TDR の署名上書きを構成する

TDR 構成で、特定のファイルとプロセスの署名上書きを指定することができます。上書きを指定するには、ファイルまたはプロセスの MD5 値を追加して、TDR でそのファイルが安全または悪意のあるものとみなされるようにします。指定した署名上書きそれぞれで、それを許可リストに追加するかどうかを選択することができます。署名上書きには、2 つの種類があります。

許可リスト

許可リストの上書きでは、安全と見なされるもので、TDR でスキャンまたは緩和 (たとえば、強制終了 または 検疫 アクションが実行) されるべきでないファイルやプロセスが特定されます。許可リストに追加されたファイルの既存のインジケータにはスコア 0 が割り当てられます。TDR では、許可リストの上書きで MD5 値と一致するファイルの新しいインジケータは作成されません。

許可リストの署名上書きを追加するには、署名上書き設定で、許可リスト チェックボックスを選択します。

脅威リスト

脅威リストの上書きでは、TDR で常に脅威とみなされるべきファイルまたはプロセスが特定されます。署名上書きは、追加した後にのみ適用され、過去に検出されている場合は MD5 のスコアには影響しません。Host Sensor で脅威を緩和するアクションが実行されない場合は、脅威リストのファイルのインジケータには脅威スコア 8 が割り当てられます。

脅威リストの署名上書きを追加するには、署名上書き設定で、許可リスト チェックボックスが選択されていないことを確認します。

前のインジケータで特定されたファイルを上書きリストに追加するには、インジケータ ページでファイルの MD5 値をコピーします。

インジケータの MD5 値を表示するには、以下の手順を実行します。

  1. インジケータ 列で、インジケータを見つけます。
  2. 追加情報 をクリックします。

MD5 ファイル ハッシュ計算ユーティリティを使用して、ファイルの MD5 値を見つけることもできます。

検疫からファイルを削除するアクションを実行すると、システムでそのファイルの MD5 値が自動的に許可リストに追加されます。

脅威リストと許可トリストで MD5 を検索する

署名上書きページで、MD5 を検索して、脅威リストまたは許可リストにそれが入っているかどうかを確認することができます。

MD5 を検索するには、以下の手順を実行します。

  1. TDR にログインする.
  2. 構成 > Threat Detection の順に選択します。
  3. ThreatSync セクションで、署名上書き を選択します。
    現在構成されている署名上書きのリストが表示されます。
  4. 検索 をクリックします。
    脅威リストと許可リストで MD5 を検索する ダイアログ ボックスが開きます。

Screen shot of the MD5 in Threatlist and Allowlist dialog box

  1. テキスト ボックスに MD5 を貼り付けて、検索 をクリックします。
    MD5 の情報が表示されます。

署名上書きを追加する

署名上書きを追加するには、Analyst としてログインする必要があります。

署名上書きを追加するには、以下の手順を実行します。

  1. 構成 > Threat Detection の順に選択します。
  2. ThreatSync セクションで、署名上書き を選択します。
    現在構成されている署名上書きのリストが表示されます。

Screen shot of the Signature Overrides page

  1. + 署名の上書きを追加する をクリックします。
    署名上書きを追加する ダイアログ ボックスが開きます。

Screen shot of the Add Signature Override dialog box

  1. MD5 テキスト ボックスに、ファイルの MD5 を貼り付けます。
  2. (任意) コメント テキスト ボックスに、上書きの説明を入力します。
  3. 上書きを適用するホストおよびグループを選択します。
    1. ホスト名またはホスト グループ テキスト ボックスに、追加するホストまたはホスト グループの名前の少なくとも 3 文字を入力します。ヒント!
      これらの文字が含まれているホスト名とグループ名が表示されます。
    2. 追加するホストまたはグループの名前を選択します。
    3. 他のホストまたはグループを追加するには、前述の 2 つの手順を繰り返します。
  4. これが、安全と見なされるもので、TDR でスキャンされるべきでないファイルの上書きの場合は、許可リスト チェックボックスを選択します。
  5. 保存 をクリックします。
    署名上書きがリストに追加されます。

署名上書きをバックアップまたはインポートする

すべての署名上書きのバックアップを .XML ファイルに保存することができます。署名上書きを TDR アカウントに追加するには、保存した .XML ファイルをインポートします。 =これにより、TDR Service Provider は、1 つの管理対象カスタマー アカウントで構成された署名上書きを別の管理対象アカウントに簡単にコピーすることができます。 =上書きの重複が発生しないように、インポートされた署名上書きは、既存の署名上書きリストにマージされます。

署名上書きを WatchGuard Cloud のバックアップ ファイルに保存するには、以下の手順を実行します。

  1. 構成 > Threat Detection の順に選択します。
  2. ThreatSync セクションで、署名上書き を選択します。
    現在構成されている署名上書きのリストが表示されます。
  3. バックアップ をクリックします。
    .XML バックアップ ファイルは、ダウンロード フォルダに保存されます。

署名上書きのバックアップ ファイル名には、現在の日付と時刻が含まれます。例:

WatchGuardTDR_SignatureOverrides_2016-12-13_22-39-43.xml

保存されている署名上書き .XML ファイルから署名上書きをインポートするには、以下の手順を実行します。

  1. インポート をクリックします。
  2. 保存されているバックアップ ファイルを選択して開きます。
    確認 ダイアログ ボックスが開きます。
  3. インポート をクリックします。
    ファイルの署名上書きが、署名上書きリストに追加されます。

署名上書きを編集または削除する

署名上書きを編集または削除するには、以下の手順を実行します。

  1. 列の左側で、矢印をクリックします。
    署名上書きを編集する ダイアログ ボックスが開きます。

Screen shot of the Edit Signature Override dialog box

  1. 設定を編集します。
  2. 保存して閉じる をクリックします。
    変更が保存され、編集設定が折りたたまれます。

署名上書きを削除するには、以下の手順を実行します。

  1. 削除する署名上書きの行で、 をクリックします。
  2. 署名上書きを削除する をクリックします。
  3. 削除 をクリックします。