脅威回避のためのプロファイル
プロフィールの紹介
Check Point Threat Prevention は、あらかじめ定義された Threat PreventionProfiles に基づいて、瞬時に防御を行います。また、組織が必要とする正確な保護レベルを与えるために、カスタムThreat Preventionプロファイルを設定することができます。
セキュリティゲートウェイ
Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。にThreat Preventionポリシーをインストールすると、すぐにネットワークトラフィックに対するIPS さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。保護の適用が開始されます。
Threat Preventionプロファイルは、指定されたルール 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。またはポリシーに対して、どの保護機能を有効にし、どのSoftware Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。を有効にするかを決定します。
プロファイルが有効化する保護機能は、以下によって異なります。
-
プロテクトによるパフォーマンスへの影響
-
脅威の重大性
-
保護機能が攻撃を正しく認識できるという信頼性
-
ソフトウェア・ブレード固有の設定事項
Threat Preventionプロファイルは、1つまたは複数のThreat PreventionSoftware Bladeに適用されます。IPS、アンチボット セキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール(C&C)センターへの通信をブロックします。頭字語:AB、ABOT。、アンチウィルス、Threat Emulation セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。頭字語:TE、Threat Extraction ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語:TEX。。
profile は、以下に基づくコンフィギュレーションのセットです。
-
Activation settings (ThreatSpectエンジン
ネットワークトラフィックを解析し、複数の層(レピュテーション、シグネチャ、不審なメールの発生、行動パターン)のデータを相関させてボットやウイルスを検出する独自の多層型エンジンです。が分析する各保護のconfidence level 、(防止、検出 UserCheckトラフィックやファイルの内部ネットワークへの侵入を許可し、ログを記録するルールアクション。、または非アクティブ)。 -
IPSの設定
-
アンチボット
アンチウイルス機能を無効化し、サイバー犯罪者からの指示を受けるためにコマンド&コントロールセンターに接続し、指示を実行する悪質なソフトウェア。の設定 -
アンチウィルス設定
-
スレットエミュレーションの設定
-
脅威の抽出設定
-
インジケータ
運用中のサイバー領域で観察可能な悪意ある活動のパターン。それをどのように解釈し、どのように対処するかについての関連情報を含みます。構成 -
マルウェアDNSトラップ設定
プロファイルがなければ、起動設定や信頼度の違いに応じて個別のルールを設定する必要があります。プロファイルを利用することで、カスタマイズ性と効率性を手に入れることができます。
SmartConsoleには、以下のThreat Preventionプロファイルがデフォルトで含まれています。
|
プロフィール |
説明 |
|---|---|
|
Optimized |
一般的なネットワーク製品およびプロトコルに対して、最近または一般的な攻撃に対する優れた保護機能を提供します。 |
|
Strict |
ネットワーク性能に影響を与えるすべての製品、プロトコルを広くカバーします。 |
|
Basic |
ネットワークパフォーマンスへの影響を最小限に抑えながら、サーバの非HTTPプロトコルに対する信頼性の高い保護を提供します。 |
最適化された保護プロファイルの設定
Optimized プロファイルはデフォルトで有効になっています。これは、優れたセキュリティと優れたゲートウェイ性能を提供するためです。
以下は、Optimizedプロファイルの目標と、その目標を達成するための設定です。
|
目標 |
パラメータ |
設定 |
|---|---|---|
|
すべてのThreat PreventionSoftware Bladeに設定を適用する |
Blades Activation |
IPS、Anti-Bot、Anti-Virus、Threat Emulation、Threat Extractionのプロファイルを有効化します。 |
|
性能に決定的な影響を与えないこと |
Performance impact |
Medium or lower パフォーマンスに影響を与えるプロテクションを有効にする。 |
|
重要な脅威から身を守る |
Severity |
深刻度Medium or above の脅威から保護します。 |
|
偽陽性(false-positive)の低減 |
Confidence |
攻撃confidence 、Medium またはHigh のプロテクションをPrevent に設定します。 Detect に設定し、プロテクトの信頼度をLow. |
プロファイルペイン
ペインには、作成されたプロファイル、その信頼度、およびパフォーマンスへの影響設定が一覧表示されます。
プロファイルペインには、以下のオプションがあります。
|
オプション |
意味 |
|---|---|
|
新規 |
新しいプロファイルを作成します。 |
|
表示 |
既存のプロファイルを表示します。 |
|
Edit |
既存のプロファイルを変更する。 |
|
クローン |
既存のプロファイルのコピーを作成します。 |
|
削除 |
プロファイルを削除します。 |
|
使用場所 |
プロファイルのリファレンス情報を表示します。 |
|
検索 |
プロファイルを検索します。 |
|
最終更新日 |
選択したプロファイルを最後に変更した人、日時、クライアントが表示されます。 |
パフォーマンスへの影響
パフォーマンスへの影響とは、保護がゲートウェイのパフォーマンスにどの程度影響を与えるかを示すものです。有効化された保護機能によっては、接続性や性能に問題が生じる場合があります。ゲートウェイのパフォーマンスへの影響が大きい場合、保護機能を防止または検出しないように設定することができます。
以下の3つのオプションがあります。
-
高以下
-
中以下
-
低以下
- 非常に低い
深刻度
脅威の重大性攻撃が成功したときの、自分の環境への確率的なダメージ。
重症度には3種類あります。
-
低以上
-
中位以上
-
高以上
- クリティカル
アクティベーション設定
|
設定 |
説明 |
|---|---|
|
Ask |
Software Bladeは、ユーザがSecurity Gatewayから送信することを確認するまで、ファイルまたはトラフィックをブロック ファイルやトラフィックを許可するかどうかは、ユーザが決定します。決定自体は、Ask UserログのUser Responseフィールドに記録されます。 |
|
Prevent |
Software Bladeは、ファイルまたはトラフィックがSecurity Gatewayを通過するのをブロックします。 また、ルールベース |
|
Detect |
Software Blade は、識別されたファイルまたはトラフィックを Security Gateway に通過させる。 また、ルールベースで設定された内容に従って、トラフィックをログに記録したり、トラフィックを追跡したりすることもできます。 |
|
Inactive |
Software Bladeはプロテクトを解除します。 |
信頼性レベル
信頼度は、認識された攻撃が実際にウイルスまたはボットトラフィックであると Software Blade がどの程度確信しているかを示しています。攻撃の種類によっては、より巧妙なものもあり、正当なトラフィックが誤って脅威と認識されることもあります。信頼度の値は、保護機能が指定された攻撃をどの程度正しく認識できるかを示しています。
プロフィールの作成
あらかじめ設定されている複数のプロファイルから選択することは可能ですが、変更することはできません。新規にプロフィールを作成したり、プロフィールのクローンを作成したりすることができます。新しいプロファイルを作成すると、デフォルトですべてのThreat PreventionSoftware Bladeが含まれます。
Security GatewayでHTTPSインスペクション Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語:HTTPSI、httpSi。を有効にすると、Threat Emulation、Anti-Bot、Anti-Virusが該当するHTTPSトラフィックを解析することができます。
新しいThreat Preventionプロファイルを作成するには
|
ステップ |
手順 |
|---|---|
|
1 |
SmartConsole |
|
2 |
Custom Policy Toolsセクションで、Profilesをクリックします。 Profiles ページが表示されます。 |
|
3 |
プロファイルを右クリックし、New を選択します。 |
|
4 |
操作を設定します。 |
|
5 |
OKをクリックします。。 |
|
6 |
Threat Preventionポリシーをインストールします。 |
クローニングプロファイル
選択したプロファイルのクローンを作成し、変更を加えることができます。既成のプロファイルは変更できません。 Basic,Optimized, およびStrict 。
Threat Preventionプロファイルをクローンするには
|
ステップ |
手順 |
|---|---|
|
1 |
SmartConsoleでSecurity Policies > Threat Preventionを選択します。 |
|
2 |
Custom Policy Toolsセクションで、Profilesをクリックします。 Profiles ページが表示されます。 |
|
3 |
プロファイルを右クリックし、Clone を選択します。 |
|
4 |
Name フィールドには、コピーしたプロファイルの名前に加え、_copy が表示されます。 |
|
5 |
プロファイルの名前を変更します。 |
|
6 |
OKをクリックします。。 |
|
7 |
SmartConsoleセッションを公開する。 |
プロファイルの編集
Threat Preventionプロファイルの設定は、要件に応じて変更することができます。
プロファイルを編集するには
|
ステップ |
手順 |
|---|---|
|
1 |
SmartConsoleでSecurity Policies > Threat Preventionを選択します。 |
|
2 |
Custom Policy Toolsセクションで、Profilesをクリックします。 Profiles ページが表示されます。 |
|
3 |
プロファイルを右クリックし、Edit を選択します。 |
Threat Preventionのプロファイルを削除する
プロファイルを削除することはできますが、デフォルトのThreat Preventionプロファイルを削除することはできません。
プロファイルを削除するには
|
ステップ |
手順 |
|---|---|
|
1 |
SmartConsoleでSecurity Policies > Threat Preventionを選択します。 |
|
2 |
Custom Policy Toolsセクションで、Profilesをクリックします。 Profiles ページが表示されます。 |
|
3 |
プロファイルを右クリックし、Delete をクリックします。 ウィンドウが開き、確認メッセージが表示されます。 |
|
4 |
Yesをクリックします。 他のオブジェクトで使用されているプロファイルは、削除できません。エラーメッセージは、[タスク]ウィンドウに表示されます。 |
|
5 |
SmartConsoleで、ポリシーをインストールします。 |
プロファイルを使用するオブジェクトを表示するには
|
ステップ |
手順 |
|---|---|
|
1 |
Profiles ページから、プロファイルを選択します。 Summary ページが表示されます。 |
|
2 |
Summary タブのWhere Used セクションから、Where Used をクリックします。 Where Used ウィンドウが開き、プロファイルが表示されます。 |
|
3 |
ルールを右クリックし、View in policy を選択します。 |
Threat Preventionプロファイルの変更を表示する
監査ログ 管理サーバに対する管理者アクション (ログインとログアウト、オブジェクトの作成または変更、ポリシーのインストールなど) を含むログ。を表示し、Threat Preventionプロファイルに加えられた変更を確認することができます。
Threat Preventionプロファイルの監査ログを表示するには
|
ステップ |
手順 |
|---|---|
|
1 |
SmartConsoleで、Logs& Monitorをクリックします。 |
|
2 |
Audit タブをクリックするか、CTRL + T を押して、Open Audit Logs View をクリックします。 |
|
3 |
Enter search query に、プロファイルの名前を入力します。 |
|
4 |
検索を絞り込むために
|
|
5 |
プロファイルの変更に関する詳細な情報を見るには、監査ログをダブルクリックします。 |
ゲートウェイにプロファイルを割り当てる
R80以前のゲートウェイでIPS Software Bladeを有効にすると、セキュリティ・ポリシーのIPSポリシー・レイヤーにデフォルトのIPSルールが自動的に作成されます。このルールのアクションは、割り当てられたThreat PreventionプロファイルのIPS設定に従って設定されます。アクションのカラムからプロファイルを変更することができます。
Note - Threat PreventionプロファイルのIPS設定のみがIPSポリシーに適用されます。
ゲートウェイにプロファイルを割り当てるには
|
ステップ |
手順 |
|---|---|
|
1 |
SmartConsoleでSecurity Policies > Threat Prevention > Policy > IPSを選択します。 |
|
2 |
Action セルをクリックし、Threat Prevention プロファイルを選択します。 |
|
3 |
アクセスコントロールポリシーをインストールします。 |
