すぐに使える脅威からの保護

Threat Preventionポリシーの迅速な立ち上げと実行

Threat Preventionは、必要な保護レベルを正確に与えるように設定することができますが、箱から出してすぐに保護を提供するように設定することもできます。

ステップ	手順
1	ゲートウェイのThreat Preventionブレードを有効化します。
2	Install Policy.

ブレードを有効にし、ポリシーをインストールすると、このルール通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。が生成されます。

名前	保護されたスコープ	アクション	追跡	インストール
アウトオブボックスThreat Preventionポリシー	`*Any`	Optimized	`Log` `Packet Capture`	`*Policy Targets`

名前

保護されたスコープ

アクション

追跡

インストール

アウトオブボックスThreat Preventionポリシー

*Any

Optimized

Log

Packet Capture

*Policy Targets

Threat PreventionSoftware Bladeの有効化

IPS Software Bladeの有効化

ステップ	手順
1	Gateways & Servers ビューで、ゲートウェイオブジェクトをダブルクリックします。 General Propertiesウィンドウが開きます。
2	General Properties > Network Security タブで、IPS をクリックします。
3	開いたウィザードの手順に従ってください。
4	OKをクリックします。
5	General Properties 」ウィンドウの「OK 」をクリックします。
6	Install Policy をクリックします（Threat Preventionポリシーのインストール参照）。

アンチ・ボット・ソフトウェア・ブレードの有効化

ステップ	手順
1	Gateways& Servers］ビューで、ゲートウェイオブジェクトをダブルクリックします。ゲートウェイのGeneral Properties ウィンドウが開きます。
2	Network Security タブから、Anti-Bot を選択します。 Anti-Bot and Anti-Virus First Time Activationウィンドウが開きます。
3	起動モードオプションを選択します。アンチボットおよびアンチウイルスポリシーによると - アンチボットセキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール（C＆C）センターへの通信をブロックします。頭字語：AB、ABOT。 Software Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。を有効にし、Threat PreventionポリシーのThreat Preventionプロファイルのアンチボットアンチウイルス機能を無効化し、サイバー犯罪者からの指示を受けるためにコマンド＆コントロールセンターに接続し、指示を実行する悪質なソフトウェア。設定を使用します。 Detect only- パケットは許可されますが、Threat Prevention Rule Base の設定に従ってトラフィックがログに記録されます。
4	OKをクリックします。。
5	Install Policy をクリックします（Threat Preventionポリシーのインストール参照）。

アンチウィルス・ソフトウェア・ブレードの有効化

ステップ	手順
1	Gateways& Servers］ビューで、ゲートウェイオブジェクトをダブルクリックします。ゲートウェイのGeneral Properties ウィンドウが開きます。
2	Network Security タブから、Anti-Bot をクリックします。 Anti-Bot and Anti-Virus First Time Activationウィンドウが開きます。
3	起動モードを一つ選択する。アンチボット、アンチウィルスのポリシーによる。Anti-Virus Software Bladeを有効にし、Threat PreventionポリシーのThreat PreventionプロファイルのAnti-Virusの設定を使用します。 Detect only- パケットは許可されますが、Threat Prevention Rule Base の設定に従ってトラフィックがログに記録されます。
4	OKをクリックします。。
5	Install Policy をクリックします（Threat Preventionポリシーのインストール参照）。

SandBlastのThreat Emulationの有効化

Threat Emulation セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語：TEを有効にすると、ウィザードでThreat Extraction ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語：TEX。を有効にするオプションが自動的に表示されます。

手順

ステップ

手順

Gateways & Serversビューで、Security Gatewayオブジェクトをダブルクリックします。

Gateway Propertiesウィンドウが開きます。

Network Security タブから、SandBlast Threat Emulation を選択します。

Threat Emulation ウィザードが開き、Emulation Location ページが表示されます。

を選択します。 Emulation Location:

ThreatCloud Check Point 全製品のサイバーインテリジェンスセンターです。脅威センサーの革新的なグローバルネットワークに基づいて動的に更新され、脅威データを共有し、最新のマルウェアとの戦いにおいて協力するよう組織に呼びかけます。 Emulation Service
Locally on this Threat Emulation appliance
Other Threat Emulation appliances

Nextをクリックします。。

このチェックボックスを選択した状態で、Activate Threat Extraction ウィンドウが表示されます。

Clean potentially malicious parts from files (Threat Extraction

Threat Extractionを有効にするには、このチェックボックスを選択したままにしておきます。

Threat Extractionを有効にしない場合は、このチェックボックスをオフにします。

Nextをクリックします。。

Summary ページが表示されます。

注 -Emulation Location をLocally on this Threat Emulation appliance またはOther Threat Emulation appliances として選択し、Threat Emulation の情報を ThreatCloud と共有したい場合は、Share attack information with ThreatCloud を選択します。

Finishをクリックします。をクリックして、Threat Emulation（および選択した場合はThreat Extraction）を有効にしてから、初期設定ウィザードを閉じます。

OKをクリックします。。

Gateway Properties ウィンドウが閉じます。

Install Policy をクリックします（Threat Preventionポリシーのインストール参照）。

注：試用版ライセンスがSecurity Gatewayにインストールされている場合、Threat EmulationSoftware Bladeの横に緑色の「V」が誤って表示されます（SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Gateways & Servers ビューに移動> Security Gateway / Clusterオブジェクトを右クリック> クリックMonitor ）> Device and License Information ウィンドウが開きます> Device Status > Threat Emulation）。

正しいライセンス状況を確認するには、Device and License Information ウィンドウのLicense Status タブにアクセスしてください。

クラウドエミュレーションの利用

ファイルは、安全な TLS 接続を介して Check Point ThreatCloud に送信され、エミュレーションが行われます。ThreatCloudでのエミュレーションは、内部ネットワークファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。でのエミュレーションと同じですが、Security GatewayのCPU、RAM、ディスクスペースをほんの少ししか使用しません。ThreatCloudは、利用可能なすべてのOS環境に対応し、常に最新の状態に保たれています。

ベストプラクティス- ThreatCloud エミュレーションでは、Security Gateway がインターネットに接続することが必要です。Global Properties でDNSとプロキシが正しく設定されていることを確認してください。

SandBlastによるThreat Extractionの有効化

手順

ステップ

手順

Gateways& Servers］ビューで、ゲートウェイオブジェクトをダブルクリックします。

ゲートウェイのGeneral Properties ウィンドウが開きます。

Network Security 」タブを開き、「Threat Extraction」を選択します。

注 - ClusterXLハイアベイラビリティ環境では、クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。オブジェクトに対してこの操作を1回だけ行います。

注:

Threat Extractionを有効にすると、Webダウンロードスキャンが自動的に有効になります。
Threat Extractionで電子メールの添付ファイルをスキャンするには、Security Gatewayをメール転送エージェント（MTA）として設定します（Security GatewayでMTAを有効にするするを参照）。
Threat Extraction APIのサポートについては、Security Gatewayのプロパティで、Threat Extraction > Web API > Enable API 。

LDAPの設定

ユーザ認証にLDAPを使用する場合は、User Directory for Security Gatewaysを有効にする必要があります。

手順

ステップ	手順
1	開くSmartConsole > Global Properties.
2	ユーザディレクトリ LDAP およびその他の外部ユーザ管理サーバを Check Point 製品およびセキュリティソリューションと統合する管理サーバ上の Check Point Software Blade。のページで、Use User Directory for Security Gateways を選択します。
3	OKをクリックします。。

Threat Preventionポリシーのインストール

IPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade（侵入防止システム）。、アンチボット、アンチウィルス、Threat Emulation、Threat ExtractionSoftware Bladeには、専用のThreat Preventionポリシーがあります。このポリシーは、アクセス制御Software Bladeのポリシーのインストールとは別にインストールすることができます。セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。のパフォーマンスへの影響を最小限に抑えるため、Threat Preventionポリシーのみをインストールします。

手順

ステップ	手順
1	グローバルツールバーから、Install Policy をクリックします。 Install Policy ウィンドウが開き、インストール先（Security Gateways）が表示されます。
2	Threat Preventionを選択します。
3	該当するInstall Modeを選択します。 Install on each selected gateway independently 選択したSecurity Gatewayに、他のターゲットを参照せずにポリシーをインストールします。ある Security Gateway でインストールに失敗しても、他の Gateway へのポリシーインストールには影響しません。ゲートウェイがクラスタのメンバである場合、すべてのメンバにポリシーをインストールします。Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。は、ポリシーをすべてのメンバにインストールできることを確認してから、いずれかのメンバにポリシーをインストールします。1つのメンバにポリシーをインストールできない場合、すべてのメンバに対してポリシーのインストールに失敗します。 Install on all selected gateways, if it fails do not install on gateways of the same version すべてのインストールターゲットにポリシーをインストールします。いずれかのSecurity Gatewayでポリシーのインストールに失敗した場合、同じバージョンの他のターゲットにポリシーがインストールされません。
4	OKをクリックします。。

Threat Preventionブレードの無効化

Security GatewayオブジェクトのすべてのThreat PreventionSoftware Bladeを無効にする場合、"Install Policy"ボタンをクリックし、"Uninstall Threat Prevention Policy"リンクをクリックする必要があります。

事前定義ルール

Threat PreventionSoftware Bladeのいずれかを有効にすると、定義済みのルールがルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。に追加されます。このルールは、誰が接続を開いたかに関係なく、すべてのネットワークオブジェクトのすべてのトラフィックが、Optimized プロファイル (「プロファイルペイン参照) に従ってすべての保護について検査されることを定義します (「保護範囲」値を any とする、「保護されたスコープ」を参照)。デフォルトでは、ログが生成され、Threat Prevention Software Bladeを使用するすべてのSecurity Gatewayにルールがインストールされます。

このルールの結果、（Optimized のプロファイルによると）。

以下の条件を満たす攻撃は、防御モードがPreventに設定されます。
- Confidence Level - 中位以上
- Performance Impact - 中位以上
- Severity - 中位以上
以下の条件を満たす攻撃があった場合、保護機能は検出モードに設定されます。
- Confidence Level - 低
- Performance Impact - 中位以上
- Severity - 中位以上

Logs & Monitor ページを使用して、Threat Prevention トラフィックに関連するログを表示します。このデータを使って、お客様の環境におけるこれらのSoftware Bladeの使用状況をより良く理解し、効果的なルールベースを作成することができます。また、このページから直接ルールベースを更新することも可能です。

指定された保護を防止または検出 UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。する例外や、異なる追跡設定を持つ例外をさらに追加することができます。