スレットプリベンションエンジンの設定

ここでは、「Engine Settings」ウィンドウに表示される、検査エンジン、Check Point Online Web Service（ThreatCloud リポジトリ 2億5000万以上のC&C（Command and Control）IP、URL、DNSアドレスと2000以上の異なるボットネット通信パターンを持つクラウドデータベースで、ThreatSpectエンジンがボットとウイルスの分類に使用しています。参照： https://www.checkpoint.com/infinity-vision/threatcloud/）、内部メールホワイトリスト、Threat Extraction ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語：TEX。および Threat Emulation セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語：TE のファイルタイプサポートなど、Threat Prevention の詳細設定方法について説明します。

Engine Settings ウィンドウを表示するには、Manage & Settings > Blades > Threat Prevention > Advanced Settings にアクセスします。

Threat Prevention Engine Settingsウィンドウが開きます。

フェイルモード

ThreatSpectエンジンネットワークトラフィックを解析し、複数の層（レピュテーション、シグネチャ、不審なメールの発生、行動パターン）のデータを相関させてボットやウイルスを検出する独自の多層型エンジンです。が過負荷になった場合、または検査中に失敗した場合の動作を選択します。例えば、Anti-Botの検査が内部障害で途中で終了してしまった場合。デフォルトでは、このような状況では、すべてのトラフィックが許可されます。

Allow all connections (Fail-open) - エンジンの過負荷や故障の状況では、すべての接続が許可されます（デフォルト）。
Block all connections (Fail-close) - エンジンの過負荷や故障の状況では、すべての接続がブロックトラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。されます。

チェック・ポイント・オンライン Web サービス

Check Point Online Web Service は、ThreatSpect エンジンがリソースの分類を更新する際に使用されます。

Security Gatewayが取得する応答は、パフォーマンスを最適化するためにローカルにキャッシュされます。

Block connections when the web service is unavailable
- このオプションを選択すると、Check Point Online Web Service に接続できない場合、接続がブロックされます。
- クリアすると、接続性がない場合に接続を許可します（デフォルト）。
Resource categorization mode
- Background - connections are allowed until categorization is complete - キャッシュされたレスポンスで分類できない接続の場合、分類できないレスポンスを受信します。接続が許可されている。バックグラウンドでは、Check Point Online Web Service がカテゴリ分類の手順を継続します。レスポンスは将来のリクエストのためにローカルにキャッシュされます (デフォルト)。
  このオプションは、カテゴリ分類処理の待ち時間を短縮します。
- Hold - connections are blocked until categorization is complete - キャッシュされたレスポンスで分類できない接続は、Check Point Online Web Service が分類を完了するまでブロックされたままになります。
- Custom - configure different settings depending on the service - アンチボットセキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール（C＆C）センターへの通信をブロックします。頭字語：AB、ABOT。とアンチウィルスに異なるモードを設定することができます。例えば、Customize をクリックして、Anti-Bot を Hold モードに、Anti-Virus を Background モードに設定します。
リソースの分類に使用するモードを選択することができます。

コネクションの統一

ゲートウェイのトラフィックは大量のアクティビティを発生させます。ログの量を管理しやすくするため、デフォルトではセッションごとにログを集約しています。セッションとは、ユーザがアプリケーションやサイトに初めてアクセスしたときに開始される期間のことです。セッション中、ゲートウェイは、ユーザがアクセスしたアプリケーションまたはサイトごとに1つのログを記録します。セッション内でユーザが行ったすべてのアクティビティがログに含まれます。アンチボットアンチウイルス機能を無効化し、サイバー犯罪者からの指示を受けるためにコマンド＆コントロールセンターに接続し、指示を実行する悪質なソフトウェア。、Threat Emulation、およびアンチウィルスのルールベース特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。で許可またはブロックされた接続の場合、デフォルトのセッションは10時間（600分）です。

セッションの長さを調整するには

ステップ	手順
1	Manage & Settings > Blades > Threat Prevention > Advanced Settings > General > Connection Unification > Session unification timeout (minutes) にアクセスしてください。
2	必要な値を入力してください。
3	OKをクリックします。。

アンチボットのホワイトリストの設定

Suspicious Mailエンジンは、送信されるメールをスキャンします。アンチボットが内部メールを検査しないメールアドレスまたはドメインのリストを作成することができます。

アンチボットが内部メールをスキャンしないメールアドレスまたはドメインを追加するには

ステップ	手順
1	Manage & Settings > Blades > Threat Prevention > Advanced Settings > Anti-Bot にアクセスしてください。
2	+ の記号をクリックします。

このウィンドウでは、リスト内のエントリーを編集したり削除したりすることもできます。

エミュレーションファイルの種類を選択する

すべてのThreat Preventionプロファイルについて、エミュレーションのために送信するファイルの種類を選択することができます。各プロファイルは、ファイルタイプに対してInspect またはBypass のアクションを定義しています。

Threat PreventionプロファイルでサポートされるThreat Emulationファイルの種類を選択するには

ステップ	手順
1	SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Manage & Settings > Bladesを選択します。
2	Threat Preventionセクションで、Advanced Settingsをクリックします。 Threat Prevention Engine Settingsウィンドウが開きます。
3	Threat Emulation Settingsセクションで、Configure file type supportをクリックします。 File Types Supportウィンドウが開きます。
4	エミュレーションのために送信するファイルの種類を選択します。デフォルトでは Emulation supported on column は、そのファイルタイプに対応したエミュレーション環境を示しています。
5	OKをクリックします。をクリックし、Threat Prevention Engine Settings のウィンドウを閉じます。
6	Threat Preventionポリシーをインストールします。

Threat Extractionのための高度なエンジン設定の構成

エンジンの詳細設定では、Threat Extraction ブレードのファイルタイプサポートとメール署名を設定できます。

ファイルタイプのサポートを設定するには

ステップ	手順
1	Manage& Settings] ビュー> Blades > Threat Prevention > Advanced Settings をクリックします。 Threat Prevention Engine Settingsウィンドウが開きます。
2	Threat Extraction で、Configure File Type Support をクリックします。 Threat Extraction Supported File Typesウィンドウが開きます。
3	リストから Threat Extraction ブレードがサポートするファイルの種類を選択します。
4	OKをクリックします。。

メールの署名を設定するには

ステップ

手順

Threat Prevention Engine Settings ウィンドウ> Threat Extraction で、Configure Mail Signatures をクリックします。

Threat Extraction Mail Signaturesウィンドウが開きます。

のテキストを設定するには、このウィンドウを使用します。

Mail signatures for attachments with potential threats extracted

最初の署名は、脅威が抽出されたメールに常に添付されます。

メール受信者がアクセスを許可されている場合、オリジナルファイルへのリンクが追加されます。リンク先ではUserCheck Security Gatewayやクラスタ、エンドポイントクライアントの機能で、データ損失やセキュリティ侵害の危険性がある場合に、ユーザに警告を与える機能。これにより、ユーザはセキュリティ事故の防止や、組織のセキュリティポリシーを知ることができます。のポータルが開きます。ポータルには、受信者がダウンロードできる添付ファイルのリストが表示されます。
Mail signatures for unmodified attachments

Insert Field ボタンをクリックすると、署名のテキストに参照 ID を挿入することができます。このIDを使用して、受信者にファイルを送信します。また、過去ログでIDを確認することもできます。

Security Gateway上で、コマンドを実行します。

scrub send_orig_email

OKをクリックします。。