ThreatSync は、WatchGuard Cloud サービスの一部です。これにより、WatchGuard ネットワーク (Firebox) と Endpoint Security 製品で eXtended Detection and Response (XDR) テクノロジーを利用することが可能となります。このサービスの概要は以下の通りです。
- これにより、主にインシデント担当者向けのユーザー インターフェイスを利用できるようになります。
- 悪質な要素が検出されると、これがインシデントとして表示されます。
- イベントを相関付けて、新しい悪質な検出を作成することができます。
- 担当者はオンデマンドで応答することができます。また、悪質な要素や異常な動作が検出された際に発信する自動応答を構成することも可能です。
ThreatSync の詳細については、以下のセクションを参照してください。
ThreatSync のライセンス
ThreatSync は、WatchGuard 統合セキュリティ機能です。これは、以下のライセンスに含まれています。
- Firebox Total Security Suite (TSS)
- WatchGuard EPDR
- WatchGuard EDR
- Advanced EPDR
WatchGuard EDR Core は、Firebox Total Security Suite に含まれています。詳細については、WatchGuard EDR Core の機能 を参照してください。
使用する WatchGuard 製品が多いほど、可視性が高まり、XDR 機能をより拡張することができます。
相関
ThreatSync により、以下の WatchGuard セキュリティ製品からのデータを相関付けることで、拡張された検出機能が実現します。
- Firebox
- WatchGuard Endpoint Security (Advanced EPDR、EPDR、EDR、EDR Core)
データを ThreatSync に送信してアクションを受信するには、Firebox で Fireware v12.9 以降が実行されている必要があります。また、これが WatchGuard Cloud のログ記録とレポートまたはクラウド管理に追加されている必要があります。
ThreatSync では、相関のために以下のイベントが使用されます。
- ネットワークで検出され、endpoint または Firebox で発見された高度な持続的脅威 (APT)
- ネットワークで検出され、endpoint または Firebox で発見されたマルウェア
- Endpoint プロセスまたは Firebox に相関付けられる悪質なネットワーク接続
ThreatSync 管理 UI では、相関付けられたイベントがインシデントとして表示されるため、ユーザーはこれを評価して管理することができます。
ThreatSync インシデントのリスク レベルとスコア
ThreatSync では、リスク スコアが各インシデントに自動的に割り当てられます。このスコアは、監視 > 概要 の順に移動したページおよび 監視 > インシデント の順に移動したページに表示されます。リスク スコアは、インシデントの重大度を示すものです。
リスク スコアに基づき、リスク レベルが以下のカテゴリに分類されます。
- 重大 — スコア 9、10
- 高 — スコア 7、8
- 中 — スコア 4、5、6
- 低 — スコア 1、2、3
ThreatSync では、複数の WatchGuard 製品とサービスからのデータを相関付けるアルゴリズムに基づき、インシデントのリスク スコアが計算されます。
各リスク レベルのリスク スコアは、インシデントの相対的な重大度を示すものです。これにより、インシデント担当者は優先して評価するべきインシデントを判断することができます。たとえば、ThreatSync によりリスク スコア 9 が割り当られている重大インシデントとリスク スコア 10 が割り当てられている重大インシデントが存在する場合は、リスクがより高いことを示すスコア 10 のインシデントをまず評価することが勧められます。
ThreatSync 管理 UI
ThreatSync を構成および監視するには、WatchGuard Cloud の ThreatSync 管理 UI を使用します。WatchGuard Cloud に接続するには、cloud.watchguard.com に移動して、アカウント認証情報を用いてログインします。
ThreatSync を構成する
ThreatSync を構成するには、設定 > ThreatSync の順に選択します。
Subscriber は以下のページを使用して、WatchGuard Cloud で ThreatSync を構成することができます。
- 自動化ポリシー — 自動化ポリシー ページで、特定のインシデント発生時にアクションが自動的に実行されるようにポリシーを構成します。詳細については、ThreatSync 自動化ポリシーについて を参照してください。
- デバイス設定 — デバイス設定ページで、ThreatSync にインシデント データを送信するデバイスを選択することができます。詳細については、ThreatSync デバイス設定を構成する を参照してください
- ThreatSync によりブロックされた IP — ThreatSync によりブロックされた IP ページでは、ThreatSync アクションによってブロックされた IP アドレスのブロックを解除することができます。詳細については、ThreatSync によりブロックされた IP アドレスを管理する を参照してください。
Service Provider ビューには、自動化ポリシー テンプレートを構成できるページが表示されます。詳細については、ThreatSync 自動化ポリシー テンプレートを管理する (Service Provider) を参照してください。
ThreatSync を監視する
ThreatSync を監視するには、監視 > 脅威 の順に選択します。Service Provider か Subscriber の場合は、既定で概要ページが開きます。
以下のページを使用して、WatchGuard Cloud で ThreatSync を監視します。
- 概要ページ — 概要ページには、アカウントのインシデント アクティビティのスナップショットが表示されます。詳細については、ThreatSync インシデントの概要 を参照してください。
- インシデント ページ — インシデント ページには、指定された期間のインシデントのリストが表示されます。ここで、インシデントを修正するアクションを実行することができます。詳細については、ThreatSync インシデントを監視する を参照してください。
インシデントの修正
WatchGuard 製品またはサービスでセキュリティ脅威が検出されると、脅威を防止するアクションが実行される場合があります。たとえば、Firebox で悪質な IP アドレスがブロックされる可能性、または Endpoint Security ソフトウェアによってデバイスが隔離される可能性があります。ThreatSync 管理 UI では、インシデントへの自動応答がインシデントの詳細ページに表示されます。詳細については、インシデントの詳細を確認する を参照してください。
ThreatSync では、インシデントを修正する方法が 2 通りあります。
ThreatSync でユーザーが手動でアクションを実行する方法
ThreatSync で検出された脅威を監視し、インシデントの詳細を確認する際、手動でアクションを実行してインシデントを修正すること、または WatchGuard 製品やサービスにより自動的に実行されたアクションを元に戻すことができます。たとえば、IP アドレスをブロックする、悪質なファイルを削除する、コンピュータを隔離するといった操作を実行することが可能です。
インシデントを確認する際に、ThreatSync 管理 UI を利用して、さまざまな場所からアクションを手動で実行することができます。
詳細については、インシデントを修正するアクションを実行する を参照してください。
Automation (自動化) ポリシーに基づきアクションを自動的に実行する方法
自動化ポリシーを構成して、定義した条件に該当するインシデントが発生した際にアクションを自動的に実行することができます。たとえば、自動化ポリシーを作成して、リスク スコアが 9 や 10 の特定の種類のインシデントに関連付けられるファイルを自動的に削除することができます。
自動化ポリシーにより、インシデント担当者は、手動修正が必要となり得るインシデントの確認に焦点を当てることができます。Service Provider は、自動化ポリシー テンプレートを使用して、管理するアカウントまたはアカウント グループに複数のポリシーを割り当てることができます。
詳細については、ThreatSync 自動化ポリシーについて を参照してください。