脅威フィードに関係する他のモジュールの実装方法
脅威フィード内の IoC (不正のインジケータ) やトラフィックの種類に応じて、ファイアウォールの各種モジュールが識別を担当します。IoC とは、攻撃に関与する IPアドレス、ドメイン、URL です。
Synchronized Security は、エンドポイント保護機能およびラテラルムーブメント対策を提供し、ソフォス製品によって管理されているエンドポイントが悪意のあるサーバーと通信するのを防ぎます。
脅威フィードモジュールの設定に加えて、以下の設定を行う必要があります。
- ファイアウォールの各種モジュールを設定する必要があります。必須の設定については、脅威フィードのためのファイアウォールの設定を参照してください。
- 脅威フィードを使用するために、Synchronized Security の設定は必須ではありません。ただし、この機能を設定しておくことをお勧めします。
-
以下の脅威フィードモジュールに必要な追加設定をご確認ください。
- MDR 脅威フィードについては、MDR 脅威フィードを参照してください。
ファイアウォールモジュール
ファイアウォールで各種 IoC を識別するためのモジュールを以下に示します。
IoC として特定された IP アドレス
| トラフィックの種類 | モジュール |
|---|---|
| 転送トラフィック | ファイアウォール (ファイアウォールルール) |
IoC として特定されたドメイン、URL
| トラフィックの種類 | モジュール |
|---|---|
| DNS リクエスト (ファイアウォールが DNS サーバーとして動作する場合) | DNS |
| 他のサーバーへの DNS リクエスト | IPS |
| 暗号化および復号化された HTTPS | IPS (DPI エンジンの場合。SSL/TLS インスペクションルールを使用) Web (Web プロキシの場合) |
Synchronized Security
Synchronized Security は、セキュリティハートビートおよびラテラルムーブメント対策をネットワーク内に実装します。
侵害されたエンドポイントのトラフィックをブロックする
セキュリティハートビートを設定すると、ソフォス製品で管理されているエンドポイントが悪意のあるサーバーと通信しようとしたときに、そのエンドポイントが発信するセキュリティハートビートが赤くなります。
ファイアウォールは、このようなエンドポイントを自動的に識別して、トラフィックをブロックします。また、これらのエンドポイントに関係する IoC、ホスト、ユーザー、プロセス情報をログに記録します。詳細は、エンドポイントの脅威の詳細を参照してください。
感染したエンドポイントを隔離する
ラテラルムーブメント対策によって、侵害されたエンドポイントを隔離し、ネットワーク内での攻撃者の移動を防ぎます。
その他のリソース