自律型Threat Preventionの設定

お客様の環境でAutonomous Threat Preventionを設定するには、以下の手順に従います。

Security GatewayでAutonomous Threat Preventionを有効化する。

ステップ	手順
1	SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Gateways& Serversにアクセスします。
2	Gatewayを右クリックし、Edit をクリックします。
3	Threat Prevention タブ（ウィンドウの右下部分）に移動し、Autonomous Threat Prevention を選択します。
4	OKをクリックします。。

自動Threat Preventionポリシーの作成

ステップ	手順
1	SmartConsoleで、「セキュリティポリシーネットワークトラフィックを制御し、データ保護とパケット検査によるリソースへのアクセスに関する組織のガイドラインを適用するルールのコレクション。」> Autonomous Threat Prevention > Policy にアクセスします。
2	デフォルトのプロファイル名をクリックすると、プロファイルの一覧が表示されますので、必要なプロファイルを選択してください。選択するプロファイルがわからない場合は、ドロップダウンリストの中から「Help me decide 」ボタンをクリックします。各プロファイルの相違点を記した表が開きます。表に基づいて、お客様のニーズに最も適したプロファイルを選択してください。
3	OKをクリックします。。

ステップ

手順

SmartConsoleで、「セキュリティポリシーネットワークトラフィックを制御し、データ保護とパケット検査によるリソースへのアクセスに関する組織のガイドラインを適用するルールのコレクション。」> Autonomous Threat Prevention > Policy にアクセスします。

デフォルトのプロファイル名をクリックすると、プロファイルの一覧が表示されますので、必要なプロファイルを選択してください。

選択するプロファイルがわからない場合は、ドロップダウンリストの中から「Help me decide 」ボタンをクリックします。

各プロファイルの相違点を記した表が開きます。

表に基づいて、お客様のニーズに最も適したプロファイルを選択してください。

OKをクリックします。。

注 - 各プロファイルには、使用する技術のリストが表示されます。

Autonomous Threat Prevention ポリシーをインストールします。

ステップ	手順
1	SmartConsoleのツールバーから、Install Policy を選択します。 Install Policyウィンドウが開きます。
2	Threat Preventionを選択します。
3	Policyをインストールするゲートウェイのターゲットを選択します。注 - 自動Threat Preventionポリシーは、自動Threat Preventionが有効になっているゲートウェイにインストールされます。Autonomous Threat Prevention が有効になっていないゲートウェイには、従来の Threat Prevention Policy が適用されます。
4	Installをクリックします。

異なるセキュリティゲートウェイで異なるAutonomous Threat Preventionプロファイルを使用する。

ゲートウェイごとに異なるAutonomous Threat Preventionのプロファイルを使用することができます。

そのためには、各ゲートウェイに新しいポリシーパッケージを作成し、以下のような設定ステップを踏む必要があります。

ステップ	手順
1	SmartConsoleで、新しいポリシーパッケージを作成します。メインメニューから、ドロップダウン矢印をクリックし、Manage policies and layers を選択します。Manage policies and layersウィンドウが開きます。 New をクリックし、新しいポリシーパッケージを設定します。ポリシーパッケージの詳細については、R81.10 Security Management Administration Guide を参照してください。
2	Autonomous Threat Preventionを有効にします。 Security GatewayでAutonomous Threat Preventionを有効化する。する」を参照してください。
3	必要なAutonomous Threat Preventionのプロファイルを選択します。自動Threat Preventionポリシーの作成」を参照してください。
4	該当する Security Gateway に Threat Prevention ポリシーをインストールします。 Autonomous Threat Prevention ポリシーをインストールします。」を参照してください。

注 MTA ( Mail Transfer Agent ) は、Autonomous Threat Prevention ではサポートされていません。 MTAとして構成されたゲートウェイは、従来のThreat Preventionポリシーで管理することができます。

例外事項

グローバル例外は、自動Threat PreventionまたはカスタムThreat Preventionポリシーで構成されたゲートウェイで使用できます。 Autonomous Threat Preventionへの移行前に存在したグローバル例外は、何もしなくてもAutonomous Threat Preventionで強制されます。

自律型脅威対策ポリシーにグローバルな例外を追加するには、次のようにします。

Security Policies ビュー> Threat Prevention > Exceptions > Global Exceptions にアクセスしてください。
該当する例外を追加する。
Install On のカラムで、各例外が適用されるゲートウェイを選択します。

デプロイメントダッシュボード

デプロイメントダッシュボードは、ネットワークにThreat Preventionポリシーを徐々に展開することができます。Deployment Dashboardには、3つの保護モードがあります。No Protection Detect Only およびAccording to Profile 。

According to profile - Threat Preventionプロファイルの設定は、オブジェクトに適用されます。デフォルトでは、すべてのトラフィックはプロファイルに従って保護され、これは推奨事項です。段階的な展開が必要な場合、特定のネットワークオブジェクトコンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。を「検出 UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。のみ」にすることができます。しばらく試用した後、これらのオブジェクトをAccording to Profileに移動させることをお勧めします。

No Protection - このオブジェクトは、選択したThreat Preventionプロファイルで保護されていません。トラフィックは許可され、ログは記録されません。

Detect only - トラフィックは許可されますが、Threat Preventionのプロファイル設定に従ってログが記録されます。

注 - どの保護モードからでも、他の保護モードへオブジェクトを簡単にドラッグ＆ドロップすることができます。

デフォルトでは、No Protection とDetect Only カラムは空で、According to Profile カラムには1つのオブジェクトがあります:Any.No Protection カラムまたはDetect Only カラムにオブジェクトを追加すると、According to Profile カラムのオブジェクトはAny からAll Other に変わります。

ファイルの保護

File Protections のページで、できます。

選択した Autonomous Threat Prevention プロファイルの保護されたファイルの種類と保護タイプを表示します。
プロファイルに応じた推奨ファイル保護機能を無効にし、異なる保護機能を選択することができます。

ファイルプロテクトを設定するには

脅威対策> Autonomous Threat Preventionに移動します。 > File Protections
+ のサインをクリックし、必要な保護機能を設定する。

これらは、利用可能なプロテクションです。
- Inspect - これらの技術は運用されています。ファイルレピュテーション、ThreatCloud Check Point 全製品のサイバーインテリジェンスセンターです。脅威センサーの革新的なグローバルネットワークに基づいて動的に更新され、脅威データを共有し、最新のマルウェアとの戦いにおいて協力するよう組織に呼びかけます。、サンドボックス。Sandbox のカラムに Sandbox が有効になっていることが確認できます。
- Inspect & Clean - これらの技術は運用されています。ファイルレピュテーション、ThreatCloud、サンドボックス、サニタイズ（CDR）。Sandbox のカラムに Sandbox が有効になっていることが確認できます。
- Block - ファイルをブロックトラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。します。
- Bypass - ファイルを検査しないでください。
リストにない種類のファイルについては、保護機能を無効にすることはできません。リストにないファイルタイプは、すべてのプロファイルで検査されます。

設定

Sanitized File Settings - このオプションはデフォルトで有効になっています。

Allow end-users to access the original files that are not malicious according to Sandbox - クリーニング/サニタイズ後、オリジナルファイルへのリンク付きバナーがドキュメントに追加されます。オリジナルファイルへのアクセスは、Sandboxを含むすべてのThreat Preventionエンジンによってオリジナルファイルが良性であることが確認された場合にのみ許可されます。このオプションをオフにすると、悪意のないファイルと判定された場合でも、元のファイルにアクセスできなくなります。
Modify the name of the cleaned file - クリーンアップされたファイルの名前を変更する場合は、このオプションを選択します。

Advanced Settings - 必要に応じて、サンドボックス、サニタイズ、アーカイブスディープスキャンをオフにすることができます。サンドボックス、サニタイズ、アーカイブのディープスキャンをオンにしておくことをお勧めします。