IPS プロテクション

プロテクションブラウザ

保護ブラウザには、Threat PreventionSoftware Bladeの保護タイプ、重要な情報と使用インジケータ閉じた 運用中のサイバー領域で観察可能な悪意ある活動のパターン。それをどのように解釈し、どのように対処するかについての関連情報を含みます。の概要が表示されます。

これらは、IPS閉じた さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。プロテクションのサマリーテーブルのデフォルトカラムの一部です。

カラム

説明

保護

保護機能の名前ペインの下部には、保護タイプの説明が表示されます。

業界別リファレンス

攻撃のための国際的なCVEまたはCVE候補の名前。

パフォーマンスへの影響

この保護がセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。のパフォーマンスにどのような影響を与えるか。可能であれば、正確な数値を示すこと。

深刻度

お客様の環境に対する攻撃が成功した場合の想定される重大度。

信頼性レベル

IPSがどの程度自信を持って攻撃を認識しているか。

profile_name

各IPSプロファイルの保護機能の有効化設定。

深刻度

Critical およびHigh Severity の保護機能は、指定された保護機能を有効にしないことが確実な場合を除き、有効にする必要があります。

たとえば、保護機能の評価が「深刻度」、「パフォーマンスへの影響」であった場合。Highパフォーマンスへの影響 Criticalの場合、その保護が環境に必要であることを確認してから、保護を有効にします。

信頼性レベル

攻撃の種類によっては、深刻度が低いものもあり、正当なトラフィックが誤って脅威と認識されることもある。信頼度の値は、指定された保護機能が指定された攻撃をどの程度正しく認識できるかを示しています。

Confidence パラメータは、ファイアウォールの接続に関する問題のトラブルシューティングに役立ちます。正規のトラフィックが保護によってブロック閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。され、保護のConfidenceレベルがLow である場合、この保護にはより詳細な構成が必要である可能性があることを示します。

パフォーマンスへの影響

保護機能によっては、より多くのリソースを必要としたり、一般的なトラフィックタイプに適用されるため、それらが有効化されたゲートウェイの性能に悪影響を及ぼすことがあります。

:保護機能のパフォーマンスへの影響は、R80.30 バージョンのゲートウェイへの影響に基づいて評価されます。他のゲートウェイでのパフォーマンス影響は、プロテクトに記載されている評価と異なる場合があります。

たとえば、「クリティカル」または「高パフォーマンス」の影響を持つ保護は、「クリティカル」または「高重要度」でない限り、または保護が必要であることが分かっていない限り、アクティブにしないようにすることができます。

ゲートウェイのトラフィック負荷が大きい場合、多数の混合(クライアントとサーバ)コンピュータに影響を与えるプロファイルに対してHigh/Critical Performance Impactプロテクションを有効にすることに注意してください。

このパラメータの値は、ゲートウェイリソースの過負荷を防ぐために、最適な保護プロファイルを設定するために使用されます。

保護タイプ

IPSの保護機能は、大きく2種類に分けられます。

  • コアプロテクション- これらのプロテクションは製品に含まれ、ゲートウェイごとに割り当てられます。これらは、アクセスコントロールポリシーの一部である。

  • ThreatCloud 保護- Check Point のクラウドから更新されます(「IPS プロテクションのアップデート」を参照)。これらの保護は、Threat Preventionポリシーの一部です。

IPSプロテクションを閲覧する

IPS Protections サマリーでは、すべての IPS 保護とその設定をすばやく閲覧することができます。

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Security Policies ページに移動し、Threat Prevention を選択します。

2

Custom Policy Toolsセクションで、IPS Protectionsをクリックします。

プロテクションのページでは、プロテクション名、エンジン、またはカラムに表示される情報の種類で検索することができます。

ステップ

手順

1

IPS Protections ウィンドウから、Filter のアイコンをクリックします。

Filters ペインが開き、IPS 保護のカテゴリが表示されます。

2

カテゴリーを増やすには

  1. Add filter ボタンをクリックします。

    ウィンドウが開き、IPSプロテクションのカテゴリーが表示されます。

  2. カテゴリーをクリックします。

    Filters ペインにカテゴリが追加されます。

3

IPS 保護に適用する 1 つまたは複数のフィルターをクリックします。

4

カテゴリー内のすべてのフィルター候補を表示するには、View All をクリックします。

プロテクションリストを情報順に並べ替えるには

必要な情報のカラムヘッダーをクリックします。

プロテクションの活性化

各プロファイルは、有効化された保護と、トラフィック検査が有効化された保護に一致した場合にIPSが行う処理の指示のセットです。ここでは、指定したプロテクトのアクションを変更する手順を説明します。

すべてのプロファイルのプロテクションを有効にする

すべてのプロファイルで保護機能を手動で有効にする場合。

ステップ

手順

1

SmartConsoleでSecurity Policies > Threat Preventionを選択します。

2

Custom Policy Toolsセクションで、IPS Protectionsをクリックします。

IPS Protections ページが表示されます。

3

保護機能を右クリックし、すべてのThreat Preventionプロファイルに適用するアクションを選択します。

アクションがon all profiles であることを確認します。

4

OKをクリックします。をクリックし、Threat Preventionプロファイルウィンドウを閉じます。

5

Install Policyをクリックします。

指定したプロファイルのプロテクションを有効にする

ステップ

手順

1

Protections Browser で、有効にする保護機能を見つけます。

2

Editをクリックします。。

3

この保護に有効化するプロファイルを選択します。

4

Editをクリックします。

あるプロファイルに対して保護を有効にし、別のプロファイルに対して保護を無効にすることができます。あるゲートウェイではアクティブになり、他のゲートウェイでは非アクティブになります。

保護がポリシーに従って非アクティブである場合、ポリシーの優先順位を上書きするか、ポリシーの基準を変更することができます。

この1つのプロテクトの設定を上書きする場合は、この手順を続けてください。

5

Override withをクリックします。

6

適用するアクションを選択します。

  • Prevent:この保護に対してIPSインスペクションを有効にし、このプロファイルが割り当てられているゲートウェイでアクティブな予防を実行します。

  • Detect:この保護のためにIPSインスペクションを有効にし、関連するトラフィックとイベントを追跡します。

  • Inactive:この保護機能を強制してはならない。

7

Logging設定を行います。

  • Track - 管理者が通知を受ける方法(ログ、アラート、メール、その他のオプション)を定義します。

  • Capture Packets - 保護に関連するパケットをキャプチャして、さらに分析することができます。

8

Threat Prevention Policyをインストールします。

アクティベーションオーバーライドの削除

手動で有効にしたIPSプロテクションを削除し、プロファイルの設定に復元することができます。1つの保護、選択した保護、またはすべての保護に対して同時にオーバーライドを削除することができます。

ステップ

手順

1

SmartConsoleでSecurity Policies > Threat Preventionを選択します。

2

Custom Policy Toolsセクションで、IPS Protectionsをクリックします。

IPS Protections ページが表示されます。

3

該当するプロファイル欄のプロテクトをクリックする。

- 複数のプロテクトを選択する場合は、CTRLキーを押してください。

4

ハイライトされたセルまたはセルを右クリックし、Restore to profile settings を選択します。

5

All ProfilesまたはDisplayed Profilesを選択します。

警告メッセージが表示されます。

6

Yesをクリックします。

7

Threat Preventionポリシーをインストールします。

ステップ

手順

1

IPS Protections ページで、Actions に移動し、Profile Cleanup を選択します。

Profile Cleanupウィンドウが開きます。

2

Action 領域で、Remove all user modifiedClear all staging 、またはその両方を選択します。

3

Select Profiles 領域で、これらのアクションを操作するプロファイルを選択します。

4

OKをクリックします。。

5

Threat Preventionポリシーをインストールします。

コアIPSプロテクトの編集

ステップ

手順

1

Security Policies > Threat Prevention > Custom Policy Tools > IPS Protections にアクセスしてください。

- コアプロテクションのフィルタリングを行うには、Filters ペインでType Core を選択します。

2

コアプロテクションを右クリックし、Edit を選択します。

3

必要な設定を行う。

4

アクセスコントロールポリシーをインストールします。

IPS プロテクションのアップデート

チェック・ポイントは、最新の脅威に対する保護機能を常に開発し、改良しています。攻撃に関するリアルタイムの情報と最新の保護機能を備えたIPSをすぐに更新することができます。IPSの保護機能を手動でアップデートできるほか、アップデートが自動的にダウンロード・インストールされるスケジュールを設定することも可能です。IPSの保護機能には、ネットワークに対する脅威を管理するのに役立つ多くの保護機能が含まれています。手動で設定を変更する前に、IPS 保護の複雑さを理解していることを確認してください。

:

  • IPSのアップデートを実施するには、Threat Prevention Policyをインストールする必要があります。

  • ドメイン上でIPSのアップデートが実行されているときに、グローバルコンフィギュレーションの割り当てまたは再割り当てを行うと、「Internal error occurred」エラーが発生することがあります。この問題を解決するために

    1. SmartConsoleで管理サーバに接続します。

    2. IPSのアップデートを実行する。

    3. ドメイン管理サーバに接続されているSmartConsoleを終了します。

    4. グローバルSmartConsoleで、グローバル設定の割り当てまたは再割り当てを行います。

ステップ

手順

1

SmartConsoleで、Security Policies > Threat Prevention をクリックします。

2

Custom Policy Toolsセクションで、Updatesをクリックします。

3

IPS セクション> Update Now で、ドロップダウンメニューから、選択します。

4

Threat Preventionポリシーをインストールします。

- R77.20以降、IPSパージはIPSの更新のたびに自動的に実行されます。Security Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。は、過去30日間のバージョンのみを保存し、その他は削除します。

IPSアップデートのスケジューリング

最新のIPS保護機能および保護機能の説明をダウンロードするスケジュールを設定できます(スレットプリベンションの定期的なアップデート参照)。

以前のIPSプロテクションパッケージに戻す

トラブルシューティングやパフォーマンスチューニングのために、以前のIPS保護パッケージに戻すことができます。

ステップ

手順

1

Threat PreventionUpdates ページのIPS セクションで、Switch to version をクリックします。

2

開いたウィンドウで、IPS Package Version を選択します。

OKをクリックします。。

3

Threat Preventionポリシーをインストールします。

新しい保護機能を見直す

ステップ

手順

1

SmartConsoleで、Security Policies > Threat Prevention をクリックします。

2

Custom Policy Toolsセクションで、IPS Protectionsをクリックします。

3

Update Date で並べ替えると、最新のプロテクトが表示されます。

IPSプロテクションズ フォローアップ

フォローアップマークは、選択した内容に応じて、特定のIPSプロテクションをモニタすることができます。モニタしたいプロテクションを選択した後、IPSプロテクションのページでフィルタリングすることで、再度検索する必要がありません。

ステップ

手順

1

SmartConsoleで、Security Policies にアクセスします。

2

Threat Prevention > Custom Policy Tools> IPS Protections > Filters にアクセスしてください。

3

Follow Up を選択してください。

IPS アップデート] ページでは、個々の保護にフォローアップのマークを付けるか、更新されたすべての保護にフォローアップのマークを付けることができます。

フォローアップのための保護機能を手動でマークする

個々の保護にフォローアップのマークを付けると、IPS Protections ページで確認した保護をすばやく確認することができます。フォローアップ機能を効率よく使うために、マークしたプロテクトのリストはできるだけ短くしてください。

新しくダウンロードしたプロテクションやモニタしたいプロテクションにはマークを付けますが、今のところ、自分の環境に最適な方法で設定できたと確信が持てるようになったら、このリストからプロテクションを削除することを忘れないでください。フォローアップリストが長ければ長いほど、実行可能なタスクリストとして使うのは難しくなる

プロテクションを手動でマークしてフォローアップする場合。

IPS Protections ページで、1つまたは複数のプロテクトを選択し、右クリックしてメニューからFollow Protection を選択します。

保護マークの解除は、保護マークを右クリックし、Follow Protection をクリアしてください。

IPSのプロテクションが更新されるたびに、自動的にフォローアップのマークが表示されます。フォローアップのための保護機能のマークを外すには、Unfollow Protections をクリックします。マークされた保護機能をすべて解除するには、Actions > Cleanup Options > Remove All Follow Up Flags にアクセスします。

:保護に関する重要な情報は、保護のコメントフィールドに追加することができます。保護にコメントを追加するには、保護をダブルクリックして、保護の名前の下にあるEnter Protection Comment フィールドにコメントを入力します。ThreatCloud閉じた Check Point 全製品のサイバーインテリジェンスセンターです。脅威センサーの革新的なグローバルネットワークに基づいて動的に更新され、脅威データを共有し、最新のマルウェアとの戦いにおいて協力するよう組織に呼びかけます。の保護にのみコメントを追加することができます(Coreの保護には追加できません)。さらに、パッケージのバージョンや更新日などの情報を入力することができます。このような情報は、後日、検索することができるので便利です。

新規プロテクションを自動的にマークしてフォローアップする

チェック・ポイントは、新しいプロテクションや更新されたプロテクションを随時提供しています(「IPS プロテクションのアップデート」を参照)。新しい IPS 保護の統合プロセスを完全に制御するために、保護が環境に与える影響を評価する時間を与えるために、自動的にフォローアップにマークすることができます。

ステップ

手順

1

SmartConsoleでSecurity Policiesを選択します。

2

Threat Prevention > Custom Policy Tools > Updates > IPS を選択してください。

3

Follow Protectionsを選択します。