DNSWatch アラートを管理する

DNSWatch でドメインへの要求が拒否されると、DNS リゾルバから DNSWatch ブラックホール サーバーに IP アドレスが戻されます。ブラックホール サーバーで、悪質なドメインを対象とした接続が許可され、DNS 要求のソースに関する情報の取得が試みられ、そしてマルウェア分析のための接続データが取得されます。DNSWatch ブラックホール サーバーの詳細については、DNSWatch ブラックホール サーバーについて を参照してください。

DNSWatch は、保護されたネットワークから悪質なドメインへの一連の接続に対してアラートを生成します。アラートページでは、保護されたネットワークのすべてのアラートを表示および管理できます。

DNSWatch アラートを表示するには、以下の手順を実行します:

  1. DNSWatch アカウントに ログイン します。
  2. レポート >アラート の順にクリックします。
    アラート ページが開きます。

Screen shot of the DNSWatch Alerts page

アラート ページには、以下の概要情報が各アラートに対して表示されます:

  • ドメイン — DNS 要求にあるドメイン
  • プロトコル — ブラックホール サーバーへの接続に使用されるプロトコル
  • 分類 — WatchGuard の DNSWatch 分析チームによって分類された脅威の種類
  • 被害者 — DNS 要求を受け取った保護ネットワークまたは保護デバイスのパブリック IP アドレス
  • 直近の検出日 — DNSWatch のドメインが保護されたネットワークから DNS 要求を受け取った直近の日時
  • ステータス — 解決ステータスおよび接続ステータス。
    • 赤い x () は、アラートが未解決であることを示します。
    • 緑色のチェックマーク () は、アラートが解決済みであることを示します。
    • アラートに対してブラックホール サーバーへのオープンな接続がある場合、接続ステータスアイコン () は赤色になります。

アラートの分類

すべての新しいアラートは未分類です。WatchGuard の DNSWatch チームが、新しいアラートを分析して分類を更新します。新しいアラートは、分析が完了するまで未分類のままです。DNSWatch チームは、マルウェア、ランサムウェア、およびフィッシングに関するアラートの迅速な分類に注力しています。一部のアラートは未分類のまま置かれる場合があります。

アラートの分類は以下の通りです:

  • 未分類
  • マルウェア
  • ランサムウェア
  • マルバタイジング
  • フィッシング
  • 安全性が損なわれた Web サイト
  • 以前不良と検出
  • 検出されたアドウェア
  • 防止されたアドウェア
  • 誤アラート — アラート
  • テスト
  • 手動でのブロック

手動でのブロックに分類された場合は、これはドメインへの DNS 要求がブロックリストにあるために拒否されたという意味です。ブロックリストの詳細については、DNSWatch ブロックリスト ドメインを管理する を参照してください。

アラートの詳細を表示する

アラートの詳細については、アクション 列から 表示 をクリックします。アラートの詳細を表示する際に、アクションを選択してアラートを解決または停止できます。

詳細については、DNSWatch アラートの詳細を表示する を参照してください。

アラートを解決する

アラートのステータスは 解決済み に変更できます。これは、ディスカッションや調査完了後に、解決済みとみなしたものに設定するなどが可能です。アラートのステータスが解決済みに変更されると、コメントが変更された場合も DNSWatch からメールアラートが送信されなくなります。保護されたネットワークのドメインからの新しい接続があった場合は、DNSWatch により解決済みのアラートが再度開かれます。

オープンな接続があるアラートは解決できません。

アラート ページからアラートを解決するには、以下の手順を実行します:

  1. 1 つまたは複数のアラートのチェックボックスを選択します
  2. 選択したアラートを解決する をクリックします。

アラートのメール通知を停止して、アラートのステータスを解決済みに変更せずにメール通知を停止することもできます。この操作は、表示 をクリックしてアラートの詳細を表示した後に実行できます。詳細については、DNSWatch アラートの詳細を表示する を参照してください。

アラート リストをフィルタする

アラート リストは、ドメイン、プロトコル、被害者の IP アドレス、解決ステータス、コメント、および分類でフィルタリングできます。

アラート リストをフィルタするには、以下の手順を実行します:

  1. フィルタ をクリックします。

    利用可能なフィルタのリストが表示されます。

  1. 使用可能なフィルタから 1 つ以上のフィルタを指定します。
  2. フィルタを適用する をクリックします。

アラートのフィルタに関するヒント:

  • 特定のドメインのアラートを表示するには、ドメイン フィルタで、アラート リストのドメイン列に表示される通りにドメイン名を指定します。この際、点の周りの括弧も含めます。例えば、baddomain[.]com などです。ドメインが完全に一致するよう、アラートのドメイン列からドメイン名をコピーして、ドメイン フィルタに張り付けます。
  • 保護された特定のネットワークのアラートを表示するには、被害者の IP フィルタで、保護されたネットワークの IP アドレスを被害者列に表示される通りに指定します。

アラート リストでフィルタを解除するには、以下の手順を実行します。

  1. フィルタ をクリックします。
  2. フィルタのクリア をクリックします。

または、トップのナビゲーション メニューにある アラート をクリックしてページを再読み込みしてもフィルタをクリアできます。

接続を表示

アラートに関連する接続を表示するには、表示 をクリックしてアラートの詳細を表示します。詳細については、DNSWatch アラートの詳細を表示する を参照してください。

DNSWatch によって拒否されたすべての接続を表示するには、アラート ページ上部にある 接続 リンクをクリックします。

詳細については、DNSWatch 接続を表示する を参照してください。

関連情報:

DNSWatch 電子メール通知について

WatchGuard DNSWatch について