スレットエミュレーションの設定

Threat Preventionの範囲を定義する前に、DMZインタフェースが正しく設定されていることを確認する必要があります。

ステップ

手順

1

左側のナビゲーションパネルでGateways & Serversします。

2

Security Gatewayオブジェクトを右クリックします。

3

左側のナビゲーションツリーで、Network Managementをクリックします。

4

DMZインタフェースをダブルクリックします。

5

Interface ウィンドウのGeneral ページで、Modify をクリックします。

6

Topology Settings ウィンドウで、Override をクリックし、Interface leads to DMZ を選択します。

7

OKをクリックします。。

DMZに接続する各インタフェースについて、この手順を実行します。

プロファイルのThreat Emulation閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語:TE設定とSecurity Gatewayの設定が矛盾する場合、プロファイルの設定が使用されます。

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。Security Policies > Threat Preventionを選択します。

2

Custom Policy Toolsセクションで、Profilesをクリックします。

Profiles ページが表示されます。

3

プロファイルを右クリックし、Edit をクリックします。

4

ナビゲーションツリーから、「Threat Emulation」に移動し、これらの設定を構成します。

  1. スレットエミュレーションの一般設定

  2. 脅威のエミュレーション環境

  3. スレットエミュレーションの詳細設定

5

OKをクリックします。 をクリックし、Threat Preventionプロファイルウィンドウを閉じます。

6

Threat Preventionポリシーをインストールします。

重要- ファイルをエミュレートするには、Security Gatewayが完全なファイルを受信する必要があります。Threat Emulationは、ファイルの一部しかダウンロードされていない場合、機能しません。

スレットエミュレーションの一般設定

Threat Emulation > General のページで、これらの設定を行うことができます。

ユーザチェックの設定

保護されたスコープ

  • Inspect incoming files from the following interfaces:

    指定されたインタフェースタイプからの受信ファイルのみを検査のために送信します。送信ファイルは検査されません。インタフェースの種類をリストから選択します。

    • External - 外部インタフェースから受信するファイルを検査する。DMZおよび内部インタフェースからのファイルは検査されません。

    • External and DMZ - 外部およびDMZインタフェースからの受信ファイルを検査します。内部インタフェースからのファイルは検査されません。

    • All - すべてのインタフェースタイプから受信するすべてのファイルを検査します。

  • Inspect incoming and outgoing files - すべての入出荷ファイルを検査用に送付する。

プロトコル

ファイルの種類

ここでは、Threat Emulation Software Blade がスキャンするファイルタイプごとに Threat EmulationActionEmulation Location を設定することができます。

  • Process all enabled file types - このオプションはデフォルトで有効になっています。青いリンクをクリックすると、対応するファイルタイプの一覧が表示されます。サポートされているファイルの種類のうち、Threat Emulation Software Blade でスキャンするファイルを選択します。

    - このサポートされているファイルタイプのリストは、「Manage& Settings」ビュー> Blades > Threat Prevention > Advanced Settings > Threat Emulation > File Type Support でも確認できます。

  • Process specific file type families -Configure をクリックすると、スキャンしたファイルタイプのアクションやエミュレーションの場所を変更することができます。

    ファイルタイプのエミュレーションアクションを変更するには、Action 列で該当するアクションをクリックし、以下のオプションのいずれかを選択します。

    • Inspect - Threat Emulation Software Bladeは、これらのファイルをスキャンします。

    • Bypass - このタイプのファイルは安全であると考えられており、Software Bladeはこれらのファイルに対してエミュレーションを行いません。

    ファイルタイプのエミュレーションの場所を変更するには、Emulation Location をクリックし、以下のオプションのいずれかを選択します。

    - プロファイルで選択されたエミュレーションの場所がSecurity Gatewayで設定されたエミュレーションの場所と異なる場合、プロファイルの設定が優先されます。

アーカイブス

Block archives containing these prohibited file typesConfigure をクリックして、禁止するファイルの種類を選択します。禁止されているファイルタイプがアーカイブに含まれている場合、ゲートウェイはアーカイブをドロップします。

脅威のエミュレーション環境

Emulation Environment ウィンドウを使用して、このプロファイルで使用するエミュレーションの場所と画像を設定できます。

  • Analysis Locations セクションでは、次の項目を選択できます:エミュレーションが行われる場所。

    • 仮想環境の設置場所でSecurity Gatewayの設定を使用するには、According to the gateway をクリックします。

    • 仮想環境の別の場所を使用するようにプロファイルを設定するには、Specify をクリックし、該当するオプションを選択します。

  • Environments セクションでは、エミュレーションを実行するオペレーティング・システム・イメージを選択できます。プロファイルとSecurity GatewayまたはThreat Emulationアプライアンスで定義されたイメージが異なる場合、プロファイルの設定が使用されます。

    これらはエミュレーション画像を選択するためのオプションです。

    • チェック・ポイントのセキュリティ・アナリストが推奨するエミュレーション環境を使用するには、Use Check Point recommended emulation environments をクリックします。

    • 組織内のコンピュータのオペレーティングシステムに最も近い、エミュレーション用の他の画像を選択するには、Use the following emulation environments をクリックします。

スレットエミュレーションの詳細設定

脅威のエミュレーションに対応したプロトコルの追加

Threat Emulation Software Bladeは、SmartConsoleで選択できるHTTP、FTP、SMTPプロトコルに加え、IMAP、POP3プロトコルにも対応しています。

ステップ

手順

1

Security Gatewayのコマンドラインに接続します。

2

エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

3

このファイルをバックアップしてください。 $FWDIR/conf/malware_config

次を実行します: cp -v $FWDIR/conf/malware_config{,_BKP}

4

このファイルを編集します。 $FWDIR/conf/malware_config

次を実行します: vi $FWDIR/conf/malware_config

5

[imap] セクションで、このパラメータの値を変更します:imap_av_policy_on "0" を "1" に変更します。

6

変更をファイルに保存し、Vi エディタを終了します。

7

Threat Preventionポリシーをインストールします。

ステップ

手順

1

Security Groupでコマンドラインに接続します。

2

エキスパートモードにログインします。

3

バックアップをとる。 $FWDIR/conf/malware_config

次を実行します: cp -v $FWDIR/conf/malware_config{,_BKP}

4

ファイル$FWDIR/conf/malware_config を編集します。

次を実行します: vi $FWDIR/conf/malware_config

5

[temp_for_av_profile] セクションで、パラメータpop3_enabled の値を "0" から "1" に変更します。

6

変更をファイルに保存し、Vi エディタを終了します。

7

Threat Preventionポリシーをインストールします。

使用事例

Threat Emulationの場所を設定する

コープXはスレットランドにある。スレットランド法では、国外にあるクラウドサービスに機密文書を送信することはできません。X社のシステム管理者は、Threat Emulationの解析が国外で行われないように、その場所を設定する必要があります。

ステップ

手順

1

Gateways & Servers ビューで、ゲートウェイをダブルクリックし、Threat Emulation > Analysis Location に移動します。

2

次を選択します。

  • Locally (R80.40では未対応)

または

  • Remote Emulation Appliances+ のサインをクリックし、ドロップダウンリストから該当するゲートウェイを選択します。

3

OKをクリックします。。

- プロファイルの設定でThreat Emulationの解析場所を設定することもできます。Security Policies > Threat Prevention > Profiles > にアクセスして、プロファイルをダブルクリックします> Threat Emulation > Emulation Environment > Analysis Location > Specify.