脅威の防止に関する方針

Threat Preventionポリシー作成のためのワークフロー

Threat Preventionでは、組織のニーズに合わせてプロファイルをカスタマイズすることができます。

理想的には、すべての潜在的な脅威から保護するために、すべての保護機能を「防止」に設定するとよいでしょう。しかし、ゲートウェイプロセスを最も重要なトラフィックの処理に集中させ、最も重要な脅威のみを報告させるためには、Threat Preventionの設定を最も効果的に適用する方法を決定する必要があります。

新しいThreat Preventionプロファイルを定義すると、必要な保護のみを有効化し、ネットワークを最も脅かす攻撃のみを防止するThreat Preventionポリシーを作成することができます。

ステップ

手順

1

セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。でThreat PreventionSoftware Bladeを有効にします。

2

IPS閉じた さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。データベースとマルウェアデータベース閉じた Security Gateway にインストールされ、ThreatSpect エンジンが使用する、よく使用されるシグネチャ、URL、およびそれらに関連するレピュテーションのCheck Pointデータベースです。を最新のプロテクションに更新する。

3

オプション:ポリシーパッケージの作成

4

オプション:各Policy Packageについて、Threat Prevention Policy Layersを作成する。

- 各ポリシーレイヤに対して、Threat Preventionプロファイルをルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。ActionとしてThreat Preventionルールベースを構成します。

5

Threat Preventionポリシーをインストールします。

ポリシーパッケージの詳細については、こちらをご覧ください。

Policy Packagesの詳細については、R81.10 Security Management Administration Guide を参照してください。

Threat Preventionのためのポリシーレイヤー

複数のPolicy Layersを持つThreat Prevention Rule Baseを作成することができます。ポリシーレイヤーは、組織のニーズに合わせてルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。を最適に整理するのに役立ちます。ポリシーレイヤーは、サービスやネットワークごとに分けることができます。各ポリシーレイヤーは、他のレイヤーとは別にアクションを計算する。ポリシーパッケージの Layer が 1 つの場合、最初にマッチしたルールが適用される。レイヤーが複数ある場合。

  • 接続が1つのレイヤーのルールにのみ一致する場合、実行されるアクションはそのルールのアクションとなります。

  • 接続が複数のレイヤーのルールに一致する場合、ゲートウェイは最も厳格なアクションと設定を実施します。

重要- Threat Preventionブレードが MTA モードで実行されると、ゲートウェイで MTA が有効になっているときに作成される自動 MTA ルールが適用されます。

多層的なセキュリティポリシーにおけるアクションの実行

これらの例は、接続が複数のPolicy Layersのルールに一致する場合、Security Gatewayがどのようなアクションを実行するかを示しています。

 

データセンター層

企業内LAN層

ルールマッチング

ルール3

ルール

プロフィールアクション

防止

ディテクト

強制的に行動させる。防止

 

データセンター層

企業内LAN層

ルールマッチング

ルール3

ルール

プロフィールアクション

防止

ディテクト

プロテクトの例外 X

活動休止中

-

保護のための強制措置 X.ディテクト

 

データセンター層

企業内LAN層

ルールマッチング

ルール3

ルール

プロフィールアクション

防止

ディテクト

保護用オーバーライド X

ディテクト

-

プロテクトの例外 X

活動休止中

-

例外はオーバーライドとプロファイルアクションの前です。したがって、データセンターレイヤのアクションは「Inactive」です。

企業LANレイヤーのアクションは「検出閉じた UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。」です。

保護のための強制措置 X.検出する。

 

データセンター層

企業内LAN層

ルールマッチング

ルール3

ルール

プロフィールアクション

全ファイルのディープスキャン

特定のファイルタイプファミリーを処理します。docファイルやDroprtf ファイルを検査します。

強制的に行動させる。ドキュメントファイルをディープスキャンし、rtf ファイルをドロップします。

MIMEネストレベルと最大アーカイブスキャン時間

厳密なアクションは

最大ネスティングレベル/スキャンタイムと組み合わせて使用できるようにする。

または

ブロック閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。は最小のネスティングレベル/スキャンタイムと組み合わせます。

または

BlockとAllowの両方に一致する場合、強制される動作はBlockとなります。

UserCheck閉じた Security Gatewayやクラスタ、エンドポイントクライアントの機能で、データ損失やセキュリティ侵害の危険性がある場合に、ユーザに警告を与える機能。これにより、ユーザはセキュリティ事故の防止や、組織のセキュリティポリシーを知ることができます。

 

HRレイヤー

ファイナンス層

データセンター レイヤ3

ルールマッチング

ルール3

ルール

ルール

プロフィールアクション

ディテクト

防止

防止

設定されたページ

ページA

ページB

ページC

最も厳密なアクションを持つ最初のレイヤーが実行されます。

強制的な行動UserCheckページBで防止する。

新しいポリシーレイヤの作成

ここでは、Threat Preventionポリシーレイヤーを新規に作成する方法を説明します。異なるポリシーパッケージでThreat Preventionポリシーレイヤーの再利用を設定し、Threat Preventionレイヤーごとに異なる管理者権限を設定することができます。

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Security Policies > Threat Prevention にアクセスします。

2

Policy を右クリックし、Edit Policy を選択します。

3

General 」タブで、「Threat Prevention 」に移動し、「+ 」のサインをクリックします。

4

New Layerを選択します。

New Threat Prevention Layerウィンドウが開きます。

5

レイヤー名を入力します。

6

オプション:General タブのSharing エリアでは、異なるポリシー パッケージでのレイヤーの再利用を設定できます。Multiple policies and rules can use this layerを選択します。

7

Permissions タブで、このレイヤを編集することができる権限プロファイルを選択します。

-すべてのレイヤを編集するように設定された権限プロファイルを追加する必要はありません。

8

OKをクリックします。。

R80以前のゲートウェイに搭載されたThreat Preventionレイヤー

R80以前のバージョンでは、IPS Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。はThreat Prevention Policyの一部ではなく、個別に管理されていました。R80.XX バージョンでは、IPS Software Blade は Threat Prevention Policy に統合されています。

SmartConsoleをR80.XXにアップグレードする場合、一部のSecurity GatewayがR80.XXにアップグレードされ、他のSecurity Gatewayは以前のバージョンのまま残っています。

  • IPSおよびThreat PreventionSoftware Bladeを有効にしたR80以前のゲートウェイの場合、ポリシーは2つの並列レイヤーに分割されます。IPSとスレットプリベンション

    どのセキュリティゲートウェイがどの IPS プロファイルを適用しているかを確認するには、IPS Layer のInstall On カラムを参照してください。

  • R80.XXゲートウェイは、R80以上のポリシーレイヤー(Threat Preventionのためのポリシーレイヤー参照)に基づき、個別に管理されます。

ベストプラクティス- より良いパフォーマンスを得るために、以前のバージョンからR80以上にアップグレードする際には、Optimized プロファイルを使用することをお勧めします。

Threat Preventionルールベース

各スレットプリベンションレイヤーには、ルールベースが含まれています。ルールベースは、システムがマルウェアの接続を検査する方法を決定します。

Threat Preventionルールは、マルウェアデータベースとネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。を使用します。Identity Awarenessを有効にしたSecurity Gatewayは、ルール内のProtected Scope 、アクセスロールオブジェクトを使用することもできます。アクセスロールオブジェクトを使用すると、個人または異なるグループのユーザに対して簡単にルールを作成することができます。

このルールベースには暗黙のルールはなく、ルールベースの設定方法に基づいてトラフィックが許可されたり、許可されなかったりします。例えば、Prevent のアクションに設定されたルールは、そのマルウェアの活動や通信をブロックします。

規約の一部

ルールのカラムは、それがマッチするトラフィックと、そのトラフィックに対して行われる処理を定義します。

番号(No.)

保護されたスコープ(「保護されたスコープ」を参照)とプロファイルに従ってトラフィックにマッチする最初のルールが適用されるため、ルールの順序は重要です。

例えば、ルール1とルール2が同じ保護範囲を共有し、ルール1のプロファイルが信頼度中程度の保護detect 、ルール2のプロファイルが信頼度中程度の保護prevent に設定されている場合、ルール1に基づいて信頼度中程度の保護はdetected

名前

  1. ルールには分かりやすい名前を付けます。名前にはスペースを含めることができます。

  2. ルールのName 列をダブルクリックして、名前を追加または変更します。

  3. OKをクリックします。。

保護されたスコープ

Threat Prevention ルールには、Protected Scope パラメータがあります。Threat Prevention は、指定されたオブジェクトが接続を開いていない場合でも、Protected Scope で指定されたすべてのオブジェクトとの間のトラフィックを検査します。これは、接続を開くオブジェクトを定義するFirewallルールのSource オブジェクトとの重要な違いである。

例えば、保護されたスコープには、「MyWebServer 」という名前のネットワークオブジェクトが含まれています。Threat Prevention は、"MyWebServer"が接続を開いていなくても、"MyWebServer"に送信されたすべてのファイルを検査し、マルウェアの脅威を検出します。

さまざまな種類のオブジェクトの詳細については、R81.10 Security Management Administration Guide を参照してください。

Protected Scope パラメーターにAny を設定することができます。このオプションにより、Threat Prevention は、該当するルールに割り当てられたプロファイルで定義された方向とインタフェースタイプに基づいて、トラフィックを検査します。デフォルトでは,定義済みのOptimized RuleProtection ScopeAny に設定します。

トラフィックディレクションとインタフェースタイプの設定

Threat Preventionにファイルを送信して検査を行うトラフィック方向とSecurity Gatewayのインタフェースタイプを設定することができます。この操作は、Anti-Virus またはThreat Emulation Settings ウィンドウのProtected Scope セクションで行います。

  • Inspect incoming files from:

    指定されたインタフェースタイプからの受信ファイルのみを検査のために送信します。送信ファイルは検査されません。インタフェースの種類をリストから選択します。

    • External - 外部インタフェースから受信するファイルを検査する。DMZおよび内部インタフェースからのファイルは検査されません。

    • External and DMZ - 外部およびDMZインタフェースからの受信ファイルを検査します。内部インタフェースからのファイルは検査されません。

    • All - すべてのインタフェースタイプから受信するすべてのファイルを検査します。

  • Inspect incoming and outgoing files - すべての入出荷ファイルを検査用に送付する。

ルールのProtected Scope セクションでAny オプションを選択すると、そのルールに割り当てられたProfile によってトラフィック方向とインタフェース タイプが定義されます。ルールでProtected Scopeにオブジェクトを追加すると、これらのオブジェクトに一致するファイルがすべての接続に対して検査されます。

SPANとTAPの構成でProtected Scopeを使用する。

SPAN および TAP 構成のデフォルトのグローバルパラメーターは、inspect all に設定されています。これらのコマンドを使用すると、SPANおよびTAP with Threat Emulation閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語:TEでProtected Scopeの設定を使用するようにSecurity Gatewayを設定することができます。

  • fw ctl set int" コマンド - SPAN と TAP の現在のProtected Scope 設定を変更します。再起動しても変更されません。

  • $FWDIR/module/fwkern.conf ファイル - これは、再起動後に設定を変更します。

以下のコマンドを実行し、SPANポートがグローバルデフォルト設定(inspect all )ではなく、ポリシーを使用するように設定します。

# fw ctl set int te_handle_span_port_interfaces_according_to_topolgy 1

# echo "te_handle_span_port_interfaces_according_to_topolgy=1" >> $FWDIR/boot/modules/fwkern.conf

制限とトラブルシューティング

  • Security Gatewayインタフェースにトポロジーを定義しない場合、すべてのトラフィックが検査されるか、エミュレーションのために送信されます。

  • R76以下からアップグレードした場合、Inspect incoming files オプションはデフォルトでAll に設定されています。

  • インタフェースのトポロジーを定義し、SPANまたはTAPモードを使用している場合、一部の接続が正しく定義されていない可能性があります。

保護

Protection/Site カラムには、「Threat Prevention」ポリシーの保護機能が表示されます。

  • rules の場合、このフィールドは常にn/a に設定され、変更することはできません。ルールベースルールの保護は、設定されたプロファイルで定義されます(「アクション」カラム)。

  • rule exceptions およびexception groups の場合、このフィールドには、1 つ以上の指定された保護機能を設定することができる。

ステップ

手順

1

SmartConsoleでSecurity Policies > Threat Preventionを選択します。

2

ナビゲーションツリーで、Policy Layerを選択します。

3

ルールを右クリックし、New Exception を選択します。

ポリシーに例外サブルールが追加されます。

4

Protection/Site セルを右クリックし、Add new items を選択します。

5

アンチボット閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール(C&C)センターへの通信をブロックします。頭字語:AB、ABOT。、アンチウィルス、またはIPSの保護機能のリストから、例外に追加する保護機能の追加ボタンをクリックします。

例外規定にプロテクトを追加しています。

6

インストールポリシーです。

ステップ

手順

1

Protection/Site のカラムにマウスカーソルを置き、プラス記号をクリックすると、Protection のビューアが開きます。

2

保護カテゴリーを選択します。

3

検索フィールドにマルウェア名を入力します。

アクション

Actionとは、トラフィックをどのように検査するかということです。

  • rules の場合、これはプロファイルによって定義されます。プロファイルには、信頼度やパフォーマンスへの影響を考慮した設定オプションが含まれています(「プロファイルペイン」参照)。

  • rule exceptions およびexception groups の場合、アクションはPrevent またはDetect に設定することができます。

ステップ

手順

1

Action のカラムをクリックします。

2

リストから既存のプロファイルを選択するか、新規にプロファイルを作成するか、既存のプロファイルを編集します。

スレットプリベンションのトラックオプション

トラックオプション

説明

None

アラートを発生させない。

Alert

ログを生成し、ポップアップウィンドウの表示、電子メールアラートまたはSNMPトラップアラートの送信、Menu > Global Properties > Log and Alert > Alerts で定義されたユーザ定義のスクリプトの実行など、コマンドを実行します。

Packet Capture

生のIPS、アンチウィルス、アンチボット閉じた アンチウイルス機能を無効化し、サイバー犯罪者からの指示を受けるためにコマンド&コントロールセンターに接続し、指示を実行する悪質なソフトウェア。、Threat Emulation、Threat Extraction閉じた ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語:TEX。のパケットデータをThreat Preventionのログに追加します。ブロックされたパケットのみ追加されます(「パケットキャプチャ」参照)。

Forensics

Threat Preventionのログにフィールドを追加します。余分な情報によって、攻撃についてより深く理解することができます(「アドバンスト・フォレンジック詳細」を参照)。

インストール

  1. ルールをインストールするセキュリティゲートウェイを選択します。デフォルトはAll (Threat Preventionブレードが有効なすべてのSecurity Gateway)です。

  2. カラムにマウスを乗せると、プラス記号が表示されます。

  3. プラス記号をクリックすると、利用可能なセキュリティゲートウェイのリストが表示されるので、該当するセキュリティゲートウェイを選択します。

表中のカラムを右クリックすると、表示されるリストから、さらにカラムを追加することができます。