが WatchGuard Cloud に送信されます。

ThreatSync+ NDR 収集エージェントがリッスンしているポート：

ポート 2055：Endpoint からの NetFlow ログデータ。
ポート 6343：Endpoint からの sFlow ログデータ
ポート 514：Windows ログエージェントからの DHCP ログデータ。

ThreatSync+ NDR 収集エージェントは、Windows 10、Windows 11、Windows Server 2022 のいずれかを実行している Windows コンピュータにインストールすることができます。

Windows でサポートされているオペレーティングシステムと仮想化環境の詳細情報については、次を参照してください：システム要件。

Windows 用 WatchGuard エージェントをダウンロードしてインストールする

Windows 用の WatchGuard エージェントと ThreatSync+ NDR 収集エージェントのインストールは 2 段階プロセスです。

コレクターを追加して構成するには、まず Windows 用 WatchGuard エージェントインストーラをダウンロードして、コレクターとして構成する Windows コンピュータまたはサーバーでインストールウィザードを実行する必要があります。WatchGuard エージェントをインストールすると、ThreatSync+ NDR 収集エージェントまたは Windows ログエージェントがインストールされます。ThreatSync 管理 UI を使用して、コレクターとして使用する Windows コンピュータまたはサーバーを指定します。

Caution: Panda または Cytomic の Endpoint Security 製品がインストールされている Endpoint には、ThreatSync+ NDR 収集エージェントをインストールすることができません。ThreatSync+ NDR 収集エージェントは、WatchGuard Endpoint Security 製品とのみ互換性があります。

開始する前に

Windows 用 WatchGuard エージェントをダウンロードする前に、以下の点を確認してください。

エージェントをインストールするコンピュータにウイルス対策ソフトウェアがインストールされていること
管理者権限があり、WatchGuard エージェントをインストールする Windows コンピュータにログインしていること

システム要件

BIOS で仮想化が有効化されていること、および仮想環境ホストの仮想化ベースのセキュリティ (VBS) が有効化されていることを確認します。

詳細については、次を参照してください：

Hyper V でコレクターを実行する場合は、ネストされた仮想化を有効化する必要があります。詳細については、ネストされた仮想化およびネストされた仮想化が有効な仮想マシンでの Hyper V の実行を参照してください。

ネストされた仮想化を回避するには、仮想デバイスではなく、専用の物理デバイスでコレクターを実行することが勧められます。

Windows 用 ThreatSync+ NDR 収集エージェントをインストールするには、以下の要件が満たされている必要があります。

以下の条件を満たすマシンに Windows 10、Windows 11、Windows 2022 のいずれかがインストールされていること
- 最小 CPU コア数：2
- RAM：最小 8 GB、ディスク容量：最小 150 GB

NetFlow レートが 1 分あたり 500,000 を超えるネットワークの場合は、より多くの CPU、RAM、およびディスク容量が必要となります。

Windows インストーラは、x86 または ARM プロセッサを搭載したコンピュータと互換性があります。

サポートされているオペレーティングシステムと仮想化環境の詳細については、次のセクションを参照してください：Windows 用 ThreatSync+ NDR 収集エージェントをトラブルシューティングする (このドキュメントに記載)。または、ThreatSync+ NDR リリースノートの ThreatSync+ NDR コンポーネントのオペレーティングシステムの互換性。

Windows 用 WatchGuard エージェントをインストールする

コレクターとして構成する各 Windows コンピュータに WatchGuard エージェントをインストールします。通常、ThreatSync+ NDR 収集エージェントは、ネットワークに存在するそれぞれの物理的な場所のコンピュータ 1 台にインストールするだけで済みます。

管理者が常にログインできるように、固有の管理者アカウントが設定されている専用のコンピュータにエージェントをインストールすることが勧められます。エージェントをインストールした管理者アカウントでログインしないと、コレクターは実行されません。

Windows 用 WatchGuard エージェントをインストールするには、以下の手順を実行します。

WatchGuard Cloud アカウントにログインします。
Service Provider アカウントの場合は、アカウントマネージャーから マイアカウント を選択します。
構成 > ThreatSync+ 統合 > コレクター の順に選択します。
ThreatSync+ NDR 収集エージェント タブで、コレクターを追加する をクリックします。
WatchGuard エージェントをダウンロードしてインストールする セクションで、WatchGuard エージェントをダウンロードする をクリックします。
WatchGuard エージェントインストーラをダウンロードするダイアログボックスが開きます。
WatchGuard エージェントインストーラをダウンロードする ダイアログボックスで、Windows を選択します。

Screenshot of the Add ThreatSync+ NDR Collection Agent page that shows the Windows installer option

(オプション) ダウンロード URL をコピーする をクリックして、ダウンロード URL を保存します。
ダウンロード をクリックします。
Windows WatchGuard_Agent.msi ファイルがダウンロードされます。
ログを受信する Windows コンピュータまたはサーバーに .MSI ファイルをコピーします。
WatchGuard_Agent.msi ファイルをダブルクリックして、ウィザードの手順を完了します。
インストールプロセス中は、プログレスバーが表示されます。エージェントにより、インストール中に Ubuntu コンソールウィンドウが開かれます。このウィンドウを閉じないでください。インストールが完了すると、Windows コンピュータまたはサーバーが再起動します。

WatchGuard エージェントが正常にインストールされたことを確認するには、ThreatSync+ NDR 収集エージェント タブに成功ステータスが表示されているかどうかをチェックします。Windows コレクターの場合は、ステータスが約 5 分ごとに更新されて、リアルタイムのステータスが表示されます。

WatchGuard エージェントまたは ThreatSync+ NDR 収集エージェントをアンインストールする方法については、次を参照してください：Windows 用 ThreatSync+ NDR 収集エージェントを削除する。

ThreatSync+ NDR のコレクターを構成する

Active Directory DHCP ログを収集するには、最初に ThreatSync+ NDR 収集エージェント、次に Windows ログエージェントの両方の種類の収集エージェントをネットワークに追加して構成する必要があります。

Screenshot of Configure > ThreatSync, ThreatSync+ NDR Collection Agents page

ThreatSync+ NDR 収集エージェントは、コレクターページで構成します。

ThreatSync+ NDR 収集エージェントタブには以下の列が表示されます。

名前 — コレクターの名前。
IP アドレス — コレクターがインストールされているコンピュータの IP アドレス。
最終更新日 — コレクターデータが最後に更新された日時。
前回のアクティビティ — コレクターから最後に ThreatSync+ NDR にデータが送信された日時。
NetFlow 監視 — NetFlow 監視のステータス (nfcapd プロセスが実行中かどうか) が表示されます。例：稼働中 または停止。
sFlow 監視 — sFlow 監視のステータス (sfcapd が実行中かどうか) が表示されます。例：稼働中 または停止。
ステータス — コレクターのステータスが表示されます。ステータスをクリックすると、詳細情報が表示されます。ステータスには、以下が含まれている可能性があります。
- 成功 — コレクターがインストールされて、ネットワークデータを受信しています。
- 情報なし — コレクターのステータスを報告できていません。
- オフライン — コレクターはオフラインになっています。
- エラー — コレクターでエラーが発生しています。詳細については、次を参照してください：Windows 用 ThreatSync+ NDR 収集エージェントをトラブルシューティングする。

Windows 用 ThreatSync+ NDR 収集エージェントを追加する

通常、ThreatSync+ NDR 収集エージェントは、ネットワークに存在するそれぞれの物理的な場所に 1 つのみインストールするだけで済みます。DHCP データログを収集するには、静的 IP アドレスが割り当てられている Windows コンピュータに ThreatSync+ NDR 収集エージェントを追加する必要があります。

ThreatSync+ NDR 収集エージェントを追加するには、以下の手順を実行します。

WatchGuard Cloud アカウントにログインします。
Service Provider アカウントの場合は、アカウントマネージャーから マイアカウント を選択します。
構成 > ThreatSync+ 統合 > コレクター の順に選択します。
ThreatSync+ NDR 収集エージェント タブで、コレクターを追加する をクリックします。

Screen shot of Configure > ThreatSync, Add ThreatSync+ NDR Collection Agents dialog box

ホスト ドロップダウンリストから、ThreatSync+ NDR 収集エージェントとして使用する Windows コンピュータを選択します。
このリストには、WatchGuard エージェントがインストールされているすべての Windows コンピュータが含まれます。使用可能なコンピュータとサーバーのリストを更新するには、をクリックします。
保存をクリックします。
収集エージェントにより、ThreatSync+ NDR へのデータの報告が開始されます。報告されたトラフィック情報は、ネットワーク概要ページに表示されます。
ホストコンピュータで、権限が必要です ダイアログボックスが開いたら、OK をクリックします。
ホストコンピュータに、権限が必要ですダイアログボックスが表示されるまでに、しばらく時間がかかる場合があります。

Screenshot of the Permissions Required dialog box that appears on the host computer.

ThreatSync+ NDR 収集エージェントの IP アドレスを記録します。Windows ログエージェントを構成するには、IP アドレスを入力する必要があります。

ThreatSync+ NDR収集エージェントの障害通知をミュートする

既存の ThreatSync+ NDR 収集エージェントを編集し、特定の収集エージェントからの障害通知をミュートすることができます。追加して構成したログ送信元からの障害通知をミュートすることもできます。

既存の ThreatSync+ NDR 収集エージェントの障害通知を構成するには、以下の手順を実行します。

WatchGuard Cloud アカウントにログインします。
Service Provider アカウントの場合は、アカウントマネージャーからマイアカウントを選択します。
構成 > ThreatSync+ 統合 > コレクター の順に選択します。
ThreatSync+ NDR 収集エージェント タブで、編集する ThreatSync+ NDR 収集エージェントの横にあるをクリックします。編集をクリックします。
ミュート障害オプションが表示されます。

次のうちいずれかのオプションを選択します。
- 繰り返しの障害通知をミュートする — このコレクターの連続的なコレクター障害通知をミュートするには、このオプションを選択します。これを選択すると、コレクターに障害が発生した際に、このコレクターに関する通知が 1 つのみ送信されます。
- すべての障害通知をミュートする — このコレクターのすべてのコレクター障害通知をミュートするには、このオプションを選択します。これを選択すると、コレクターに障害が発生しても、このコレクターに関する通知は送信されません。
- こうした送信元からの障害通知をミュートする — 障害通知をミュートする特定のログ送信元を追加および構成するには、このオプションを選択します。このオプションを選択すると、構成されたログ送信元からのすべてのコレクター障害通知がミュートされます。これを選択すると、コレクターに障害が発生しても、このログ送信元に関する通知は送信されません。ログ送信元を追加するには、手順 6 に進みます。
こうした送信元からの障害通知をミュートする を選択して、通知をミュートするログ送信元を追加して構成します。
1. 送信元と種類を追加する をクリックします。
  送信元と種類を追加するダイアログボックスが開きます。

送信元 テキストボックスに、送信元 IP アドレスを入力します。
種類ドロップダウンリストで、送信元の種類として NetFlow/sFlow または DHCP を選択します。
追加をクリックします。
保存をクリックします。
新規送信元が追加されます。

送信元を削除するには、をクリックします。保存をクリックします。

Windows 用 ThreatSync+ NDR 収集エージェントを削除する

特定の ThreatSync+ NDR 収集エージェントを使用する必要がなくなった場合は、ThreatSync+ 統合 UI から削除することができます。UI から収集エージェントを削除すると、WatchGuard エージェントによって自動的に収集エージェントがアンインストールされます。

ThreatSync+ NDR 収集エージェントを削除するには、以下の手順を実行します。

WatchGuard Cloud アカウントにログインします。
Service Provider アカウントの場合は、アカウントマネージャーから マイアカウント を選択します。
構成 > ThreatSync+ 統合 > コレクター の順に選択します。
ThreatSync+ NDR 収集エージェント タブで、削除するコレクターを 1 つまたは複数選択します。

Screenshot of the Collectors page, ThreatSync+ NDR Collections Agents tab that shows the Delete option when you select a collector to be deleted

削除をクリックします。
WatchGuard エージェントにより、ThreatSync+ NDR 収集エージェントがアンインストールされます。

WatchGuard エージェントを ThreatSync+ NDR 収集エージェントとともにアンインストールするには、それがインストールされているコンピュータまたはサーバーからアンインストールします。詳細については、お使いのコンピュータまたはサーバーの製品ドキュメントページを参照してください。

Windows ログエージェントをインストールする

Windows ログエージェントは、Windows DHCP サーバーログを読み取り、ThreatSync+ NDR 収集エージェントに転送する収集エージェントです。そして、ThreatSync+ NDR 収集エージェントから、DHCP ログが WatchGuard Cloud に転送されます。

Windows 用 ThreatSync+ NDR 収集エージェントで DHCP サーバーログを受信できるようにするには、ネットワークに Windows ログエージェントをインストールして構成する必要があります。Windows ログエージェントは、Windows Server 2019 または 2022 にインストールすることができます。こうしたサーバーの一部は、ドメインコントローラでもある可能性があります。詳細については、次を参照してください：Windows ログエージェントを構成する。

デバイスの IP アドレスが変更された場合にそれを追跡するには、Windows ログエージェントを使用して、Active Directory DHCP ログを収集することが勧められます。すべての DHCP サーバーに Windows ログエージェントを追加して構成します。

Windows 用 ThreatSync+ NDR 収集エージェントをトラブルシューティングする

60 ～ 90 分経っても報告されたトラフィック情報がネットワーク概要ページに表示されない場合は、このセクションの情報を使用して、コレクターの問題をトラブルシューティングすることができます。

Windows 用 ThreatSync+ NDR 収集エージェントをトラブルシューティングするには、以下の手順を実行します。

Windows コンピュータがシステム要件セクションに記載されている要件を満たしていることを確認します。
WatchGuard エージェントをインストールした管理者アカウントから、ThreatSync+ NDR 収集エージェントがインストールされている Windows コンピュータにログインしていることを確認します。専用のインストール管理者アカウントを作成することが勧められます。インストール管理者が常にログインする必要があります。
インストールプロセス中に、WatchGuard エージェントによって Ubuntu コンソールウィンドウが開かれます。このウィンドウを閉じないでください。wsl -l PowerShell コマンドを使用して、WatchGuard エージェントが正常にインストールされたことを確認します。
netstat -l PowerShell コマンドを使用して、コンピュータがこれらのポートをリッスンできることを確認します。
- ポート 2055 — Endpoint からの NetFlow ログデータ
- ポート 6343 — Endpoint からの sFlow ログデータ
- ポート 514 — Windows ログエージェントからの DHCP ログデータ

ポート 2055、6343、514 からのトラフィックをブロックするファイアウォールルールが設定されていないことを確認してください。クラウド管理の Firebox の場合は、WatchGuard Cloud で 構成 > デバイス > デバイス構成 > ネットワークブロック の順に移動して、そのページでブロックされたポート 514 を削除します。ローカル管理の Firebox でブロックされたポートを削除する方法については、次を参照してください：ポートをブロックする Fireware ヘルプ で。
BIOS で仮想化が有効化されていないことを確認してください。以下の仮想化環境が検証済みです。

ThreatSync+ NDR コレクターの仮想化環境	Microsoft Windows 10	Microsoft Windows 11	Microsoft Windows Server 2022
Hyper-V
VMware ESXi 6.7
VMware ESXi 7.0.3			*
VMware ESXi 8.0
KVM ハイパーバイザー QEMU 9.0.0

*Windows Server 2022、ビルド 20.348.2527

構成 > ThreatSync+ 統合 > コレクター の順に移動してしたページで、コレクターの表の ステータス 列を確認します。ステータスをクリックすると、詳細が表示されます。
- 成功 — コレクターがインストールされて、ネットワークデータを受信しています。
- 情報なし — コレクターのステータスを報告できていません。
- オフライン — コレクターはオフラインになっています。
- エラー — コレクターでエラーが発生しています。

一般的なエラー 1603 が発生した場合は、仮想化が有効化されていることを確認してください。詳細については、次を参照してください：システム要件。

Windows ログエージェントのトラブルシューティングについては、次を参照してください：Windows ログエージェントの問題をトラブルシューティングする。