コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=active-threat-response-mdr-threat-feeds

MDR 脅威フィード

Sophos MDR (Managed Detection and Response) サービスはファイアウォールと統合されています。Sophos MDR のアナリストは、悪意のあるサーバーに関連するネットワークトラフィックに基づいて、MDR 脅威フィードをリアルタイムでプッシュします。

ファイアウォールは、MDR 脅威フィードにリストされている IPv4 アドレス、ドメイン、および URL に基づいてトラフィックを自動的にブロックします。このアクションでは、脅威フィード用に他のルールやポリシーの設定は不要です。

Sophos MDR とファイアウォールの動作の様子を以下の図に示します。

MDR 脅威フィードのネットワーク図。

動画

MDR 脅威フィードの概要については、以下の動画をご覧ください。

セキュリティハートビート

セキュリティハートビートの状態に基づき Synchronized Security の対応が行われるのと同様の仕組みで、MDR 脅威フィードに基づいてファイアウォールルールの適用などの自動対応が行われます。

ファイアウォールは、赤いセキュリティハートビートに基づき、侵害された (悪意のあるサーバーと通信しようとしている) 可能性のある管理対象エンドポイントを自動的に識別します。そして、感染の痕跡 (IoC) にアクセスしたホスト、ユーザー、プロセスなどの詳細情報を照会します。

さらに、ラテラルムーブメントを防止するため、正常に管理されているすべてのエンドポイントに対して、LAN 上に侵害されたホストがあることを通知し、そのホストからのトラフィックをブロックします。

詳細は、Security Heartbeat の概要を参照してください。

ホスト、ユーザー、プロセスなどの詳細情報は、「アクション」が「ログしてドロップ」または「ブロック」の場合にのみ表示されます。

要件

  1. 次のライセンスが必要です。

    1. Sophos Firewall:Xstream 保護バンドル
    2. Sophos Central: Sophos MDR
    3. Endpoint Protection: Sophos Intercept X (Synchronized Security を使用する場合)。

  2. ファイアウォールの Sophos Central ページに移動し、ファイアウォールを Sophos Central に登録します。

  3. Sophos MDR を設定します。MDR のセットアップを参照してください。

  4. Synchronized Security を使用するには、Sophos Central で次の手順を実行します。

    1. Endpoint Protection を設定するには、作業の開始を参照してください。
    2. ラテラルムーブメント対策を実装するには、ネットワーク接続の拒否を参照してください。

ファイアウォールで MDR を設定する

MDR 脅威フィードをオンにして、ファイアウォールでログと除外項目を設定できます。

MDR 脅威フィードを設定する

  1. MDR アナリストの MDR 脅威フィードをオンにして、脅威フィードをファイアウォールにリアルタイムでプッシュします。

  2. 以下のいずれかを選択します。

    • ログのみ: 脅威のログのみを行います。
    • ログしてドロップ: 脅威をログして、ブロックします。

  3. 適用」をクリックします。

ログの設定を定義する

ログの設定を行うには、次の手順を実行します。

  1. アクティブな脅威対応 > MDR 脅威フィード」に移動します。

  2. 設定の変更」をクリックします。

    システムサービス > ログ設定」が開きます。

  3. ログ設定」で、「MDR と Sophos X-Ops の脅威フィード」の以下のレポートが選択されていることを確認します。

    1. ローカルレポート

    2. Central レポート

      このオプションが表示されない場合は、Sophos Central にアクセスし、「Sophos Central にレポートとログを送信する」を選択します。

  4. 適用」をクリックします。

脅威をブロックするファイアウォールモジュール

ファイアウォールは、次のモジュールで脅威をブロックします。

悪質なトラフィック トラフィックの種類 モジュール
IP アドレス 宛先/送信元 が IPv4 アドレスのトラフィック。 ファイアウォール
ドメインと URL ファイアウォールが DNS サーバーとして動作するときの DNS リクエスト。 DNS
他のサーバーへの DNS リクエスト。 IPS
暗号化および復号化された HTTPS。

IPS (DPI エンジンの場合。SSL/TLS インスペクションルールを使用)

Web (Web プロキシの場合)

除外とログ

  • ホスト、ネットワーク、IP アドレス、ドメイン、URL をチェック対象から除外するには、「脅威の除外を追加」をクリックします。詳細は、脅威の除外を追加を参照してください。
  • ログビューアでアクティブな脅威対応のログに移動するには、「ログ」をクリックします。

ログの使用方法

  • ログビューアに移動し、「アクティブな脅威対応」を選択して、ブロックされた脅威を確認します。
  • Synchronized Security を使用している場合は、IoC にアクセスしたユーザー、ホスト、プロセスなどの詳細情報を参照できます。詳細は、ログを参照してください。
  • 脅威フィードについて MDR アナリストに問い合わせるには、ログで監査 ID を見つけます。フィードを識別するために ID が必要となります。

インポート、エクスポート、API

次の MDR 脅威フィードの設定をインポート、エクスポート、または API で操作することはできません。

  • 脅威フィードのオン/オフを切り替える。
  • アクション

MDR 脅威フィードは、Sophos Central で管理するファイアウォールごとに設定する必要があります。新しいファイアウォールグループの初期設定で、Sophos Central で「既存の設定のインポート」を使って MDR 脅威フィードの設定をインポートすることはできません。現在、この設定は Sophos Central のデフォルト設定の一部ではありません。

脅威の除外設定は、インポート、エクスポート、または API で操作できます。ファイアウォールをファイアウォールグループに追加すると、Sophos Central におけるファイアウォールグループの脅威の除外設定が同期されます。これらを手動で設定する必要はありません。