ThreatSync 自動化ポリシーを管理する (Subscriber)

ThreatSync 自動化ポリシーは、脅威の検出時に ThreatSync で自動的に実行されるアクションを定義するポリシーです。インシデントが、自動化ポリシーで指定されている条件を満たすと、ThreatSync で指定されているアクション (ファイルの削除やデバイスの隔離など) が実行されます。アカウントに複数の自動化ポリシーが割り当てられている場合は、ThreatSync では、自動化ポリシー ページに表示される順序でデバイスにポリシーが適用されます。

Subscriber アカウントの自動化ポリシー ページでは、以下を実行することができます。

Service Provider は、複数の自動化ポリシーが含まれる自動化ポリシー テンプレートを作成し、そのテンプレートを管理対象アカウントに割り当てることができます。Subscriber の場合は、テンプレートを通してアカウントに割り当てられた自動化ポリシーがポリシー リストの上部に表示されます。詳細については、ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider) を参照してください。

自動化ポリシーを追加する (Subscriber)

自動化ポリシーを追加する際に、条件およびインシデント発生時に ThreatSync で実行されるアクションを指定します。

自動化ポリシーを追加するには、以下の手順を実行します。

  1. WatchGuard Cloud アカウントにログインします。
  2. Service Provider アカウントの場合は、アカウント マネージャーから マイ アカウント を選択します。
  3. 構成 > ThreatSync の順に選択します。
    自動化ポリシー ページが開きます。
  1. 自動化ポリシーを追加する をクリックします。
    ポリシーを追加する ページが開きます。

Screen shot of the Add Policy page in ThreatSync

  1. 有効 トグルをクリックして、新しいポリシーを有効化します。
  2. ポリシーとコメントの 名前 を入力します。
  3. ポリシーの種類 セクションで、種類 ドロップダウン リストから、作成するポリシーの種類を選択します。
    • 修正 — この自動化ポリシーにより、ポリシー条件に該当するインシデントが発生した際に、指定した修正アクションを実行することができます。
    • アーカイブ — この自動化ポリシーにより、条件に該当するインシデントのステータスをアーカイブ済みに変更することができます。

Screen shot of the Policy Type drop-down list on the Add Policy page

  1. 条件 セクションで、この自動化ポリシーを適用するためにインシデントが満たす必要がある条件を指定します。

    Screen shot of the Risk Range drop-down list on the Add Policy page in ThreatSync

    • インシデントの種類 — 以下のインシデントの種類を 1 つまたは複数選択します。
      • 高度なセキュリティ ポリシー - 高度な感染手法が使用されている悪質なスクリプトや不明のプログラムの実行。
      • エクスプロイト — 悪質なコードを挿入して脆弱なプロセスの悪用を試みる攻撃。
      • 侵入試行 — 侵入者がシステムへの不正アクセスを試みるセキュリティ イベント。
      • IOA — IOA (Indicators of Attack) は攻撃である可能性が高いインジケータ。
      • 悪質な URL — ランサムウェアなど、マルウェアの配布を目的として作成された URL。
      • 悪質な IP - 悪質なアクティビティに関連付けられる IP アドレス。
      • マルウェア - コンピュータ システムを損傷または中断させること、あるいはコンピュータ システムに不正アクセスすることを目的とした悪質なソフトウェア。
      • PUP — コンピュータへのソフトウェアのインストールに伴いインストールされる可能性のある不審なプログラム (PUP)。
      • ウイルス — コンピュータ システムに侵入する悪質なコード。
      • 不明なプログラム — WatchGuard Endpoint Security でまだ分類されていないためにブロックされたプログラム。

      Screen shot of the Select Incident Types dialog box on the Add Policy page

    • デバイスの種類 — 以下のデバイスの種類を 1 つまたは複数選択します。
      • Firebox
      • Endpoint

      • Screen shot of the Select Device Types dialog box on the Add Policy page

    • 実行済みアクション — インシデントが発生した際に実行する以下のアクションを 1 つまたは複数選択します (アーカイブ ポリシーの種類のみ)。
      • 接続のブロック — 接続がブロックされました。
      • プロセスのブロック — Endpoint デバイスにより、プロセスがブロックされました。
      • デバイスの隔離 — デバイスとの通信がブロックされました。
      • ファイルの削除 — ファイルがマルウェアとして分類され、削除されました。
      • IP のブロック — この IP アドレスとの間のネットワーク接続がブロックされました。
      • プロセスが強制終了されました — Endpoint デバイスによって、プロセスが終了されました。

  2. アクション セクションのドロップダウン リストから、指定したアクションを実行するか防止するかを選択します。
    • Perform (実行) — ポリシー条件に該当するインシデントの発生時に、指定されているアクションが ThreatSync で実行されます。
    • Prevent (防止) — 指定されているアクションが、ThreatSync により阻止されます。より広範な Perform (実行) ポリシーにおける例外を作成するには、Prevent (防止) アクションが設定されたポリシーを追加して、ポリシー リストでこれを他のポリシーよりも上位にランク付けします。防止アクションのポリシーによって、管理ユーザーによるアクションの手動実行が妨げられることはありません。
  1. 実行または防止する以下のアクションを 1 つまたは複数選択します。
    • 脅威の送信元 IP をブロックする (外部 IP のみ) — インシデントに関連付けられる外部 IP アドレスがブロックされます。このアクションを選択すると、WatchGuard Cloud アカウントで ThreatSync が有効化されているすべての Firebox で、IP アドレスとの間の接続がブロックされます。
    • ファイルを削除する — インシデントに関連付けられるフラグ付きファイルが削除されます。
    • デバイスを隔離する — コンピュータがネットワークから隔離されます。これにより、脅威の拡散と機密データの流出を防止することができます。
    • 悪質なプロセスを強制終了する — インシデントに関連して悪質な動作が検出されたプロセスが強制終了されます。
    • インシデントをアーカイブする - インシデントのステータスがアーカイブ済みに変更されます (アーカイブ ポリシーの種類のみ)。

    2. ポリシーの種類が アーカイブ の場合は、インシデントをアーカイブする アクションが自動的に選択されます。別のアクションを選択することはできません。

Screen shot of the Actions section on the Add Policy page in ThreatSync

  1. 追加 をクリックします。
    新しいポリシーが、ポリシー リストに追加されます。

自動化ポリシーを有効化または無効化する

自動化ポリシー リストで、Subscriber アカウントの特定の自動化ポリシーを有効化または無効化することができます。たとえば、セキュリティ イベント中に、インシデントをアーカイブする自動化ポリシーを無効化することができます。そうすれば、すべての ThreatSync アクティビティを確認できるようになります。

Service Provider によってテンプレートを通してアカウントにポリシーが割り当てられた場合は、そのポリシーは自動化ポリシー リストの最初に表示されますが、ユーザーがこれを有効化または無効化することはできません。

自動化ポリシーを編集する際に、自動化ポリシーを有効化または無効化することもできます。

自動化ポリシーを有効化または無効化するには、以下の手順を実行します。

  1. 構成 > ThreatSync の順に選択します。
  2. 自動化ポリシー ページで、有効化または無効化する自動化ポリシーの名前をクリックします。
    ポリシーを編集する ページが開きます。
  3. 有効 トグルをクリックして、自動化ポリシーを有効化または無効化します。
  4. 保存 をクリックします。

自動化ポリシーの順序を変更する

自動化ポリシー ページでは、自動化ポリシーの優先度を変更して、上から順にランク付けすることができます。インシデントが複数のポリシーで構成されている条件に該当する場合は、適用される最も高いランクのポリシーで指定されているアクションが ThreatSync で実行されます。

Screen shot of the Automation Policies page in ThreatSync

インシデントに対する各推奨アクションは、ポリシーに基づき個別に評価されます。インシデントにおいて、ポリシーで指定されているアクションと一致する推奨アクションが存在しない場合は、そのポリシーが省略されます。詳細については、ThreatSync 自動化ポリシーの優先付け を参照してください。

ポリシー リストにおける自動化ポリシーの順序を変更するには、以下の手順を実行します。

  • 移動する自動化ポリシーの移動ハンドルをクリックして、ポリシーをリスト内で上下にドラッグします。
  • ポリシーの変更を配備します。

自動化ポリシーを配備する

自動化ポリシーを追加、更新、有効化、または無効化すると、自動化ポリシー ページに、ポリシーの変更が配備されていないことを通知するメッセージ バナーが表示されます。

Screen shot of a banner message on the Automation Policies page that says "Policy changes have not yet been deployed."

自動化ポリシーを配備して変更を適用するには、配備 をクリックします。

変更は、ThreatSync 決定エンジンに配備されます。そして、インシデントがポリシーに一致すると、アクションが Firebox または endpoint デバイスに送信されます。

関連トピック

ThreatSync 自動化ポリシーについて

ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider)

ThreatSync によりブロックされた IP アドレスを管理する

ThreatSync デバイス設定を構成する

ThreatSync を構成する

ThreatSync について