サードパーティの脅威フィードを管理する
サードパーティの脅威フィード、脅威インジケータ、ストレージの容量を表示、管理できます。
サードパーティの脅威フィードのサマリー
「サマリー」に、「アクティブなフィード」、「脅威インジケータの総数」、「ストレージの容量」の数値が表示されます。
この数を手動で更新するには、「更新」をクリックします。
アクティブなフィード
設定されている脅威フィードの数 (アクティブの数と総数) が表示されます。
脅威インジケータの総数
インジケータの総数と、IP アドレス / ドメイン / URL の各インジケータの数が表示されます。
ストレージの容量
サードパーティの脅威フィードに割り当てられたストレージの使用率、未使用率が表示されます。使用可能なストレージの容量は、デバイスモデルの RAM およびディスク容量に依存します。たとえば、1U または 2U モデル (XGS 2100 や XGS 5500 など) は、デスクトップシリーズ (XGS 107(w) など) よりも RAM やディスク容量が多いため、使用可能なストレージ容量が大きくなります。
ストレージがいっぱいになっても、設定済みのポーリング間隔で IoC (Indicators of Compromise) が更新され続けます。それと同時に、ストレージが利用可能であるかどうかがチェックされます。
脅威インジケータを確認する
設定済みの脅威インジケータを確認するには、次の手順を実行します。
- 「脅威インジケータ」をクリックします。
-
「脅威フィード」で、脅威フィードを選択します。
選択した脅威フィードの脅威インジケータが表示されます。
-
任意: 検索ボックスで特定の脅威インジケータを検索することもできます。
- 「閉じる」をクリックします。
サードパーティの脅威フィードを管理する
「インジケータの総数」列で脅威の数クリックすると、「脅威インジケータ」に移動し、脅威インジケータを確認できます。
「同期の状態」列では、脅威フィードの同期の状態を確認できます。
「管理」列の下の 
をクリックすると、脅威フィードを手動ですぐに同期できます。また、脅威フィードの有効化/無効化、編集、削除も行えます。
同期の状態
以下の表は、同期の状態と、考えられる原因を示しています。
| 同期の状態 | 説明 |
|---|---|
| 成功 | 外部 URL への接続または GET リクエストが成功した。 |
| 認証エラー | API 認証に失敗した。 考えられる原因: ユーザー名のパスワードが間違っている。 SSL ハンドシェイクエラー。 |
| 接続エラー | その他のエラー。 考えられる原因: ファイルエラー サーバーエラー HTTP エラー (500、404、302 など)。 |
| 無効 | ルールが無効になっている。 |
| ストレージが上限に達しました | ストレージがいっぱいになっている。 |
| 取得中です | ファイルのダウンロードが進行中である。 |
| SSL/TLS エラー | SSL/TLS 証明書エラー。 |
| 失敗 | 脅威フィードの更新に失敗した。 |
除外とログ
- ホスト、ネットワーク、IP アドレス、ドメイン、URL をチェック対象から除外するには、「脅威の除外を追加」をクリックします。詳細は、脅威の除外を追加を参照してください。
- ログビューアでアクティブな脅威対応のログに移動するには、「ログ」をクリックします。
ログの使用方法
- ログビューアに移動し、「アクティブな脅威対応」を選択して、ブロックされた脅威を確認します。
- Synchronized Security を使用している場合は、IoC にアクセスしたユーザー、ホスト、プロセスなどの詳細情報を参照できます。詳細は、ログを参照してください。
インポート、エクスポート、API
サードパーティの脅威フィードの設定は、インポート、エクスポート、または API で操作できます。脅威フィードのデータベースは含まれません。
脅威の除外設定は、インポート、エクスポート、または API で操作できます。ファイアウォールをファイアウォールグループに追加すると、Sophos Central におけるファイアウォールグループの脅威の除外設定が同期されます。これらを手動で設定する必要はありません。