WatchGuard Advanced EPDR セキュリティ ダッシュボード

適用対象: WatchGuard Advanced EPDR

WatchGuard Advanced EPDR セキュリティ ダッシュボードには、特定期間におけるネットワークのセキュリティ ステータスの概要が表示されます。いくつかのタイルに、重要情報および詳細情報への有用なリンクが表示されます。

Screen shot of the WatchGuard Advanced EPDR Security dashboard

期間セレクタ

ダッシュボードには、ステータス ページ上部のドロップダウン リストで選択した期間の情報が表示されます。

Screen shot of the Time Selector drop-down list

以下の期間のいずれかを選択することができます。

  • 24 時間以内
  • 7 日以内
  • 1 か月以内
  • 1 年以内

昨年の情報が表示されないタイルもあります。特定タイルで 1 年以内からの情報のオプションがない場合は、通知が表示されます。

セキュリティ ダッシュボードには、以下のタイルが含まれています。

タイルをクリックすると、詳細情報が表示されます。

ステータス アイコン

高度な保護、アンチウイルス、アップデート済みの保護、ナレッジ列のアイコンは、それぞれのステータスを示すものです。

  • インストール中アイコン— インストール中
  • 有効化アイコン— 有効
  • 無効化アイコン— 無効
  • エラー アイコン— エラー
  • ライセンスなしアイコン— ライセンスなし
  • 利用不可アイコン— 利用不可
  • 再起動保留中アイコン— 再起動待ち

保護ステータス

保護ステータス タイルには、以下が示されます。

  • WatchGuard Advanced EPDR が正常に動作しているコンピュータと正常に動作していないコンピュータ。
  • インストール エラーのあるコンピュータまたは問題のあるコンピュータ。
  • 監査モード有効のコンピュータ。

Screen shot of the Protection Status tile

タイルの中央にあるコンピュータとデバイスの総数には iOS デバイスが含まれます。このタイルには、iOS デバイスに関するそれ以外の情報は含まれません。iOS デバイスには高度な保護やアンチウイルス保護がありません。詳細については、iOS デバイス設定を構成する を参照してください。

タイルをクリックすると、コンピュータの保護の状況 リストが開きます。

Screen shot of the Computer Protection Status list

各タイプのデバイスですべての列が使用可能であるわけではありません。

コンピュータの保護の状況 リストをフィルタリングするには、以下の手順を実行します。

  1. フィルタ をクリックします。
  2. コンピュータの種類 を選択します。
  3. プラットフォーム、接続、保護パラメータを指定します。
  4. 保護ステータス を選択します。
  5. 隔離ステータス を選択します。
  6. フィルタ をクリックします。

オフラインのコンピュータ

オフラインのコンピュータ タイルには、クラウドに接続されていないコンピュータの数とその日数が表示されます。

Screen shot of the Offline Computers tile

タイルをクリックして、コンピュータの詳細を表示します。これにより、セキュリティの問題の影響を受けやすく、注意が必要なコンピュータを確認することができます。

Screen shot of the Offline Computers list

このリストで使用されているアイコンの詳細については、アイコン を参照してください。

未更新の保護

未更新の保護 タイルには、最新リリースの署名ファイルよりも 3 日以上古い署名ファイルが含まれているコンピュータの数が表示されます。また、このタイルには、最新リリースのエンジンよりも 7 日以上古いウイルス対策エンジンが搭載されているコンピュータの数も表示されます。

  • 保護 — コンピュータには最新リリースのエンジンよりも古いバージョンのアンチウイルス エンジンが少なくとも 7 日以上搭載されている状態です。
  • ナレッジ — コンピュータで署名ファイルが少なくとも 3 日間更新されていない状態です。
  • 再起動待ち — 更新を完了するために、コンピュータで再起動が必要な状態です。

Screen shot of the Outdated Protection tile

タイルのプログレス バーをクリックして、以下の各ステータスに関連付けられているコンピュータのリストを表示します。

  • 保護が最新でないコンピュータ
  • ナレッジが最新でないコンピュータ
  • 再起動待ちのコンピュータ

管理者が許可したアイテムを検出しました

管理者が許可したアイテムを検出しました タイルには、当初 WatchGuard Advanced EPDR で実行が阻止されたプログラムの中から管理者が許可したプログラムの数が表示されます。こうしたプログラムは、WatchGuard Advanced EPDR の分類プロセスで脅威 (マルウェア、PUP、エクスプロイト) または不明のファイルとして分類されたものです。

Screen shot of the Detected Items Allowed by the Administrator tile

タイルをクリックすると、特定の情報がリストに表示されます。

Screen shot of the Detected Items Allowed by the Administrator list

分類プロセスで脅威と不明として分類されたファイルの中から管理者が実行を許可したものに関連するすべてのイベントを表示するには、履歴 をクリックします。

管理者によってブロックされたプログラム

管理者によってブロックされたプログラム タイルには、ネットワークのコンピュータにおいて、管理者がブロックしたプログラムの数が表示されます。

Screen shot of the Programs Blocked by the Administrator tile

タイルをクリックすると、特定の情報がリストに表示されます。

Screen shot of the Programs Blocked by the Administrator detail page

実行およびスキャンされたすべてのプログラムの分類

このタイルには、指定期間中に組織で実行されたプロセスとプログラム、およびその分類 (例:信頼できるプログラム、マルウェア) が表示されます。

このタイルのデータは、管理者にアクセス許可のあるコンピュータだけでなく、IT ネットワーク全体に対応しています。

分類中のプログラムは、WatchGuard Advanced EPDR で分類が完了した後にタイルに表示されます。

Screen shot of the Classification of all Programs Run and Scan tile

プログラムの分類

  • 信頼できるプログラム — 指定期間中に実行されたプログラムで、WatchGuard Advanced EPDR で信頼済みとして分類されたプログラム。
  • マルウェア — 指定期間中に実行が試みられたプログラムで、WatchGuard Advanced EPDR でマルウェア、ゼロデイ脅威、標的型攻撃として分類されたプログラム。
  • エクスプロイト — コンピュータ上の信頼できるプログラムを侵害したか、侵害しようとしたエクスプロイト攻撃です。
  • PUP (不審なプログラム) — 指定期間中に実行が試みられたプログラムで、WatchGuard Advanced EPDR で PUP として分類されたプログラム。

高度なセキュリティ ポリシーによる検出

このタイルには、ブロックされた不審なスクリプトと高度な感染手法を用いた不明なプログラムの総数が表示されます。

Screen shot of Detections by Advanced Security Policies tile

各コンピュータにつき、検出は 24 時間に 1 回だけ登録されます。高度なセキュリティ ポリシーによりブロックされたアイテムのリストを開くには、タイルをクリックします。リストでアイテムを選択すると、高度なセキュリティ ポリシーによるブロック ページが開きます。詳細については、高度なセキュリティ ポリシーによる検出 — 詳細 を参照してください。

高度なセキュリティ ポリシー

  • 疑わしいパラメーターを持つ PowerShell — PowerShell インタープリターが、保護対象コンピュータで危険な操作が実行される可能性がある疑わしいパラメータを受信した回数。
  • ユーザーによる PowerShell の実行 — 保護対象コンピュータで危険な操作を実行できるインタラクティブ アカウントによる監視対象 PowerShell スクリプトの実行が試みられた回数。
  • 不明なスクリプト — WatchGuard セキュリティ インテリジェンス チームによってまだ分類されていないスクリプトの実行が試みられた回数。
  • ローカルでコンパイルされたプログラム — ユーザーのコンピュータでコンパイルされたため、WatchGuard セキュリティ インテリジェンス チームに知られていないプログラムの実行が試みられた回数。
  • マクロが含まれているドキュメント — マクロが含まれている Office ドキュメントを開く試みがなされた回数。
  • Windows 起動時に実行されるレジストリ変更 — プログラムがコンピュータ上で永続性を獲得し、システムが起動するたびにオペレーティング システムとともにそのプログラムが読み込まれるようにする Windows レジストリ キーの追加が試みられた回数。
  • MD5 によるプログラム ブロック — 管理者によって設定された MD5 ブロックリストに含まれていたためにプログラムがブロックされた回数。
  • 名前によるプログラム ブロック — 管理者によって設定された名前ブロックリストに含まれていたためにプログラムがブロックされた回数。

マルウェア アクティビティ、PUP アクティビティ、エクスプロイト アクティビティ

これらのタイルには、ネットワークのワークステーションとサーバーおよびそのファイル システムで実行されたプロセスの中で検出されたインシデントが表示されます。インシデントは、リアルタイム スキャンとオンデマンド スキャン タスクにより報告されます。

WatchGuard Advanced EPDR では、ネットワークで検出された各コンピュータまたは脅威ペアのマルウェア アクティビティ タイルと PUP アクティビティ タイルにインシデントが表示されます。WatchGuard Advanced EPDR では、インシデントが 5 分間に複数回発生した場合は、最初のインシデントのみが登録されます。同じインシデントは、24 時間ごとに最大 2 回登録されます。

Screen shot of the Malware Activity and PUP Activity tiles

  • 「実行」には、ネットワーク上での実行に成功したマルウェアの数が表示されます。
  • 「データにアクセス」には、脅威がコンピュータのハード ディスク上のユーザー情報にアクセスした回数が表示されます。
  • 「外部接続」には、他のコンピュータに接続された回数が表示されます。

  • ネットワーク上のコンピュータからコピーされた脅威には、感染元のコンピュータの IP アドレスと、その IP アドレスが検出のソースとなった回数が (括弧内に) 表示されます。対応するリストを開くには、IP アドレスをクリックします。

  • マルウェア アクティビティまたは PUP アクティビティ リストを開いて影響を受けたコンピュータとマルウェアまたは PUP インシデントのリストを表示するには、タイルをクリックします。

コンピュータが監査モードになっており、ユーザーがブロックされたマルウェア インシデントを許可すると、そのアクションは、マルウェア アクティビティ リストで許可済み (監査モード) として表示されます。ブロックされたインシデントを許可するには、マルウェア アクティビティ タイルをクリックして、リストから影響を受けたコンピュータを選択します。アクション の横で をクリックし、開いたポップアップで 今後検出しない をクリックします。

エクスプロイト アクティビティ

エクスプロイト アクティビティ タイルには、ネットワークの Windows コンピュータで発生した脆弱性エクスプロイト攻撃の数が表示されます。WatchGuard Advanced EPDR では、ネットワークで検出された各コンピュータまたは異なるエクスプロイト攻撃ペアのインシデントが、エクスプロイト アクティビティ タイルに表示されます。WatchGuard Advanced EPDR では、攻撃が複数回繰り返された場合は、検出された各コンピュータ/エクスプロイト ペアについて、24 時間ごとに最大 10 件のインシデントが報告されます。

Screen shot of the Exploit Activity tile

エクスプロイト アクティビティ リストを開いて影響を受けたコンピュータとエクスプロイト インシデントのリストを表示するには、このタイルをクリックします。

ネットワーク攻撃アクティビティ

ネットワーク攻撃アクティビティ タイルには、ネットワーク上の Windows コンピュータに対して試みられたネットワーク攻撃の回数が表示されます。WatchGuard Advanced EPDR は、同じ種類および同じソース IP アドレスを持つすべてのネットワーク攻撃に対し、毎時間に 1 つのインシデントを作成します。

Screen shot of WatchGuard Endpoint Security, Network Attack Activity tile on Security dashboard

ネットワーク攻撃アクティビティ リストを開いて影響を受けたコンピュータとネットワーク攻撃インシデントのリストを表示するには、このタイルをクリックします。

現在ブロックされている分類中のプログラム

現在ブロックされている分類中のプログラム タイルには、WatchGuard Advanced EPDR で現在ブロックされているプログラムの数が表示されます。

Screen shot of the Currently Blocked Programs Being Classified tile

ブロックされたアプリケーションは、以下のいずれかの色になります。

  • オレンジ — マルウェアである可能性が中程度のアプリケーション。
  • 濃いオレンジ — マルウェアである可能性が高いアプリケーション。
  • 赤 — マルウェアである可能性が非常に高いアプリケーション。

ネットワーク上のコンピュータからコピーされた脅威には、感染元のコンピュータの IP アドレスと、その IP アドレスが検出のソースとなった回数が (括弧内に) 表示されます。対応するリストを開くには、IP アドレスをクリックします。

タイルをクリックすると、分類前に WatchGuard Advanced EPDR で危険として判断されたファイルのリストが表示されます。リストからプログラムを削除するには、コンピュータのオプション メニューで、リストから削除する を選択します。

Screen shot of the Currently Blocked Programs Being Classified details

WatchGuard Endpoint Security では、削除されたアイテムが引き続き「不明」として見なされたままとなります。再度実行しようとすると、現在ブロックされている分類中のプログラム リストに再び表示されます。

ウイルス対策により検出された脅威

このタイルには、指定期間中に WatchGuard Advanced EPDR で検出されたすべての侵入試行が表示されます。データは、すべての感染ベクトルとサポートされているすべてのプラットフォームを対象としています。管理者は、マルウェアに関連する特定のデータ (量、種類、攻撃の形態) を取得することができます。

Screen shot of the Threats Detected by Antivirus tile

タイルをクリックすると、検出された脅威に関する詳細情報が表示されます。

Screen shot of the Threats Detected by the Antivirus detail page

関連トピック

WatchGuard Endpoint Security のマイ リストについて

Web アクセス ダッシュボード

リスク ダッシュボード

検出された未管理のコンピュータ リスト

ネットワーク攻撃からの保護 — 攻撃の種類 検出済み