TDR 配備のベストプラクティス
TDR Host Sensor でファイルやプロセスがランサムウェアなどの脅威として特定されると、自動的にファイルが検疫されてプロセスが停止し、レジストリ エントリが削除され、そしてホストがネットワークから分離されます。Host Sensor ではホストにインストールされている他のアプリケーションに影響が出る可能性のあるアクションが実行されるため、TDR 配備のベストプラクティスに従うことをお勧めします。
このトピックで説明されているグループと上書き手順を完了するには、Analyst として TDR にログインする必要があります。すべての既定の Host Sensor 設定をグローバルに変更するには、Administrator または Analyst の役割が必要です。
Host Sensor の段階的配備
Host Sensor でファイルやプロセスが脅威として特定され、アクティブな TDR ポリシーで修正アクションが許可されている場合は、Host Sensor で自動的にそれを無効化するアクションが実行されます。インストールされている他の信頼できるソフトウェアとの潜在的な相互作用を特定するには、まずネットワークで一般的に使用されているアプリケーションを実行する小規模なホスト セットに Host Sensor を配備してテストすることをお勧めします。小規模なパイロット配備により、Host Sensor と他のアプリケーションの間の相互作用を特定できるため、大規模な配備を実施する前に、例外を追加して、相互運用性やパフォーマンスの問題を解決することができます。
パイロット配備に含めるホストの数と種類を決定する必要があります。各ホストに Host Sensor をインストールして、ホストの他のソフトウェアを使用します。TDR アカウントのインジケータを監視して Host Sensor から報告された脅威とアクションを確認します。
Host Sensor で脅威が特定された場合は、インジケータで詳細を表示して、ファイルとプロセスの名前およびそれが脅威とみなされた理由を確認することができます。
ホストのインジケータを表示するには、以下の手順を実行します。
- TDR にログインする.
- 監視 > Threat Detection の順に選択します。
- ThreatSync セクションで、インジケータ を選択します。
インジケータ ページが開きます。 - すべてのフィルタをクリアして、ホスト名でフィルタまたは検索します。
- インジケータの詳細を表示するには、インジケータ 列で、追加情報 をクリックします。
インジケータ ページの詳細については、次を参照してください:TDR インジケータを管理する。
Host Sensor で信頼済みアプリケーションが脅威として特定された場合は、許可リスト項目として MD5 値を署名上書きに追加することができます。TDR では、許可リストに追加されたファイルのインジケータは生成されません。
許可リストにファイルを追加するには、以下の手順を実行します。
- インジケータ ページで、許可リストに追加するアプリケーションのインジケータを特定します。
- インジケータの横にあるチェックボックスを選択します。
- 要求されたアクション ドロップダウン リストから、許可リスト登録済み を選択します。
アクションを確認する ダイアログ ボックスが開きます。 - アクションの実行 をクリックします。
Host Sensor が原因でパフォーマンスの問題が発生した場合、または他のソフトウェアとの競合により Host Sensor やその他のソフトウェアが機能しなくなった場合は、ソフトウェアのインストール パスに例外を追加することができます。例外により、指定されているパスのファイルが Host Sensor で無視されます。
例外の追加方法の詳細については、Configure TDR Exclusions を参照してください。
Host Sensor でファイルが検疫されると、そのファイルは暗号化されて、ホストの検疫ディレクトリに格納されます。検疫からファイルを削除するには、以下の手順を実行します。
- インジケータ ページで、インジケータを見つけます。検疫アクションが正常に行われたインジケータは、脅威スコアが 1 となります。
- インジケータを選択します。
- 検疫されたファイルを元に戻す または HRP により検疫されたファイルを元に戻す アクションを選択します。どのアクションを使用できるかは、ファイルが Host Ransomware Prevention (HRP) によって検疫されたか、ファイルの検疫アクションの結果としてファイルが検疫されたかによって異なります。
検疫からファイルを削除する方法の詳細については、次を参照してください:検疫からファイルを削除する。
デスクトップ AV の例外を追加する
TDR Host Sensor とデスクトップ ウイルス対策の両方で、脅威が検出および防御されます。TDR Host Sensor とデスクトップ ウイルス対策ソフトウェアの競合を避けるために、TDR とデスクトップ AV ソフトウェアに例外を追加することをお勧めします。これを容易にするために、TDR には、多くの一般的な AV 製品の例外セットが事前定義されています。
TDR ファイル パスが例外となるようにデスクトップ AV ソフトウェアを構成する
デスクトップ ウイルス対策ソフトウェア構成で、TDR Host Sensor インストール ディレクトリを例外リストまたは許可リストに追加します。
除外するディレクトリ:
c:\Program Files (x86)\WatchGuard\Threat Detection and Response\
c:\Program Files\WatchGuard\Threat Detection and Response\
例外リストまたは許可リストを編集する方法については、ウイルス対策ソフトウェア ベンダーの資料を参照してください。
デスクトップ AV ファイル パスが例外となるように TDR を構成する
TDR で、AV ソフトウェアがインストールされている場所に例外を追加します。TDR には、多くの一般的な AV 製品の例外セットが事前定義されています。AV 製品が事前定義の例外に入っていない場合は、カスタム例外を作成することができます。例外とするパスはそれぞれのデスクトップ AV ベンダーで異なり、OS または AV ソフトウェア バージョンによって異なる可能性があります。デスクトップ AV ソリューションで Host Sensor をテストして、必要なすべてのパスが例外として設定されていることを確認します。
例外の追加方法の詳細については、Configure TDR Exclusions を参照してください。
TDR および一般的なデスクトップ AV ベンダーの統合ガイドへのリンクについては、統合ガイド を参照してください。
ホスト グループを構成する
このバージョンの Fireware ヘルプ で説明されている一部の TDR 機能は、WatchGuard ベータ プログラムの参加者のみが利用できます。このセクションで説明されている機能が TDR アカウントで利用可能になっていない場合は、それはベータ版のみの機能です。ベータ版機能を有効化する方法の詳細については、TDR ベータ版機能を有効化する を参照してください。
既定では、グローバル Host Sensor 設定と既定の TDR ポリシーが、配備されたすべての Host Sensor に適用されます。各グループの異なる Host Sensor の設定とポリシーを簡単に構成できるように、ホスト グループを構成することをお勧めします。ホスト グループを使用して、同様の OS バージョン、ハードウェア、アプリケーション、またはユーザーの種類を持つホストをグループ化することができます。たとえば、サーバー、Windows 7 デスクトップ、ノートパソコン、販売、財務、サポートなどのグループを作成することができます。ホスト グループを構成したら、各グループの Host Sensor 設定を変更して、TDR ポリシーのグループ名を使用することができます。最初の配備段階の一環として、各グループのいくつかのホストをテストすることをお勧めします。
デバイス / ユーザー > ホスト ページまたは グループ ページで、ホスト グループのメンバーシップを管理することができます。ホスト ページで、リストから複数のホストを選択して、新しいホスト グループまたは既存のホスト グループに追加することができます。
1 つまたは複数のホストのホスト グループを変更するには、以下の手順を実行します。
- デバイス/ユーザー > ホスト の順に選択します。
- リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
- アクション > ホスト グループを変更する の順に選択します。
ホスト グループを変更する ダイアログ ボックスが開きます。
- グループ名を入力します。これは、既存のグループでも新規グループでも構いません。
入力しているときに、既存グループの名前および新規グループを追加するオプションがテキスト ボックスの下に表示されます。 - グループを選択するか、または入力した名前で新規グループを追加するオプションを選択します。
選択されたホストが、選択されたグループに追加されます。新しいグループを追加するオプションを選択した場合は、ホスト グループが追加されます。
ホスト グループから 1 つまたは複数の Host Sensor を削除するには、以下の手順を実行します。
- リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
- アクション > ホスト グループを変更する の順に選択します。
ホスト グループを変更する ダイアログ ボックスが開きます。 - グループなし を選択します。
選択された各ホストは、以前に属していたホスト グループから削除されます。
ホスト ページの詳細については、次を参照してください:TDR ホストおよび Host Sensor を管理する。
ホスト グループの Host Sensor 設定を構成する
各ホスト グループで、そのグループのホストを使用するように Host Sensor 設定を構成することができます。ホスト グループ構成で、グローバル Host Sensor 設定を上書きし、グループに異なる Host Sensor 設定を指定することができます。
ホスト グループの Host Sensor 設定を構成するには、WatchGuard Cloud で以下の手順を実行します。
- 構成 > Threat Detection の順に選択します。
- ThreatSync セクションで、グループ を選択します。
グループ ページが開きます。 - グループ名の横にある
をクリックします。 - Host Sensor 構成 タブを選択します。
- このグループの Host Sensor 設定の上書き スイッチをクリックします。
- グループの Host Sensor 設定を構成します。
TDR Host Sensor 設定の例
WatchGuard は、推奨される Host Sensor 構成設定をガイドラインとして提供しています。問題を特定するために、小規模なホスト セットを使用して、これらの設定をテストすることをお勧めします。
ホストにおける最適な Host Sensor 設定は、インストールされている OS とアプリケーション、物理ハードウェアや仮想ハードウェア、およびホスト環境の他の側面によって異なる場合があります。
各 Host Sensor 設定の詳細については、次を参照してください:TDR Host Sensor の詳細。
大半の Windows ホストにおける Host Sensor 推奨設定
これらの設定により、マルウェアの防止とパフォーマンスを両方適切に実現するため、これらはほとんどのシステムに推奨される設定です。
| Host Sensor 設定 | 有効 |
| Host Sensors でイベントを許可する | オン |
| Host Sensor の Host Ransomware Prevention モード | 防止 |
| 機械学習に基づく Host Ransomware Prevention | オン |
| Host Sensor でヒューリスティックを許可する | オン |
| Host Sensor でロードされたモジュールを許可する | オフ |
| Host Sensors でベースラインを許可する | オン |
| Host Sensor でのファイル メタデータのキャッシュを許可する | オン |
| Host Sensor でプロセス接続メタデータをキャッシュできるようにする | オン |
| Host Sensor 改ざん防止設定 | 有効 |
| Host Sensor サービスの変更を防止する | オン |
| Host Sensor のアンインストールを防止する | オン |
| Host Sensor ドライバ構成設定 | 有効 |
| カーネル プロセス イベントを有効化する | オン |
| カーネル ファイル イベントを有効化する | オン |
| カーネル レジストリ イベントを有効化する | オン |
| カーネル強制終了プロセス アクションを有効化する | オン |
| カーネル削除ファイル アクションを有効化する | オン |
| カーネル ホスト隔離アクションを有効化する | オン |
| カーネル ファイル処理列挙を有効化する | オン |
| カーネル モジュール スキャンを有効化する | オフ |
| Host Sensor アイコン設定 | 有効 |
| ユーザーが Host Sensor 保護を一時停止できるようにする | オン |
| Host Sensor アイコン ベースライン通知を有効化する | オン |
| Host Sensor アイコン修正通知を有効化する | オン |
最高の保護を実現するための Host Sensor 推奨設定
これらの設定により、最高レベルのマルウェア防止と修正が実現します。また、ユーザーが Host Sensor サービスを一時停止または無効にすることが許可されません。
| Host Sensor 設定 | 有効 |
| Host Sensors でイベントを許可する | オン |
| Host Sensor の Host Ransomware Prevention モード | 防止 |
| 機械学習に基づく Host Ransomware Prevention | オン |
| Host Sensor でヒューリスティックを許可する | オン |
| Host Sensor でロードされたモジュールを許可する | オン |
| Host Sensors でベースラインを許可する | オン |
| Host Sensor でのファイル メタデータのキャッシュを許可する | オン |
| Host Sensor でプロセス接続メタデータをキャッシュできるようにする | オン |
| Host Sensor 改ざん防止設定 | 有効 |
| Host Sensor サービスの変更を防止する | オン |
| Host Sensor のアンインストールを防止する | オン |
| Host Sensor ドライバ構成設定 | 有効 |
| カーネル プロセス イベントを有効化する | オン |
| カーネル ファイル イベントを有効化する | オン |
| カーネル レジストリ イベントを有効化する | オン |
| カーネル強制終了プロセス アクションを有効化する | オン |
| カーネル削除ファイル アクションを有効化する | オン |
| カーネル ホスト隔離アクションを有効化する | オン |
| カーネル ファイル処理列挙を有効化する | オン |
| カーネル モジュール スキャンを有効化する | オフ |
| Host Sensor アイコン設定 | 有効 |
| ユーザーが Host Sensor 保護を一時停止できるようにする | オフ |
| Host Sensor アイコン ベースライン通知を有効化する | オン |
| Host Sensor アイコン修正通知を有効化する | オン |
最高のパフォーマンスを実現するための Host Sensor 推奨設定
Host Sensor でのリソース使用率を最小限に抑えるために、これらの設定を適用することができます。これらの設定により、一部の Host Sensor 機能が無効化され、検出機能と修正機能が低下する可能性があることに注意してください。
| Host Sensor 設定 | 有効 |
| Host Sensors でイベントを許可する | オン |
| Host Sensor の Host Ransomware Prevention モード | 防止 |
| 機械学習に基づく Host Ransomware Prevention | オン |
| Host Sensor でヒューリスティックを許可する | オン |
| Host Sensor でロードされたモジュールを許可する | オフ |
| Host Sensors でベースラインを許可する | オフ |
| Host Sensor でのファイル メタデータのキャッシュを許可する | オフ |
| Host Sensor でプロセス接続メタデータをキャッシュできるようにする | オフ |
| Host Sensor 改ざん防止設定 | 有効 |
| Host Sensor サービスの変更を防止する | オフ |
| Host Sensor のアンインストールを防止する | オフ |
| Host Sensor ドライバ構成設定 | 有効 |
| カーネル プロセス イベントを有効化する | オン |
| カーネル ファイル イベントを有効化する | オン |
| カーネル レジストリ イベントを有効化する | オン |
| カーネル強制終了プロセス アクションを有効化する | オン |
| カーネル削除ファイル アクションを有効化する | オン |
| カーネル ホスト隔離アクションを有効化する | オン |
| カーネル ファイル処理列挙を有効化する | オン |
| カーネル モジュール スキャンを有効化する | オフ |
| Host Sensor アイコン設定 | 有効 |
| ユーザーが Host Sensor 保護を一時停止できるようにする | オン |
| Host Sensor アイコン ベースライン通知を有効化する | オン |
| Host Sensor アイコン修正通知を有効化する | オン |
セーフモード Host Sensor 推奨設定
これらの設定は、カーネル ドライバが有効化されているときにシステム機能に問題が発生するシステムに推奨されます。これにより、基本的なマルウェア保護が実現します。これは、トラブルシューティング目的でのみ使用することが推奨されます。
| Host Sensor 設定 | 有効 |
| Host Sensors でイベントを許可する | オン |
| Host Sensor の Host Ransomware Prevention モード | オフまたは検出 |
| 機械学習に基づく Host Ransomware Prevention | オフ |
| Host Sensor でヒューリスティックを許可する | オン |
| Host Sensor でロードされたモジュールを許可する | オフ |
| Host Sensors でベースラインを許可する | オフ |
| Host Sensor でのファイル メタデータのキャッシュを許可する | オフ |
| Host Sensor でプロセス接続メタデータをキャッシュできるようにする | オフ |
| Host Sensor 改ざん防止設定 | 有効 |
| Host Sensor サービスの変更を防止する | オフ |
| Host Sensor のアンインストールを防止する | オフ |
| Host Sensor ドライバ構成設定 | 有効 |
| カーネル プロセス イベントを有効化する | オフ |
| カーネル ファイル イベントを有効化する | オフ |
| カーネル レジストリ イベントを有効化する | オフ |
| カーネル強制終了プロセス アクションを有効化する | オフ |
| カーネル削除ファイル アクションを有効化する | オフ |
| カーネル ホスト隔離アクションを有効化する | オフ |
| カーネル ファイル処理列挙を有効化する | オフ |
| カーネル モジュール スキャンを有効化する | オフ |
| Host Sensor アイコン設定 | 有効 |
| ユーザーが Host Sensor 保護を一時停止できるようにする | オフ |
| Host Sensor アイコン ベースライン通知を有効化する | オン |
| Host Sensor アイコン修正通知を有効化する | オン |
Host Sensor 設定の詳細については、次を参照してください:TDR Host Sensor 設定を構成する。
ホスト グループのポリシーを構成する
各 TDR アカウントには、既定で有効になっている既定ポリシーがあります。これらのポリシーにより、TDR アカウントで設定されている Cybercon レベルに基づいて、異なるレベルの脅威に対して Host Sensor で自動修正アクションが実行されます。既定の TDR ポリシーは組み込みの すべてのホスト グループに適用され、これにより、すべてのホストに対して Host Sensor で実行される自動アクションが定義されます。自動アクションをより詳細に制御するために、特定のホスト グループまたは特定のホストのポリシーを追加して、Host Sensor で実行されるアクションを変更することができます。
たとえば、サーバー グループがあり、そのグループのサーバーの Host Sensor によりレジストリが変更されないようにする場合は、サーバー グループのポリシーを追加して、Host Sensor で レジストリ値の削除 アクションが実行されないように指定することができます 。または、グループの Host Sensor で自動修正アクションが発生しないようにするには、そのグループのポリシーを追加して、Host Sensor で ファイルの検疫、プロセスの強制終了、 レジストリ値の削除 アクションが実行されないように指定することができます。
ホスト グループのポリシーを追加する場合は、ポリシーリストで、すべてのホストに適用される他のポリシーよりもそのポリシーの優先度が高くなっていることを確認してください。
TDR の既定ポリシーおよび推奨ポリシーについては、次を参照してください:推奨 TDR ポリシー。