ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider)

WatchGuard Service Provider は、複数の自動化ポリシーが含まれる ThreatSync 自動化ポリシー テンプレートを作成し、管理対象の Subscriber アカウントまたはアカウント グループにそのテンプレートを割り当てることができます。

自動化ポリシー テンプレートを使用すると、管理対象アカウントおよびアカウント グループ全体に自動化ポリシーを一貫して適用できるほか、新しいアカウントに ThreatSync を設定する時間を節約することができます。

複数の管理対象アカウントを同じテンプレートに割り当てることができます。しかし、Subscriber アカウントを割り当てることができる自動化ポリシー テンプレートは 1 つだけです。

  • アカウントを 2 番目のテンプレートに割り当てると、元のテンプレートが新しいテンプレートに置き換えられます。
  • 複数のアカウントをテンプレートに割り当てる場合で、こうしたアカウントの一部に既存のテンプレートがすでに割り当てられている場合は、そのアカウントの既存のテンプレートを維持するか置き換えるかを選択する必要があります。

自動化ポリシー テンプレートをアカウントに割り当てると、割り当てられたアカウントでは、自動化ポリシー リストのテンプレートでポリシーを表示できますが、ユーザーがこれを編集することはできません。

自動化ポリシー テンプレート ページでは、以下を実行することができます。

自動化ポリシー テンプレートを追加する

自動化ポリシー テンプレートを作成する際に、アカウントをテンプレートに割り当てて、自動化ポリシーを追加します。テンプレートのポリシーを追加または変更すると、割り当てられているアカウントでは更新されたポリシーが自動的に受信されます。

テンプレートの自動化ポリシーの優先度を変更して、上から順にランク付けすることができます。インシデントが複数のポリシーで構成されている条件に該当する場合は、適用される最も高いランクのポリシーで指定されているアクションが ThreatSync で実行されます。インシデントに対する各推奨アクションは、ポリシーに基づき個別に評価されます。インシデントにおいて、ポリシーで指定されているアクションと一致する推奨アクションが存在しない場合は、そのポリシーが省略されます。詳細については、ThreatSync 自動化ポリシーの優先付け を参照してください。

テンプレート経由で割り当てられた自動化ポリシーは、Subscriber アカウントのポリシー リストの先頭に表示されます。

自動化ポリシー テンプレートを追加するには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。
    自分自身の Service Provider アカウントを選択するには、 概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。

Screen shot of the Automation Policy Templates page for Service Providers

  1. 自動化ポリシー テンプレートを追加する をクリックします。
    自動化ポリシー テンプレートを追加する ページが開きます。

Screen shot of the Add Automation Policy Template page for Service Providers

  1. 自動化ポリシー テンプレートの 名前 を入力します。
  2. (任意) 自動化ポリシー テンプレートの 説明 を入力します。
  3. 割り当て テキスト ボックスで、アカウントを追加する をクリックします。
    アカウントを追加する ダイアログ ボックスが開きます。
  4. テンプレートを割り当てるアカウントまたはアカウント グループを選択します。
    1 つのアカウントに割り当てることができるテンプレートは 1 つのみです。アカウントを 2 番目のテンプレートに割り当てると、元のテンプレートが削除されます。
  5. 複数のアカウントまたはアカウント グループに自動化ポリシー テンプレートを割り当てる場合で、それらのアカウントの一部に既存のテンプレートがすでに割り当てられているときには、ポリシー テンプレートを割り当てる ダイアログ ボックスが開きます。次のうちいずれかのオプションを選択します。
    • 既存のテンプレートを維持する — 選択されているアカウントの中で、既存のテンプレートが割り当てられていないアカウントのみに新しいテンプレートが割り当てられます。既存のテンプレートが割り当てられているアカウントでは、そのテンプレートが維持されます。
    • すべてをこのテンプレートに置き換える — 選択されているすべてのアカウントに新しいテンプレートが割り当てられます。

Screen shot of the Assign Policy Template dialog box

  1. 追加 をクリックします。
  2. 追加するアカウントごとに手順 6 ~ 9 を繰り返します。
  3. テンプレートに含める自動化ポリシーを追加します。詳細については、自動化ポリシーをテンプレートに追加する を参照してください。
  4. 保存 をクリックします。

自動化ポリシーをテンプレートに追加する

自動化ポリシーを追加する際に、条件およびインシデント発生時に ThreatSync で実行されるアクションを指定します。

自動化ポリシーをテンプレートに追加するには、以下の手順を実行します。

  1. 自動化ポリシー テンプレートを追加または編集します。
  1. 自動化ポリシーを追加する をクリックします。
    ポリシーを追加する ページが開きます。

Screen shot of the Add Policy page in ThreatSync

  1. 有効 トグルをクリックして、新しいポリシーを有効化します。
  2. ポリシーとコメントの 名前 を入力します。
  3. ポリシーの種類 セクションで、種類 ドロップダウン リストから、作成するポリシーの種類を選択します。
    • 修正 — この自動化ポリシーにより、ポリシー条件に該当するインシデントが発生した際に、指定した修正アクションを実行することができます。
    • アーカイブ — この自動化ポリシーにより、条件に該当するインシデントのステータスをアーカイブ済みに変更することができます。

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. 条件 セクションで、この自動化ポリシーを適用するためにインシデントが満たす必要がある条件を指定します。

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • インシデントの種類 — 以下のインシデントの種類を 1 つまたは複数選択します。
      • 高度なセキュリティ ポリシー - 高度な感染手法が使用されている悪質なスクリプトや不明のプログラムの実行。
      • エクスプロイト — 悪質なコードを挿入して脆弱なプロセスの悪用を試みる攻撃。
      • 侵入試行 — 侵入者がシステムへの不正アクセスを試みるセキュリティ イベント。
      • IOA — IOA (Indicators of Attack) は攻撃である可能性が高いインジケータ。
      • 悪質な URL — ランサムウェアなど、マルウェアの配布を目的として作成された URL。
      • 悪質な IP - 悪質なアクティビティに関連付けられる IP アドレス。
      • マルウェア - コンピュータ システムを損傷または中断させること、あるいはコンピュータ システムに不正アクセスすることを目的とした悪質なソフトウェア。
      • PUP — コンピュータへのソフトウェアのインストールに伴いインストールされる可能性のある不審なプログラム (PUP)。
      • ウイルス — コンピュータ システムに侵入する悪質なコード。
      • 不明なプログラム — WatchGuard Endpoint Security でまだ分類されていないためにブロックされたプログラム。

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • デバイスの種類 — 以下のデバイスの種類を 1 つまたは複数選択します。
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • 実行済みアクション — インシデントが発生した際に実行する以下のアクションを 1 つまたは複数選択します (アーカイブ ポリシーの種類のみ)。
      • 接続のブロック — 接続がブロックされました。
      • プロセスのブロック — Endpoint デバイスにより、プロセスがブロックされました。
      • デバイスの隔離 — デバイスとの通信がブロックされました。
      • ファイルの削除 — ファイルがマルウェアとして分類され、削除されました。
      • IP のブロック — この IP アドレスとの間のネットワーク接続がブロックされました。
      • プロセスが強制終了されました — Endpoint デバイスによって、プロセスが終了されました。

  2. アクション セクションのドロップダウン リストから、指定したアクションを実行するか防止するかを選択します。
    • Perform (実行) — ポリシー条件に該当するインシデントの発生時に、指定されているアクションが ThreatSync で実行されます。
    • Prevent (防止) — 指定されているアクションが、ThreatSync により阻止されます。より広範な Perform (実行) ポリシーにおける例外を作成するには、Prevent (防止) アクションが設定されたポリシーを追加して、ポリシー リストでこれを他のポリシーよりも上位にランク付けします。防止アクションのポリシーによって、管理ユーザーによるアクションの手動実行が妨げられることはありません。
  1. 実行または防止する以下のアクションを 1 つまたは複数選択します。
    • 脅威の送信元 IP をブロックする (外部 IP のみ) — インシデントに関連付けられる外部 IP アドレスがブロックされます。このアクションを選択すると、WatchGuard Cloud アカウントで ThreatSync が有効化されているすべての Firebox で、IP アドレスとの間の接続がブロックされます。
    • ファイルを削除する — インシデントに関連付けられるフラグ付きファイルが削除されます。
    • デバイスを隔離する — コンピュータがネットワークから隔離されます。これにより、脅威の拡散と機密データの流出を防止することができます。
    • 悪質なプロセスを強制終了する — インシデントに関連して悪質な動作が検出されたプロセスが強制終了されます。
    • インシデントをアーカイブする - インシデントのステータスがアーカイブ済みに変更されます (アーカイブ ポリシーの種類のみ)。

    2. ポリシーの種類が アーカイブ の場合は、インシデントをアーカイブする アクションが自動的に選択されます。別のアクションを選択することはできません。

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. 追加 をクリックします。
    新しいポリシーが、ポリシー リストに追加されます。

テンプレートの自動化ポリシーを無効化する

自動化ポリシー テンプレートを編集する ページで、テンプレートにある 1 つまたは複数の自動化ポリシーを無効化することができます。これは、後で再度有効化することもできます。

テンプレートの自動化ポリシーを無効化するには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。自分自身の Service Provider アカウントを選択するには、 概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。
  3. 自動化ポリシーを無効化するテンプレートを選択します。
    自動化ポリシー テンプレートを編集する ページが開きます。
  4. 自動化ポリシーの行で、有効 トグルを無効化します。
  5. 保存 をクリックします。

テンプレートから自動化ポリシーを削除する

自動化ポリシー テンプレートを編集する ページで、テンプレートから自動化ポリシーを削除することができます。

テンプレートから自動化ポリシーを削除するには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。自分自身の Service Provider アカウントを選択するには、 概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。
  3. 自動化ポリシーを削除するテンプレートを選択します。
  4. 削除するポリシーの名前の横にある オプション アイコン。 をクリックします。削除 をクリックします。
  5. 削除 をクリックします。
  6. 保存 をクリックします。

自動化ポリシー テンプレートをコピーする

自動化ポリシー テンプレート ページで、自動化テンプレートをコピーして、新しいテンプレートの開始点として使用することができます。

自動化ポリシー テンプレートをコピーするには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。自分自身の Service Provider アカウントを選択するには、 概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。
  3. コピーするテンプレートの行で、 をクリックします。

  1. 自動化ポリシー テンプレートをコピーする ページで、新しいテンプレートの 名前 を入力します。
  2. 必要に応じて、テンプレートを変更します。
    • 割り当てを追加する
    • ポリシーを追加または削除する
    • ポリシーを有効化または無効化する
  3. 保存 をクリックします。

自動化ポリシー テンプレートを削除する

その自動化テンプレートが管理対象アカウントに割り当てられていなければ、自動化ポリシー テンプレート ページで、その自動化テンプレートを削除することができます。

自動化ポリシー テンプレートを削除するには、以下の手順を実行します。

  1. アカウント マネージャーで、Service Provider アカウントを選択します。自分自身の Service Provider アカウントを選択するには、 概要 を選択します。または、ティア-2 Service Provider アカウントを選択します。
  2. 構成 > ThreatSync の順に選択します。
    自動化ポリシー テンプレート ページが開きます。
  3. 削除するテンプレートの行で、 をクリックします。

  1. 削除 をクリックします。
  2. 保存 をクリックします。

アカウント レベルの自動化ポリシーが割り当てられている管理対象アカウントを表示する

自動化ポリシー テンプレート ページで、アカウント レベルの自動化ポリシーが割り当てられている管理対象アカウントのリストを表示し、保留中のポリシー変更を配備することができます。

1 つまたは複数の管理対象アカウントに保留中のポリシー変更を配備するには、以下の手順を実行します。

  1. 保留中のポリシー変更がある管理対象アカウントの横にある 配備 をクリックします。
  2. 複数の管理対象アカウントに保留中のポリシー変更を配備するには、保留中の変更をすべて配備する をクリックします。

Screenshot of the Accounts with Account-Level Automation Policies section

変更は、ThreatSync 決定エンジンに配備されます。そして、インシデントが自動化ポリシーに一致すると、アクションが Firebox または endpoint デバイスに送信されます。

関連トピック

ThreatSync 自動化ポリシーについて

ThreatSync 自動化ポリシーを管理する (Subscriber)

アカウント グループを管理する

ThreatSync デバイス設定を構成する

ThreatSync を構成する

ThreatSync について