ThreatSync 通知ルールを構成する

適用対象: ThreatSync 

WatchGuard Cloud では、ThreatSync アクティビティに関するアラートを生成して通知を送信する通知ルールを構成することができます。通知ルールにより、ネットワークと Endpoint における新たな脅威に容易に対応し、インシデントの変化や修正済みの脅威を認識できるようになります。

ルール ページで、アカウントで作成されているすべてのルールを確認することができます。既定では、いくつかの事前定義されたルールがすでに存在しています。既定のルールを編集して、名前、説明、および送信方法を変更することができます。配信方法として電子メールを選択した場合、アラートの頻度を変更することもできます。削除できない既定のシステム ルールがいくつかあります。

Screen shot of WatchGuard Cloud Notifications page, Rules

ThreatSync の通知の種類

WatchGuard Cloud の各通知ルールは、アラートを発生させるルールの原因となるアクションやイベントを指定する通知の種類を使用します。

新規インシデント

指定されている条件に該当する新しいインシデントのアラートが生成されます。

実行済みアクション

指定されている条件に該当する実行済みアクションのアラートが生成されます。

終了済みインシデント

指定されている条件に該当するインシデントが終了されたときにアラートを生成します。

ThreatSync の通知ルールを追加する

管理ユーザーのロールに応じて、WatchGuard Cloud で表示および実行できる内容が異なります。この機能を表示または構成するには、ユーザーのロールに 通知ルールを構成する の権限が必要です。詳細については、次を参照してください:WatchGuard Cloud 管理ユーザーとロールを管理する

新規の通知ルールを追加するには、WatchGuard Cloud で以下の手順を実行します。

  1. 管理 > 通知 の順に選択します。
  2. ルール タブを選択します。

Screen shot of WatchGuard Cloud Notifications page, Add Rule

  1. ルールを追加する をクリックします。
  2. ルールを追加する ページの 名前 テキスト ボックスに、ルールを特定できる名前を入力します。
  3. 通知の送信元 ドロップダウン リストから、ThreatSync を選択します。
  4. 通知の種類 ドロップダウン リストから、このルールに基づきアラートが生成されるアクションまたはイベントを選択します。
  5. (任意) 通知の説明を入力します。
  6. アラートが生成される条件を選択します。
    • リスク開始〜リスク終了 — リスク スコアの範囲を 1 ~ 10 の間で選択します。
    • インシデントの種類 — インシデントの種類を 1 つまたは複数選択します。
    • デバイスの種類 — 1 つまたは複数のデバイスの種類を選択します。
    • アクション — 実行されたアクションを 1 つまたは複数選択します (実行済みアクションの通知の種類のみ)。
  7. 配信方法 ドロップダウン リストから、次のいずれかのオプションを選択します。
    • なし — ルールに基づき、WatchGuard Cloud のアラート ページに表示されるアラートが生成されます。
    • 電子メール — ルールに基づき、WatchGuard Cloud のアラート ページに表示されるアラートが生成され、指定されている受信者に通知の電子メールが送信されます。
  8. 配信方法に 電子メール を指定した場合:
    1. 頻度 ドロップダウン リストから、ルールに基づき 1 日に送信できる電子メール メッセージの数を構成します。
      • ルールに基づきアラートが生成されるごとに電子メール メッセージが送信されるようにするには、すべてのアラートを送信する を選択します。
      • ルールに基づき送信される電子メール メッセージ数の 1 日の上限を設定するには、最大で送信する を選択します。1 日あたりのアラート数 テキスト ボックスに、このルールに基づき送信される電子メール メッセージの 1 日の最大数を入力します。1 日あたり最大 2 万件のアラート数を設定することができます。
    2. 件名 テキスト ボックスに、このルールに基づきアラートが生成された際に送信される電子メール メッセージの件名を入力します。入力できる最大文字数は 78 文字です。
    3. 受信者 テキスト ボックスに、このルールに基づきアラートが生成された際に送信される電子メール メッセージを受信する各ユーザーの電子メール アドレスを入力します。複数の電子メール アドレスを入力することができます。電子メール アドレスを入力するたびに エンター を押すか、電子メール アドレスをスペース、コンマ、またはセミコロンで区切ります。

    Screen shot of WatchGuard Cloud, Add Rule page, Recipients section

  9. ルールを追加する をクリックします。

通知ルールを削除するには、削除するルールの行で Screen shot of the Delete icon をクリックします。

アラートの管理方法の詳細については、次を参照してください:WatchGuard Cloud アラートを管理する

関連トピック

ThreatSync について

通知のルールを構成する

監査ログを表示する