Sophos X-Ops 脅威フィード
Sophos X-Ops 脅威フィードは、SophosLabs が管理するグローバルな脅威データベースであり、定期的に更新されてファイアウォールにプッシュされます。ファイアウォールは、悪意のある IP アドレス、ドメイン、URL のデータベースと一致するすべてのリクエストおよびトラフィックをブロックします。
Sophos X-Ops 脅威フィードをオンにして、ファイアウォールでログと除外項目を設定できます。Sophos X-Ops脅威フィードはデフォルトでオフになっています。
セキュリティハートビート
セキュリティハートビートの状態に基づき Synchronized Security の対応が行われるのと同様の仕組みで、Sophos X-Ops 脅威フィードに基づいてファイアウォールルールの適用などの自動対応が行われます。
ファイアウォールは、赤いセキュリティハートビートに基づき、侵害された (悪意のあるサーバーと通信しようとしている) 可能性のある管理対象エンドポイントを自動的に識別します。そして、IoC にアクセスしたホスト、ユーザー、プロセスなどの詳細情報を照会します。
さらに、ラテラルムーブメントを防止するため、正常に管理されているすべてのエンドポイントに対して、LAN 上に侵害されたホストがあることを通知し、そのホストからのトラフィックをブロックします。
詳細は、Security Heartbeat の概要を参照してください。
注
ホスト、ユーザー、プロセスなどの詳細情報は、「アクション」が「ログしてドロップ」または「ブロック」の場合にのみ表示されます。
Sophos X-Ops 脅威フィードを設定する
- 「Sophos X-Ops 脅威フィード」をオンにすると、脅威フィードが定期的に更新されます。
-
以下のいずれかを選択します。
- ログのみ: 脅威のログのみを行います。
- ログしてドロップ: 脅威をログして、ブロックします。
-
「適用」をクリックします。
ログの設定を定義する
ログの設定を行うには、次の手順を実行します。
- 「アクティブな脅威対応 > Sophos X-Ops 脅威フィード」に移動します。
-
「設定の変更」をクリックします。
「システムサービス > ログ設定」が開きます。
-
「ログ設定」で、「MDR と Sophos X-Ops の脅威フィード」の以下のレポートが選択されていることを確認します。
- ローカルレポート
-
Central レポート。
注
このオプションが表示されない場合は、Sophos Central にアクセスし、「Sophos Central にレポートとログを送信する」を選択します。
-
「適用」をクリックします。
脅威をブロックするファイアウォールモジュール
ファイアウォールは、次のモジュールで脅威をブロックします。
| 悪質なトラフィック | トラフィックの種類 | モジュール |
|---|---|---|
| IP アドレス | 宛先/送信元 が IPv4 アドレスのトラフィック。 | ファイアウォール |
| ドメインと URL | ファイアウォールが DNS サーバーとして動作するときの DNS リクエスト。 | DNS |
| 他のサーバーへの DNS リクエスト。 | IPS | |
| 暗号化および復号化された HTTPS。 | IPS (DPI エンジンの場合。SSL/TLS インスペクションルールを使用) Web (Web プロキシの場合) |
その他の設定
- ホスト、ネットワーク、IP アドレス、ドメイン、URL をチェック対象から除外するには、「脅威の除外を追加」をクリックします。詳細は、脅威の除外を追加を参照してください。
- ログビューアでアクティブな脅威対応のログに移動するには、「ログ」をクリックします。
- セキュリティの詳細設定については、セキュリティの詳細設定 を参照してください。
ログの使用方法
- ログビューアに移動し、「アクティブな脅威対応」を選択して、ブロックされた脅威を確認します。
- Synchronized Security を使用している場合は、IoC にアクセスしたユーザー、ホスト、プロセスなどの詳細情報を参照できます。エンドポイントの脅威の詳細を参照してください。