ThreatSync によりブロックされた項目を管理する

適用対象: ThreatSync 

このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。

ThreatSync によりブロックされた項目ページには、対象の Firebox で ThreatSync アクションによってブロックされたすべての IP アドレス、およびブロックされたアクセス ポイントのすべての MAC アドレスのリストが表示されます。

Firebox によりブロックされた IP アドレスは、ThreatSync によりブロックされた項目ページには表示されません。インシデントが Firebox によってブロックされたかどうかを確認するには、特定のインシデントの脅威の詳細セクションにある自動応答をチェックします。詳細については、次を参照してください:インシデントの詳細を確認する

ThreatSync によりブロックされた IP アドレスは、Fireware または WatchGuard Cloud で、Firebox のブロックされたサイト リストには表示されません。

Firebox によりブロックされた IP アドレス

ThreatSync によりブロックされた項目ページの Firebox タブに、以下の詳細が表示されます。

Screenshot of the Blocked Items by ThreatSync page (Firebox tab) in WatchGuard Cloud

  • ブロックされた IP アドレス — 手動アクションまたは自動化ポリシーによってブロックされた IP アドレス。
  • ブロックしたユーザーまたはポリシー — IP アドレスをブロックしたユーザー名または自動化ポリシー名。
  • タイムスタンプ — IP アドレスがブロックされた日時。

ThreatSync+ NDR でブロックされた IP アドレスは、ThreatSync によりブロックされた項目ページの Firebox タブに表示されます。詳細については、すべての IP アドレス を参照してください。

ThreatSync で重要な IP アドレスがブロックされた場合は、Firebox で、ブロックされたサイトの例外リストに、その IP アドレスを追加することができます。ブロックされたサイトの例外リストにサイトを追加すると、そのサイトからのトラフィックがブロックされなくなります。詳細については、次を参照してください:ブロックされたサイトの例外を作成する

IP アドレスのブロックを解除する

インシデントの詳細を確認して脅威を監視する際に、ThreatSync 自動化ポリシーまたはインシデントの手動応答によってブロックされた 1 つまたは複数の IP アドレスのブロックを解除することができます。

対象の Firebox によりブロックされた IP アドレスのブロックを解除するには、以下の手順を実行します。

  1. WatchGuard Cloud アカウントにログインします。
  2. Service Provider アカウントの場合は、アカウント マネージャーから マイ アカウント を選択します。
  3. 構成 > ThreatSync > ブロックされた項目 の順に選択します。
    ThreatSync によりブロックされた項目ページが開きます。
  4. Firebox タブを選択します。
  5. 1 つまたは複数のブロックされた IP アドレスを選択します。
  6. ブロックを解除する をクリックします。
    すべての対象 Firebox で、選択した IP アドレスとの間のトラフィックがブロックされなくなります。

ブロックされたアクセス ポイントの MAC アドレス

ThreatSync によりブロックされた項目ページの アクセス ポイント タブに、以下の詳細が表示されます。

Screenshot of the Blocked Items by ThreatSync page (Access Point tab) in WatchGuard Cloud

  • ブロックされた MAC アドレス — 手動アクションまたは自動化ポリシーによってブロックされたアクセス ポイントの MAC アドレス。
  • 脅威の種類 — 検出されたアクセス ポイントの脅威の種類。

例:

  • 悪質なアクセス ポイント - Rogue Access Point
  • 悪質なアクセス ポイント - 不審な Rogue Access Point
  • 悪質なアクセス ポイント - Evil Twin
  • ブロックしたユーザーまたはポリシー — アクセス ポイントの MAC アドレスをブロックしたユーザー名または自動化ポリシー名。
  • タイムスタンプ — アクセス ポイントの MAC アドレスがブロックされた日時。

アクセス ポイントの MAC アドレスのブロックを解除する

インシデントの詳細を確認して脅威を監視する際に、ThreatSync 自動化ポリシーまたはインシデントの手動応答によってブロックされた 1 つまたは複数のアクセス ポイントのブロックを解除することができます。

Caution: ブロックを解除するアクセス ポイントを必ず特定してください。これが悪質なアクセス ポイントであれば、そのデバイスのブロックを解除すると、ワイヤレス クライアントから脅威デバイスへの接続が発生し、脆弱なデータが通信される可能性があります。

アクセス ポイントの MAC アドレスのブロックを解除するには、ThreatSync によりブロックされた項目ページで以下の手順を実行します。

  1. WatchGuard Cloud アカウントにログインします。
  2. Service Provider アカウントの場合は、アカウント マネージャーから マイ アカウント を選択します。
  3. 構成 > ThreatSync > ブロックされた項目 の順に選択します。
    ThreatSync によりブロックされた項目ページが開きます。
  4. アクセス ポイント タブを選択します。
  5. 1 つまたは複数のブロックされたアクセス ポイントの MAC アドレスを選択します。
  6. ブロックを解除する をクリックします。
    選択したすべてのアクセス ポイントのブロックが解除されます。

ブロックされたアクセス ポイントのリストを更新する

ブロックされたアクセス ポイントの MAC アドレスのリストを更新するには、 をクリックします。

ブロックされたアクセス ポイントのリストをダウンロードする

ブロックされたアクセス ポイントの MAC アドレスのリストをコンマ区切り値形式 (CSV) でダウンロードするには、 をクリックします。

関連トピック

ThreatSync を構成する

ThreatSync デバイス設定を構成する

ThreatSync 自動化ポリシーについて