Threat Emulationの詳細設定の構成

Threat Emulationのアップデート

Threat Emulation閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語:TEThreatCloud閉じた Check Point 全製品のサイバーインテリジェンスセンターです。脅威センサーの革新的なグローバルネットワークに基づいて動的に更新され、脅威データを共有し、最新のマルウェアとの戦いにおいて協力するよう組織に呼びかけます。に接続し、エンジンとOSのイメージを更新します。Threat Emulationアプライアンスのデフォルト設定は、エンジンとイメージを自動的に更新することです。

。初期設定では、1日1回パッケージをダウンロードする設定になっています。

ベストプラクティス- ネットワークのアクティビティが低いときにパッケージをダウンロードするようにThreat Emulationを設定します。

Threat Emulationオペレーティングシステムイメージのアップデートパッケージは、通常2GB以上です。アップデートパッケージの実際のサイズは、お客様の設定に関係します。

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Security Policies > Threat Prevention > Custom Policy にアクセスします。

2

下のセクションで、Custom Policy Tools セクションで、Updates をクリックします。

Updates ページが表示されます。

3

脅威のエミュレーション]で、[Schedule Update]をクリックします。

4

これらの設定を選択またはクリアします。

  • Enable Threat Emulation engine scheduled update

  • Enable Threat Emulation images scheduled update

5

Threat Emulation エンジンまたはイメージの更新のスケジュールを設定するには、Configure をクリックします。

6

  • 1日1回更新する場合は、At を選択し、時間帯を入力します。

  • 1日に複数回更新する場合は、Every を選択し、時間間隔を設定します。

  • 週や月ごとに1回以上更新すること。

    1. Atを選択して時刻を入力します。

    2. Daysをクリックします。

    3. Days of weekまたはDays of monthをクリックします。

    4. 該当する日付を選択します。

7

OKをクリックします。をインストールし、Threat Preventionポリシーをインストールします。

脅威のエミュレーションイメージの更新

Threat EmulationのOSイメージのアップデートパッケージは、通常数ギガバイト以上になります。アップデートパッケージの実際のサイズは、お客様の設定に関係します。

初期設定では、週に一度、日曜日にパッケージをダウンロードするようになっています。日曜日が出勤日の場合は、更新設定を出勤日以外に変更することをお勧めします。

ステップ

手順

1

SmartConsoleでSecurity Policies > Threat Preventionを選択します。

2

Custom Policy Toolsセクションで、Updatesをクリックします。

Updates ページが表示されます。

3

脅威のエミュレーション]で、[Update Images]をクリックします。

4

ゲートウェイを選択します。

OKをクリックします。。

5

Threat Preventionポリシーをインストールします。

Threat Emulation Applianceの詳細設定

Threat Emulationアプライアンスのこれらの詳細設定を変更することで、展開に合わせてThreat Emulationを細かく調整することができます。

エミュレーションの制限を設定する

エミュレーション待ちのファイルが増えすぎないように、このエミュレーション制限の設定を行います。

  • 最大ファイルサイズ(100,000KBまで)

  • ソフトウェア・ブレードがエミュレーションを行う最大時間

  • ファイルがキューでエミュレーションを待つ最大時間(Threat Emulationアプライアンスの場合のみ)

これらの理由でエミュレーションがファイルに対して行われなかった場合、Threat PreventionのFail Mode 設定により、ファイルが許可されるかブロック閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。されるかが定義されます(「フェイルモード」を参照)。

ThreatSpectエンジン閉じた ネットワークトラフィックを解析し、複数の層(レピュテーション、シグネチャ、不審なメールの発生、行動パターン)のデータを相関させてボットやウイルスを検出する独自の多層型エンジンです。が過負荷になった場合、または検査中に失敗した場合の動作を選択します。例えば、Anti-Botの検査が内部障害で途中で終了してしまった場合。デフォルトでは、このような状況では、すべてのトラフィックが許可されます。

  • Allow all connections (Fail-open) - エンジンの過負荷や故障の状況では、すべての接続が許可されます(デフォルト)。

  • Block all connections (Fail-close) - エンジンの過負荷や故障の状況では、すべての接続がブロックされます。

Threat Emulation Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。がファイルのエミュレーションを行うまでの待ち時間の最大値を設定することができます。MTAにメールが保持される最大時間を構成する別の設定があります(「MTAを使用するためのネットワークの設定」を参照)。

ファイルが最大時間以上エミュレーションを待っている場合。

  • Threat Emulation Software Blade - Threat Preventionプロファイルの設定は、ファイルが許可されるかブロックされるかを定義します。

  • MTA - MTAの設定は、ファイルが許可されるかブロックされるかを定義します。

ステップ

手順

1

Threat Prevention タブで、Advanced > Engine Settings を選択します。

Engine Settings ペインが開きます。

2

Threat Emulation Settingsセクションで、Configure settingsをクリックします。

Threat Emulation Settingsウィンドウが開きます。

3

エミュレーションの制限に関する設定を行います。

4

When limit is exceeded traffic is accepted with track から、エミュレーションのためにファイルが送信されない場合の動作を選択します。

  • None - 何もしない

  • Log - アクションはログに記録されます

  • Alert - SmartView Monitorにアラートが送信されます。

5

OKをクリックします。をクリックし、ポリシーをインストールします。

エミュレーションの制限を設定する

ステップ

手順

1

SmartConsoleで、管理& 設定> Blades > Threat Prevention> Advanced Settings を選択します。

Threat Emulation Engine Settingsウィンドウが開きます。

2

Configure settingsをクリックします。

Threat Emulation Settingsウィンドウが開きます。

3

エミュレーションの制限に関する設定を行う.zzz

  • 制限を超えたトラフィックをトラックで受け付けた場合から、エミュレーションのためにファイルを送信しない場合の動作を選択します。

  • なし - 何もしない

  • ログ - 操作がログに記録されます。

  • アラート - SmartView Monitorにアラートが送信されます。

4

OKをクリックします。をクリックし、ポリシーをインストールします。

ローカル・キャッシュの変更

Threat Emulationの解析でファイルがクリーンであると判断されると、ファイルハッシュがキャッシュに保存されます。Threat Emulationは新しいファイルをエミュレーションに送信する前に、新しいファイルとキャッシュを比較します。一致するものがあれば、追加エミュレーションのために送信する必要はありません。Threat Emulationは、キャッシュを使用して、ネットワークパフォーマンスの最適化を支援します。この設定は変更しないことをお勧めします。

ステップ

手順

1

Threat Prevention タブで、Advanced > Engine Settings を選択します。

Engine Settings ペインが開きます。

2

Threat Emulation Settingsセクションで、Configure settingsをクリックします。

Threat Emulation Settingsウィンドウが開きます。

3

Number of file hashes to save in local cache から、キャッシュに保存されるファイルハッシュの数を設定します。

4

OKをクリックします。をクリックし、ポリシーをインストールします。

ローカル・キャッシュのサイズの変更

ステップ

手順

1

SmartConsoleでManage & Settings > Blades > Threat Prevention > Advanced Settingsを選択します。

Threat Prevention Engine Settingsウィンドウが開きます。

2

Configure Settingsをクリックします。

Threat Emulation Settingsウィンドウが開きます。

3

Number of file hashes to save in local cache から、キャッシュに保存されるファイルハッシュの数を設定します。

4

OKをクリックします。をクリックし、ポリシーをインストールします。

スレットエミュレーション仮想インタフェース

Threat Emulationアプライアンスは、ファイルエミュレーションを行うために仮想IPアドレスとネットマスクを持つ必要があります。この設定は、ThreatCloudでのエミュレーションには使用されません。

重要- この仮想IPアドレスは、ネットワーク内で既に使用されている場合のみ変更してください。

ステップ

手順

1

SmartConsoleでManage & Settings > Blades > Threat Preventionを選択します。

2

Threat Prevention の下で、Advanced Settings をクリックします。

3

スクロールダウンして、Threat Emulation Settings のセクションから、Configure settings をクリックします。

Threat Emulation Settingsウィンドウが開きます。

4

仮想インタフェースのIPアドレスのNetworkMask を入力します。

5

OKをクリックします。をクリックし、ポリシーをインストールします。