脅威がネットワークを介して伝播されないように、ホストを隔離することができます。脅威がネットワークで伝播されないように、隔離により現在の接続を終了し、特定のホストにおける新しいネットワーク接続を防止します。隔離されたホストは分離されるため、ネットワーク経由で接続することができなくなります。他のデバイスは、隔離されているホストには接続できません。脅威が解決された後にネットワーク接続を復元するには、ホストを隔離からリリースする必要があります。
ホストの隔離およびリリース方法には、隔離ポリシーに基づいて手動または自動で実施する 2 通りの方法があります。ホストを手動または自動で隔離できるようにするには、Host Sensor 設定で カーネル ホスト隔離アクション を有効化する必要があります。詳細については、TDR Host Sensor 設定を構成する を参照してください。
TDR では、Windows ホストを隔離することができます。隔離は Windows 以外のシステムではサポートされていません。
ホストを手動で隔離およびリリースする
ホストまたはグループ ページで、手動で Windows ホストを隔離することができます。
ホストを手動で隔離するには、以下の手順を実行します。
- 隔離する Windows ホストの横にあるチェックボックスを選択します。
- アクション > ホストを隔離する の順に選択します。
アクションの確認 - ホストを隔離する ダイアログ ボックスが開きます。 - アクションの実行 をクリックします。
ホストが隔離され、隔離アイコンがセンサ ステータス列に表示されます。
ホストを手動で隔離からリリースするには、以下の手順を実行します。
- リリースする Windows ホストの横にあるチェックボックスを選択します。
- アクション > ホストをリリースする の順に選択します。
アクションの確認 - ホストをリリースする ダイアログ ボックスが開きます。 - アクションの実行
をクリックします。 ホストが隔離からリリースされます。
ホストをリリースする アクションが無効化されているということは、ホストが隔離されていない、または ThreatSync と通信していないという意味です。隔離 ページでホストが隔離されているかどうか、および ThreatSync > ホスト ページ の順に移動して、ホストのステータスを確認してください。
詳細については、TDR ホストおよび Host Sensor を管理する、TDR グループを管理する、および TDR インシデントを管理する を参照してください。
隔離ポリシー
隔離ポリシーにより、インシデントの脅威スコアしきい値に基づいて、Windows ホストを自動的に隔離およびリリースすることができます。ポリシーで指定されている値と等しい脅威スコアのインシデントが発生すると、ホストが隔離されます。脅威スコアが指定されているしきい値を下回ると、ホストが自動的に隔離からリリースされます。
TDR アカウントには、推奨設定の既定の隔離ポリシーが含まれています。既定の隔離ポリシーを編集して、異なる Cybercon レベルで異なるホストおよびホスト グループに適用される追加のポリシーを構成できます。
隔離ポリシーの追加方法の詳細については、次を参照してください:TDR ポリシーを構成する。
隔離例外
ホストが隔離されると、そのホストはそのホスト自体、TDR、DNS サーバー、および DHCP サーバー以外には接続できなくなります。隔離されているホストとの間で他のネットワーク トラフィックを許可する場合は、ホストまたはネットワークにホスト隔離例外を追加することができます。たとえば、インシデントをトラブルシューティングするために、ネットワークで隔離されているホストへの接続をサポート担当者に許可しなければならない場合があります。
隔離例外を定義するには、以下の接続の詳細を 2 つ以上指定する必要があります。
ローカル ホスト/ネットワーク IP
表記が付いたリモート マシンまたはネットワークの IP アドレス。
ローカル ポート
ホストのポート。
リモート ホスト/ネットワーク IP
表記が付いたリモート マシンまたはネットワークの IP アドレス。
リモート ポート
リモート マシンのポート。
ポートからポート、IP アドレスからポート、または IP アドレスから IP アドレスへの接続を指定することができます。たとえば、隔離の例外を構成して、サポート担当者が隔離ホストに接続できるようにするには、以下を指定します。
- リモート ホスト/ネットワーク IP — 表記が付いたサポート担当者のコンピュータの IP アドレス。
- ローカル ポート — サポート担当者が接続する必要のあるホストのポート。
スラッシュ表記の詳細については、次を参照してください: スラッシュ表記法について。
隔離例外を追加する
隔離例外を追加するには、以下の手順を実行します。
- 構成 > Threat Detection の順に選択します。
- Host Sensor セクションで、隔離例外 を選択します。
隔離例外 ページが開きます。 - + 隔離例外を追加する をクリックします。
隔離例外を追加する ダイアログ ボックスが開きます。
- 接続の種類 セクションで、ドロップダウン リストから、許可する接続の種類を選択します。
IP アドレスの種類 (IPv4 または IPv6) を指定することができます。また、プロトコル (TCP または UDP) を指定することができます。 - 許可するネットワーク接続を指定するには、ローカルホスト/ネットワーク IP、ローカル ポート、リモート ホスト/ネットワーク IP、および リモート ポート テキスト ボックスに 2 つ以上の接続の詳細を入力します。
- 例外を適用するホストとグループを選択します。
- ホスト名またはホスト グループ テキスト ボックスに、追加するホストまたはホスト グループの名前の少なくとも 3 文字を入力します。ヒント!
これらの文字が含まれているホスト名とグループ名が表示されます。 - 追加するホストまたはグループの名前を選択します。
- 他のホストまたはグループを追加するには、前述の 2 つの手順を繰り返します。
- ホスト名またはホスト グループ テキスト ボックスに、追加するホストまたはホスト グループの名前の少なくとも 3 文字を入力します。ヒント!
- (任意) コメント テキスト ボックスに、例外に関する他の情報を入力します。
- 保存して閉じる をクリックします。
隔離例外をバックアップまたはインポートする
すべての隔離例外のバックアップを .json ファイルに保存することができます。隔離例外を TDR アカウントに追加するには、保存したファイルをインポートします。これにより、TDR Service Provider は、ある管理対象カスタマー アカウントで構成された隔離例外を別の管理対象アカウントに簡単にコピーすることができるようになります。例外の重複が発生しないように、インポートされた隔離例外は、既存の隔離例外リストとマージされます。
隔離例外をバックアップ ファイルに保存するには、以下の手順を実行します。
- 構成 > Threat Detection の順に選択します。
- Host Sensor セクションで、隔離例外 を選択します。
隔離例外 ページが開きます。 - バックアップ をクリックします。
.json バックアップ ファイルは、ダウンロード フォルダに保存されます。
隔離例外のバックアップ ファイル名には、現在の日付と時刻が含まれます。例:
WatchGuardTDR_ContainmentExceptions_2018-09-17_15-11-11.json
保存された .json ファイルから隔離例外をインポートするには、以下の手順を実行します。
- インポート をクリックします。
- 保存されているバックアップ ファイルを選択して開きます。
確認 ダイアログ ボックスが開きます。 - インポート をクリックします。
ファイルからの隔離例外が隔離例外リストに追加されます。
隔離例外を編集または削除する
隔離例外を編集するには、以下の手順を実行します。
- 隔離 リストで、編集する例外の左側にある
をクリックします。 - 前の手順で説明されている通り、設定を編集します。
- 保存して閉じる をクリックします。
隔離例外を削除するには、以下の手順を実行します。
- 隔離 リストで、編集する例外の右側にある
をクリックします。 - 隔離例外を削除する を選択します。
確認メッセージが表示されます。 - 削除 をクリックします。