コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=active-threat-response-mdr-threat-feeds

MDR 脅威フィード

Sophos MDR (Managed Detection and Response) サービスはファイアウォールと統合されています。Sophos MDR のアナリストは、悪意のあるサーバーに関連するネットワークトラフィックに基づいて、MDR 脅威フィードをリアルタイムでプッシュします。

ファイアウォールは、MDR 脅威フィードにリストされている IPv4 アドレス、ドメイン、および URL に基づいてトラフィックを自動的にブロックします。このアクションでは、脅威フィード用に他のルールやポリシーの設定は不要です。

MDR 脅威フィードのネットワーク図。

ファイアウォールは、次のモジュールで脅威をブロックします。

悪質なトラフィック トラフィックの種類 モジュール
IP アドレス 宛先/送信元 が IPv4 アドレスのトラフィック。 Firewall
ドメインと URL ファイアウォールが DNS サーバーとして動作するときの DNS リクエスト。 DNS
ドメインと URL 他のサーバーへの DNS リクエスト。 IPS
ドメインと URL 暗号化および復号化された HTTPS

IPS (DPI エンジンの場合。SSL/TLS インスペクションルールを使用)

Web (Web プロキシの場合)

Synchronized Security を使用している場合、赤いセキュリティハートビートに基づいて、侵害された (悪意のあるサーバーと通信しようとしている) 可能性のあるソフォスの管理対象エンドポイントをファイアウォールが自動的に識別します。ホスト、ユーザー、プロセスなどの追加情報をデバイスに照会して、感染の痕跡 (IOC) を見つけます。

要件

  1. 次のライセンスが必要です。

    1. Sophos Firewall: Xstream Protection Bundle
    2. Sophos Central: Sophos MDR
    3. Endpoint Protection: Sophos Intercept X (Synchronized Security を使用する場合)。

  2. ファイアウォールの Sophos Central ページに移動し、ファイアウォールを Sophos Central に登録します。

  3. Sophos MDR を設定します。MDR のセットアップを参照してください。

  4. Synchronized Security を使用するには、Sophos Central で次の手順を実行します。

    1. Endpoint Protection を設定するには、作業の開始を参照してください。
    2. ラテラルムーブメント対策を実装するには、ネットワーク接続の拒否を参照してください。

ファイアウォールで MDR を設定する

MDR 脅威フィードをオンにして、ファイアウォールでログと除外項目を設定できます。

MDR 脅威フィードを設定する

  1. MDR アナリストの MDR 脅威フィードをオンにして、脅威フィードをファイアウォールにリアルタイムでプッシュします。

  2. 以下のいずれかを選択します。

    • ログのみ: 脅威のログのみを行います。
    • ログしてドロップ: 脅威をログして、ブロックします。

  3. 適用」をクリックします。

ログの設定を定義する

ログの設定を行うには、次の手順を実行します。

  1. アクティブな脅威対応 > MDR 脅威フィード」に移動します。

  2. 設定の変更」をクリックします。

    システムサービス > ログ設定」が開きます。

  3. ログ設定」で、「MDR と Sophos X-Ops の脅威フィード」の以下のレポートが選択されていることを確認します。

    1. ローカルレポート
    2. Central レポート。これは、ファイアウォールの Sophos Central ページで「Sophos Central にレポートとログを送信する」を選択すると表示されます。

  4. 適用」をクリックします。

除外とログ

  • IP アドレス、ドメイン、URL をチェック対象から除外するには、「脅威の除外を追加」をクリックします。
  • ログビューアでアクティブな脅威対応のログに移動するには、「ログ」をクリックします。

ログの使用方法

  • ログビューアに移動し、「アクティブな脅威対応」を選択して、ブロックされた脅威を確認します。
  • Synchronized Security を使用している場合は、ユーザー、ホスト、プロセスなどの追加情報を参照して、アクションを実行します。詳細は、ログを参照してください。
  • 脅威フィードについて MDR アナリストに問い合わせるには、ログで監査 ID を見つけます。フィードを識別するために ID が必要となります。

インポート、エクスポート、API

次の MDR 脅威フィードの設定をインポート、エクスポート、または API で操作することはできません。

  • 脅威フィードのオン/オフを切り替える。
  • アクション

MDR 脅威フィードは、Sophos Central で管理するファイアウォールごとに設定する必要があります。新しいファイアウォールグループの初期設定で、Sophos Central で「既存の設定のインポート」を使って MDR 脅威フィードの設定をインポートすることはできません。現在、この設定は Sophos Central のデフォルト設定の一部ではありません。

脅威の除外設定は、インポート、エクスポート、または API で操作できます。ファイアウォールをファイアウォールグループに追加すると、Sophos Central におけるファイアウォールグループの脅威の除外設定が同期されます。これらを手動で設定する必要はありません。