チェック・ポイントのThreatCloudについて

Check Point ThreatCloud Check Point 全製品のサイバーインテリジェンスセンターです。脅威センサーの革新的なグローバルネットワークに基づいて動的に更新され、脅威データを共有し、最新のマルウェアとの戦いにおいて協力するよう組織に呼びかけます。 は、脅威データを共有し、協力して最新のマルウェアに立ち向かう脅威センサーと組織の革新的なグローバル・ネットワークを基盤に、動的に更新されるサービスです。お客様は、ご自身の脅威データをThreatCloudに送信することで、セキュリティと保護の強化、脅威インテリジェンスの充実といったメリットを得ることができます。ThreatCloudは攻撃情報を配信し、ゼロデイ攻撃をアンチウイルス セキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。頭字語：AV。Software Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。がブロック トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。できる既知のシグネチャに変換します。セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。は、個人情報を収集したり送信したりすることはありません。

チェック・ポイントの情報収集への参加は、チェック・ポイントのお客様にとって、高度なセキュリティ研究を行う戦略的コミュニティの一員となるまたとない機会です。本研究は、セキュリティサービスの適用範囲、品質、精度を向上させ、組織にとって価値ある情報を得ることを目的としています。

ThreatCloudのリポジトリには、ボット アンチウイルス機能を無効化し、サイバー犯罪者からの指示を受けるためにコマンド＆コントロールセンターに接続し、指示を実行する悪質なソフトウェア。発見のために分析された2億5000万以上のアドレスと、2000以上の異なるボットネットの通信パターンが含まれています。ThreatSpectエンジン ネットワークトラフィックを解析し、複数の層（レピュテーション、シグネチャ、不審なメールの発生、行動パターン）のデータを相関させてボットやウイルスを検出する独自の多層型エンジンです。は、この情報を使用してボットやウイルスを分類します。

ThreatSpectエンジンのレピュテーション層とシグネチャ層については、各Security Gatewayも持っています。

• ローカルデータベースであるマルウェアデータベース Security Gateway にインストールされ、ThreatSpect エンジンが使用する、よく使用されるシグネチャ、URL、およびそれらに関連するレピュテーションのCheck Pointデータベースです。には、よく使われるシグネチャやURL、それらに関連するレピュテーションが格納されています。このデータベースに対して、自動更新または定期更新を設定することができます。

• URLレピュテーション要求の99%に回答を与えるローカルキャッシュ。キャッシュに答えがない場合、ThreatCloud リポジトリ 2億5000万以上のC&C（Command and Control）IP、URL、DNSアドレスと2000以上の異なるボットネット通信パターンを持つクラウドデータベースで、ThreatSpectエンジンがボットとウイルスの分類に使用しています。参照： https://www.checkpoint.com/infinity-vision/threatcloud/に問い合わせを行います。

  • Anti-Virus の場合 - ファイル分類のために署名が送信されます。

  • Anti-Botの場合 - レピュテーション分類のためにホスト名が送信されます。

からThreatCloudのリポジトリにアクセスします。

• SmartConsole - 必要に応じて、特定のマルウェアを例外ルール 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。に追加することができます。SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。のThreat Preventionルールベースから、ルール例外のProtection カラムのプラス記号をクリックすると、保護ビューアーが開きます。

• ThreatWiki - マルウェアデータベース全体を見ることができるツールです。SmartConsole で ThreatWiki を開くか、チェック・ポイントの Web サイトから ThreatWiki にアクセスします。

チェック・ポイントが収集するデータ

情報収集を有効にすると、Check Point Security Gateway は、潜在的なセキュリティ・リスクに関するイベント ID、URL、および外部 IP アドレスを収集し、Check Point Lab に安全に提出することができます。

これは、Check Point Security Gatewayによって検出 UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。されたイベントの例です。イベントID、URL、外部IPアドレスが含まれます。なお、このデータには、機密情報や内部リソースの情報は含まれていません。送信元IPアドレスが不明瞭になる。Check Point Lab に送信された情報は、集計された形で保存されます。

Check Point ThreatCloud をゲートウェイに設定する。

チェック・ポイント ThreatCloud ネットワーク

Check Point ThreatCloud は、脅威データを共有し、協力して最新のマルウェアに立ち向かう脅威センサーと組織の革新的なグローバル・ネットワークを基盤に、動的に更新されるサービスです。お客様は、ご自身の脅威データをThreatCloudに送信し、脅威インテリジェンスを強化した保護アップデートを受け取ることができます。

ThreatCloudネットワークに参加するお客様は、収集したマルウェアデータを利用して、セキュリティと保護の強化の恩恵を受けることができます。ThreatCloudは、攻撃情報を配信し、ゼロデイ攻撃をアンチウイルスソフトウェアBladeがブロックできる既知のシグネチャに変換することができます。

ThreatCloudサービスにファイルを送信してエミュレーションを行うと、ネットワークに最新の脅威情報とOS環境を取得することができます。ThreatCloudへの接続は、デフォルトで有効になっています。この接続により、多くの管理機能を得ることができます。有効化することを推奨します。この接続をブロックしたい場合は、初期設定を変更することができます。

詳しくは、sk94509をご覧ください。

ThreatCloud Intellistore（スレットクラウド インテリストア

ThreatCloud Intellistoreは、ThreatCloudを補完し、主要なサイバーセキュリティベンダーからインテリジェンスデータを提供する脅威インテリジェンスマーケットプレイスです。このデータには、IPアドレス、ドメイン、URL、コマンド＆コントロール・ネットワーク、DOS攻撃などの脅威情報が含まれています。Intellistoreは、情報フィードを特定の地域、攻撃の種類、または産業によって分類し、ニーズに合わせて最適なフィードを選択することができます。

セキュリティフィードは、ベンダーが収集・分析した専門的なインテリジェンスを表します。ThreatCloudは、これらのフィードをセキュリティゲートウェイ上で実行される保護機能に変換します。