適用対象:WatchGuard EPDR、WatchGuard EDR
RDP 攻撃隔離モードを使用すると、WatchGuard Endpoint Security で RDP (リモート デスクトップ プロトコル) 攻撃を自動的に阻止することができます。WatchGuard Endpoint Security では、RDP に対する総当たり攻撃 (ブルートフォース攻撃) およびその攻撃後に侵害された認証情報が監視されます。
IOA (Indicators of Attack) 設定プロファイルで、WatchGuard Endpoint Security で RDP 攻撃が特定されると実行される動作を構成することができます。設定プロファイルで RDP 攻撃トグルを有効化すると、WatchGuard Endpoint Security により、受信者コンピュータで以下のアクションが実行されます。
- 過去 24 時間に各保護対象コンピュータで発生した顧客ネットワーク外部からの RDP 経由のリモート アクセスの試行がログに記録されます。
- コンピュータが RDP 総当たり攻撃の標的であるかどうかが判断されます。
- システムのリソースにアクセスするコンピュータ アカウントのいずれかがすでに侵害されているかどうかが検出されます。
- 攻撃を軽減するために RDP 接続がブロックされます。
RDP 攻撃設定を構成するには、以下の手順を実行します。
- 上部のナビゲーション バーで、設定 を選択します。
- 左ペインで、IOA (Indicators of Attack) を選択します。
- 編集する既存のセキュリティ設定プロファイルを選択する、既存のプロファイルをコピーする、またはウィンドウの右上隅にある 追加 をクリックして新しいプロファイルを作成します。
設定を追加または編集する ページが開きます。 - 必要に応じて、プロファイルの 名前 と 説明 を入力します。
- RDP 攻撃 トグルを有効化します。
- 詳細設定 を選択します。
- 自動応答 セクションで、ワークステーションとサーバーの自動修正 (レポートまたはレポートとブロック) を指定します。
- 信頼済み IP セクションで、除外する IP アドレスと IP 範囲を追加します。
これらの IP はレポートされますが、ブロックはされません。 - プロファイルに含める他の IOA (Indicators of Attack) のトグルを有効化します。
IOA の種類については、情報アイコンをクリックしてください。WatchGuard は、サイバー犯罪者が使用する新たな戦略が反映されるように、IOA (Indicators of Attack) リストを定期的に更新しています。 - 保存 をクリックします。
- 必要に応じて、プロファイルを選択して、受信者を割り当てます。
詳細については、設定プロファイルを割り当てる を参照してください。