アクティブな脅威対応
アクティブな脅威対応とは、高度なソフトウェアやネットワーキングスキルを備えた敵からのアクティブな攻撃に対して、迅速かつ自動的に対応するものです。これらの攻撃者は、ハンズオンキーボードや AI を利用してネットワークやシステムに侵入し、攻撃テクニックを調整し続けるのが特徴です。
アクティブな脅威対応では、脅威インテリジェンスフィードの各種モジュールを使用し、手動で介入することなく速やかに防御を行います。
以下のモジュールを使用できます。
- MDR 脅威フィード
- NDR Essentials
- Sophos X-Ops 脅威フィード
- サードパーティの脅威フィード
これらの一部またはすべてを、必要に応じて設定できます。MDR、NDR Essentials、Sophos X-Ops などの脅威フィードはファイアウォールに統合されているため、簡単に設定できます。
こうした仕組みにより、ファイアウォールから即座にアクションを実行し、直ちに修復を実施するなど、効果的な保護を行うことが可能となります。
脅威フィードとは
脅威フィードとは、脅威アクティビティ (フィッシングやマルウェアなど) に関与する IP アドレス、ドメイン、URL のリストです。これらのオブジェクトは、IoC (不正のインジケータ、または攻撃インジケータ) と呼ばれます。
脅威フィードの種類によって、ファイアウォールに最新のインジケータが頻繁に取り込まれるか、または脅威情報が共有されて、ファイアウォールが最新の状態に保たれます。
脅威フィードの設定時に、IoC に関与するトラフィックをブロックまたは監視するかを選択できます。
注
IoC に関与するトラフィックは、ログするだけでなくブロックするように設定することを推奨します。
脅威フィードモジュールの概要
脅威フィードモジュールの概要とライセンス要件は以下のとおりです。
| 脅威フィードモジュール | 説明 |
|---|---|
| MDR 脅威フィード | Sophos MDR アナリストが、ネットワーク内のアクティブな脅威に関する情報をファイアウォールに共有します。 |
| NDR Essentials | 機械学習を使って、ファイアウォールを通過するトラフィックを分析し、IoC を検出します。また、IoC に脅威スコアを割り当て、ログに記録します。 |
| Sophos X-Ops 脅威フィード | SophosLabs からの脅威データベース。 |
| サードパーティの脅威フィード | 設定済みのフィードの URL。 |
ライセンスおよびその他のファイアウォール設定については、脅威フィードの要件を参照してください。
脅威フィードの設定については、脅威フィードの設定を参照してください。
以下の図は、脅威フィードの各種モジュールがファイアウォールと連係する仕組みを示しています。
保護対象のトラフィックの種類
以下の表に、アクティブな脅威対応の保護対象のトラフィックの種類と、モジュールごとの対応状況を示します。
転送トラフィック
| トラフィックの種類 | MDR | NDR Essentials | サードパーティの脅威フィード | Sophos X-Ops |
|---|---|---|---|---|
| 送信トラフィック - 送信元 IP アドレスを照合 | ||||
| 送信トラフィック - 宛先 IP アドレス、ドメイン、URL を照合 |
注
転送トラフィックの受信トラフィック (DNAT や WAF トラフィックなど) については、送信元 IP アドレスの照合は行いません。
システム宛てのトラフィック
| トラフィックの種類 | MDR | NDR Essentials | サードパーティの脅威フィード | Sophos X-Ops |
|---|---|---|---|---|
| 特定のサービス宛てのトラフィック - 送信元 IP アドレスを照合 (「管理 > デバイスのアクセス」に記載されているサービス。Web管理コンソール、VPN ポータル、VPN など) |