スレットエミュレーションの設定
Threat Preventionの範囲を定義する前に、DMZインタフェースが正しく設定されていることを確認する必要があります。

ステップ |
手順 |
---|---|
1 |
左側のナビゲーションパネルでGateways & Serversします。 |
2 |
Security Gatewayオブジェクトを右クリックします。 |
3 |
左側のナビゲーションツリーで、Network Managementをクリックします。 |
4 |
DMZインタフェースをダブルクリックします。 |
5 |
Interface ウィンドウのGeneral ページで、Modify をクリックします。 |
6 |
Topology Settings ウィンドウで、Override をクリックし、Interface leads to DMZ を選択します。 |
7 |
OKをクリックします。。 |
DMZに接続する各インタフェースについて、この手順を実行します。
プロファイルのThreat Emulation セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語:TE設定とSecurity Gatewayの設定が矛盾する場合、プロファイルの設定が使用されます。

ステップ |
手順 |
---|---|
1 |
SmartConsole |
2 |
Custom Policy Toolsセクションで、Profilesをクリックします。 Profiles ページが表示されます。 |
3 |
プロファイルを右クリックし、Edit をクリックします。 |
4 |
ナビゲーションツリーから、「Threat Emulation」に移動し、これらの設定を構成します。 |
5 |
OKをクリックします。 をクリックし、Threat Preventionプロファイルウィンドウを閉じます。 |
6 |
Threat Preventionポリシーをインストールします。 |
|
重要- ファイルをエミュレートするには、Security Gatewayが完全なファイルを受信する必要があります。Threat Emulationは、ファイルの一部しかダウンロードされていない場合、機能しません。 |
スレットエミュレーションの一般設定
Threat Emulation > General のページで、これらの設定を行うことができます。
ユーザチェックの設定
-
Prevent -Prevent アクションのために開く UserCheck
Security Gatewayやクラスタ、エンドポイントクライアントの機能で、データ損失やセキュリティ侵害の危険性がある場合に、ユーザに警告を与える機能。これにより、ユーザはセキュリティ事故の防止や、組織のセキュリティポリシーを知ることができます。 メッセージを選択します。
-
Ask -Ask アクションのために開く UserCheck メッセージを選択します。
保護されたスコープ

-
Inspect incoming files from the following interfaces:
指定されたインタフェースタイプからの受信ファイルのみを検査のために送信します。送信ファイルは検査されません。インタフェースの種類をリストから選択します。
-
External - 外部インタフェースから受信するファイルを検査する。DMZおよび内部インタフェースからのファイルは検査されません。
-
External and DMZ - 外部およびDMZインタフェースからの受信ファイルを検査します。内部インタフェースからのファイルは検査されません。
-
All - すべてのインタフェースタイプから受信するすべてのファイルを検査します。
-
-
Inspect incoming and outgoing files - すべての入出荷ファイルを検査用に送付する。
プロトコル

-
Web (HTTP/HTTPS)
-
FTP
-
SMB
-
Mail (SMTP/POP3) - Threat Emulation Software Blade
特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。 による SMTP トラフィック検査を設定するには、Mail をクリックします。プロファイル設定のMail ページにリンクします(「メール設定」参照)。
ファイルの種類
ここでは、Threat Emulation Software Blade がスキャンするファイルタイプごとに Threat EmulationAction とEmulation Location を設定することができます。

-
Process all enabled file types - このオプションはデフォルトで有効になっています。青いリンクをクリックすると、対応するファイルタイプの一覧が表示されます。サポートされているファイルの種類のうち、Threat Emulation Software Blade でスキャンするファイルを選択します。
注- このサポートされているファイルタイプのリストは、「Manage& Settings」ビュー> Blades > Threat Prevention > Advanced Settings > Threat Emulation > File Type Support でも確認できます。
-
Process specific file type families -Configure をクリックすると、スキャンしたファイルタイプのアクションやエミュレーションの場所を変更することができます。
ファイルタイプのエミュレーションアクションを変更するには、Action 列で該当するアクションをクリックし、以下のオプションのいずれかを選択します。
-
Inspect - Threat Emulation Software Bladeは、これらのファイルをスキャンします。
-
Bypass - このタイプのファイルは安全であると考えられており、Software Bladeはこれらのファイルに対してエミュレーションを行いません。
ファイルタイプのエミュレーションの場所を変更するには、Emulation Location をクリックし、以下のオプションのいずれかを選択します。
-
According to gateway -Emulation Location は、各ゲートウェイのGateway Properties ウィンドウで定義された設定による。
-
Locally - これらのファイルタイプに対するエミュレーションは、ゲートウェイ上で行われます。このオプションは、R80.40ではサポートされていません。
-
ThreatCloud - これらのファイルタイプは、エミュレーションのためにThreatCloud
Check Point 全製品のサイバーインテリジェンスセンターです。脅威センサーの革新的なグローバルネットワークに基づいて動的に更新され、脅威データを共有し、最新のマルウェアとの戦いにおいて協力するよう組織に呼びかけます。に送信されます。
注 - プロファイルで選択されたエミュレーションの場所がSecurity Gatewayで設定されたエミュレーションの場所と異なる場合、プロファイルの設定が優先されます。
-
アーカイブス
Block archives containing these prohibited file types。Configure をクリックして、禁止するファイルの種類を選択します。禁止されているファイルタイプがアーカイブに含まれている場合、ゲートウェイはアーカイブをドロップします。
脅威のエミュレーション環境
Emulation Environment ウィンドウを使用して、このプロファイルで使用するエミュレーションの場所と画像を設定できます。
-
Analysis Locations セクションでは、次の項目を選択できます:エミュレーションが行われる場所。
-
仮想環境の設置場所でSecurity Gatewayの設定を使用するには、According to the gateway をクリックします。
-
仮想環境の別の場所を使用するようにプロファイルを設定するには、Specify をクリックし、該当するオプションを選択します。
-
-
Environments セクションでは、エミュレーションを実行するオペレーティング・システム・イメージを選択できます。プロファイルとSecurity GatewayまたはThreat Emulationアプライアンスで定義されたイメージが異なる場合、プロファイルの設定が使用されます。
これらはエミュレーション画像を選択するためのオプションです。
-
チェック・ポイントのセキュリティ・アナリストが推奨するエミュレーション環境を使用するには、Use Check Point recommended emulation environments をクリックします。
-
組織内のコンピュータのオペレーティングシステムに最も近い、エミュレーション用の他の画像を選択するには、Use the following emulation environments をクリックします。
-
スレットエミュレーションの詳細設定
- Emulation Connection Handling Mode は、Threat Emulationがファイルの分析を終了する間、接続を許可またはブロック
トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。するように設定できます。また、SMTPとHTTPのサービスで異なるモードを指定することもできます。詳しくは「脅威のエミュレーションソリューション」の章をご覧ください。
-
Static Analysis は、ファイルに対して初期解析を行うことで、ファイル解析を最適化します。解析の結果、ファイルが単純であり、悪意のあるコードを含むことができないと判断された場合、追加のエミュレーションを行うことなく、ファイルを送信先に送信します。静的解析により、エミュレーションのために送信するファイル数を大幅に削減することができます。無効にすると、フルエミュレーションのために送信されるファイルの割合が増えます。セキュリティゲートウェイ
Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。はデフォルトで静的解析を行いますが、オプションで無効にすることができます。
-
Logging は、エミュレーション終了後に各ファイルのログを生成するように設定することができます。 Log every file scanned を有効にすると、Threat Emulation> General > File Types で選択されたすべてのファイルが、そのファイルに対して何も操作を行っていない場合でもログに記録されます。Log every file scanned を無効にした場合でも、悪意のあるファイルはログに記録されます。
脅威のエミュレーションに対応したプロトコルの追加
Threat Emulation Software Bladeは、SmartConsoleで選択できるHTTP、FTP、SMTPプロトコルに加え、IMAP、POP3プロトコルにも対応しています。

ステップ |
手順 |
---|---|
1 |
Security Gatewayのコマンドラインに接続します。 |
2 |
エキスパートモード |
3 |
このファイルをバックアップしてください。 次を実行します: |
4 |
このファイルを編集します。 次を実行します: |
5 |
|
6 |
変更をファイルに保存し、Vi エディタを終了します。 |
7 |
Threat Preventionポリシーをインストールします。 |

ステップ |
手順 |
---|---|
1 |
Security Groupでコマンドラインに接続します。 |
2 |
エキスパートモードにログインします。 |
3 |
バックアップをとる。 次を実行します: |
4 |
ファイル 次を実行します: |
5 |
|
6 |
変更をファイルに保存し、Vi エディタを終了します。 |
7 |
Threat Preventionポリシーをインストールします。 |
使用事例
Threat Emulationの場所を設定する
コープXはスレットランドにある。スレットランド法では、国外にあるクラウドサービスに機密文書を送信することはできません。X社のシステム管理者は、Threat Emulationの解析が国外で行われないように、その場所を設定する必要があります。

ステップ |
手順 |
---|---|
1 |
Gateways & Servers ビューで、ゲートウェイをダブルクリックし、Threat Emulation > Analysis Location に移動します。 |
2 |
次を選択します。
または
|
3 |
OKをクリックします。。 |
|
注 - プロファイルの設定でThreat Emulationの解析場所を設定することもできます。Security Policies > Threat Prevention > Profiles > にアクセスして、プロファイルをダブルクリックします> Threat Emulation > Emulation Environment > Analysis Location > Specify. |