適用対象: WatchGuard Advanced EPDR
承認済み IOC のネットワーク上にあるコンピュータやデバイスを検索するためのタスクを作成します。
IOC を WatchGuard Advanced EPDR インポートする際には、検索タスクを作成する前に、IOC ギャラリーで IOC を手動で承認する必要があります。詳細については、IOC を管理する を参照してください。
タスクの優先度
WatchGuard Advanced EPDR がユーザー コンピュータで IOC 検索タスクを実行する際に、すでに進行中のタスクが存在する可能性があります。IOC 検索タスクは、この表に記載されている動作に従って実行されます。
| タスクが進行中 | 検索タスクの動作 |
|
IOC 検出 |
IOC 検出タスクが完了するのを待ってから新しい検索タスクを実行します。 |
|
パッチのインストール |
パッチのインストール タスクと同時に実行されます。パッチのインストール タスクは、システムの整合性に対しリスクとなる可能性があるため、中断されません。 |
|
スキャンまたは駆除する |
スキャンまたは駆除タスクがキャンセルされ、IOC 検索タスクが実行されます。 |
|
Data Control 検索 |
Data Control タスクを実行しますが、キャンセルしたり停止したりしません。 |
|
Data Control のインデックス作成 |
Data Control タスクを実行し、一時的に停止します。 |
IOC 検索タスクが自動的にキャンセルされ、(可能な場合は) 以下の場合にユーザー コンピュータで再開されます:
-
管理者が管理 UI からコンピュータの再起動を要求する。
-
クライアント ユーザーが、コンピュータからローカルでのコンピュータの再起動を要求する。
-
コンピュータは自動的に再起動し、インストールされているセキュリティ ソフトウェアのコンポーネントを更新します。
WatchGuard Advanced EPDR がタスクを開始し、IOC 検索タスクが既に進行中の場合、新しいタスクはこの表に記載された動作に従って完了されます。
| 新しいタスク | タスクの動作 |
| IOC の検出 | 進行中の検索タスクが終了するのを待ってから新しいタスクが実行されます。 |
|
パッチのインストール |
IOC 検索タスクの実行中にタスクの実行が開始されます。 |
|
スキャンまたは駆除する |
IOC 検索タスクが終了するまでタスクは実行を開始しません。 |
|
Data Control 検索 |
IOC 検索タスクの実行中にタスクの実行が開始されます。 |
|
Data Control のインデックス作成 |
IOC 検索タスクが終了するまでタスクは実行を開始しません。 |
管理 UI から IOC 検索タスクを手動で停止すると、以下のようになります。
-
IOC 検索が対象コンピュータ上でできるだけ早く停止します。
-
キャンセルされる時点までの検出結果は記録されます。
IOC 検索タスクを作成する
IOC 検索タスクは IOC ギャラリーで、または タスク ページで作成することができます。IOC ギャラリーの詳細については、IOC ギャラリーについて を参照してください。
IOC 検索タスクを作成するには、タスク ページで以下の手順を実行します:
- WatchGuard Cloud で、監視 > Endpoint の順に選択します。
- タスク を選択します。
- タスクを追加 > IOC を検索 の順にクリックします。
新しいタスク ダイアログ ボックスが開きます。
- 名前 テキスト ボックスに、タスクの名前を入力します。
- 説明 テキスト ボックスに、タスクの説明を入力します。
- タスクを開始する時間を選択します。
- 選択した間隔の時間内にできるだけ早くタスクを開始するには、チェックボックスをオンにします。コンピュータの電源がオンになっており、クラウドからアクセス可能になっている必要があります。
- 特定の日時にタスクを開始する場合は、日付と時間を選択します。
- コンピュータの時刻に基づいて時間を指定する場合は、コンピュータのローカル時刻 チェックボックスを選択します。
このチェックボックスが選択されていないと、WatchGuard Cloud サーバーに基づく時間となります。 - コンピュータの電源がオフになっている、またはアクセスできない場合は、タスクは実行されません。タスクの有効期限は、0 (コンピュータが利用不可の場合、タスクは即時期限切れになります) から無限 (タスクは常にアクティブで、コンピュータが使用可能になるまで無期限に待機します) までの間に設定することができます。
- 最大実行時間 ドロップダウン リストから、指定時間にコンピュータがオフになっている場合、または WatchGuard Cloud に接続されていない場合にタスクを保持する期間を選択します。
- 次の IOC を確認する テキスト ボックスで、+ をクリックします。
IOC を追加 ダイアログ ボックスが開きます。
- 検索する IOC を選択します。
リストには、IOC ギャラリーに登録済みのすべての IOC が表示されます。リストが長い場合は、検索ボックスで IOC を検索することができます。 - 追加 をクリックします。
- 右上隅にある 保存 をクリックします。
- タスク ページでタスクを選択します。
- 受信者 テキスト ボックスで検索するコンピュータとデバイスを追加するには、まだ受信者が選択されていません をクリックします。
受信者ページが開きます。 - コンピュータ グループを追加するには、ボックスの上にある
をクリックします。
グループの追加 ダイアログ ボックスが開きます。- 検索するコンピュータ グループを選択します。
- 追加 をクリックします。
選択したグループがボックスに表示されます。
をクリックしてそれらを削除します。
- 特定の種類のコンピュータとデバイスのみでタスクを実行するには、含めるデバイスの種類 (ワークステーション、ノート PC、サーバー、モバイル デバイスなど) のチェックボックスを選択します。
タスクを受信できるコンピュータやデバイスの種類は、実行するタスクによって異なります。 - 追加のコンピュータとデバイスを追加するには、ボックスの上で をクリックします。
コンピュータの追加 ダイアログ ボックスが開きます。- 検索する個々のコンピュータを選択します。
- 追加 をクリックします。
選択したコンピュータとデバイスがリストに表示されます。コンピュータの表示 をクリックして、タスクを受信するコンピュータのリストを確認します。
- 戻る をクリックします。
- 保存 をクリックします。
このタスクは発行することができます。詳細については、タスクを発行する を参照してください。
IOC 検索結果
検索タスクを発行して実行後、IOC 検出リストおよび IOC ダッシュボードで検索結果を確認することができます。詳細については、侵害インジケーター ダッシュボード を参照してください。検索するファイルの数が多いほど、Endpoint Security が検索タスクを完了するのにかかる時間も長くなります。MD5 または Yara ルールを使用した検索タスクは、完了により長い時間を要する場合があります。
ネットワーク上の各コンピュータで多数のファイルが感染している場合にネットワークの過負荷が発生するのを防ぐため、WatchGuard Advanced EPDR は検索の深さとレポートを制限します。
-
シンプルな IOC や 1 つの YARA ルールを使用した IOC — 特定の値を持つ単一の属性を検索します。IOC はコンピュータ 1 台あたり最大 10 件の結果を返し、それを超えると検索が停止します。
-
複雑な IOC — 複数の属性、または複数の値を持つ単一の属性を検索します。IOC は、各コンピュータで見つかった最初の結果を返し、その後検索は停止します。