インシデントおよび Endpoint に対してアクションを実行する

適用対象: ThreatSync 

このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。

ThreatSync で検出された脅威を監視し、インシデントおよび Endpoint の詳細を確認する際、アクションを実行してインシデントを修正すること、または WatchGuard 製品やサービスによって自動的に実行されたアクションを元に戻すことができます。

  • データを ThreatSync に送信してアクションを受信するには、Firebox で Fireware v12.9 以降が実行されている必要があります。また、これが WatchGuard Cloud のログ記録とレポートまたはクラウド管理に追加されている必要があります。
  • ThreatSync にデータを送信するには、アクセス ポイントでファームウェア v2.0 以降が実行されており、空域の監視 が有効になっている必要があります。
  • ThreatSync と統合されている場合に脅威のアクセス ポイントに対して応答アクションを実行するには、アクセス ポイントでファームウェア v2.7 以降が実行されており、空域の監視 が有効になっている必要があります。
  • 無線で Evil Twin を検出し、ThreatSync の対応アクションを実行し、悪質なアクセス ポイントへのワイヤレス クライアント接続をブロックするための専用のスキャニング ラジオを搭載した AP230W、AP330、または AP430CR が必要です。
  • PMF (保護管理フレーム) (802.11w) が有効になっている WPA3 セキュリティまたは WPA2 セキュリティが使用されている悪質なアクセス ポイントに対しては、応答アクションを実行することはできません。
  • 検出アクセス ポイントの現在の運用国以外のチャネルでブロードキャストしている悪質なアクセス ポイントに対しては、ワイヤレスで応答アクションを実行することはできません。

ThreatSync UI を用いて、以下のアクションを手動で実行することができます。

  • IP をブロック/ブロック解除する — インシデントに関連付けられる外部 IP アドレスをブロックまたはブロック解除します。このアクションを選択すると、WatchGuard Cloud アカウントのすべての Firebox で、IP アドレスとの間の接続がブロックまたはブロック解除されます。

    ThreatSync によりブロックされた IP アドレスは、Fireware または WatchGuard Cloud で、Firebox のブロックされたサイト リストには表示されません。詳細については、次を参照してください:ThreatSync によりブロックされた項目を管理する

  • ファイルを削除/復元する — インシデントに関連付けられるフラグ付きファイルを削除する、または以前に削除されたファイルを復元します。
  • デバイスを隔離する/デバイスの隔離を停止する — 脅威の拡散および機密データの流出を防止するために、コンピュータをネットワークから隔離する、または以前に隔離されているコンピュータの隔離を停止します。
  • アクセス ポイントをブロックする/アクセス ポイントのブロックを停止する — 悪質なアクセス ポイントへのワイヤレス クライアント接続がブロックされます。

    WatchGuard アクセス ポイントが悪意のあるデバイスを検出するためには、専用のスキャニング ラジオを備えている必要があります。これにより、無線経由での対応を実行し、悪意のあるアクセス ポイントへのワイヤレス クライアントの接続をブロックすることが可能になります。

  • プロセスを強制終了する — インシデントに関連して悪質な動作が検出されたプロセスを強制終了します。
  • リモート コントロール — ネットワークにある特定の Windows コンピュータにリモートで接続することで、潜在的な攻撃を調査して修正することができます。リモート コントロール ツールには、Advanced EPDR が必要です。詳細については、次を参照してください:リモート コントロール ツールについて
  • ユーザーをブロック/ブロック解除する — AuthPoint の認証情報アクセス インシデントに関連付けられたユーザーがブロックまたはブロック解除されます。AuthPoint でユーザーをブロックする方法またはブロックされたユーザーをアクティブ化する方法の詳細については、次を参照してください:ユーザーまたはトークンをブロックする

すべてのアクションがすべてのインシデントの種類に適用されるわけではありません。

インシデントのステータスを変更すると、またはインシデントに対してアクションを実行すると、ダイアログ ボックスが開きます。これに、オプションのコメントを追加できるテキスト ボックスが含まれています。こうしたコメントは、インシデントの詳細ページのコメント ペインに表示されます。詳細については、次を参照してください:インシデントの詳細を確認する

アクションを実行する

インシデント ページ、インシデントの詳細ページ、および Endpoint ページでアクションを実行することができます。

1 つまたは複数のインシデントに対してアクションを実行するには、インシデント ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. 1 つまたは複数のインシデントの横にあるチェックボックスを選択します。
    ステータスの変更とアクションのメニューが表示されます。
  3. アクション ドロップダウン リストから、実行するアクションを選択します。

Screenshot of the Actions drop-down list in the Incidents page

インシデントの詳細ページのインシデントに対する推奨事項により、インシデント ページのアクション ドロップダウン リストで使用できるアクションが決まります。たとえば、インシデントに対して実行することが推奨されるアクションがデバイスの隔離である場合は、アクション ドロップダウン リストで、デバイスを隔離する/隔離を停止する オプションが有効化されています。

インシデントのアクションを実行するには、インシデントの詳細ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. インシデント リストにあるインシデントをクリックします。
    インシデントの詳細ページが開きます。
  3. アクションを実行するには、以下の手順を実行します。
    • 脅威の詳細 セクションで、アクションをクリックします。
    • 他のセクションで、稲妻アイコン Screen shot of bolt icon をクリックしてアクション メニューを開き、アクションを選択します。

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

1 つまたは複数の Endpoint に対してアクションを実行するには、Endpoint ページで以下の手順を実行します。

  1. 監視 > 脅威 > Endpoint の順に選択します。
    Endpoint ページが開きます。
  2. 1 つまたは複数の Endpoint の横にあるチェックボックスを選択します。
    アクション メニューが表示されます。
  3. アクション ドロップダウン リストから、実行するアクションを選択します。

Screenshot of the Actions menu on the Endpoints page

エラーの発生により ThreatSync でアクションを実行できない場合は、赤い感嘆符のアイコンまたはエラー メッセージが表示されます。詳細については、次を参照してください:インシデント エラーをトラブルシューティングする

アクションが実行された場合にアラートが生成されるように通知を設定することができます。詳細については、次を参照してください:ThreatSync 通知ルールを構成する

アクションを停止または取り消す

必要に応じて、以前に実行されたアクションを停止または取り消すことができます。たとえば、IP アドレスをブロックするアクションを実行した場合、その IP アドレスのブロックを解除することができます。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. 左側の列で、1 つまたは複数のインシデントのチェックボックスを選択します。
    ステータスの変更とアクションのメニューが表示されます。
  3. アクション ドロップダウン リストから、停止するアクションを選択します。
  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. インシデント リストにあるインシデントをクリックします。
    インシデントの詳細ページが開きます。
  3. 脅威の詳細 セクションで、停止または取り消すアクションを選択します。

Screenshot of the Threat Details section showing the Stop button to stop a process or action

  1. 監視 > 脅威 > Endpoint の順に選択します。
    Endpoint ページが開きます。
  2. 1 つまたは複数の Endpoint の横にあるチェックボックスを選択します。
    アクション メニューが表示されます。
  3. アクション ドロップダウン リストから、隔離を停止する を選択します。
  1. 構成 > ThreatSync > ブロックされた項目 の順に選択します。
    ThreatSync によりブロックされた項目ページが開きます。
  2. Firebox タブを選択します。
  3. 1 つまたは複数のブロックされた IP アドレスを選択します。
  4. ブロックを解除する をクリックします。
    すべての対象 Firebox で、選択した IP アドレスとの間のトラフィックがブロックされなくなります。
  1. 構成 > ThreatSync > ブロックされた項目 の順に選択します。
    ThreatSync によりブロックされた項目ページが開きます。
  2. アクセス ポイント タブを選択します。
  3. 1 つまたは複数のブロックされたアクセス ポイントの MAC アドレスを選択します。
  4. ブロックを解除する をクリックします。
    選択したすべてのアクセス ポイントのブロックが解除されます。

関連トピック

インシデントの詳細を確認する

インシデントのステータスを終了または変更する

ThreatSync Endpoint を監視する

ThreatSync によりブロックされた項目を管理する

インシデント エラーをトラブルシューティングする

クイック スタート — ThreatSync をセットアップする

リモート コントロール ツールについて