ThreatSync のベストプラクティス

適用対象: ThreatSync　 本トピックは ThreatSync に適用されます。

このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。

ネットワークと Endpoint デバイスからのデータの収集と相関を最適化して、脅威を検出してこれに対応するには、以下のベストプラクティスに従って、ThreatSync を設定および構成することが勧められます。

• 開始する前に
• Firebox の推奨設定
• アクセスポイントの推奨設定
• Endpoint Security の推奨設定
• デバイス設定を構成する
• 自動化ポリシー構成のベストプラクティス
  • 既定の修正の自動化ポリシー
  • 既定の終了の自動化ポリシー
• Firebox におけるブロックされたサイトの例外
• 信頼済みアクセス ポイント
• 推奨される通知ルール

開始する前に

ThreatSync を設定および構成する前に、以下に記載されている Firebox、アクセス ポイント、および Endpoint Security の前提条件が満たされていることを確認してください：クイック スタート — ThreatSync をセットアップする。

Firebox の推奨設定

Firebox からインシデント データが ThreatSync に確実に送信されるように、以下を実行します。

• ThreatSync インシデントが生成される以下のセキュリティ サービスが Firebox で有効化され、構成されていることを確認します。
• APT Blocker
• Gateway AntiVirus
• WebBlocker
• IPS
• ローカル管理の Firebox の場合は、以下を実行します。
• HTTPS プロキシ アクションでコンテンツ インスペクションを有効化します。詳細については、次を参照してください：HTTPS プロキシ：コンテンツ インスペクション。
• すべてのポリシーとサービスのログ記録を有効化します。詳細については、次を参照してください：ログ記録と通知の基本設定を行う。
• クラウド管理の Firebox の場合は、Web トラフィックの送信ファイアウォール ポリシーで、HTTPS トラフィックの復号化のオプションを有効化します。詳細については、次を参照してください：ファイアウォール ポリシーでトラフィックの種類を構成する。

アクセスポイントの推奨設定

WatchGuard Cloud 管理対象のアクセス ポイントからインシデント データが ThreatSync に送信され、確実に応答アクションが実行されるように、以下の点を確認してください。

• アクセス ポイントに WatchGuard USP Wi-Fi Management ライセンスが割り当てられていること。
• アクセス ポイントでファームウェア v2.0 以降が実行されており、ThreatSync にデータを送信できるようになっていること。
• アクセス ポイントでファームウェア v2.7 以降が実行されており、ThreatSync と統合されている場合に、脅威のアクセス ポイントに対する応答アクションを実行できるようになっていること。
• 空域の監視が有効化されており、悪質なアクセス ポイントを検出して対応アクションを実行できるようになっていること。要件およびこの機能を有効化する方法の詳細については、次を参照してください：アクセス ポイントの空域の監視。
• 無線で Evil Twin を検出し、ThreatSync の対応アクションを実行する、専用のスキャニング ラジオを搭載した AP230W、AP330、または AP430CR　が必要です。

PMF (保護管理フレーム) (802.11w) が有効になっている WPA3 セキュリティまたは WPA2 セキュリティが使用されている悪質なアクセス ポイントに対して、あるいは検出アクセス ポイントの現在の運用国以外のチャネルでブロードキャストしている悪質なアクセス ポイントに対しては、ワイヤレスで応答アクションを実行することはできません。

Endpoint Security の推奨設定

WatchGuard Advanced EPDR、EPDR、EDR、EDR Core、EPP によって、設定が異なります。本セクションでは、一般的に Endpoint Security はすべての製品を指すものとします。Endpoint Security 管理 UI に設定が表示されない場合は、これが製品でサポートされていないということです。

Endpoint Security から必要なテレメトリ データとインシデント データがすべて ThreatSync に送信されるように、以下の Endpoint Security 設定が有効化されていることを確認します。

• ワークステーションおよびサーバーのセキュリティ設定
  • 高度な保護
    • 動作モード (ロック モード)
    • エクスプロイト対策
    • ウイルス対策
• 攻撃の指標 (IOA)

Endpoint Security の設定に関する詳細については、次を参照してください：設定を管理する。

デバイス設定を構成する

アカウントの ThreatSync を有効化すると、そのアカウントに割り当てられている Endpoint デバイス、Firebox、およびアクセス ポイントでこれが自動的に有効化されます。こうしたデバイスからは、自動的にデータが ThreatSync に送信されるようになります。

アカウントにあるすべてのデバイスで ThreatSync を有効化することが勧められます。アカウントに追加した新規デバイスからインシデント データとアクションが ThreatSync に確実に送信されるように、デバイス設定 ページの 新規デバイスで ThreatSync を自動的に有効化するデバイスの種類を選択する セクションで、Firebox および アクセス ポイント のチェックボックスを選択します。

詳細については、次を参照してください：ThreatSync デバイス設定を構成する。

自動化ポリシー構成のベストプラクティス

自動化ポリシーを整理して監視できるように、まず以下のベストプラクティスから始めることが勧められます。

自動化ポリシー名をカスタマイズする

自動化ポリシーをより容易に理解して維持できるように、ポリシーの目的、適用対象、その他の固有の特性を象徴するような意味のあるポリシー名を選択してください。

たとえば、ポリシーの種類、リスク範囲、実行されたアクションをポリシー名に含める場合は、ポリシーに Remediation_6-7_Isolate または Close_1-3 という名前を付けることができます。

既定の自動化ポリシー

ThreatSync アカウントには、推奨設定の既定の自動化ポリシーが含まれています。既定のポリシーを編集し、ネットワークの要件に基づいて、追加の ThreatSync 自動化ポリシーを構成することができます。

既定の ThreatSync 自動化ポリシーは、既定で無効化されています。新規アカウントの場合は、既定の自動化ポリシーが自動化ポリシー ページに表示されます。既存のアカウントの場合は、自動化ポリシー ページで 既定のポリシーを生成する をクリックして、それを自動化ポリシー リストに表示する必要があります。手動による調査と修正が必要なインシデントに焦点を当てられるように、既定の自動化ポリシーを有効化することが勧められます。

自動化ポリシーを有効化または無効化する方法の詳細については、自動化ポリシーを有効化または無効化する を参照してください。

既定の修正の自動化ポリシー

ThreatSync により、自動的に高リスクのインシデントを防御できるように、リスク範囲が 7 ～ 10 のインシデントの既定の修正ポリシーを有効化することが勧められます。

既定の修正ポリシー

• ランク — 1
• ポリシーの種類 — Remediation (修正)
• リスク範囲 — 7 〜 10
• デバイスの種類 — Endpoint、Firebox、アクセス ポイント
• アクション — 実行 > デバイスを隔離する

このポリシーにより、スコア 7 以上のインシデントの影響を受けたデバイスがネットワークから自動的に隔離され、脅威の拡散が防止されます。これにより、隔離されたデバイスを分析し、インシデントの詳細を調査できるようになります。詳細については、次を参照してください：インシデントの詳細を確認する。

既定の終了の自動化ポリシー

インシデントのリストにおける低リスク インシデントの数を減らすことで、高リスク インシデントに集中できるように、リスク スコア 1 のインシデントに適用される既定の終了の自動化ポリシーを有効化することが勧められます。

既定の終了ポリシー

• ポリシーの種類 — Close (終了)
• リスク範囲 — 1
• デバイスの種類 — Endpoint、Firebox、アクセス ポイント
• アクション — 実行 > 終了

このポリシーにより、リスク スコア 1 のインシデントが自動的に終了されます。終了済みインシデントを確認し、他のアクションを実行する必要性の有無を判断することが勧められます。終了済みインシデント リストを確認するには、インシデント ページで、ステータスでインシデントをフィルタリングします。詳細については、次を参照してください：ThreatSync インシデントを監視する。

低リスクのインシデントをすべて調査する時間がない場合は、終了ポリシーを変更して、リスク範囲を 1 ～ 3 に上げることを検討してください。

自動化ポリシーの詳細については、次を参照してください：ThreatSync 自動化ポリシーについて。

Firebox におけるブロックされたサイトの例外

マーケティング チームが使用するサーバーの IP アドレスなど、ThreatSync で重要な IP アドレスがブロックされた場合は、Firebox で、ブロックされたサイトの例外をその IP アドレスに構成することが勧められます。IP アドレスのブロックされたサイトの例外を追加すると、手動アクションまたは自動化ポリシーによって ThreatSync によりブロックされた IP のリストにその IP アドレスが含まれていても、Firebox でその IP アドレスとの間のトラフィックが常に許可されます。

ローカル管理の Firebox で、ブロックされたサイトの例外を作成する方法については、次を参照してください：ブロックされたサイトの例外を作成する。

クラウド管理の Firebox に例外を追加する方法については、次を参照してください：WatchGuard Cloud で例外を追加する。

信頼済みアクセス ポイント

配備されている正当なアクセス ポイント (たとえば、サードパーティ ベンダーの QA テスト アクセス ポイント、WatchGuard Wi-Fi Cloud または Firebox 管理対象 WatchGuard Wi-Fi 5 アクセス ポイントなど) の MAC アドレスが ThreatSync でブロックされた場合は、自動化ポリシーによって、そのデバイスを信頼済みにすることで、インシデント通知や対応アクションを防止することができます。

同じ WatchGuard Cloud アカウントの WatchGuard アクセス ポイントとワイヤレス Firebox は、空域の監視機能で自動的に信頼済みアクセス ポイントとして特定され、信頼済みアクセス ポイント リストには表示されません。

詳細については、次を参照してください：ThreatSync で信頼済みアクセス ポイントを構成する。

推奨される通知ルール

インシデントが生成されるのに応じて、ThreatSync UI でインシデントを監視することが勧められます。ThreatSync インシデントの概要 ページで、インシデント アクティビティのスナップショットを表示することができます。また、WatchGuard Cloud で通知ルールを構成することで、新たに発生したインシデント、実行された特定のアクション、終了されたインシデントに関するアラートを生成して電子メール通知が送信されるように設定することができます。

脅威が出現した際に容易にそれに対応できるように、最もリスクの高いインシデントの通知ルールを設定することが勧められます。

通知ルールの推奨設定

• 通知の種類 — 新規インシデント
• リスク範囲 — 7 〜 10
• インシデントの種類 — インシデントの種類をすべて選択
• デバイスの種類 — デバイスの種類をすべて選択
• 配信方法 — 電子メール
• 頻度 — すべてのアラートを送信する

通知ルールに基づき、WatchGuard Cloud のアラート ページに表示されるアラートが生成され、指定されている受信者に通知メールが送信されます。

通知ルールの設定方法に関する詳細については、次を参照してください：ThreatSync 通知ルールを構成する。

関連トピック

ThreatSync について

クイック スタート — ThreatSync をセットアップする

Firebox 構成のベストプラクティス

Firebox のログ記録および通知について

ファイアウォール ポリシーのベストプラクティス

WatchGuard Endpoint Security の使用を開始する