AD Helper をインストールおよび構成する

Threat Detection and Response には AD Helper コンポーネントが含まれています。ネットワークに Active Directory Server がある場合は、AD Helper をインストールして、ネットワークの Host Sensor の自動インストールと更新を管理することができます。インストールと構成が完了すると、AD Helper により Active Directory Server から TDR アカウントにドメインとホストのリストが送信されます。TDR アカウントで、AD Helper によりインストールされる Host Sensor を指定します。

AD Helper をインストールする

ネットワークドメインの任意の Windows サーバーまたはコンピュータに AD Helper をインストールできます。AD Helper は Mac OS と互換性がありません。

前提条件：

AD Helper には Java が必要です。Java 8 Update 162 以降または OpenJDK8 と、Amazon Corretto の事前構築済みパッケージをインストールする必要があります。Amazon Corretto の詳細については、Amazon Corretto を参照してください。Java 8 から Amazon Corretto 8 JDK に移行する方法については、Oracle Java 8 ライセンスの変更と WatchGuard Java Apps を参照してください。

AD Helper をインストールする Windows コンピュータに Java 8 がインストールされている必要があります。

AD Helper .MSI インストーラを Windows 管理者として実行する必要があります。

AD Helper の OS 互換性に関する詳細については、TDR リリースノトページに記載されている TDR リリースノートを参照してください。

AD Helper をインストールするには、以下の手順を実行します：

TDR にログインする.
監視 > Threat Detection の順に選択します。
デバイス / ユーザー セクションで、AD Helper を選択します。
AD Helper 構成ページが開きます。

Screen shot of the AD Helper Configuration page

AD Helper 構成 ページで、アカウント UUID をコピーします。
次の手順で AD Helper を構成する際に、アカウント UUID を追加します。
.MSI インストーラファイルをダウンロードするには、ダウンロード をクリックします。
インストーラを開始するには、ダウンロードした .MSI インストーラファイルをダブルクリックします。
必要に応じて、Windows 管理者認証を入力します。

Windows コマンドプロンプトから Administrator として. MSI インストーラを実行することもできます。

Windows スタートメニューで、コマンドプロンプト を右クリックして、管理者として実行 を選択します。
Windows コマンドプロンプトウィンドウが開きます。
.MSI ファイルをダウンロードした場所にディレクトリを変更します。
コマンド msiexec /package helper.msi を入力します。

AD Helper は、ローカルサービス ヘルパー として実行されます。

既定では、TDR の新しいバージョンが利用可能になると、AD Helper が自動的に更新されます。TDR Web UI の全般設定ページで AD Helper の自動更新が無効化されている場合は、新しいバージョンが利用可能になったときに手動で AD Helper を更新することができます。詳細については、次を参照してください：AD Helper を更新する

コンテンツインスペクションと証明書検証が有効化されている HTTPS プロキシポリシーを持つ Firebox の配下に AD Helper をインストールした場合は、HTTPS パケットフィルタポリシーを構成して、AD Helper から TDR クラウドへの接続を許可する必要がある可能性があります。詳細については、TDR トラフィックのファイアウォールポリシーを構成するを参照してください。

ターゲットホストを構成する

AD Helper で Host Sensor を正常に展開できるようにするには、以下を確認します。

AD Helper ホストが、ターゲットホストのホスト名を解決できようになっている必要があります。
ターゲットホストで、ファイルとプリンタの共有が有効化されている必要があります。
AD Helper アカウントに、ターゲットホストでインストールを実行するための権限がある必要があります。Windows 10 では、Domain Admins グループでこれが既定で無効になっています。
ターゲットホストが TDR クラウドと通信できる必要があります。
ホストのローカルファイアウォールまたはサードパーティソフトウェアにより、インストールプロセスをブロックされないようになっている必要があります。

AD Helper を構成する

AD Helper をインストールしたら、Active Directory ドメインコントローラと TDR アカウントのクラウド URL に接続するように AD Helper を構成する必要があります。

AD Helper のアクティブドメインユーザーアカウントを特定する

AD Helper 設定で、Domain Users または Domain Admins セキュリティグループのメンバーであるユーザーの認証を指定する必要がありますDomain Users セキュリティグループのメンバーであるユーザーアカウントを選択する場合は、ユーザーアカウントのセキュリティ権限が、ターゲット endpoint へのソフトウェアのインストールが許可されるように正しく構成されていることを確認します。

ドメインユーザーアカウントで、ネットワークのホストに Host Sensor をインストールします。選択したドメインユーザーアカウントに、ネットワークのすべてのホストで以下の操作を実行する権限があることを確認します。

デバイスに接続する
共有 ADMIN$ をマウントする
ホストにファイルを作成する
ホストでコマンドを実行する
ホストにソフトウェアをインストールする

AD Helper 設定を構成する

AD Helper を構成するには、ポート 8080 でローカル Web サーバーに接続します。別のポートを使用する場合は、AD Helper で使用されるポートを変更することができます。詳細については、AD Helper のポートを変更するを参照してください。

AD Helper を構成するには、以下の手順を実行します：

AD Helper をインストールしたコンピュータで、http://localhost:8080 で AD Helper Web UI に接続します。ヒント！
Active Directory Helper Web UI が開きます。
AD Helper Web UI で、設定 > プロパティ の順に選択します。

Screen shot of the AD Helper Properties page

アカウント UUID テキストボックスに、アカウント UUID を貼り付けます。
.MSI インストーラをダウンロードしたページでアカウント UUID をコピーすることができます。
クラウド URL は、TDR アカウントの URL で自動的に構成されます。WatchGuard が URL を変更するよう指示した場合、WatchGuard が提供するクラウド URL を入力または貼り付けます。
保存をクリックします。
アカウントプロパティが保存され、TDR アカウントへの接続が自動的にテストされます。
TDR アカウントへの接続をもう一度テストするには、URL をテストする をクリックします。
ページ上部のバナーにテスト結果が表示されます。
構成 > ドメイン の順に選択します。
ドメインページが開きます。
ドメインの追加 をクリックします。

Screen shot of the AD Helper Domains page

ドメインコントローラを追加するには、追加をクリックします。
サーバーを追加するダイアログボックスが開きます。

Screen shot of the Add Server dialog box

ドメインコントローラ テキストボックスに、Active Directory ドメインコントローラのホスト名または IP アドレスを入力します。
プロトコル ドロップダウンリストから、ドメインコントローラへの接続に使用するプロトコルを選択します。
ポート テキストボックスに、ドメインコントローラへの接続に使用するポートを指定します。
既定設定はポート 389 です。

プロトコル Microsoft Active Directory を選択した場合は、既定のポート 389 を使用します。
プロトコル Microsoft Active Directory - Securey を選択した場合は、ポートを 636 に変更します。

ポートをグローバルカタログポート (3268 および 3269) に設定しないでください。これらのポートのクエリに対する応答には、AD Helper によりホストに Host Sensor がインストールされる際に必要な情報は含まれていません。

保存をクリックします。
ドメインコントローラがサーバーのリストに追加されます。
名前テキストボックスに、Active Directory ドメインの名前を入力します。
完全修飾名 テキストボックスに、Active Directory ドメインの FQDN (完全修飾ドメイン名) を入力します。
ログオンドメイン テキストボックスに、Active Directory ドメインコントローラにログインする際に指定する必要があるドメイン名を入力します。通常、これは完全修飾名テキストボックスに指定されている FQDN と同じですが、一部の Windows 2003 以前のドメインでは、代わりに NetBIOS ドメイン名を入力する必要がある場合があります。
ユーザー名 と パスワード テキストボックスで、Active Directory ドメインコントローラにログインする際に AD Helper で使用する必要があるアカウント認証を入力します。
保存をクリックします。
AD Helper が Active Directory ドメインコントローラに接続され、TDR アカウントにホストとドメインのリストが送信されます。

Active Directory の同期は即座には行われません。AD Helper ですべてのホスト、グループ、ドメインの情報が TDR アカウントと完全に同期されるまでに、最大 2 時間かかる場合があります。

ホスト、ドメイン、AD Helper のステータスを表示する

AD Helper を構成すると、AD Helper が Active Directory ドメインコントローラに接続され、TDR アカウントにホストとドメインのリストが送信されます。Active Directory でホスト、グループ、およびドメインを表示して、AD Helper のステータスを確認するには、TDR アカウントにログインする必要があります。

Active Directory でホスト、グループ、およびドメインを表示するには、以下の手順を実行します。

TDR にログインする.
ホスト、グループ、ドメイン、および AD Helper に関する情報を表示する場合：
- ホストのリストを表示するには、監視 > Threat Protection の順に選択します。
- デバイス / ユーザー > ホスト の順に選択します。
- 既定では、ホストページはフィルタリングされ、Host Sensor がインストールされているホストが表示されます。Active Directory と新たに同期されたホストを含むすべてのホストを表示するには、ホストページで、をクリックし、クリア を選択してすべてのフィルタをクリアします。
- ドメインのリストを表示するには、構成 > Threat Detection の順に選択します。
  - ThreatSync > ドメイン の順に選択します。
- Active Directory グループのリストを表示するには、構成 > Threat Detection の順に選択します。
  - ThreatSync > グループ の順に選択します。
- 種類列で、Active Directory を選択して、適用をクリックします。
- AD Helper のステータスを表示するには、監視 > Threat Detection の順に選択します。
  - デバイス / ユーザー > AD Helper の順に選択します。
    AD Helper のステータスセクションに、インストールされている AD Helper のバージョン、AD Helper がインストールされているホスト名、および前回に AD Helper からハートビートを受信した日時が表示されます。

Screen shot of the AD Helper Status section of the AD Helper page

AD Helper の問題に関する情報を表示するには、をクリックします。ヒント！

AD Helper をセットアップしたら、TDR アカウントで、Active Directory ドメインのホストに Host Sensor をインストールすることができます。詳細については、TDR Host Sensor を自動インストールするを参照してください。

AD Helper のポートを変更する

既定では、AD Helper ユーザーインターフェイスでポート 8080 が使用されます。AD Helper に接続するために使用するポートを変更する場合は、AD Helper 構成ファイルを編集します。

AD Helper のポートを変更するには、以下の手順を実行します：

AD Helper がインストールされているコンピュータで、ファイル：C:\Program Files (x86)\WatchGuard\Active Directory Helper\helper.xml を編集します。
ライン 42で、--httpPort=8080 を見つけます。8080 を、使用するポート番号に置き換えます。
ファイルを保存します。

AD Helper で指定したポートが使用されるようにするには、AD Helper を再起動する必要があります。

管理者として Windows コマンドプロンプトを開きます。
コマンドプロンプト ウィンドウで、以下のコマンドを貼り付ける、または入力します。
「C:\Program Files (x86)\WatchGuard\Active Directory Helper\helper.exe」。そして、再起動します。

AD Helper を更新する

TDR の全般設定ページで AD Helper の自動更新が有効化されている場合は、新しいバージョンの TDR が使用可能になったときに、AD Helper が自動的に更新されます。詳細については、TDR 全般設定を参照してください。

AD Helper の自動更新が無効化されている場合は、新しいバージョンが利用可能になったときに、TDR Web UI で AD Helper を更新することができます。AD Helper を更新できる場合は、アイコンがバージョン列に表示されます。

AD Helper を TDR から更新するには、以下の手順を実行します。

監視 > Threat Detection にアクセスします。
デバイス / ユーザー セクションで、AD Helper を選択します。
バージョン 列で、インストールされている AD Helper バージョンの横にあるをクリックします。

AD Helper を手動でアップグレードする

AD Helper を自動更新できない場合は、AD Helper を手動でアップグレードすることができます。AD Helper の構成が失われないように、指示に注意深く従ってください。

AD Helper を手動でアップグレードするには、以下の手順を実行します。

AD Helper サービスを停止するには、services.msc を使用するか、またはコマンドプロンプトを開いて、コマンド net stop helper を実行します。
helperapp フォルダを参照します。
- 64 ビット JRE がインストールされているシステムの場合 — %WINDIR%\sysWOW64\config\systemprofile\helperapp\
- 32 ビット JRE がインストールされているシステムの場合 — %WINDIR%\system32\config\systemprofile\helperapp\
helperapp フォルダのコンテンツを別の場所にバックアップします。
既存の AD Helper をアンインストールします。
TDR Web UI から最新バージョンの AD Helper をダウンロードします。
新しい AD Helper をインストールします。
AD Helper サービスを停止するには、services.msc を使用するか、またはコマンドプロンプトを開いて、コマンド net stop helper を実行します。
%WINDIR%\system32\config\systemprofile\helperapp\ または %WINDIR%\sysWOW64\config\systemprofile\helperapp\ のコンテンツをステップ 3 で作成したバックアップと置き換えます。
AD Helper サービスを開始するには、services.msc を使用するか、またはコマンドプロンプトを開いて、コマンド net start helper を実行します。