ThreatSync 自動化ポリシーについて

適用対象: ThreatSync　 本トピックは ThreatSync に適用されます。

このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。

ThreatSync 自動化ポリシーは、脅威の検出時に ThreatSync で自動的に実行されるアクションを定義するポリシーです。

自動化ポリシーにより、特定の種類のインシデントへの対応を自動化することができるため、インシデント応答側は、人間による調査と対応が必要になり得る最も重要なインシデントに集中して対応することが可能となります。たとえば、既定の自動化ポリシーにより、リスク スコアが低い特定種類のインシデントを自動的に終了し、最も重大なインシデントに対して自動応答アクションを実行することができます。

自動化ポリシーの対象外のインシデントには手動で対応することができます。詳細については、次を参照してください：インシデントおよび Endpoint に対してアクションを実行する。

自動化ポリシーの詳細については、以下のセクションを参照してください。

• ThreatSync 自動化ポリシーの種類
• 既定の ThreatSync 自動化ポリシー
• ThreatSync 自動化ポリシーの条件とアクション
• ThreatSync 自動化ポリシーの優先付け
• ThreatSync 自動化ポリシー テンプレート

既定の自動化ポリシー以外の自動化ポリシーを追加しないことが勧められます。ThreatSync のベストプラクティス 自社の環境で発生し得るさまざまな種類のインシデントおよび実行する対応アクションに精通するまでは、追加しないでください。

ThreatSync 自動化ポリシーの種類

ThreatSync では、2 種類の自動化ポリシーを構成することができます。

Remediation (修正) ポリシー

修正自動化ポリシーにより、ポリシー条件に該当するインシデントが発生した際に、指定した応答アクションを実行することができます。

終了ポリシー

終了自動化ポリシーにより、ポリシー条件に該当するインシデントのステータスを終了済みに変更することができます。

既定の ThreatSync 自動化ポリシー

各 ThreatSync アカウントには、2 つの既定の自動化ポリシーがあります。こうした既定の自動化ポリシーにより、ThreatSync で、リスクが最も高いインシデントと最も低いインシデントに対して自動的にアクションが実行されるため、手動による調査と対応が必要な最重要インシデントに焦点を当てることができます。

既定の修正の自動化ポリシー

ThreatSync により、自動的に高リスクのインシデントを防御できるように、リスク範囲が 7 ～ 10 のインシデントの既定の修正ポリシーを有効化することが勧められます。自動化ポリシーを有効化または無効化する方法の詳細については、自動化ポリシーを有効化または無効化する を参照してください。

既定の修正ポリシー

• ランク — 1
• ポリシーの種類 — Remediation (修正)
• リスク範囲 — 7 〜 10
• デバイスの種類 — Endpoint、Firebox、アクセス ポイント
• アクション — 実行 > デバイスを隔離する

このポリシーにより、スコア 7 以上のインシデントの影響を受けたデバイスがネットワークから自動的に隔離され、脅威の拡散が防止されます。これにより、隔離されたデバイスを分析し、インシデントの詳細を調査できるようになります。詳細については、次を参照してください：インシデントの詳細を確認する。

既定の終了の自動化ポリシー

インシデントのリストにおける低リスク インシデントの数を減らすことで、高リスク インシデントに集中できるように、リスク スコア 1 のインシデントに適用される既定の終了の自動化ポリシーを有効化することが勧められます。

既定の終了ポリシー

• ポリシーの種類 — Close (終了)
• リスク範囲 — 1
• デバイスの種類 — Endpoint、Firebox、アクセス ポイント
• アクション — 実行 > 終了

このポリシーにより、リスク スコア 1 のインシデントが自動的に終了されます。終了済みインシデントを確認し、他のアクションを実行する必要性の有無を判断することが勧められます。終了済みインシデント リストを確認するには、インシデント ページで、ステータスでインシデントをフィルタリングします。詳細については、次を参照してください：ThreatSync インシデントを監視する。

低リスクのインシデントをすべて調査する時間がない場合は、終了ポリシーを変更して、リスク範囲を 1 ～ 3 に上げることを検討してください。

ThreatSync 自動化ポリシーの条件とアクション

ThreatSync 自動化ポリシーでは、ポリシーごとに条件とアクションを構成します。

条件

条件により、ThreatSync でポリシーが実行されるタイミングが定義されます。インシデントがポリシーの条件に該当する場合は、ThreatSync で指定されているアクションが実行されます。

ポリシーごとに、以下の条件を指定することができます。

• リスク範囲 — インシデントのリスク レベルの範囲を指定します。詳細については、次を参照してください：ThreatSync のリスク レベルとスコア。
• インシデントの種類 — インシデントの種類を 1 つまたは複数選択します。
• デバイスの種類 — Firebox、Endpoint、またはアクセス ポイントを選択します。
• 実行されたアクション — インシデントが発生した際に実行する以下のアクションを 1 つまたは複数選択します (終了ポリシーのみ)。

実行済みアクションの条件は、終了ポリシーの種類でのみ使用することができます。修正ポリシーには、応答アクションを選択するための別のセクションが含まれています。

アクション

アクションにより、ポリシー実行時に ThreatSync で実施されるアクションが定義されます。

ポリシーごとに、ポリシーによりアクションを実行するか防止するかを指定する必要があります。

• Perform (実行) — ポリシー条件に該当するインシデントの発生時に、指定されているアクションが ThreatSync で実行されます。
• Prevent (防止) — 指定されているアクションが、ThreatSync により阻止されます。より広範な Perform (実行) ポリシーにおける例外を作成するには、Prevent (防止) アクションが設定されたポリシーを追加して、ポリシー リストでこれを他のポリシーよりも上位にランク付けします。防止アクションのポリシーによって、管理ユーザーによるアクションの手動実行が妨げられることはありません。

修正ポリシーの場合は、実行するアクションを 1 つまたは複数選択します。

• 脅威の送信元 IP をブロックする (外部 IP のみ) — インシデントに関連付けられる外部 IP アドレスがブロックされます。このアクションを選択すると、WatchGuard Cloud アカウントで ThreatSync が有効化されているすべての Firebox で、IP アドレスとの間の接続がブロックされます。
• ファイルを削除する — インシデントに関連付けられるフラグ付きファイルが削除されます。
• デバイスを隔離する — コンピュータがネットワークから隔離されます。これにより、脅威の拡散と機密データの流出を防止することができます。
• アクセス ポイントをブロックする — 悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされます。
• 悪質なプロセスを強制終了する — インシデントに関連して悪質な動作が検出されたプロセスが強制終了されます。
• ユーザーをブロック/ブロック解除する — AuthPoint の認証情報アクセス インシデントに関連付けられたユーザーがブロックまたはブロック解除されます。AuthPoint でユーザーをブロックする方法またはブロックされたユーザーをアクティブ化する方法の詳細については、次を参照してください：ユーザーまたはトークンをブロックする。

終了ポリシーの場合は、アクションは 1 つのみです。

• インシデントを終了する — インシデントのステータスが終了済みに変更されます。このアクションは自動的に選択され、変更することはできません。

ThreatSync 自動化ポリシーの優先付け

ThreatSync ポリシーは、相対的な優先度の高い順に上から下にランク付けすることができます。インシデントが複数のポリシーで構成されている条件に該当する場合は、適用される最も優先度の高いポリシーで指定されているアクションが ThreatSync で実行されます。

インシデントに対する各推奨アクションは、ポリシーに基づき個別に評価されます。インシデントにおいて、ポリシーで指定されているアクションと一致する推奨アクションが存在しない場合は、そのポリシーが省略されます。

テンプレート経由で割り当てられた自動化ポリシーは、Subscriber アカウントのポリシー リストの上部に表示されます。自動化ポリシーとテンプレートの順序の変更については、次を参照してください：ThreatSync 自動化ポリシーを管理する (Subscriber)。

自動化ポリシーの例

以下の条件が設定された 2 つの自動化ポリシーの例をご覧ください。

自動化ポリシー 1

• ランク — 1
• ポリシーの種類 — Remediation (修正)
• リスク範囲 — 8 〜 10
• デバイスの種類 — Endpoint、Firebox
• アクション — 実行 > 悪質なプロセスを強制終了する

自動化ポリシー 2

• ランク — 2
• ポリシーの種類 — Remediation (修正)
• リスク範囲 — 8 〜 10
• デバイスの種類 — Endpoint、Firebox
• アクション — 実行 > デバイスを隔離する、悪質なプロセスを強制終了する

発生するインシデントの詳細は以下のようになります。

• 種類 — IOA
• リスク レベル — 8
• デバイスの種類 — Endpoint
• 推奨アクション — 実行 > デバイスを隔離する、悪質なプロセスを強制終了する、ファイルを削除する>

この例では、以下のようになります。

• 自動化ポリシー 2 は、デバイスを隔離する推奨アクションについて、インシデントに適用される最高ランクのポリシーです。
• 自動化ポリシー 1 は、悪質なプロセスを強制終了するの推奨アクションについて、インシデントに適用される最高ランクのポリシーです。
• ファイルを削除する推奨アクションについて、インシデントに適用される自動化ポリシーはありません。

結果：

• ThreatSync で、デバイスが自動的に隔離され、悪質なプロセスが強制終了されますが、ファイルの削除は試みられません。

ThreatSync 自動化ポリシー テンプレート

Subscriber アカウント レベルで、自動化ポリシーを作成することができます。Subscriber アカウントに自動化ポリシーを追加する方法については、次を参照してください：ThreatSync 自動化ポリシーを管理する (Subscriber)。

また、Service Provider は、複数の自動化ポリシーが含まれる自動化ポリシー テンプレートを作成し、そのテンプレートを管理対象アカウントまたはアカウント グループに割り当てることができます。これにより、Service Provider は管理対象アカウント全体に自動化ポリシーを一貫して適用することが可能となります。これにより、新しいアカウントに ThreatSync を設定する際に、時間がそれほどかからなくなります。

管理対象アカウントまたはアカウント グループに自動化ポリシー テンプレートを設定する方法については、次を参照してください：ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider)。

関連トピック

ThreatSync 自動化ポリシーを管理する (Subscriber)

ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider)

ThreatSync デバイス設定を構成する

ThreatSync によりブロックされた項目を管理する

ThreatSync を構成する

ThreatSync について