Security GatewayでのThreat Emulationの設定

ローカルまたはリモートのエミュレーションの準備

内部ネットワークでのローカルまたはリモート展開。

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。を開きます。

2

Threat Emulation閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語:TE アプライアンス用の Security Gateway オブジェクトを作成します。

3

HTTPSトラフィックでエミュレーションを実行する場合、HTTPSインスペクション閉じた Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語:HTTPSI、httpSi。の設定を行います(「HTTPSインスペクション」を参照)。

4

展開に従って、トラフィックがアプライアンスに送信されることを確認します。

ローカルまたはリモートエミュレーションの使用

このセクションは、Threat Emulationアプライアンスを使用し、内部ネットワーク閉じた ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。でエミュレーションを実行する導入のためのものです。

- 初期設定ウィザードを実行する前に、Threat Emulation アプライアンスのネットワークを準備します(脅威のエミュレーションソリューションを参照)。

ステップ

手順

1

SmartConsoleで、Gateways & Servers 、Threat EmulationアプライアンスのSecurity Gatewayオブジェクトをダブルクリックします。

Gateway Propertiesウィンドウが開きます。

2

一般的なプロパティ」ページで、「カスタム脅威対策」タブを開き、SandBlast Threat Emulation を選択します。

Threat Emulation First Time Configuration Wizard が開き、Emulation Location のページが表示されます。

3

Locally on a Threat Prevention deviceを選択します。

4

Nextをクリックします。。

Activate Threat Extractionウィンドウで:

Threat Extraction閉じた ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語:TEX。を有効にするには、チェックボックスを選択したままにします。Threat Extractionを有効にしない場合は、チェックボックスをオフにします。

5

Nextをクリックします。。

Summary ページが表示されます。

6

Finishをクリックします。 をクリックして、Threat EmulationアプライアンスでThreat Emulationを有効にし、初期設定ウィザードを閉じます。

7

OKをクリックします。。

Gateway Properties ウィンドウが閉じます。

8

ローカルエミュレーションの場合、Threat EmulationアプライアンスにThreat Preventionポリシーをインストールします。

ステップ

手順

1

SmartConsoleの「Gateways& Servers」から、「Security Gateway」オブジェクトをダブルクリックします。

Gateway Propertiesウィンドウが開きます。

2

Threat Prevention タブから、SandBlastThreat Emulation を選択します。

Threat Emulation First Time Configuration Wizard が開き、Emulation Location のページが表示されます。

3

Security Gateway for Remote Emulationを設定します。

  1. Other Threat Emulation appliancesを選択します。

  2. Nextをクリックします。。

  3. エミュレーションアプライアンスを追加するには、+ のサインをクリックします(エミュレーション用に複数のアプライアンスを選択することができます)。

4

Nextをクリックします。。

Activate Threat Extractionウィンドウで:

Threat Extractionを有効にするには、チェックボックスを選択したままにします。Threat Extractionを有効にしない場合は、チェックボックスをオフにします。

5

Nextをクリックします。。

Summary ページが表示されます。

6

Finishをクリックします。 をクリックして、Security GatewayでThreat Emulationを有効にする場合は、初期設定ウィザードを終了してください。

7

OKをクリックします。。

Gateway Properties ウィンドウが閉じます。

8

Security Gateway と Threat Emulation アプライアンスに Threat Prevention ポリシーをインストールします。

解析場所の変更

Threat Emulation初期設定ウィザードを実行すると、エミュレーション解析の場所が選択されます。Gateway PropertiesThreat Emulation ウィンドウを使って、場所を変更することができます。

- Threat Preventionポリシーは、エミュレーションに使用する分析場所を定義します (脅威のエミュレーション環境を参照)。

ステップ

手順

1

Threat Emulation applianceのSecurity Gatewayオブジェクトをダブルクリックします。

Gateway Propertiesウィンドウが開きます。

2

ナビゲーションツリーで、Threat Emulationを選択します。

Threat Emulation ページが表示されます。

3

4

Emulate files on ThreatCloud if not supported locallyを選択します。

Threat EmulationアプライアンスでサポートされていないファイルがThreatCloudでサポートされている場合、ファイルはエミュレーションのためにThreatCloudに送信されます。これらのファイルには、追加のライセンスは必要ありません。

5

OKをクリックします。。

6

Threat Emulation アプライアンスにポリシーをインストールします。

アクティベーションモードの設定

Security GatewayまたはThreat EmulationアプライアンスのThreat Emulation保護Activation Mode を変更することができます。エミュレーションでは、Threat Preventionポリシーで定義されているPreventアクションを使用するか、マルウェアのDetectとログのみを使用することができます。

ステップ

手順

1

Threat Emulation applianceのSecurity Gatewayオブジェクトをダブルクリックします。

Gateway Propertiesウィンドウが開きます。

2

ナビゲーションツリーで、Threat Emulationを選択します。

Threat Emulation ページが表示されます。

3

Activation Mode の項目から、以下のいずれかを選択します。

  • According to policy

  • Detect only

4

OKをクリックします。をクリックし、ポリシーをインストールします。

システムリソースの最適化

Resource Allocation の設定は、Threat Emulation アプライアンスを使用するデプロイメントにのみ適用されます。Threat Emulationは、システムリソースを用いてエミュレーションを行い、マルウェアや不審な動作を特定するものです。リソース割り当ての設定を使用して、Threat Emulationアプライアンスのリソースをエミュレーションに使用する量を設定できます。これらの設定を変更すると、ネットワークやエミュレーションの性能に影響を与えることがあります。

以下のシステム・リソースの各設定を行えます。

使用可能なRAMを変更する予定がある場合は、これらの設定を推奨します。

  • アプライアンスがThreat Emulationにのみ使用されている場合、利用可能な RAM を増やしてください。

  • アプライアンスが他のソフトウェア・ブレードにも使用されている場合、使用可能な RAM を減らしてください。

ステップ

手順

1

Threat Emulation applianceのSecurity Gatewayオブジェクトをダブルクリックします。

Gateway Propertiesウィンドウが開きます。

2

ナビゲーションツリーで、 Threat Emulation > Advancedを選択します。

Advanced ページが表示されます。

3

エミュレーションの停止は、ログ保存機構がログファイルを自動削除したときに判断されます。そのため、該当する設定値を変更するために(注 - ログのファイル削除にも影響します。)

Logs > Local Storage > に移動します。また、ディスク容量が<value> Start deleting old files 以下になったら、<value> を変更することができます。

4

エミュレーションに使用できる最大限の RAM を設定するには、Limit memory allocation を選択します。
デフォルト値は、アプライアンス上の総RAMの70%

5

  1. Configureをクリックします。
    Memory Allocation Configurationウィンドウが開きます。

  2. メモリ制限の値を入力します。

    • % of total memory - Threat Emulationが使用できるRAMの合計のパーセンテージ。有効な値は20~90%である。

    • MB - Threat Emulationが使用できるRAMの合計MB。有効な値は、512MB~1000GBです。

  3. OKをクリックします。。

6

エミュレーションのためにファイルが送信されない場合の動作を選択します。

  • None - 何もしない

  • Log - アクションはログに記録されます

  • Alert - SmartView Monitorにアラートが送信されます。

7

OKをクリックします。をクリックし、ポリシーをインストールします。

エミュレーション用画像の管理

Threat Emulation が使用するオペレーティング システム イメージを、各アプライアンスと各 Threat Emulation プロファイルに対して定義することができます。プロファイルとアプライアンスに異なる画像が定義されている場合、Threat Emulationは両方の場所で選択されている画像を使用します。機器用またはプロファイル用としてのみ選択された画像は、エミュレーションに使用されません。

ステップ

手順

1

Threat Emulation applianceのSecurity Gatewayオブジェクトをダブルクリックします。

Gateway Propertiesウィンドウが開きます。

2

ナビゲーションツリーで、 Threat Emulation > Advancedを選択します。
Advanced ページが表示されます。

3

Image Management の項目から、お使いのネットワークに該当するオプションを選択します。

  • Use all the images that are assigned in the policy -Emulation Environment ウィンドウで設定された画像がエミュレーションに使用されます。

  • Use specific images - Security Gatewayがエミュレーションに使用できる画像を1つ以上選択します。

4

OKをクリックします。をクリックし、ポリシーをインストールします。