TDR ホストおよび Host Sensor を管理する

Threat Detection and Response の デバイス / ユーザー > ホスト ページには、アカウントにおけるすべてのホストのリストおよび各ホストの Host Sensor のステータスが表示されます。ホストの Host Sensor を削除またはインストールできるのは、Administrator と Analyst のみです。

AD Helper または Host Sensor の手動インストールにより、ホストが Threat Detection and Response アカウントに追加されます。

AD Helper

AD Helper を使用して、ネットワークの Active Directory ドメインにおける Windows ホストのリストを自動的に取得すること、および Windows Host Sensor を自動的にインストールまたは削除することができます。AD Helper の設定方法の詳細については、次を参照してください:AD Helper をインストールおよび構成する

Host Sensor の手動インストール

Host Sensor をダウンロードして、手動でホストにインストールすることができます。初めて Host Sensor から Threat Detection and Response アカウントにハートビートが送信される際に、TDR アカウントのホスト リストにホストが追加されます。これは、WatchGuard Cloud の デバイス / ユーザー > ホスト リストに表示されます。

詳細については、TDR Host Sensor を手動インストールする を参照してください。

また、TDR ホスト ページで、Host Sensor をアンインストールすることができます。詳細については、TDR Host Sensor をアンインストールする を参照してください。

Host Sensor を管理する

デバイス / ユーザー > ホスト ページで、Administrator と Analyst は以下のアクションを実行することができます。

  • Host Sensor インストーラをダウンロードする
  • Windows および Mac Host Sensor をインストールまたはアンインストールする
  • Host Sensor のホスト グループを変更する
  • ホストを編集または削除する
  • ホスト リストをファイルにエクスポートする

WatchGuard Cloud でホスト ページを表示するには、以下の手順を実行します。

  1. TDR にログインする.
  2. 監視 > Threat Detection の順に選択します。
  3. デバイス/ユーザー > ホスト の順に選択します。
    ホスト ページが開きます。

Screen shot of the Hosts page

フィルタを管理する

各列の上部で、ページに表示される情報をフィルタリングすることができます。ページを開くたびにページが既定で指定されている情報になるように、フィルタ設定を保存することができます。

  1. 保存する列設定を選択します。
  2. 左端の列ヘッダーで、 をクリックします。
  3. 保存 を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. 適用 を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. クリア を選択します。
  1. 左端の列ヘッダーで、 をクリックします。
  2. 削除 を選択します。

ホスト管理アクション

ホストで次のアクションを実行することができます。

  • ホスト グループを変更する — ホストが属するホスト グループを変更します
  • センサをインストールする — AD Helper を使用して Windows ホストに Host Sensor をインストールします
  • センサを再起動する — ホストの Host Sensor を再起動します
  • センサを削除する — ホストから Host Sensor をアンインストールします
  • 手動での削除を承認する — Host Sensor がホストから手動でアンインストールされたことを承認します
  • ホストを更新する — Host Sensor を TDR の最新バージョンに更新します
  • ホストを隔離する — ネットワークを介して通信できないように、ホストを隔離します
  • ホストをリリースする — ホストを隔離からリリースします
  • ホストの保護を一時停止する — ホストの TDR を一時的に停止します
  • ベースラインを要求する — ホストで変更を行った後、新しいベースラインのスキャンを実行します

ホスト グループを変更する

ホストは、1 つのホスト グループのメンバーになることができます。

1 つまたは複数のホストのホスト グループを変更するには、以下の手順を実行します。

  1. デバイス/ユーザー > ホスト の順に選択します。
  2. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  3. アクション > ホスト グループを変更する の順に選択します。
    ホスト グループを変更する ダイアログ ボックスが開きます。

  1. グループ名を入力します。これは、既存のグループでも新規グループでも構いません。
    入力しているときに、既存グループの名前および新規グループを追加するオプションがテキスト ボックスの下に表示されます。
  2. グループを選択するか、または入力した名前で新規グループを追加するオプションを選択します。
    選択されたホストが、選択されたグループに追加されます。新しいグループを追加するオプションを選択した場合は、ホスト グループが追加されます。

ホスト グループから 1 つまたは複数の Host Sensor を削除するには、以下の手順を実行します。

  1. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  2. アクション > ホスト グループを変更する の順に選択します。
    ホスト グループを変更する ダイアログ ボックスが開きます。
  3. グループなし を選択します。
    選択された各ホストは、以前に属していたホスト グループから削除されます。

Host Sensor をインストールまたは削除する

Host Sensor をインストールまたはアンインストールすると、Windows Host Sensor インストーラによりインストール ログ ファイルが生成されます。インストール ログは、Host Sensor のインストール フォルダに保存されます。既定のフォルダは、C:\Program Files (x86)\WatchGuard\Threat Detection and Response です。

1 つまたは複数のホストの Host Sensor をインストールまたは削除するには、以下の手順を実行します。

  1. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  2. アクション を選択します。
    ドロップダウン リストに、それぞれの使用可能なアクションが適用される選択されたホストの数が表示されます。
  3. Host Sensor をインストールするには、Sensor をインストールする を選択します。Host Sensor を削除するには、Sensor を削除する を選択します。
    アクションが適用されるホストのリストが表示された状態で、アクションを確認する ダイアログ ボックスが開きます。

Screen shot of the Confirm Action dialog box

  1. アクションの実行 をクリックします。

単一のホストの Host Sensor をインストールまたは削除するには、以下の手順を実行します。

  • ホストから Host Sensor を削除するには、インストール状態 列で、 をクリックします。
  • 1 つのホストに Host Sensor をインストールする場合は、インストール状態 列で、 をクリックします。
  • ホスト リストにないホストに手動で Host Sensor をインストールするには、Host Sensor のダウンロード をクリックします。
    詳細については、TDR Host Sensor を手動インストールする を参照してください。

Host Sensor を再起動する

WatchGuard Cloud で Host Sensor を再起動するには、以下の手順を実行します。

  1. TDR にログインする.
  2. 監視 > Threat Detection の順に選択します。
  3. デバイス/ユーザー > ホスト リストで、リスト内の 1 つまたは複数のホストの横にあるチェックボックスを選択します。
  4. アクション > Sensor を再起動する の順に選択します。
    アクションの確認 - Sensor を再起動する ダイアログ ボックスが開きます。
  5. アクションの実行 をクリックします。

ホストを更新する

全般設定ページで Host Sensor の自動更新が有効化されている場合は、新しいバージョンの TDR が使用可能になると、Host Sensor が自動的に更新されます。詳細については、TDR 全般設定 を参照してください。

新しいバージョンが利用可能になったとき、手動で特定の Host Sensor を更新することもできます。Host Sensor を手動で更新できる場合は、インストール状態の列にアイコン が表示されます。

特定のホストを更新するには、以下の手順を実行します。

Host Sensor インストール状態の横にある インストール状態 の列で、 をクリックします。
Host Sensor が新しいバージョンに更新されます。

複数のホストを更新するには、以下の手順を実行します。

  1. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  2. アクション > 更新 の順に選択します。
    Host Sensor が新しいバージョンに更新されます。

ホストを隔離する

脅威がネットワークを介して伝播されないように、ホストを隔離することができます。脅威がネットワークを介して伝播されないように、隔離により特定のホストのネットワーク接続が遮断されて、新しい接続の発生が防止されます。詳細については、TDR 検疫を構成する を参照してください。

ホストを隔離するには、Host Sensor の設定で カーネル ホスト隔離アクション を有効化する必要があります。詳細については、TDR Host Sensor 設定を構成する を参照してください。

ホストを隔離するには、以下の手順を実行します。

  1. 隔離するホストの横にあるチェックボックスを選択します。
  2. アクション > ホストを隔離する の順に選択します。
    アクションの確認 - ホストを隔離する ダイアログ ボックスが開きます。
  3. アクションの実行 をクリックします。
    ホストが隔離され、隔離アイコンがセンサ ステータス列に表示されます。

Screen shot of the Install State and Sensor status columns for a contained host

隔離されているホストをリリースする

隔離されたホストは分離されるため、ネットワーク経由で接続することができなくなります。脅威が修正されたら、ホストを隔離からリリースすることができます。

ホストを手動で隔離からリリースするには、以下の手順を実行します。

  1. リリースするホストの横にあるチェックボックスを選択します。
  2. アクション > ホストをリリースする の順に選択します。
    アクションの確認 - ホストをリリースする ダイアログ ボックスが開きます。
  3. アクションの実行 をクリックします。
    ホストが隔離からリリースされます。

ホストおよび Host Sensor のステータス

ホスト ページには、各ホストに関する以下の情報が含まれています。

  • ホスト — ホスト名
  • FQDN — ホストがインストールされているドメインの完全修飾ドメイン名
  • IP — 直近にホストから報告された IPv4 アドレス
  • 種類 — ホストの種類 (Windows、Linux、Mac)
  • オペレーティング システム — ホストにインストールされているオペレーティング システム
  • インストール状態 — ホストの Host Sensor のインストール状態
  • Sensor ステータス — Host Sensor のステータス (次のセクションに説明あり)
  • Sensor バージョン — インストールされている Host Sensor のバージョン
  • 直近の通信日 — インストールされている Host Sensor からハートビートが送信された前回の日付インストールされている Host Sensor から、30秒ごとに TDR アカウントにハートビートが送信されます。
  • ホスト グループ — ホストが属しているホスト グループ

列を選択する をクリックして、表示する列を選択します。

どの列の ホスト リストでも、フィルタして並べ替えることができます。列フィルタをクリアするには、 をクリックして、クリア を選択します。

ホスト リストが同期化された直近の日時がページ上部に表示されます。ホスト リストと AD Helper を同期させるには、今すぐ同期 をクリックします。

インストール状態

インストール状態の列に、Host Sensor のインストール ステータスが示されます。また、Host Sensor ライセンスの有効期限が切れていることが示される場合もあります。

  • インストール済み - Host Sensor がインストールされている
  • インストール中 - Host Sensor のインストールが進行中である
  • インストール保留中 - センサのインストール アクションが要求されているけれども、インストールが開始されていない
  • アンインストール中 - Host Sensor のアンインストールが進行中である
  • アンインストール エラー - センサの削除アクションが選択されているけれども、Host Sensor のアンインストールに失敗した
  • アンインストール保留中 - センサの削除アクションが選択されているけれども、アンインストールが開始されていない
  • 未インストール - Host Sensor がインストールされていない
  • 期限切れ - Host Sensor のライセンスが有効期限切れである

Host Sensor のライセンスおよび有効期限の詳細については、次を参照してください:TDR ライセンス

Host Sensor のステータス

Sensor ステータス列のアイコンは、各ホストの Host Sensor のステータスを示すものです。

  • — Host Sensor がインストールされ、機能しています
  • — Host Sensor がインストールされていますが、問題があります
  • — Host Sensor が通信していません
  • — Host Sensor が正常にシャットダウンしました
  • 一時停止のアイコン— Host Sensor 保護が一時停止になっています
  • 隔離されたホストのアイコン— Host Sensor によりホストが隔離されました

ホストおよび Sensor ステータスの履歴

ホストを展開して、ホストの IP アドレスと Host Sensor ステータスの履歴を表示することができます。Sensor の履歴で、Sensor ステータスを更新して、Sensor が手動で削除されたことを示すこともできます。

ホストの履歴を表示するには、WatchGuard Cloud で以下の手順を実行します。

  1. TDR にログインする.
  2. 監視 > Threat Detection の順に選択します。
  3. デバイス/ユーザー > ホスト の順に選択します。
  4. ホスト リストで、ホストを見つけます。
  5. ホスト名の横にある をクリックします。
    このホストに割り当てられた最近の IP アドレスのリストが表示されます。

Screen shot of the IP History for a host

  1. Host Sensor ステータスの履歴を表示するには、Sensor タブを選択します。
    Host Sensor ステータスに最近加えられた変更の履歴が表示されます。

Screen shot of the Sensor tab

  1. Sensor 履歴 リストに古いエントリを表示するには、さらにロード をクリックします。
  2. ログインしたユーザーを表示するには、ユーザー タブを選択します。

Host Sensor の手動アンインストールを承認する

手動で Host Sensor をアンインストールする際に、そのホストの Host Sensor ステータスをリセットして、ホストで引き続き Host Sensor ライセンスが使用されないようにすることができます。

Host Sensor を手動でアンインストールしたことを承認するには、以下の手順を実行します。

  1. ホスト名の横にある をクリックします。
    Host Sensor の履歴が表示されます。
  2. Sensor タブを選択します。
  3. 承認 をクリックします。
  4. 更新 をクリックします。
    ホスト ページが更新されます。AD Helper によってホストが追加された場合は、インストール状態がアンインストールに変わります。AD Helper によりホストがホスト リストに追加されていない場合は、それがホスト リストから削除されます。

Host Sensor を手動でアンインストールする方法については、次を参照してください:TDR Host Sensor をアンインストールする

ホストを編集または削除する

ホスト ページでホストを編集することができます。どのホストでも、ホストにネットワークの DNS サーバーまたはプロキシ サーバーを指定することができます。Threat Detection and Response では、ユーザーがプロキシ サーバーまたは DNS サーバーとして特定するホストで検出されたネットワーク イベントに基づいてアクションが実行されることはありません。これは、これらのホストが潜在的に悪意のあるアクティビティの実際の発生源ではない可能性があるためです。手動でインストールされているホストを削除することもできます。

  1. ホストの横にある をクリックします。
  2. デバイスを編集する を選択します。
    デバイスを編集する ダイアログ ボックスが開きます。

Screen shot of the Edit Device dialog box

  1. このホストがネットワークの DNS サーバーである場合は、DNS チェックボックスを選択します。
  2. このホストがネットワークのプロキシ サーバーである場合は、プロキシ チェックボックスを選択します。
  3. AD Helper によってホストが追加されていない場合は、デバイスの詳細 を編集することができます。これには、ホスト ドメイン およびインストールされているオペレーティング システムに関する情報が含まれています。
  4. 保存して閉じる をクリックします。
  1. ホストの横にある をクリックします。
  2. デバイスを削除する を選択します。
    確認 ダイアログ ボックスが開きます。
  3. 削除 をクリックします。

ホストの保護を一時停止する

Administrator または Analyst のロールが割り当てられているユーザーは、ホストの保護を最小 5 分間、最大 120 分間リモートで一時停止することができます。TDR と競合するシステムの更新をインストールする必要がある場合に、保護を一時停止します。

保護を一時停止すると、Host Sensor はファイル、プロセス、またはレジストリ エントリをスキャンせず、イベントをクラウドに送信しません。これにより、Host Ransomware Protection も一時的に無効になります。

ステータス メッセージが、センサー履歴に表示されます。ステータス メッセージから、保護がリモートで一時停止されたか、ローカルで一時停止されたかを判断することができます。

  • ローカルによる一時停止:一時停止を実行したユーザー:user@hostname
  • リモートによる一時停止:リモートで一時停止を実行したユーザー:ユーザー名

Windows マシンでは、システム トレイ アイコンとポップアップ通知によってユーザーに通知されます。ユーザーが自身のコンピュータから保護を再開することはできません。

  1. デバイス/ユーザー > ホスト の順に選択します。
  2. ホスト リストで、ホストを見つけます。
  3. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  4. アクション > ホスト保護を一時停止する を選択します。
    ホスト保護を一時停止する ダイアログ ボックスが表示されます。
  5. 保護を一時停止する時間を分単位で入力します。
    最小時間は 5 分、最大時間は 120 分です。
  6. 承認 をクリックします。
  1. デバイス/ユーザー > ホスト の順に選択します。
  2. ホスト リストで、ホストを見つけます。
  3. リストで、1 つまたは複数のホストの横にあるチェックボックスを選択します。
  4. アクション > ホストの保護を再開する を選択します。
    アクションの確認 - ホスト保護を再開する ダイアログ ボックスが開きます。
  5. アクションの実行 をクリックします。

ホスト リストをエクスポートする

TDR アカウントからホストリストをテキスト ファイルにエクスポートすることができます。テキスト ファイルでは、各ホストの列のヘッダーと値が引用符で囲まれています。テキスト エディタでこのファイルを開くこと、または Microsoft Excel などのスプレッドシート プログラムに読み込むことができます。

ホスト リストをエクスポートするには、ホスト ページの上部にある エクスポート をクリックします。

関連情報:

TDR Host Sensor システム トレイのアイコン

TDR WatchGuard Cloud UI のナビゲーション、フィルタ、および共通機能