モニタ 脅威対策

ログセッション

ゲートウェイのトラフィックは大量のアクティビティを発生させます。ログの量を管理しやすくするため、デフォルトではセッションごとにログを集約しています。セッションとは、ユーザがアプリケーションやサイトに最初にアクセスしたときに開始される期間です。セッション中、ゲートウェイは、ユーザがアクセスしたアプリケーションまたはサイトごとに1つのログを記録します。セッション内でユーザが行ったすべてのアクティビティがログに含まれます。

セッション中に行われた接続数を確認するには、Logs & Monitor ビューのログのSuppressed Logs フィールドを参照してください。

ルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。で防止または検出閉じた UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。されたすべての接続のセッション期間は、デフォルトで10時間です。SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。> Blades > Threat Prevention > Advanced Settings > General > Connection Unification の「Manage& Settings」ビューで変更することができます。

ログビューの使用

ステップ

手順

1

Logs and Monitoring > View にアクセスしてください。

2

New をクリックし、New View を選択します。

3

New View ウィンドウに、入力します。

  • Name

  • Category - 例えば、次のように選択します。 Access Control

  • Description (オプション)

4

新しく開いたウィンドウで、クエリーを作成します。Options > View Filter をクリックし、Blade and App control を選択します。

5

クエリから戻ってきたデータの表示方法をカスタマイズするには、Add Widget をクリックします。

まず、すべてのイベントのタイムラインを作成します。

Table では、ユーザ、アプリケーション名、通信量など、複数のフィールドを含むテーブルを作成することができます。使用できるウィジェットの追加:マップ、インフォグラフィック、リッチテキスト、チャート、コンテナ(複数のウィジェットを使用する場合)。

SmartDashboard閉じた R77.30以前のバージョンでセキュリティ設定を作成および管理するために使用されるレガシーのCheckPoint GUIクライアント。バージョンでは、特定のレガシー設定を構成するために R80.X 以降が引き続き使用されます。で変更を保存した後、スケジュールを組んで複数の間隔で自動メールを受け取ることができます。

項目

説明

1

Queries - あらかじめ設定された検索クエリやお気に入りの検索クエリ。

2

Time Period - あらかじめ設定されたカスタム期間での検索。

3

Query search bar - このフィールドにカスタムクエリを定義します。GUI ツールを使用するか、手動でクエリ条件を入力することができます。直近のクエリのクエリ定義を表示します。

4

Log statistics pane - 直近のクエリのトップ結果を表示します。

5

Results pane - 直近のクエリのログエントリを表示します。

Threat Preventionルールのログを表示する

ステップ

手順

1

SmartConsoleで、Security Policies のビューに移動します。

2

Threat Prevention Policy で、ルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を選択します。

3

下のペインで、これらのタブのいずれかをクリックしてご覧ください。

  • Summary - ルール名、ルールアクション、ルール作成情報、Hit Count。ルールに関するカスタム情報を追加します。

  • Logs - 指定されたフィルター基準によるログエントリ -Source,Destination,Blade,Action,Service,Port,Source Port,Rule (Current rule はデフォルト) ,Origin,User, またはOther fields.

事前定義されたクエリ

Logs & Monitor Logs タブには、多くのシナリオに適した事前定義されたクエリセットが用意されています。

クエリーは、イベントプロパティの組み合わせで構成されています。

  • Threat Prevention > Blades

  • More > などで、UA Server またはUA WebAccess

  • Anti-Spam & Email Security Blade > などで、Blocklist Anti-Spam 、またはIP Reputation Anti-Spam

カスタムクエリの作成

クエリーは1つまたは複数の条件を含むことができます。クエリーボックスでは、既存の定義済みクエリーを変更したり、新しいクエリーを作成したりすることができます。

定義済みのクエリーを変更する場合。

クエリボックス内をクリックすると、検索フィルタが追加されます。

ステップ

手順

1

Queries > Add to Favoritesをクリックします。

Add to Favoritesウィンドウが開きます。

2

クエリーの名前を入力します。

3

クエリを保存するフォルダを選択するか、新規に作成します。

4

Addをクリックします。。

グリッドのカラムから条件を選択する

Grid ビューのカラムの見出しを使用して、クエリーの条件を選択することができます。このオプションは、Table のビューでは使用できません。

ステップ

手順

1

Results ペインで、カラムの見出しを右クリックします。

2

Add Filterを選択します。

3

フィルター条件を選択または入力します。
条件はQuery search bar に表示され、クエリーは自動的に実行されます。

より多くの条件を入力するには、この手順などを使用します。

クエリーの条件を手動で入力する

クエリーの条件をQuery search bar に直接入力することができます。新しいクエリを手動で作成したり、既存のクエリに変更を加えたりして、Query search bar に表示することができます。

テキストを入力すると、最近使用したクエリ条件やクエリ全体が表示されます。これらの検索候補を利用するには、ドロップダウンリストより選択します。

クエリフィールドの選択

クエリ検索バーから直接、クエリ条件を入力することができます。

ステップ

手順

1

新しいクエリーを開始する場合は Clear をクリックすると、クエリ定義が削除されます。

2

クエリ検索バーにカーソルを置く。

3

ドロップダウン・リストから基準を選択するか、クエリ検索バーに基準を入力します。

パケットキャプチャ

ネットワークトラフィックをキャプチャすることができます。パケットキャプチャの内容から、ログを生成したトラフィックをより深く理解することができます。この機能を有効にすると、Security Gateway はログを含むパケットキャプチャファイルを Log Server閉じた Check Pointソフトウェアを実行してログを保存および処理する専用Check Pointサーバ。 に送信します。ファイルを開いたり、ファイルに保存して後で情報を取り出したりすることができます。

一部のブレードでは、Threat Preventionポリシーのパケットキャプチャオプションがデフォルトで有効になっています。

ステップ

手順

1

SmartConsole> Security Policies ビューで> Threat Prevention> Custom Policy.

2

必要なルールを選択します。

 

ルールのTrack カラムを右クリックし、Packet Capture をクリアします。

ステップ

手順

1

SmartConsoleで、Logs & Monitor のビューに移動します。

2

ログを開く

3

Packet Capture フィールドのリンクをクリックします。

Packet Capture は、ファイルタイプに関連したプログラムで開きます。

4

Save をクリックすると、パケットキャプチャデータがコンピュータに保存されます。

アドバンスト・フォレンジック詳細

R80.30以降、一部のログには追加フィールドが含まれ、ログの[詳細なフォレンジック]セクションに表示されます。これらのプロトコルに対応しています。DNS, FTP, SMTP, HTTP, HTTPS。この追加情報は、チェック・ポイントの研究者が攻撃を分析するために使用されます。高度なフォレンジックの詳細は、チェック・ポイントのクラウドに送信されるゲートウェイの統計情報ファイルにも表示されます。

ステップ

手順

1

SmartConsole> で、Security Policies > Threat Prevention > カスタムポリシーにアクセスします。

2

必要なルールに移動し、Track のカラムを選択します。

3

ドロップダウン・メニューから、Forensics を選択します。

この情報が保存される前に接続が終了した場合、「詳細なフォレンジック情報」は表示されません。これは、Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。のトラフィックと構成に依存します。

ログで脅威を分析& モニタビュー

Logs & Monitor ビューでは、有効な Security Gateway を通過するすべてのイベントについて、フィルタリング、チャート、レポート、統計などの高度な分析ツールを提供します。

Threat Prevention Software Bladeの情報をフィルタリングして、それらに関連する接続インシデントの迅速なモニタと有用なレポートを作成することができます。

  • 脅威インシデントのリアルタイムおよびヒストリカルグラフとレポート

  • グラフィカルなインシデント・タイムラインにより、迅速なデータ検索が可能です。

  • 指定したクエリを素早く表示するカスタムビューを簡単に設定可能

  • インシデント管理ワークフロー

  • データオーナーへの定期的な報告

ビュー

Views ウィンドウは、管理者やその他の関係者にセキュリティやネットワークのイベントを伝えます。View ウィンドウは、ウィジェットで構成されるインタラクティブなダッシュボードです。各ウィジェットはクエリの出力である.Widget ペインは、チャートまたはテーブルなど、さまざまなフォーマットで情報を表示できます。

SmartConsoleには、いくつかの定義済みのビューが用意されています。ニーズに合わせて新しいビューを作成することも、既存のビューをカスタマイズすることも可能です。ビューは、生成または更新された時刻に正確です。

Logs & Monitor ビューで (+) タブをクリックすると、定義済みおよびカスタマイズされたすべてのビューとレポートのカタログが表示されます。ビューを開くには、ビューをダブルクリックするか、該当するビューを選択して、アクションバーからOpen をクリックします。

項目

説明

1

Widget - クエリーの出力。ウィジェットでは、情報をグラフや表などさまざまな形式で表示することができます。イベントの詳細については、ほとんどのウィジェットをダブルクリックして、より具体的な表示や生のログファイルにドリルダウンすることができます。

2

Options - 表示のカスタマイズ、デフォルトの復元、Hide Identities、エクスポート。

3

Query search bar - GUIツール、または手動でクエリ条件を入力し、カスタムクエリを定義します。直近のクエリのクエリ定義を表示します。

4

Time Period - ビューの時間帯を指定します。

レポートの使用とカスタマイズの詳細については、R81.10 Logging and Monitoring Administration Guide を参照してください。

レポート

報告書は、複数のビューとカバーページで構成されています。あらかじめ用意されたいくつかのレポートがあり、新しいレポートを作成することも可能です。レポートは、ビューよりも詳細な情報を提供します。レポートは、カスタマイズ、フィルタリング、生成、スケジュール設定が可能です。レポートへのドリルダウンはできません。

(+)タブをクリックすると、定義済みおよびカスタマイズされたすべてのビューとレポートのカタログが表示されます。レポートを開くには、レポートをダブルクリックするか、該当するレポートを選択して、Open をクリックします。

レポートの使い方やカスタマイズの詳細については R81.10 Logging and Monitoring Administration Guide