TDR トラフィックのファイアウォール ポリシーを構成する

Firebox で TDR を有効化するには、ネットワークの Host Sensor から TDR アカウントへの接続を許可するポリシーを Firebox 構成に含める必要があります。

WG-TDR-Host-Sensor ポリシー テンプレートについて

Fireware v11.12.1 以降で Threat Detection and Response を有効化すると、WatchGuard Threat Detection and Response ポリシーが自動的に構成に追加されます。このポリシーでは、ポート 443 で、エイリアス Any-Trusted からすべての TDR 地域の FQDN への TCP トラフィックを許可する WG-TDR-Host-Sensor パケット フィルタ ポリシー テンプレートが使用されます。任意ネットワークの Host Sensor からのトラフィックを許可するには、このポリシーを編集して、エイリアス Any-Optional を追加する、または特定のインターフェイス名を 送信元 リストに追加します。

Firebox で Fireware v11.12 以下を実行している場合は、Policy Manager または Fireware Web UI で TDR を有効化するときに、ネットワークから TDR アカウントの FQDN への接続を許可するポリシーを手動で追加する必要があります。

Host Sensor トラフィックを許可するポリシーを手動で追加する

Firebox で Fireware v11.12.1 以降を実行している場合に、信頼済みネットワークからの Host Sensor 接続を許可するには、WG-TDR-Host-Sensor パケット フィルタ ポリシーを構成に追加します。Firebox で TDR を有効化する際に、このポリシーが自動的に追加されます。

Firebox で Fireware v11.12 を実行している場合は、以下の設定で HTTPS パケット フィルタ ポリシーを手動で追加します。

  • 接続 - 許可
  • 送信元 — Any-Trusted、Any-Optional (または、Host Sensor がインストールされている場所)
  • 送信先 — FQDN tdr-hsc-na.watchguard.comtdr-hsc-eu.watchguard.com、および tdr-hsc-ap.watchguard.com

TDR アカウントの FQDN への接続のみを許可する場合は、TDR で FQDN を検索して、それをパケット フィルタ ポリシーに追加します。

TDR アカウントの FQDN を検索するには、WatchGuard Cloud で以下の手順を実行します。

  1. TDR にログインする.
  2. 監視 > Threat Detection の順に選択します。
  3. デバイス / ユーザー セクションで、ホスト を選択します。
    ホスト ページが開きます。
  4. Host Sensor のダウンロード をクリックします。
    Host Sensor のダウンロード ダイアログ ボックスが開きます。
  5. コントローラ アドレス を探します。それは、FQDN:port の形式で表示されます。

  1. FQDN 値をコピーします。ポート番号を含めないでください。
  1. ファイアウォール > ファイアウォール ポリシー の順に選択します。
  2. ポリシーを追加する をクリックします。
  3. パケット フィルタ ドロップダウン リストから、HTTPS を選択します。
  4. ポリシーを追加する をクリックします。
    ポリシー設定が表示されます。
  5. 名前 テキスト ボックスに、このポリシーを特定する名前を入力します。
    たとえば、HTTPS-TDR と入力します。
  6. 送信先 リストから、Any-External を選択して、削除 をクリックします。
  7. 送信先 リストで、追加 をクリックします。
  8. メンバーの種類 ドロップダウン リストから、FQDN を選択します。

Screen shot of the Add Member dialog box

  1. テキスト ボックスに、Host Sensor コントローラ アドレスからコピーした FQDN を貼り付けます。
  2. OK をクリックします。
    FQDN がポリシーの宛先として追加されます。

Screen shot of the HTTPS policy in Fireware Web UI

  1. 保存 をクリックします。
  1. Policy Manager で、Firebox 構成を開きます。
  2. 編集 > ポリシーを追加する の順に選択します。
  3. パケット フィルタ ドロップダウン リストから、HTTPS を選択します。
  4. 追加 をクリックします。
  5. 名前 テキスト ボックスに、このポリシーを特定する名前を入力します。
    たとえば、HTTPS-TDR と入力します。
  6. 送信先 リストから、Any-External を選択して、削除 をクリックします。
  7. 送信先 リストで、追加 をクリックします。
  8. その他を追加する をクリックします。
  9. 種類の選択 ドロップダウン リストから、FQDN を選択します。

Screen shot of the Add Member dialog box with FQDN selected

  1. テキスト ボックスに、Host Sensor コントローラ アドレスからコピーした FQDN を貼り付けます。
  2. OKを 2 回クリックします。
    FQDN がポリシーの宛先として追加されます。

Screen shot of the HTTPS packet filter policy to the TDR FQDN

  1. OK をクリックします。
  2. 構成を Firebox に保存します。

TDR Sandbox 分析、AD Helper、および研究データの FQDN を追加する

Host Sensor と AD Helper から TDR クラウドに接続できるようにするには、WG-TDR-Host-Sensor またはその他の HTTPS パケットフィルタ ポリシーに、宛先として他の FQDN を追加しなければならない場合があります。

Firebox に HTTPS プロキシ ポリシーがあり、コンテンツ インスペクション設定で、以下の証明書検証オプションが有効化されている場合にのみに、これらの FQDN を追加する必要があります。

  • OCSP を使用して証明書を検証する
  • 証明書を検証できない場合、証明書は無効とみなされます

Fireware 12.4 以降では、これらの FQDN は、TDR を有効化したときに作成される WG-TDR-Host-Sensor ポリシーの宛先として自動的に追加されます。旧バージョンの Firewareでは、宛先として tdr-files-na.watchguard.comtdr-files-eu.watchguard.com、および tdr-files-ap.watchguard.com を追加しなければならない場合があります。

TDR Host Sensor でファイルのサンドボックス アクションが実行されるようにするには、WG-TDR-Host-Sensor ポリシーで宛先として以下の FQDN を追加します。

tdr-frontline-na.watchguard.com

tdr-frontline-eu.watchguard.com

tdr-frontline-ap.watchguard.com

AD Helper から TDR クラウドに接続できるようにするには、WG-TDR-Host-Sensor ポリシーで宛先として以下の FQDN を追加します。

tdr-adhh-na.watchguard.com

tdr-adhh-eu.watchguard.com

tdr-adhh-ap.watchguard.com

TDR Host Sensor から WatchGuard で調査に使用されたデータが送信されるようにするには、WG-TDR-Host-Sensor ポリシーに宛先としてこの FQDN を追加します。

tdr-rdp-na.watchguard.com

プロキシ ポリシーおよびサービスを有効化する

TDR でネットワーク イベントと Host Sensor イベントが効果的に相関されるように、Firebox でプロキシ ポリシーとサービスを有効化することをお勧めします。詳細については、TDR のプロキシ ポリシーを構成する を参照してください。

関連情報:

TDR アカウント地域について