クイック起動 — TDR を設定する
Threat Detection and Response (TDR) を使用する前に、WatchGuard Portal Account で Firebox の TDR 登録をアクティブ化する必要があります。初めてアカウントで Firebox の TDR 登録をアクティブ化するときに、TDR アカウントが自動的に作成され、Host Sensor ライセンスが TDR アカウントに追加されます。TDR 登録に含まれている Host Sensor ライセンスの数は、Firebox モデルによって異なります。アップグレードとして、追加の Host Sensor ライセンスを購入することができます。
一部の TDR 設定手順では、特定のユーザー ロールでログインする必要があります。新規 TDR アカウントの最初のユーザーには Administrator のロールが割り当てられます。既定では、他すべてのユーザーは Analyst ロールのみとなります。Administrator は、すべてのユーザー アカウントに割り当てられたロールを変更することができます。
TDR を開始するには、以下の手順を実行します。
Threat Detection and Response は、Total Security Suite 登録に含まれています。Total Security Suite 登録をアクティブ化すると、Host Sensor ライセンスが TDR アカウントに追加されます。TDR 登録をアクティブ化したら、Firebox の機能キーを更新する必要があります。
別の WatchGuard cloud にクラウドの地域が既に設定されている場合は、その地域が TDR に使用されるため、登録をアクティブ化する際にクラウドの地域を選択または確認するプロンプトは表示されません。
- デバイス Administrator として Fireware Web UI にログインします。
- システム > 機能キー の順に選択します。
- 機能キーの取得 をクリックします。
機能キー ページが開きます。 - 機能キーで Threat Detection & Response 機能が有効化されていることを確認します。
- Firebox の Firebox System Manager を起動します。
- ツール > 機能キーの同期 の順に選択します。
- デバイス Administrator 認証を持つユーザーの認証情報を入力します。
- 表示 > 機能キー の順に選択します。
機能キー ダイアログ ボックスが開きます。 - 機能キーで Threat Detection & Response 機能が有効化されていることを確認します。
WatchGuard Partner でない場合は、このステップを省略して ステップ 3 に進みます。
WatchGuard Partner の場合は、TDR アカウントは Service Provider アカウントとなります。TDR Service Provider アカウントで、TDR を管理する会社または組織ごとに個別のカスタマー アカウントを追加する必要があります。独自のネットワークで実行されるように TDR を構成するには、独自の内部ネットワークのカスタマー アカウントも作成する必要があります。それぞれの管理対象カスタマー アカウントで、TDR を個別に構成および管理します。
TDR Service Provider アカウントで管理対象カスタマー アカウントを作成する方法については、次を参照してください:管理対象アカウントを追加または削除する。
管理している各カスタマー アカウントに Host Sensor ライセンスを割り当てる必要があります。管理対象カスタマー アカウントに割り当てる Host Sensor ライセンスの数により、その顧客のコンピュータにインストールできる Host Sensor の最大数が制御されます。
- WatchGuard Cloud で Service Provider アカウントにログインします。
- インベントリ を選択します。
- Host Sensor セクションで、ライセンス を選択します。
概要 ページが開きます。 - アカウント マネージャー から、管理対象アカウントを選択します。
- インベントリ メニューの Host Sensor セクションから、割り当て を選択します。
選択されているアカウントの未割り当ての Host Sensor ページが開きます。
- Host Sensor の数 テキスト ボックスに、このアカウントに割り当てる Host Sensor の数を入力します。
- 有効期限 テキスト ボックスに、有効期限を選択します。
- 保存 をクリックします。
顧客の TDR を管理するには、管理するカスタマー アカウントを選択する必要があります。WatchGuard Cloud における Service Provider の管理ユーザーとして、アカウント マネージャーは管理対象 Service Provider アカウントおよび Subscriber アカウントを表示するのに使用されます。
アカウント マネージャー から Subscriber アカウントを選択します。選択されたアカウントが ダッシュボード ページに表示されます。アカウントを管理し、セキュリティ サービスを構成することができます。
管理対象カスタマー アカウントを選択すると、左側のナビゲーション メニューにオプションが表示されます。これは、Service Provider アカウントで割り当てられているユーザー ロールによって異なります。ユーザー アカウントには、以下のいずれかまたは両方のロールを割り当てることができます。
- Owner ロールを持っている場合は、その個人は管理対象カスタマー アカウントの Administrator ロールが割り当てられていることになります。
- サービス プロバイダ アカウントで Helpdesk ロールを持っている場合は、その個人は管理対象カスタマー アカウントの Analyst ロールが割り当てられていることになります。
TDR Service Provider アカウントの最初のユーザーには Owner ロールが割り当てられます。既定では、他すべてのユーザーは Helpdesk ロールのみとなります。
管理対象カスタマー アカウントを選択したら、それぞれの管理対象の顧客で Host Sensor と Firebox を設定する手順を完了します。
Firebox で Fireware v11.12 以降を実行していない場合は、Firebox OS を v11.12 以降にアップグレードしてください。
詳細については、Fireware OS または WatchGuard System Manager をアップグレードする を参照してください。
次に、Firebox で Threat Detection and Response を有効化します。Firebox で TDR を有効化するには、TDR アカウントから UUID を取得し、それを Firebox 構成に追加する必要があります。
- TDR にログインする.
- 監視 > Threat Detection の順に選択します。
- デバイス / ユーザー セクションで、Firebox を選択します。
アカウント UUID がページ上部に表示されます。
- アカウント UUID をコピーします。
- Fireware Web UI または Policy Manager で Firebox 構成を開きます。
Fireware Web UI に接続する方法については、次を参照してください:Fireware Web UI に接続する。 - 登録サービス > Threat Detection の順に選択します。
- Threat Detection & Response を有効化する チェックボックスを選択します。
- アカウント UUID および 確認 テキスト ボックスに、アカウント UUID 番号を貼り付けます。
- 構成を Firebox に保存します。
- Fireware Web UI で Firebox から Threat Detection and Response への接続ステータスを確認するには、ダッシュボード > フロント パネル の順に選択します。
- Firebox System Manager で Firebox から Threat Detection and Response への接続ステータスを確認するには、ステータス レポート タブを選択して、TDR を検索します。
- TDR で Firebox の接続ステータスを確認するには、監視 > Threat Detection > デバイス / ユーザー > Firebox の順に選択して、Firebox が Fireboxes リストに表示されていることを確認します。
Firebox で TDR を有効化する場合は、ネットワークの Host Sensor から TDR アカウントへの接続を許可するポリシーを Firebox 構成に含める必要があります。Firebox で Fireware v11.12.1 以降を実行している場合は、TDR を有効化すると、Host Sensor 接続を許可する WatchGuard Threat Detection and Response ポリシーが自動的に追加されます。
Fireware v11.12.1 以降で TDR を有効化すると、WatchGuard Threat Detection and Response ポリシーが自動的に Firebox 構成に追加されます。
Firebox で Fireware v11.12.0 を実行している場合は、以下の設定で HTTPS パケット フィルタ ポリシーを手動で追加する必要があります。
- 接続 - 許可
- 送信元 — Any-Trusted、Any-Optional (または、Host Sensor がインストールされている場所)
- 送信先 — FQDNs tdr-hsc-na.watchguard.com、tdr-hsc-eu.watchguard.com、および tdr-hsc-ap.watchguard.com
コンテンツ インスペクションと証明書検証が有効化されている HTTPS プロキシ ポリシーが Firebox 構成に含まれている場合は、これらの FQDN を宛先として WatchGuard Threat Detection and Response ポリシーまたは手動で追加した HTTPS ポリシーに追加します。
tdr-frontline-eu.watchguard.com
tdr-frontline-na.watchguard.com
tdr-frontline-ap.watchguard.com
tdr-adhh-na.watchguard.com
tdr-adhh-eu.watchguard.com
tdr-adhh-ap.watchguard.com
これらの追加の FQDN により、Host Sensor で APT Blocker 分析のファイルがアップロードされ、Active Directory Helper でデータが TDR アカウントと同期されるようになります。
次に、保護するコンピュータに Host Sensor をインストールします。Host Sensor をインストールするために必要な情報は、WatchGuard Cloud の 監視 > デバイス > デバイス / ユーザー > ホスト ページに表示されます。Windows または Red Hat Linux に Host Sensor を手動でインストールすることができます。
TDR Host Sensor OS の互換性については、TDR リリース ノート ページの Threat Detection & Response リリース ノート を参照してください。
WatchGuard Cloud の デバイス / ユーザー > ホスト ページから Host Sensor インストーラをダウンロードするには、以下の手順を実行します。
- Host Sensor をインストールするホストで、デバイス / ユーザー > ホスト を選択します。
- Host Sensor のダウンロード をクリックします。
Host Sensor のダウンロード ダイアログ ボックスが開きます。
- オペレーティング システム ドロップダウン リストから、ホストのオペレーティング システムを選択します。
- Microsoft Windows
- Red Hat Linux
- Mac
- ダウンロード をクリックします。
Host Sensor インストーラ ファイルがダウンロードされます。 - このページから アカウント ID と コントローラ アドレス をコピーします。
インストーラを実行するときに、この情報を提供する必要があります。
クイック起動手順では、TDR アカウントで、最初の Firebox と Host Sensor を設定する手順について説明します。インストールを完了するには、以下のトピックで説明されている追加の手順を実行することをお勧めします。