適用対象: WatchGuard Advanced EPDR、WatchGuard EPDR、WatchGuard EDR および WatchGuard EDR Core
ワークステーションとサーバーの設定プロファイルの高度な保護設定で、コンピュータで実行されるプログラムのアクティビティを追跡し、悪意のあるプログラムを検出およびブロックする設定を構成します。
使用可能な機能はプラットフォームごとに異なります。詳細については、Windows、Linux、macOS プラットフォームのデバイス向けの高度な保護 を参照してください。
高度な保護設定を構成するには、以下の手順を実行します。
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- 左ペインで、ワークステーションとサーバー を選択します。
- 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
設定の追加または設定の編集 ページが開きます。 - 必要に応じて、プロファイルの 名前 と 説明 を入力します。
- 高度な保護 を選択します。
- 高度な保護 トグルを有効化します。
- 必要に応じて、以下の設定を構成します。
- 保存 をクリックします。
- 必要に応じて、プロファイルを選択して、受信者を割り当てます。
詳細については、設定プロファイルを割り当てる を参照してください。
動作挙動を構成する
動作モードは EDR Core または WatchGuard EPP では使用できません。
動作挙動を構成するには、動作セクションで以下の手順を実行します。
- Windows コンピュータの場合は、リストから 動作モード を選択します (Audit、Hardening、ロック)。
動作モードの詳細については、高度な保護 – 動作モード (Windows コンピュータ) を参照してください。
- 高度な保護またはエクスプロイト対策保護によりファイルがブロックされた際にユーザー コンピュータのポップアップ アラートにメッセージが表示されるようにするには、コンピュータのユーザーにブロックを報告する トグルを有効化します。
- (任意) アラートに含めるカスタム メッセージを入力します。
- Linux コンピュータの場合は、悪意のあるアクティビティを検出する ドロップダウン リストから、WatchGuard Endpoint Security で悪意のあるアクティビティが検出されると実行するアクションを選択します。
- Audit — 検出された脅威に関するレポートが生成されます。しかし、マルウェアがブロックされることはありません。
- ブロック — 検出された脅威が報告およびブロックされます。これは、既定のオプションです。
- 検出しない — マルウェアは検出または報告されません。
エクスプロイト対策保護を構成する
Windows ARM システムでは、エクスプロイト対策技術を使用することができません。
エクスプロイト対策保護により、アプリケーションの既知および不明の (ゼロデイ) 脆弱性を悪用する悪質なプログラムが企業ネットワークのコンピュータにアクセスするのを防止することができます。詳細については、エクスプロイト対策保護について を参照してください。
エクスプロイト対策保護を有効化して構成することで、脆弱性エクスプロイト攻撃と Metasploit マルウェアを検出してブロックすることができます。
サードパーティのセキュリティ ソリューションがすでにインストールされているコンピュータの場合は、エクスプロイト対策保護を徐々に有効化して、正しく機能することを確認することが勧められます。
WatchGuard Advanced EPDR には、実行中のプロセスにコードを挿入する高度なメカニズムを検出するための高度なコード インジェクションが含まれています。
エクスプロイト対策保護を構成するには、エクスプロイト対策セクションで以下の手順を実行します。
- エクスプロイト対策 トグルを有効化します。
- Windows コンピュータの場合は、リストから 動作モード を選択します。
- Audit — 管理 UI でエクスプロイト検出が報告されますが、エクスプロイトに対するアクションが実行されること、またユーザーに情報が表示されることはありません。
- ブロック — エクスプロイト攻撃がブロックされます。場合によっては、侵害されたプロセスを終了する、またはコンピュータを再起動する必要があります。ユーザーには、ブロックされた攻撃が添付ファイルの形式で通知されます。WatchGuard Endpoint Security により、侵害されたプロセスが自動的に終了します。
- エクスプロイト対策保護により、侵害されたプロセスがブロックされるとユーザーに通知が発信されるようにするには、コンピュータのユーザーにブロックを報告する トグルを有効化します。
ユーザーには通知が送信され、侵害されたプロセスは必要に応じて自動的に終了します。 - 侵害されたプロセスを終了することをユーザーに促すには、侵害されたプロセスを終了する許可をユーザーに求める トグルを有効化します。
このトグルが有効になっているかどうかに関係なく、侵害されたコンピュータを再起動する必要性が発生するたびに、ユーザーは再起動の許可を提供する必要があります。
多くのエクスプロイトでは、関連するプロセスが終了するまで悪質なコードが継続的に実行されます。侵害されたプログラムが終了するまで、管理 UI のセキュリティ ダッシュボードにあるエクスプロイト アクティビティ タイルには、エクスプロイト解決済みメッセージが表示されません。
ネットワーク攻撃からの保護を構成する (Windows コンピュータ)
ネットワーク攻撃からの保護は EDR Core または WatchGuard EPP では使用できません。
多くのセキュリティ インシデントは、インターネットに晒されたサービスの脆弱性を悪用する攻撃によって始まります。悪質な攻撃者が目的を達成し、組織内のコンピュータに感染した場合、攻撃を阻止する必要があります。この機能は、新しいアカウントでの攻撃をブロックするよう、WatchGuard Endpoint Security で既定で有効になっています。
ネットワーク攻撃からの保護は、ネットワーク トラフィックをリアルタイムでスキャンして脅威を検出し、阻止します。インターネットおよび内部ネットワークに公開されているサービスの脆弱性を悪用しようとするネットワーク攻撃を防止します。
ネットワーク攻撃からの保護を無効にすると、それは リスク ダッシュボードでリスクとして表示されます。詳細については、WatchGuard Endpoint Security でのリスク アセスメント を参照してください。
ネットワーク攻撃からの保護を有効にするには、トグルを有効にします。以下の動作モードを選択することができます:
- Audit — ネットワーク攻撃を許可します
- ブロック — ネットワーク攻撃がアクションを実行する前にブロックします
WatchGuard Endpoint Security が検出する攻撃のリストについては、ネットワーク攻撃からの保護 — 攻撃の種類 検出済み を参照してください。
ネットワーク攻撃からの保護がネットワーク攻撃を検出した場合に電子メール アラートを送信することができます。詳細については、電子メール アラートを構成する を参照してください。
プライバシーを構成する
WatchGuard Endpoint Security では、分析のために WatchGuard Cloud に送信されるファイルの名前とフルパス、およびログインしているユーザーの名前が収集されます。この情報は、管理 UI に表示されるレポートとフォレンジック分析ツールでも使用されます。
データ収集を有効化するには、プライバシー セクションでトグルを有効化します。
ネットワーク使用量を構成する
WatchGuard Endpoint Security では、ユーザーのコンピュータで検出されたすべての不明な実行可能ファイルが分析のために WatchGuard Cloud に送信されます。この動作は、顧客のネットワーク帯域幅に影響を与えないように構成されています。
- WatchGuard Endpoint Security が WatchGuard Cloud に送信するファイルは、各クライアントにつき 1 時間あたり最大 50 MB に限られます。
- Endpoint エージェントからは、WatchGuard Endpoint Security を使用するすべての顧客の不明なファイルがそれぞれ 1 回のみ送信されるだけです。
- WatchGuard Endpoint Security は、集中的なネットワーク リソースの使用を防止するために、帯域幅管理メカニズムを実装します。
ネットワーク使用量を構成するには、ネットワーク使用量セクションで以下の手順を実行します。
- 1 時間あたりの最大転送 MB テキスト ボックスに、ネットワークのコンピューター/デバイスと WatchGuard Cloud の間での転送を許可する最大 MB を入力します。