スレットプリベンションとUserCheck

UserCheck閉じた Security Gatewayやクラスタ、エンドポイントクライアントの機能で、データ損失やセキュリティ侵害の危険性がある場合に、ユーザに警告を与える機能。これにより、ユーザはセキュリティ事故の防止や、組織のセキュリティポリシーを知ることができます。は、指定された脅威インシデントを処理します。UserCheck通知は、データ取得をユーザに通知する。アクションがAsk の場合、ユーザはトラフィックを許可する理由を提供する必要があります。ユーザの意思決定はログに記録されます。ログに記録されたユーザの反応に基づいて、効果的な防止策を策定することができます。

Threat Preventionプロファイルごとに、悪意のあるファイルやアクティビティが特定されたときに実行されるアクションを定義することができます。

アクション

説明

聞く

Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。は、ユーザがSecurity Gatewayから送信することを確認するまで、ファイルまたはトラフィックをブロック閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。します。ファイルやトラフィックを許可するかどうかは、ユーザが決定します。決定自体は、Ask UserログのUser Responseフィールドに記録されます。

防止

Software Bladeは、ファイルまたはトラフィックをブロックします。ユーザに対してUserCheck Preventメッセージを表示することができます。

ディテクト

Software Bladeは、ファイルまたはトラフィックを許可します。イベントはログに記録され、Logs & Monitor のビューで確認と分析が可能です。

UserCheckオブジェクトと設定の使用方法の詳細については、R81.10 Data Loss Prevention Administration Guide のUserCheckの章を参照してください。

Threat PreventionUserCheckペインを使用する

UserCheck ページでは、UserCheck インタラクションオブジェクトとそのメッセージの編集、プレビューをUserCheck ページで行うことができます。

オプション

意味

新規

新しいUserCheckオブジェクトを作成します。

Edit

既存のUserCheckオブジェクトを変更します。

削除

UserCheckオブジェクトを削除します。

クローン

選択されたUserCheckオブジェクトをクローンします。

名前

アクションタイプ

説明

Software Blade Blocked

ブロック

リクエストがブロックされたときに表示されます。

Company Policy Software Blade

聞く

ルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。のアクションがAsk のときに表示されます。そのサイトの企業ポリシーが何であるかをユーザに知らせ、ユーザがサイトに進むにはOK をクリックする必要があります。

Software Blade Success Page

承認

ルールのアクションがApprove のときに表示されます。サクセスページからは、オリジナルファイルへのリンクのダウンロードや、オリジナルメールの受信が可能です。

Cancel Page Anti-Malware

キャンセル

AskApprove のページには、Cancel のボタンがあり、これをクリックするとリクエストをキャンセルすることができます。

これらのビューで、各メッセージページをプレビューすることができます。

  • Regular view - PCやノートパソコンのWebブラウザでの表示方法について

  • Mobile Device - モバイル端末のWebブラウザでのメッセージの表示方法について

  • Email - メールでのメッセージの表示方法

  • Agent - UserCheckエージェントでのメッセージの表示方法について

UserCheckのためのSecurity Gatewayの設定

Security GatewayでUserCheckを直接有効または無効にします。ネットワーク上の各Security GatewayでUserCheckが有効になっていることを確認する。UserCheck を有効にするには、UserCheck 機能を持つブレードを有効にします。

Security Gatewayには、Security Gatewayまたはクラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。が再起動しても、UserCheck通知データを保持する内部永続化メカニズムがあります。ユーザが応答した記録や通知を受け取った記録は、決して失われることはありません。

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Gateways & Servers をクリックし、Security Gatewayをダブルクリックします。

Gateway Propertiesウィンドウが開きます。

2

ナビゲーションツリーから、UserCheck をクリックします。

UserCheck ページが表示されます。

3

Enable UserCheck for active blades が選択されていることを確認します。

4

UserCheck Web Portalセクションで:

Main URL フィールドに、UserCheck 通知を表示する Web ポータルのプライマリ URL を入力します。

ユーザがリモートでSecurity Gatewayに接続する場合、Security Gatewayの内部インタフェース(Network Management ページ内)がMain URLと同じであることを確認してください。

以下の場合、Main URL フィールドを手動で更新する必要があります。

  • メインURLのフィールドには、DNS名ではなくIPアドレスが含まれています。

  • Security GatewayのIPv4アドレスをIPv6アドレスに変更する、またはその逆を行う。

5

オプションです。

Aliases をクリックすると、異なるホスト名をリダイレクトする URL エイリアスを追加できます。Main URL.

エイリアスは、企業のDNSサーバ上のポータルIPアドレスに解決される必要があります。

6

Certificate セクションで、Import をクリックして、ポータルが Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 への認証に使用する証明書をインポートします。

デフォルトでは、ポータルはCheck Point Internal Certificate Authority(ICA閉じた 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。)の証明書を使用します。このため、ユーザのブラウザがチェック・ポイントを信頼できる証明書発行機関として認識していない場合、警告が表示されることがあります。これらの警告を防ぐには、公認の外部機関より独自の証明書をインポートしてください。

:証明書をダウンロードした後、Replace をクリックして別の証明書に置き換え、View をクリックして証明書情報を確認することができます。

7

Accessibility セクションで、Edit をクリックして、ポータルにアクセスできる Security Gateway のインタフェースを設定します。これらのオプションは、Security Gatewayに設定されたトポロジに基づいています。トポロジーを設定する必要があります。

Main URL が外部インタフェースに設定されている場合、Accessibility オプションをこれらのいずれかに設定する必要があります。

8

Mail Server セクションで、UserCheck 用のメール サーバを設定します。このサーバは、ゲートウェイが他の手段で通知できないユーザに対して、サーバがそのユーザのメールアドレスを知っている場合に、通知を送信する。たとえば、あるルールに一致する電子メールをユーザが送信した場合、トラフィックが HTTP ではないため、ゲートウェイはユーザを UserCheck ポータルにリダイレクトすることができません。

  • Use the default settings - リンクをクリックすると、どのメールサーバが設定されているか確認できます。

  • Use specific settings for this gateway - このオプションを選択すると、デフォルトのメールサーバの設定が上書きされます。

  • Send emails using this mail server - リストからメールサーバを選択するか、New をクリックし、新しいメールサーバを定義します。

9

OKをクリックします。。

10

内部インタフェースを経由する暗号化されたトラフィックがある場合、アクセス制御ポリシーのファイアウォール層に新しいルールを追加します。

発信元

宛先

VPN

サービス&アプリケーション

アクション

Any

UserCheckクライアントが有効なセキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。

Any

UserCheck

許可

11

アクセスコントロールポリシーをインストールします。

Threat Prevention UserCheckオブジェクトの作成

UserCheck ページまたは Threat Prevention Software Blade プロファイルSettings から、UserCheck Interaction オブジェクトを作成します。

UserCheckメッセージは、ボールドや箇条書きなどの書式設定ボタンで記述することもできますし、HTMLコードを直接入力することもできます。

ステップ

手順

1

SmartConsoleでSecurity Policies > Threat Preventionを選択します。

2

カスタムポリシーツールセクションから、UserCheck をクリックします。

UserCheck ページが表示されます。

文字入力モードを変更する場合。

UserCheckオブジェクトウィンドウのメニューバーから、該当するオプションをクリックします。

  • Source - HTMLコードを入力する

  • Design - 書式設定ボタンとオプションでテキストを入力

ステップ

手順

1

UserCheck ページから、New をクリックし、オブジェクトの種類を選択します。

新しいUserCheckオブジェクト用のウィンドウが開きます。

2

Nameを入力します。

3

オプション:Language をクリックし、メッセージに使用する言語を1つ以上選択します。

メッセージの言語は、デフォルトで英語です。

4

メッセージのテキストを入力します。

  • タイトル、サブタイトル、本文。

    メッセージの本文で、これらのオプションをクリックすると、機能が追加されます。

  • Insert Field - などのダイナミックなテキスト。元のURL、送信元IPアドレス、など。

  • Insert User Input - などです。チェックボックスの確認、カテゴリー違いの報告、など。

5

Add logo をクリックすると、メッセージにグラフィックが追加されます。

画像の大きさは176×52ピクセルであること。

6

また、ナビゲーションツリーから「設定」をクリックして、これらのオプションの1つまたは複数を設定することができます。

7

OKをクリックします。。

8

Threat Preventionポリシーをインストールします。

フォールバックアクションを使用する

Ask UserCheckオブジェクトに対して、ユーザがメッセージを表示できない場合のデフォルトアクションを設定します。以下のいずれかのオプションを選択します。

ステップ

手順

1

ナビゲーションツリーでSettingsをクリックします。

2

Fallback Action の項目で、ユーザが UserCheck メッセージを見ることができない場合、Drop またはAccept のトラフィックに選択します。

外部ポータルへのリダイレクト

UserCheckを設定して、ユーザを外部のUserCheckポータルにリダイレクトすると、ユーザにはこのUserCheckメッセージが表示されません。

ステップ

手順

1

ナビゲーションツリーでSettingsをクリックします。

2

Redirect to External Portalをクリックします。

3

External Portal URL に、外部ポータルの URL を入力します。

指定されたURLは、ユーザ名やパスワードなどの認証情報をユーザから取得する外部システムとすることができます。この情報をセキュリティゲートウェイに送信する。

4

オプションです。

Add UserCheck Incident ID to the URL query を選択すると、URL クエリの末尾にインシデント ID が追加されます。

ユーザとのインタラクションを設定する

Ask UserCheckオブジェクトに対して、必要なユーザインタラクションを設定することができます。ユーザが必要な操作を行った後に、トラフィックが許可されます。

UserCheckメッセージには、ユーザの操作を必要とするこれらの項目を含めることができます(メッセージのサンプルを示しています)。

  • Confirm checkbox - 警告を無視しています。

  • Textual input - Threat Prevention警告を無視する理由を入力します。

ステップ

手順

1

ナビゲーションツリーでSettingsをクリックします。

2

Conditions の項目で、1つまたは複数のオプションを選択します。

  • User accepted and selected the confirm checkbox

  • User entered the required textual input in the user input field

重要- ユーザが必要なアクションを行うまで、トラフィックまたは接続がブロックされます。

UserCheckオブジェクトの編集

ステップ

手順

1

Security Policies ビュー> Threat Prevention > Custom Policy Tools > UserCheck に移動します。

2

UserCheck ページを右クリックし、Clone を選択します。

New Object Editorが開きます。

3

新しいオブジェクトの名前を入力します。

4

必要な変更を行う。

5

OKをクリックします。。

ApprovedとCancel UserCheckメッセージの選択

承認ページとキャンセルページです。

  • Approved Page - Threat Extraction閉じた ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語:TEX。にのみ適用されます。Threat Extractionからクリーンなファイルが送られてきた場合、オリジナルファイルをダウンロードするかどうかを選択することができます。オリジナルファイルのダウンロードを選択した場合、UserCheckの成功メッセージが表示されます。オリジナルファイルをダウンロードしないように選択した場合、UserCheckのキャンセルメッセージが表示されます。

  • The Cancel Page - すべてのThreat PreventionソフトウェアBladeに適用されます。ページやファイルへのアクセスを拒否した後に表示されます。

承認ページとキャンセルページを選択する。

ステップ

手順

1

Manage & Settings > Blades > Threat Prevention > UserCheck にアクセスしてください。

2

ドロップダウンメニューから、Approved PageCancel Page 、またはその両方を選択します。

3

OKをクリックします。。

4

インストールポリシーです。