コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=active-threat-response-ndr-essentials

NDR Essentials の設定

NDR Essentials では、ファイアウォールを通過するトラフィックを機械学習を使って分析し、IoC (不正のインジケータ) を検出します。NDR Essentials で検出する IoC の種類は、IP アドレスとドメインです。また、IoC に脅威スコアを割り当て、ログに記録します。

必要条件

要件は次のとおりです。

  1. XGS デバイスが必要です。

    XGS シリーズのすべてのファイアウォール (Gen.1、Gen.2 を含む) でご利用いただけます。

    NDR Essentials は、次の形式には対応していません。

    • クラウド、仮想、ソフトウェアアプライアンス。これらのファイアウォールには、この機能は表示されません。
    • アクティブ-アクティブ HA。この機能はグレー表示されます。

  2. Xstream Protection Bundle ライセンスが必要です。

  3. NDR Essentials によって検出された IoC をログに記録するには、ファイアウォールルール、DNS、IPS、および復号化機能を設定しておく必要があります。詳細は、脅威フィードのためのファイアウォールの設定を参照してください。

サマリー

ページ上部のサマリーウィジェットには、監視対象のトラフィックフローの数と、NDR Essentials で特定された一意の IoC の総数が脅威スコア別に表示されます。

NDR Essentials では、最初の接続情報に基づき IoC を特定します。それを受け、ファイアウォールが IoC をリストに追加します。ファイアウォールは、リスト内の IoC について、ログの生成、通知の送信を行います。また、その IoC に関連する後続のネットワークトラフィックが見つかった場合にレポートを生成します。

NDR Essentials の設定

ファイアウォールで、NDR Essentials をオンにして、ログや除外の設定を行えます。

次の手順を実行します。

  1. NDR Essentials」をオンにします。

  2. インターフェース」でインターフェースを追加します。このインターフェースを通過するトラフィックが、IoC の検出対象になります。

    次の手順を実行します。

    1. 新しい項目の追加」をクリックします。
    2. インターフェースを選択します。
    3. 選択した項目を適用」をクリックします。主なインターネットトラフィックが通過するインターフェースや、C2 (コマンドアンドコントロール) サーバーと通信するリスクがあるインターフェースを選択することを推奨します。たとえば、外部リソースへの LAN 要求が通過するインターフェースを選択します。

    詳細は、インターフェースを参照してください。

  3. 最小脅威スコア」を選択します。このスコア以上の脅威が検出対象となり、ログに記録されます。

    デフォルトの設定は、「リスク - 高 (スコア 9、10) - 推奨」です。

  4. アクション」は「脅威をログに出力」に設定されています (NDR Essentials で可能なアクションは、現時点では脅威の検出およびログへの出力のみとなります)。「システムサービス > ログ設定」に移動し、「アクティブな脅威対応」のログが有効になっていることを確認してください。

    ログの詳細については、ログ設定を参照してください。

  5. 適用」をクリックします。

ヒント

IoC をブロックするファイアウォールルールを作成できます。「宛先ネットワーク」に IoC を追加してください。詳細は、IoC をブロックするを参照してください。

保存できる IoC の数は、アプライアンスのサイズによって異なります。大容量のアプライアンスでは、より多くの IoC を保存できます。

インターフェース

LAN ゾーンまたは DMZ ゾーンに属する以下の種類のネットワークインターフェースを選択できます。

  • 物理インターフェース
  • 物理インターフェイス上の VLAN
  • リンクアグリゲーショングループ (LAG)
  • ブリッジインターフェースメンバー

  • インターフェースを追加しないと、新たな IoC は特定されません。ただし、ファイアウォールは NDR で既に検出済みの IoC に基づき、アクションを実行します。

  • ゾーンからインターフェースのバインドを解除すると、そのインターフェースは NDR Essentials の監視対象インターフェースリストから除外されます。

以下のインターフェースは NDR Essentials ではサポートされていません。

  • RED インターフェイス
  • XFRM インターフェイス
  • VLAN over LAG
  • ブリッジを介した VLAN
  • 管理専用インターフェース

主なインターネットトラフィックが通過するインターフェースや、C2 (コマンドアンドコントロール) サーバーと通信するリスクがあるインターフェースを選択してください。たとえば、外部リソースへの LAN 要求が通過するインターフェースを選択します。

ネットワークインフラストラクチャ全体ではなく、主要なインターフェースのみを監視することで、脅威をより効果的に特定して対応することが可能となります。

インターフェースリストには WAN インターフェースは表示されません。IoC を特定するために、ファイアウォールはトラフィックの片側のみを監視する必要があります。

NDR は、LAN、DMZ、およびカスタムゾーンでのみサポートされます。WAN および Wi‑Fiゾーンではサポートされません。

IoC をブロックする

ファイアウォールルールを作成して、NDR Essentials で特定された IP アドレスやドメインをブロックできます。

  1. NDR によって特定された IoC を見つけます。次の手順を実行します。

    • SSH を使用して、ファイアウォールのバックエンドに IP アドレスで接続します。
    • 5 と入力し、続けて 3 と入力して、Advanced Shell にアクセスします。
    • cd /content/ndr と入力して、NDR フォルダに移動します。
    • cat threatfeed.json と入力して、脅威フィードファイルを開きます。

  2. 特定された各 IoC に対して IP または FQDN ホストを作成します。

  3. IoC をブロックするファイアウォールルールを作成します。

    IoC に対応する IP または FQDN ホストを、宛先に設定してください。

脅威の除外を追加

アクティブな脅威対応のスキャンから、特定の送信元または宛先のトラフィックを除外できます。

除外項目を追加するには、ページ上部のメニューに移動し、「脅威の除外を追加」をクリックします。

詳細は、脅威の除外を追加を参照してください。

脅威インジケータ

脅威フィード内の個々の IoC を表示、検索するには、ページ上部のメニューの下の脅威インジケータをクリックします。IoC 名、脅威スコア、脅威名を確認できます。IP アドレスまたはドメイン名で IoC を検索できます。また、文字列を指定して IoC を検索することもできます。たとえば、「100」と指定して検索すると、「100」という文字列を含む IoC が表示されます。

ログ

ログを表示するには、ページ上部のメニューから「ログ」をクリックします。詳細は、アクティブ脅威対応のログとアラートを参照してください。