ネットワークと endpoint デバイスからのデータの収集と相関を最適化して、脅威を検出してこれに対応するには、以下のベストプラクティスに従って、ThreatSync を設定および構成することが勧められます。
- 開始する前に
- Firebox の推奨設定
- Endpoint Security の推奨設定
- デバイス設定を構成する
- 自動化ポリシー構成のベストプラクティス
- ブロックされたサイトの例外
- 推奨される通知ルール
開始する前に
ThreatSync を設定および構成する前に、クイック スタート — ThreatSync をセットアップする に記載されている Firebox と Endpoint Security の前提条件が満たされていることを確認してください。
Firebox の推奨設定
Firebox からインシデント データが ThreatSync に確実に送信されるように、以下を実行します。
- ThreatSync インシデントが生成される以下のセキュリティ サービスが Firebox で有効化され、構成されていることを確認します。
- APT Blocker
- Gateway AntiVirus
- WebBlocker
- IPS
- ローカル管理の Firebox の場合は、以下を実行します。
- HTTPS プロキシ アクションでコンテンツ インスペクションを有効化します。詳細については、HTTPS プロキシ:コンテンツ インスペクション を参照してください。
- すべてのポリシーとサービスのログ記録を有効化します。詳細については、ログ記録と通知の基本設定を行う を参照してください。
- クラウド管理の Firebox の場合は、Web トラフィックの送信ファイアウォール ポリシーで、HTTPS トラフィックの復号化のオプションを有効化します。詳細については、ファイアウォール ポリシーでトラフィックの種類を構成する を参照してください。
Endpoint Security の推奨設定
WatchGuard Advanced EPDR、EPDR、EDR、EDR Core、EPP によって、設定が異なります。本セクションでは、一般的に Endpoint Security はすべての製品を指すものとします。Endpoint Security 管理 UI に設定が表示されない場合は、これが製品でサポートされていないということです。
Endpoint Security から必要なテレメトリ データとインシデント データがすべて ThreatSync に送信されるように、以下の Endpoint Security 設定が有効化されていることを確認します。
- ワークステーションおよびサーバーのセキュリティ設定
- 高度な保護
- 動作モード (ロック モード)
- エクスプロイト対策
- ウイルス対策
- 高度な保護
- IOA (Indicators of Attack)
Endpoint Security の設定に関する詳細については、設定を管理する を参照してください。
デバイス設定を構成する
アカウントの ThreatSync を有効化すると、そのアカウントに割り当てられている endpoint デバイスと Firebox でこれが自動的に有効化されます。こうしたデバイスからは、自動的にデータが ThreatSync に送信されるようになります。
アカウントにあるすべての Firebox で ThreatSync を有効化することが勧められます。アカウントに追加された新しい Firebox からインシデント データとアクションが ThreatSync に確実に送信されるように、デバイス設定 ページで、新しく追加された Firebox で ThreatSync を自動的に有効化する チェックボックスを選択します。
詳細については、ThreatSync デバイス設定を構成する を参照してください。
自動化ポリシー構成のベストプラクティス
自動化ポリシーを整理して監視できるように、まず以下のベストプラクティスから始めることが勧められます。
自動化ポリシー名をカスタマイズする
自動化ポリシーをより容易に理解して維持できるように、ポリシーの目的、適用対象、その他の固有の特性を象徴するような意味のあるポリシー名を選択してください。
たとえば、ポリシーの種類、リスク範囲、実行されたアクションをポリシー名に含める場合は、ポリシーに Remediation_6-7_Isolate または Archive_1-3 という名前を付けることができます。
推奨される修正の自動化ポリシー
ThreatSync により、自動的に高リスクのインシデントを防御できるように、リスク範囲 7 ~ 10 のインシデントの自動化ポリシーを作成することが勧められます。
Remediation ポリシーの推奨設定
- ランク — 1
- ポリシーの種類 — Remediation (修正)
- リスク範囲 — 7 〜 10
- デバイスの種類 — Endpoint、Firebox
- アクション — 実行 > デバイスを隔離する
このポリシーにより、スコア 7 以上のインシデントの影響を受けたデバイスがネットワークから自動的に隔離され、脅威の拡散が防止されます。これにより、隔離されたデバイスを分析し、インシデントの詳細を調査できるようになります。詳細については、インシデントの詳細を確認する を参照してください。
推奨されるアーカイブの自動化ポリシー
インシデント リストにおける低リスク インシデントの数を減らすことで、高リスク インシデントに集中できるように、リスク スコア 1 のインシデントに適用されるアーカイブ ポリシーを作成することが勧められます。
Archive ポリシーの推奨設定
- ポリシーの種類 — Archive (アーカイブ)
- リスク範囲 — 1
- デバイスの種類 — Endpoint、Firebox
- アクション — 実行 > アーカイブ
このポリシーにより、リスク スコア 1 のインシデントが自動的にアーカイブされます。アーカイブされたインシデントを確認し、他のアクションを実行する必要性の有無を判断することが勧められます。アーカイブされたインシデント リストを確認するには、インシデント ページで、ステータスでインシデントをフィルタリングします。詳細については、ThreatSync インシデントを監視する を参照してください。
低リスクのインシデントをすべて調査する時間がない場合は、アーカイブ ポリシーを変更して、リスク範囲を 1 ~ 3 に上げることを検討してください。
自動化ポリシーの詳細については、ThreatSync 自動化ポリシーについて を参照してください。
ブロックされたサイトの例外
マーケティング チームが使用するサーバーの IP アドレスなど、ThreatSync で重要な IP アドレスがブロックされた場合は、Firebox で、ブロックされたサイトの例外をその IP アドレスに構成することが勧められます。IP アドレスのブロックされたサイトの例外を追加すると、手動アクションまたは自動化ポリシーによって ThreatSync によりブロックされた IP のリストにその IP アドレスが含まれていても、Firebox でその IP アドレスとの間のトラフィックが常に許可されます。
ローカル管理の Firebox で、ブロックされたサイトの例外を作成する方法については、ブロックされたサイトの例外を作成する を参照してください。
クラウド管理の Firebox に例外を追加する方法については、WatchGuard Cloud で例外を追加する を参照してください。
推奨される通知ルール
インシデントが生成されるのに応じて、ThreatSync UI でインシデントを監視することが勧められます。ThreatSync インシデントの概要 ページで、インシデント アクティビティのスナップショットを表示することができます。また、WatchGuard Cloud で通知ルールを構成することで、新たに発生したインシデント、実行された特定のアクション、アーカイブされたインシデントに関するアラートを生成して電子メール通知が送信されるように設定することができます。
脅威が出現した際に容易にそれに対応できるように、最もリスクの高いインシデントの通知ルールを設定することが勧められます。
通知ルールの推奨設定
- 通知の種類 — 新規インシデント
- リスク範囲 — 7 〜 10
- インシデントの種類 — インシデントの種類をすべて選択
- デバイスの種類 — デバイスの種類をすべて選択
- 送信方法 — 電子メール
- 頻度 - すべてのアラートを送信
通知ルールに基づき、WatchGuard Cloud のアラート ページに表示されるアラートが生成され、指定されている受信者に通知メールが送信されます。
通知ルールの設定方法に関する詳細については、ThreatSync 通知ルールを構成する を参照してください。