インシデントを修正するアクションを実行する

ThreatSync で検出された脅威を監視し、インシデントの詳細を確認する際、アクションを実行してインシデントを修正すること、または WatchGuard 製品やサービスにより自動的に実行されたアクションを元に戻すことができます。

データを ThreatSync に送信してアクションを受信するには、Firebox で Fireware v12.9 以降が実行されている必要があります。また、これが WatchGuard Cloud のログ記録とレポートまたはクラウド管理に追加されている必要があります。

ThreatSync UI を用いて、以下のアクションを手動で実行することができます。

  • IP をブロック/ブロック解除する — インシデントに関連付けられる外部 IP アドレスをブロックまたはブロック解除します。このアクションを選択すると、WatchGuard Cloud アカウントのすべての Firebox で、IP アドレスとの間の接続がブロックまたはブロック解除されます。

    ThreatSync によりブロックされた IP アドレスは、Fireware または WatchGuard Cloud で、Firebox のブロックされたサイト リストには表示されません。詳細については、ThreatSync によりブロックされた IP アドレスを管理する を参照してください。

  • ファイルを削除/復元する — インシデントに関連付けられるフラグ付きファイルを削除する、または以前に削除されたファイルを復元します。
  • デバイスを隔離する/デバイスの隔離を停止する — 脅威の拡散および機密データの流出を防止するために、コンピュータをネットワークから隔離する、または以前に隔離されているコンピュータの隔離を停止します。
  • プロセスを強制終了する — インシデントに関連して悪質な動作が検出されたプロセスを強制終了します。

すべてのアクションがすべてのインシデントの種類に適用されるわけではありません。

1 つまたは複数のインシデントに対してアクションを実行するには、インシデント ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. 左側の列で、1 つまたは複数のインシデントのチェックボックスを選択します。
    ステータスの変更とアクションのメニューが表示されます。
  3. アクション ドロップダウン リストから、実行するアクションを選択します。

Screenshot of the Actions drop-down list in the Incidents page

インシデントの詳細ページのインシデントに対する推奨事項により、インシデント ページのアクション ドロップダウン リストで使用できるアクションが決まります。たとえば、インシデントに対して実行することが推奨されるアクションがデバイスの隔離である場合は、アクション ドロップダウン リストで、デバイスを隔離する/隔離を停止する オプションが有効化されています。

インシデントのアクションを実行するには、インシデントの詳細ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. インシデント リストにあるインシデントをクリックします。
    インシデントの詳細ページが開きます。
  3. アクションを実行するには、以下の手順を実行します。
    • 脅威の詳細 セクションで、アクションをクリックします。
    • 他のセクションで、稲妻アイコン をクリックしてアクション メニューを開き、アクションを選択します。

Screenshot of the actions you can perform from the Incident Details page: isolate device, kill process, delete file

エラーの発生により ThreatSync でアクションを実行できない場合は、赤い感嘆符のアイコンまたはエラー メッセージが表示されます。詳細については、インシデント エラーをトラブルシューティングする を参照してください。

アクションが実行された場合にアラートが生成されるように通知を設定することができます。詳細については、ThreatSync 通知ルールを構成する を参照してください。

アクションを停止または取り消す

必要に応じて、以前に実行されたアクションを停止または取り消すことができます。たとえば、IP アドレスをブロックするアクションを実行した場合、その IP アドレスのブロックを解除することができます。

アクションを停止またはリバースにするには、インシデント ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. 左側の列で、1 つまたは複数のインシデントのチェックボックスを選択します。
    ステータスの変更とアクションのメニューが表示されます。
  3. アクション ドロップダウン リストから、停止するアクションを選択します。

アクションを停止または取り消すには、インシデントの詳細ページで以下の手順を実行します。

  1. 監視 > 脅威 > インシデント の順に選択します。
    インシデント ページが開きます。
  2. インシデント リストにあるインシデントをクリックします。
    インシデントの詳細ページが開きます。
  3. 脅威の詳細 セクションで、停止または取り消すアクションを選択します。

Screenshot of the Threat Details section showing the Stop button to stop a process or action

IP アドレスのブロックを解除するには、ThreatSync によりブロックされた IP ページで以下の手順を実行します。

  1. 構成 > ThreatSync > ThreatSync によりブロックされた IP の順に選択します。
    ThreatSync によりブロックされた IP ページが開きます。
  2. 1 つまたは複数のブロックされた IP アドレスを選択します。
  3. ブロックを解除する をクリックします。
    すべての対象 Firebox で、選択した IP アドレスとの間のトラフィックがブロックされなくなります。

関連トピック

インシデントの詳細を確認する

インシデントのステータスをアーカイブまたは変更する

ThreatSync によりブロックされた IP アドレスを管理する

インシデント エラーをトラブルシューティングする

クイック スタート — ThreatSync をセットアップする