Threat Extractionの設定をする

注 - Threat Extraction機能の一部は、SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。やCLIだけでなく、設定ファイルでも設定することができます。sk114613をご覧ください。

Threat Extractionの一般設定

Threat Extraction > General のページで、これらの設定を行うことができます。

ユーザチェックの設定

• Allow the user to access the original file

• Allow access to original files that are not malicious according to Threat Emulation

  注 - このオプションは、プロファイルのGeneral Propertiesペインで Threat Emulation セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語：TE Software Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。 が有効になっている場合にのみ設定可能です。

• ユーザチェック・メッセージ

  UserCheck Security Gatewayやクラスタ、エンドポイントクライアントの機能で、データ損失やセキュリティ侵害の危険性がある場合に、ユーザに警告を与える機能。これにより、ユーザはセキュリティ事故の防止や、組織のセキュリティポリシーを知ることができます。メッセージは、UserCheckページで作成または編集できます（「スレットプリベンションとUserCheck」を参照）。

  ユーザがクリーンファイルを受信したときに表示するメッセージを選択します。

  このメッセージでは、ユーザはオリジナルファイルをダウンロードするかどうかを選択します。

  ファイルダウンロードの成功・中止のメッセージを選択する

  ステップ	手順
  1	Manage & Settings にアクセスしてください。
  2	Blades > Threat Preventionを選択します。
  3	Advanced Settings > UserCheck を選択します（UserCheckUserCheckオブジェクトの編集参照）。

  UserCheckメッセージのカスタマイズは、SMTPファイルに対してのみ可能です。HTTPファイル（Security Gateway R80.30以降でサポート）については、SmartConsoleでユーザが表示するメッセージをカスタマイズすることはできません。ゲートウェイ上でのみカスタマイズが可能です。

  任意

  ユーザが元のメールにアクセスできるようにするには、Threat ExtractionSuccess Page でSend Original Mail フィールドを追加します。

  ステップ	手順
  1	Threat Prevention にアクセスしてください。
  2	カスタムポリシーツールを選択> UserCheck> Threat Extraction> Success Page.
  3	右クリック> Clone.
  4	メッセージの内側をクリックし、> Insert Field 、Send Original Mail を選択します。 メッセージ本文にSend Original Mail が追加されます。

プロトコル

• Web (HTTP/HTTPS) - Security Gateway R80.30以上から対応。Web サポートを許可するには、HTTPS 検査を有効にします (HTTPSインスペクション > セクション "Enabling HTTPS Inspection" を参照してください)。デフォルトでは、Threat ExtractionのWebサポートは、これらの標準ポートで動作します。HTTP - ポート 80、HTTPS - ポート 443、HTTPS プロキシ - ポート 8080。

  他のポートでWebサポートを有効にするには、新しいTCPサービスを作成します。General > Protocol でHTTP を選択し、Match By でCustomize を選択し、必要なポート番号を入力してください。

  注: Threat Extractionを有効にすると、Webサポートが自動的に有効になります。Webサポートを無効にするには、このチェックボックスをオフにします。 Threat Extraction Software Bladeによってファイルがスキャンされた後、ユーザはそのファイルに対して行われたアクションに関するメッセージを受け取ります。メッセージをカスタマイズするには、sk142852を参照してください。 Threat ExtractionのWebサポートは、Webダウンロードに適用されますが、Webアップロードには適用されません。

• Mail (SMTP) -Mail をクリックすると、Threat Extraction Software Blade による SMTP トラフィック検査を設定することができます。プロファイル設定の「メール」ページにリンクします（「メール設定」を参照）。

オリジナルファイルの保存については、オリジナルファイルの保存参照してください。

抽出方法

• Extract potentially malicious parts from files - デフォルトで選択されています

  Configure をクリックして、Software Blade が抽出する悪意のある部分を選択します。たとえば、マクロ、JavaScript、イメージなどがあります。

• Convert to PDF - ファイルをPDFに変換し、テキストと書式を保持します。

  ベストプラクティス- 右から左への言語またはアジア言語のフォントのPDFを使用する場合、これらのファイルが正しく処理されるように、できればExtract files from potential malicious parts を選択してください。

抽出設定

• Process all files

  デフォルトで選択されています。

• Process malicious files when the confidence level is

  信頼度を「低」「中」「高」のいずれかに設定します。このオプションは、プロファイルのGeneral Properties ペインで Threat Emulation Software Blade が有効になっている場合にのみ設定可能です。

ファイルの種類

• Process all enabled file types - このオプションはデフォルトで有効になっています。青いリンクをクリックすると、対応するファイルタイプの一覧が表示されます。対応しているファイルの種類のうち、Threat ExtractionソフトウェアBladeでスキャンするファイルを選択します。

  注- このサポートされているファイルタイプのリストは、「Manage& Settings」ビュー> Blades > Threat Prevention > Advanced Settings > Threat Extraction > Configure File Type Support でも確認できます。

• Process specific file type families

  ここでは、特定のファイルタイプに対して異なる抽出方法を設定することができます。Configure をクリックすると、有効なファイルの種類とその抽出方法のリストが表示されます。ファイルの種類の抽出方法を変更するには、ファイルの種類を右クリックして、バイパス、クリーン、またはPDFに変換を選択します。メールとWebで異なる抽出方法を選択することができます。

注: Web用にサポートされているファイルタイプは以下の通りです。Word、Excel、PowerPoint、PDF。 電子メールの添付ファイルの場合。 jpg,bmp,png,gif, およびtiff ファイルについて - Threat Extraction は、潜在的に悪意のあるコンテンツの抽出のみをサポートします。 hwp,jtd,eps ファイルについて - Threat Extraction は、PDF への変換のみサポートしています。 Microsoft OfficeとPDFファイル、およびリストにあるその他のすべてのファイルタイプについて - Threat Extractionは、潜在的に悪意のあるコンテンツの抽出とPDFへの変換の両方をサポートしています。 また、対応するファイルの種類を設定ファイルで設定することができます。解説はsk112240をご覧ください。

保護されたスコープ

Threat Extractionは、外部インタフェースやDMZから受信するファイルを保護します。ユーザは保護されたスコープを設定することができません。

Threat Extractionの詳細設定

Threat Extraction > Advanced のページで、これらの設定を行うことができます。

• ロギング

  • Log only those files from which threats were extracted - 操作（クリーンまたは変換）が実行されたファイルのみログに記録します。

  • Log every file -Threat Extraction > General > File Types で選択されたすべてのファイルは、たとえ操作が行われなかったとしても、ログに記録されます。

• Threat Extractionの例外について

  • Corrupted files

    メールに添付されたファイルやウェブからダウンロードされた破損したファイルをブロック トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。または許可する。破損ファイルとは、Software Bladeが処理に失敗したファイルのことで、フォーマットが正しくないことが原因である可能性があります。不正確なフォーマットにもかかわらず、関連するアプリケーション（Word、Adobe Reader）で表示できる場合があります。

    Block は、破損したファイルを削除し、そのファイルに悪意のあるコンテンツが含まれていることを説明するテキストを受信者に送信します。Threat Emulationによると悪意のあるファイルであれば、破損したファイルをブロックすることができます。アクションが「ブロック」である場合、オリジナルの破損ファイルへのアクセスを拒否できます。

    Allow は、受信者が破損したファイルを受信できるようにします。

  • Encrypted files

    メールに添付された暗号化ファイルやWebからのダウンロードをブロックまたは許可する。

    Block は暗号化されたファイルを削除し、そのファイルに悪意のあるコンテンツが含まれていることを説明するテキストファイルを受信者に送信します。

    アクションがブロックの場合、元の暗号化されたファイルへのアクセスも拒否することができます。

    Allow は、受信者が暗号化されたファイルを受信できるようにします。

使用事例

シナリオ送信者をスキャン対象から除外する

スキャンには時間とリソースがかかるので、あるソースが安全だとわかっている場合は、このソースからのレポートのスキャンをやめるとよいでしょう。

例：

• IT部門に日次レポートを送る制御・監視システム。

• メールリレーサーバが停止したスパムメールについて送信したレポート。

シナリオ電子署名付きメールをスキャンせずに送信できるようにする

X社の法務部の弁護士は、契約書などの法的文書をデジタル署名で送受信している。X社のセキュリティポリシーによると、Threat Extraction ブレードは法務部門が受信したすべてのファイルをスキャンします。デジタル署名は、文書の真正性を示すものでなければならない。Threat Extraction ブレードで文書をスキャンした場合、電子署名は文書の真正性を証明できなくなります。したがって、デジタル署名付きの電子メールを許可する設定にする必要があります。

プロファイル設定> Mail > Exceptions > Threat Extraction Exceptions > Signed email attachments で、デフォルトのオプションはAllow です。この設定により、デジタル署名されたメールを受信した場合、スキャンを行わずに許可されるため、メールの形式が変わることはありません。

シナリオ

セキュリティ上の理由から、X社のIT部門は、Threat Preventionプロファイルのデフォルトの抽出方法をExtract potentially malicious parts from files からConvert to PDF に変更しました。

X社の財務部のエコノミストは、あるファイルをエクセル形式で電子メールで受け取ったり、Webからエクセルファイルをダウンロードしたりして、そのファイル本来の形式で作業をしなければならない。エクセルファイルを元の形式のまま残すには、Threat Extractionでファイルをクリーニングし、PDFに変換しないように設定する必要があります。