TDR ポリシーを構成する

TDR ポリシーで、脅威が検出された際に Host Sensor で自動的に実行されるアクションを定義します。TDR アカウントには、推奨設定の既定のポリシーが含まれています。既定のポリシーを編集して、異なる Cybercon レベルで、異なるホストとホスト グループに適用する追加の TDR ポリシーを構成することができます。

既定のポリシーおよびポリシーの推奨事項については、次を参照してください:推奨 TDR ポリシー

TDR ポリシーには、相対優先度を示すランクが付けられています。TDR では、ポリシーがランク順に評価されます。同じホストに複数の TDR ポリシーを同時に適用することができます。ターゲットのすべてのアクティブなポリシーがランク順に評価され、Host Sensor で実行されるアクションが判断されます。アクティブな複数のポリシーで同じターゲット ホストに対するアクションが許可または禁止されている場合は、最も高いランク(最小番号)のポリシーが優先されます。

ネットワーク セキュリティ手順の一環として、組織に特定の意味を持つ Cybercon レベルを定義します。Cybercon レベルの意味を定義したら、各レベルの TDR ポリシーを構成できるようになります。詳細については、TDR Cybercon レベルについて を参照してください。

TDR ポリシーの種類

TDR では、以下の 3 種類のポリシーを構成することができます。

修正ポリシー

修正ポリシーで、ホストで検出された脅威に対して Host Sensor で自動的に実行されるアクションを定義します。

APT Blocker ポリシー

APT Blocker ポリシーにより、セキュアなサンドボックス環境で分析を行うために、Host Sensor で不審なファイルが自動的にアップロードされるタイミングが定義されます。詳細については、APT Blocker による TDR サンドボックス分析 を参照してください。

APT Blocker ポリシーを追加する前に、全般設定ページで APT Blocker 機能を有効化する必要があります。詳細については、TDR 全般設定 を参照してください。

隔離ポリシー

隔離ポリシーにより、インシデントの脅威スコアしきい値に基づいて、自動的に Windows ホストが隔離されるタイミングおよび隔離からリリースされるタイミングが定義されます。脅威がネットワークを介して伝播されないように、隔離によりホストのネットワーク接続が遮断されます。詳細については、TDR 検疫を構成する を参照してください。

アクティブな TDR ポリシーについて

TDR アカウントでアクティブになっているポリシーは、Cybercon レベル、および TDR ポリシーで構成されている Cybercon しきい値とランクによって異なります。Cybercon レベルの変更またはポリシー構成の変更に起因してアクティブなポリシーが変更された場合は、ポリシーの基準を満たす新しいインジケータにアクティブなポリシーが直ちに適用されます。ポリシーまたは Cybercon レベルが変更された後は、TDR によりこれらの前の結果の 1 つを持つ既存のインジケータが再評価されます。

  • ポリシーなし — 要求された修正アクションを実行するアクティブなポリシーがない
  • ポリシーによってブロック — 修正ポリシーにより、要求された修正アクションがブロックされている

短期間に TDR ポリシーにいくつかの変更が加えられる可能性があるため、ポリシーまたは Cybercon レベルが変更された後 5 分経過してから、TDR で既存のインジケータが再評価されます。

APT Blocker ポリシーは、新しいインジケータにのみ適用できます。Cybercon レベルまたはアクティブな APT Blocker ポリシーが変更された場合は、TDR では既存のインジケータの再評価は行われません。

ポリシー ルール、アクション、ターゲット

各 TDR ポリシーで、ルール、アクション、およびターゲットを構成します。

構成する

ルール で、Host Sensor で TDR ポリシーが実行されるタイミングを定義します。修正ポリシーまたは隔離ポリシーを使用して、Host Sensor でポリシーのアクションが実行されるタイミングを制御する 2 つのしきい値を構成します。

  • Cybercon しきい値 — 最大 Cybercon レベル。このレベルに達すると、ポリシーが実行されます。
  • 脅威スコアしきい値 — ホストで検出される最大インジケータまたはインシデント脅威スコア。このスコアに達すると、ポリシーが実行されます。修正ポリシーの場合は、CYBERCON しきい値ルールが満たされると、インジケータ スコアがポリシーで有効化されているしきい値以上になったときに、ポリシーによりターゲット ホストに新しいインジケータが適用されます。隔離ポリシーの場合は、CYBERCON しきい値ルールが満たされると、インジケータ スコアがポリシーで有効化されているしきい値以上になったときに、ポリシーによりターゲット ホストに新しいインシデントが適用されます。

APT Blocker ポリシーの場合は、Cybercon しきい値のみを構成します。

アクション

アクション で、ポリシーが実行されたときに Host Sensor で発生するアクションを定義します。

ポリシー アクションは、ポリシー ルールに一致する新しいインジケータにのみ適用されます。ポリシーは、ポリシーがアクティブ化される前に存在していたインジケータには適用されません。

各ポリシーで、そのポリシーによりアクションが許可されるか拒否されるかを定義します。

  • 実行する — ポリシーにより、Host Sensor でポリシー ルールに一致する新しいインジケータに指定されたアクションが実行されることが許可されます。
  • 実行しない — 同じターゲット ホストに適用されるよりも低いランクのポリシーにより許可されている場合は、このポリシーにより、Host Sensor で指定されているアクションの実行が許可されません。ポリシーが 実行しない に設定されている場合も、オペレータが手動でアクションを実行することは可能です。

修正ポリシーの場合は、以下の 1 つまたは複数のアクションを選択します。

  • プロセスを強制終了する — プロセスまたは Host Ransomware Prevention インジケータに適用されます。Host Sensor で通信ポートが特定されると、Host Sensor ではネットワーク ポートへの通信をサポートするプロセスが終了します。
  • ファイルを検疫する — ファイルが実行不可能となるように、インジケータで特定されたファイルのコンテンツが XOR により暗号化されます。
  • レジストリ値を削除する — 悪意のあるファイルを参照するレジストリ値が削除されます。

プロセスの強制終了 のアクション自体で、脅威が修正されるわけではありません。脅威を自動的に修正するには、すべてのアクションを許可することをお勧めします。詳細については、TDR 修正アクションおよび脅威スコア を参照してください。

APT Blocker ポリシーの場合は、アクションは 1 つのみです。

  • ファイルをサンドボックスする — 不審なファイルが APT Blocker 分析のためにサンドボックスに送信されます。

隔離ポリシーの場合は、アクションが 2 つあります。

  • ホストを隔離する — ホストのネットワーク接続が遮断されます。
  • ホストをリリースする — TDR により脅威が修正された後、ホストが自動的にリリースされます。

ホストを隔離するには、Host Sensor の設定で カーネル ホスト隔離アクション を有効化する必要があります。詳細については、TDR Host Sensor 設定を構成する を参照してください。

ターゲット

ターゲット で、アクションが適用されるホストを定義します。各ポリシーに、個々のホストまたはホストのグループをターゲットとして追加することができます。ターゲットが含まれていないポリシーは、どのホストにも影響を与えません。Host Sensor がインストールされているすべてのホストにポリシーを適用する場合は、組み込みのグループ すべてのホスト を使用することができます。

グループの詳細については、次を参照してください:TDR グループを管理する

ポリシーを表示および管理する

ポリシーを管理するには、以下の手順を実行します。

  1. TDR にログインする.
  2. 構成 > Threat Detection の順に選択します。
  3. ThreatSync セクションで、ポリシー を選択します。
    ポリシー ページが開きます。

Screen shot of the Policy page

  1. 特定のポリシーを検索する場合は、フィルタのドロップダウン リストから、および検索テキスト ボックスに、ポリシーの詳細を指定します。

フィルタを管理する

各列の上部で、ページに表示される情報をフィルタリングすることができます。ページを開くたびにページが既定で指定されている情報になるように、フィルタ設定を保存することができます。

  1. 保存する列設定を選択します。
  2. 左端の列ヘッダーで、 をクリックします。
  3. 保存 を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. 適用 を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. クリア を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. 削除 を選択します。

ポリシーを追加する

ネットワークの脅威に自動的に対処するように、ポリシーの組み合わせを追加することができます。修正ポリシーの詳細については、次を参照してください:推奨 TDR ポリシー

  1. ポリシー ページで、ポリシーを追加する をクリックします。
    ポリシーの種類の選択の設定が開きます。
  2. 修正ポリシー を選択します。
    修正ポリシーの設定が開きます。

Screen shot of the Add Policy dialog box for a Remediation policy

  1. 名前 テキスト ボックスに、ポリシー名を入力します。
  2. (任意) コメント テキスト ボックスに、ポリシーに関する他の情報を入力します。
  3. Cybercon しきい値 ドロップダウン リストから、このポリシーが実行される Cybercon レベルを選択します。
    Cybercon レベルがここで選択した値以下になっている場合にのみ、ポリシーが実行されます。
  4. 脅威スコアしきい値を選択する ドロップダウン リストから、このポリシーが実行されるインジケータ脅威スコアを選択します。
    ここで選択されている値以上の脅威スコアのインジケータに対して、このポリシーが実行されます。
  5. このポリシーのターゲットを選択します。
    1. ホスト名またはホスト グループ テキスト ボックスに、追加するホストまたはホスト グループの名前の少なくとも 3 文字を入力します。ヒント!
      これらの文字が含まれているホスト名とグループ名が表示されます。
    2. 追加するホストまたはグループの名前を選択します。
    3. このポリシーに他のターゲットを追加するには、前の 2 つの手順を繰り返します。
  6. 指定したアクションを Host Sensor で実行できるようにするかどうかを指定するオプションを選択します。
    • 実行する — Host Sensor で指定されたアクションの実行が許可されます。
    • 実行しない — Host Sensor で指定されたアクションの実行が許可されません。
  7. ターゲット ホストでこのポリシーにより管理される各アクションのチェックボックスを選択します。
    これらのアクションの詳細については、次を参照してください:アクション
  8. 保存して閉じる をクリックします。
  1. ポリシー ページで、ポリシーを追加する をクリックします。
    ポリシーの種類の選択の設定が開きます。
  2. APT Blocker ポリシー を選択します。
    APT Blocker ポリシーの設定が開きます。

  1. 名前 テキスト ボックスに、ポリシー名を入力します。
  2. (任意) コメント テキスト ボックスに、ポリシーに関する他の情報を入力します。
  3. Cybercon しきい値 ドロップダウン リストから、このポリシーが実行される Cybercon レベルを選択します。
    Cybercon レベルがここで選択した値以下になっている場合にのみ、ポリシーが実行されます。
  4. このポリシーのターゲットを選択します
    1. ホスト名またはホスト グループ テキスト ボックスに、追加するホストまたはホスト グループの名前の少なくとも 3 文字を入力します。ヒント!

      これらの文字が含まれているホスト名とグループ名が表示されます。
    2. 追加するホストまたはグループの名前を選択します。
    3. このポリシーに他のターゲットを追加するには、前の 2 つの手順を繰り返します。
  5. Host Sensor で、ファイルのサンドボックス アクションが実行できるようにするかどうかを指定するオプションを選択します。
    • 実行する — Host Sensor で、ファイルのサンドボックス アクションの実行が許可されます。
    • 実行しない — Host Sensor で、ファイルのサンドボックス アクションの実行が許可されません。
  6. 保存して閉じる をクリックします。
  1. ポリシー ページで、ポリシーを追加する をクリックします。
    ポリシーの種類の選択の設定が開きます。
  2. 隔離ポリシー を選択します。
    隔離ポリシーの設定が開きます。

Screen shot of the Add Policy dialog box for a Containment policy

  1. 名前 テキスト ボックスに、ポリシー名を入力します。
  2. (任意) コメント テキスト ボックスに、ポリシーに関する他の情報を入力します。
  3. Cybercon しきい値 ドロップダウン リストから、このポリシーが実行される Cybercon レベルを選択します。
    Cybercon レベルがここで選択した値以下になっている場合にのみ、ポリシーが実行されます。
  4. 脅威スコアしきい値を選択する ドロップダウン リストから、このポリシーが実行されるインシデント脅威スコアを選択します。
    ここで選択した値以上の脅威スコアのインシデントに対して、このポリシーが実行されます。
  5. このポリシーのターゲットを選択します。
    1. ホスト名またはホスト グループ テキスト ボックスに、追加するホストまたはホスト グループの名前の少なくとも 3 文字を入力します。ヒント!
      これらの文字が含まれているホスト名とグループ名が表示されます。
    2. 追加するホストまたはグループの名前を選択します。
    3. このポリシーに他のターゲットを追加するには、前の 2 つの手順を繰り返します。
  6. Host Sensor で、ホストの隔離アクションを実行できるようにするかどうかを指定するオプションを選択します。
    • 実行する — Host Sensor で、ホストの隔離アクションを実行することが許可されます。
    • 実行しない — Host Sensor で、ホストの隔離アクションを実行することが許可されません。
  7. 保存して閉じる をクリックします。

ポリシーのランクを変更する

ポリシー ページには、現在定義されているすべてのポリシーが優先順位の高い順に含まれています (最高ランク:1 から順に下のランクへ)。新しいポリシーを追加すると、それが自動的に ポリシー リストの最高ランクに追加されます。ポリシーのターゲットに基づいてポリシーで自動的にランクが変更されることはありません。各ポリシーのランクは手動で変更する必要があります。

たとえば、単一のホストでアクションを実行しないようにポリシーを構成して、そのホストが属しているグループのアクションを実行するように設定されている新しいポリシーを追加すると、後から追加したポリシー (グループの新しいポリシー) のほうのランクが高くなり、優先されます。単一ホストのポリシーを優先する場合は、リストで、そのポリシーのランクをホストが属しているグループのポリシーよりも上位に手動で変更する必要があります。

ポリシーのランクを変更するには、以下の手順を実行します。

  • ランク 列で、ポリシーのランクを上下に移動して、そのポリシーの横にある または をクリックします。
  • ランク 列で、テキスト ボックスの数値を変更します。
  • ポリシーをリスト内の別の位置にドラッグ アンド ドロップします。

ポリシーのランクを変更すると、リスト内の他すべてのポリシーに割り当てられている番号が自動的に更新され、新しいランクが表示されます。

全般設定ページで APT Blocker 機能が無効化されている場合は、すべての APT Blocker ポリシーは非表示になり、これらのポリシーに割り当てられた数値はランクの列で省略されます。

ポリシー ランクおよびアクションの優先順位

同じターゲット ホストに複数のアクティブな TDR ポリシーを同時に適用することができます。これは、ファームウェアにおけるポリシーの優先順位の仕組みとは異なります。複数のアクティブな TDR ポリシーを同じターゲット ホストに適用すると、最高ランクのポリシーのアクションが各アクションに適用されます。たとえば、ターゲットの最高レベルのポリシーで、Host Sensor でレジストリ値の削除アクションが実行できないように指定されており、同じターゲットの下位ランクのポリシーでは、Host Sensor でプロセスの強制終了、ファイルの検疫、レジストリ値の削除アクションが実行できるように指定されている場合は、Host Sensor ではプロセスの強制終了とファイルの検疫アクションのみが実行されます。これは、Host Sensor がレジストリ値の削除アクションを実行するべきではないと指定するアクションのほうが優先順位が高いためです。

ポリシーをバックアップまたはインポートする

すべてのポリシーのバックアップを .XML ファイルに保存することができます。ポリシーを TDR アカウントに追加するには、保存した .XML ファイルをインポートします。これにより、TDR Service Provider は、1 つの管理対象カスタマー アカウントで構成されたポリシーを別の管理対象アカウントに簡単にコピーすることができます。ポリシーの重複が発生しないように、インポートされたポリシーは、既存のポリシー リストにマージされます。

インポートされたバックアップ ファイルのポリシー名が既存のポリシー名と一致する場合に、既存のポリシーがインポートされたポリシーに置き換えられます。

ポリシーをバックアップ ファイルに保存するには、以下の手順を実行します。

  1. 構成 > Threat Detection の順に選択します。
  2. ThreatSync セクションで、ポリシー を選択します。
    ポリシー ページが開きます。
  3. バックアップ をクリックします。
    .XML バックアップ ファイルは、ダウンロード フォルダに保存されます。

ポリシーのバックアップ ファイル名には、現在の日付と時刻が含まれます。例:

WatchGuardTDR_Policies_2017-01-25_22-39-43.xml

保存されているポリシー .XML ファイルからポリシーをインポートするには、以下の手順を実行します。

  1. インポート をクリックします。
  2. 保存されているバックアップ ファイルを選択して開きます。
    確認 ダイアログ ボックスが開きます。
  3. インポート をクリックします。
    ファイルのポリシーがポリシー リストに追加されます。

ポリシーを編集、クローン、または削除する

ポリシーを編集するには、ポリシー ページで、以下の手順を実行します。

  1. をクリックして、ポリシーの詳細を展開します。
  2. 前のセクションに説明されている通り、設定を編集します。
  3. 保存して閉じる をクリックします。

ポリシーを複製するには、ポリシー ページで、以下の手順を実行します。

  1. 複製するポリシーの横にある をクリックします。
  2. ポリシーをクローンする を選択します。

ポリシーを削除するには、ポリシー ページで、以下の手順を実行します。

  1. 削除するポリシーの横にある をクリックします。
  2. ポリシーを削除する を選択します。

関連情報:

推奨 TDR ポリシー

APT Blocker による TDR サンドボックス分析