Advanced Protection

適用対象:WatchGuard EPDRWatchGuard EDR

ワークステーションとサーバーの設定プロファイルの Advanced Protection 設定で、コンピュータで実行されるプログラムのアクティビティを追跡し、悪意のあるプログラムを検出およびブロックする設定を構成します。

使用可能な機能はプラットフォームごとに異なります。詳細については、Windows、Linux、macOS プラットフォームのデバイス向けのAdvanced Protection を参照してください。

Screen shot of WatchGuard Endpoint Security, Advanced Protection settings

Advanced Protection 設定を構成するには、以下の手順を実行します。

  1. 上部のナビゲーション バーで、設定 を選択します。
  2. 左ペインで、ワークステーションおよびサーバー を選択します。
  3. 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
    設定を追加または編集する ページが開きます。
  4. 必要に応じて、プロファイルの 名前説明 を入力します。
  5. Advanced Protection を選択します。
  6. Advanced Protection トグルを有効化します。
  7. 必要に応じて、以下の設定を構成します。
  8. 保存 をクリックします。
  9. 必要に応じて、プロファイルを選択して、受信者を割り当てます。
    詳細については、設定プロファイルを割り当てる を参照してください。

動作挙動を構成する

動作挙動を構成するには、動作セクションで以下の手順を実行します。

  1. Windows コンピュータの場合は、リストから 動作モード を選択します。
    動作モードの詳細については、Advanced Protection – 動作モード (Windows コンピュータ) を参照してください。

Screen shot of WatchGuard Endpoint Security, Operating mode

  1. 高度な保護またはエクスプロイト対策保護によりファイルがブロックされた際にユーザー コンピュータのポップアップ アラートにメッセージが表示されるようにするには、コンピュータ ユーザーにブロックを報告する トグルを有効化します。
  2. (任意) アラートに含めるカスタム メッセージを入力します。
  3. Linux コンピュータの場合は、悪意のあるアクティビティを検出する ドロップダウン リストから、WatchGuard Endpoint Security で悪意のあるアクティビティが検出されると実行するアクションを選択します。
    • 監査 — 検出された脅威に関するレポートが生成されます。しかし、マルウェアがブロックされることはありません。
    • ブロック – 検出された脅威が報告およびブロックされます。これは、既定のオプションです。
    • 非検出 – マルウェアは検出または報告されません。

エクスプロイト対策保護を構成する

エクスプロイト対策保護により、アプリケーションの既知および不明の (ゼロデイ) 脆弱性を悪用する悪質なプログラムが企業ネットワークのコンピュータにアクセスするのを防止することができます。詳細については、エクスプロイト対策保護について を参照してください。

エクスプロイト対策保護を有効化して構成することで、脆弱性エクスプロイト攻撃と Metasploit マルウェアを検出してブロックすることができます。

サードパーティのセキュリティ ソリューションがすでにインストールされているコンピュータの場合は、エクスプロイト対策保護を徐々に有効化して、正しく機能することを確認することが勧められます。

エクスプロイト対策保護を構成するには、エクスプロイト対策セクションで以下の手順を実行します。

  1. エクスプロイト対策 トグルを有効化します。

Screen shot of WatchGuard Endpoint Security, Anti-exploit protection

  1. Windows コンピュータの場合は、リストから 動作モード を選択します。
    • 監査 – Web UI でエクスプロイト検出がレポートされますが、エクスプロイトに対するアクションが実行されること、またユーザーに情報が表示されることはありません。
    • ブロック – エクスプロイト攻撃がブロックされます。場合によっては、侵害されたプロセスを終了する、またはコンピュータを再起動する必要があります。ユーザーには、ブロックされた攻撃が添付ファイルの形式で通知されます。WatchGuard Endpoint Security により、侵害されたプロセスが自動的に終了します。
  2. エクスプロイト対策保護により、侵害されたプロセスがブロックされるとユーザーに通知が発信されるようにするには、コンピュータ ユーザーにブロックを報告する トグルを有効化します。

    ユーザーには通知が送信され、侵害されたプロセスは必要に応じて自動的に終了します。
  3. 侵害されたプロセスを終了することをユーザーに促すには、侵害されたプロセスを終了する許可をユーザーに求める トグルを有効化します。
    このトグルが有効になっているかどうかに関係なく、侵害されたコンピュータを再起動する必要性が発生するたびに、ユーザーは再起動の許可を提供する必要があります。

多くのエクスプロイトでは、関連するプロセスが終了するまで悪質なコードが継続的に実行されます。侵害されたプログラムが終了するまで、Web UI のセキュリティ ダッシュボードにあるエクスプロイト アクティビティ タイルには、エクスプロイト解決済みメッセージが表示されません。

プライバシーを構成する

WatchGuard Endpoint Security では、分析のために WatchGuard Cloud に送信されるファイルの名前とフルパス、およびログインしているユーザーの名前が収集されます。この情報は、Web UI に表示されるレポートとフォレンジック分析ツールでも使用されます。

データ収集を有効化するには、プライバシー セクションでトグルを有効化します。

Screen shot of WatchGuard Endpoint Security, Privacy settings

ネットワーク使用量を構成する

WatchGuard Endpoint Security では、ユーザーのコンピュータで検出されたすべての不明な実行可能ファイルが分析のために WatchGuard Cloud に送信されます。この動作は、顧客のネットワーク帯域幅に影響を与えないように構成されています。

  • WatchGuard Endpoint Security では、1 時間ごとに WatchGuard Cloud に送信されるクライアントあたりのファイルの最大容量はわずか 50 MB です。
  • クライアント エージェントからは、WatchGuard Endpoint Security を使用しているすべての顧客の不明なファイルがそれぞれ 1 回のみ送信されるだけです。
  • WatchGuard Endpoint Security は、集中的なネットワーク リソースの使用を防止するために、帯域幅管理メカニズムを搭載しています。

ネットワーク使用量を構成するには、ネットワーク使用量セクションで以下の手順を実行します。

  • 1 時間あたりの最大転送 MB テキスト ボックスに、ネットワークのコンピューター/デバイスと WatchGuard Cloud の間での転送を許可する最大 MB を入力します。

関連情報:

エクスプロイト対策保護について

設定プロファイルを管理する

設定プロファイルをコピーする

設定プロファイルを編集する