トラブルシューティング

Threat Extraction Bladeのトラブルシューティング

ここでは、よくあるトラブルとその解決策について説明します。

Global Properties > User Directory で、Use User Directory for Security Gateways を選択したことを確認します。

ステップ

手順

1

初期設定ウィザードで、Security GatewayがMTA接続テストに合格していることを確認してください。

  1. Threat Extraction閉じた ファイルから悪意のあるコンテンツを削除するセキュリティゲートウェイ上のCheck Point Software Blade。頭字語:TEX。 ブレードを無効化してから有効化します。

  2. 初期設定ウィザードを再度実行します。

  3. ウィザードが接続テストに合格していることを確認します。

2

ターゲットMTAへの接続をテストします。

  1. Security Groupでコマンドラインに接続します。

  2. エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

  3. 指定されたMail Transfer Agentのポート25にTelnetで接続します。

ステップ

手順

1

開くSmartConsole > Gateway Properties > Mail Transfer Agent.

2

Enable as Mail Transfer Agent を選択したことを確認してください。

3

組織のメールリレーにアクセスします。Threat Extractionゲートウェイをリレーのネクストホップとして設定します。

ステップ

手順

1

gatewayのコマンドラインインタフェースで、実行します。

scrub queues

キューにリクエストが殺到している場合、Threat Extractionの負荷がSecurity Gatewayにとって高すぎる。

  1. scrubデーモンをバイパスする。

    次を実行します:

    scrub bypass on

  2. 影響を受けたユーザがメールを受信できるようになったかどうかを確認する。もしそうなら、Threat Extractionを再度起動する。

    scrubデーモンを再活性化するには、以下を実行します。

    scrub bypass off

2

キューが満杯になっていないことを確認する。

  1. 次を実行します:

    /opt/postfix/usr/sbin/postqueue -c /opt/postfix/etc/postfix/ -p

  2. キューが満杯の場合、キューを空にする。

    次を実行します:

    /opt/postfix/usr/sbin/postsuper -c /opt/postfix/etc/postfix/ -d ALL

    重要- キューを空にすると、電子メールは失われます。

  3. 重要なメールの紛失を防ぐため、キューをフラッシュしてください。フラッシングは、キューに入れられたメールを強制的に再送信します。

    次を実行します:

    /opt/postfix/usr/sbin/postfix -c /opt/postfix/etc/postfix/ flush

3

キューが満杯のままである場合、MTAが内部リクエストでSecurity Gatewayに過負荷をかけていないことを確認してください。

MTAは、組織外からのメールのみをスキャンしているはずです。

添付ファイルがクリーンアップされたときに受け取る電子メールから、ユーザがUserCheck閉じた Security Gatewayやクラスタ、エンドポイントクライアントの機能で、データ損失やセキュリティ侵害の危険性がある場合に、ユーザに警告を与える機能。これにより、ユーザはセキュリティ事故の防止や、組織のセキュリティポリシーを知ることができます。ポータルにアクセスできることを確認します。

ステップ

手順

1

ユーザに送信されたリンクをクリックします。

2

UserCheckポータルが正しく開くことを確認します。

3

ユーザがUserCheckポータルにアクセスできず、代わりにGaiaポータルが表示される場合は、UserCheckポータルへのアクセス権が正しく設定されていることを確認します。

  1. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Gateway Properties > UserCheckを開きます。

  2. Accessibility の下で、Edit をクリックします。

  3. Security Gatewayのトポロジーに応じて、正しいオプションが選択されていることを確認してください。

4

開くCPView.

"access to original attachments" 統計値がゼロでなくなったことを確認します。

CPViewのscanned attachment 統計情報のインクリメントに失敗する。

Security Gateway の場合

ステップ

手順

1

Security Gatewayのディスクやディレクトリがいっぱいになっていないことを確認してください。

  1. 次を実行します:

    df -h /

  2. 次を実行します:

    df -h /var/log

2

Threat Extractionが使用するディレクトリが書き込み可能であることを確認します。

次を実行します:

  1. touch /tmp/scrub/test

  2. touch /var/log/jail/tmp/scrub/test

  3. touch $FWDIR/tmp/email_tmp/test

CPViewの「Software-blades > Threat-extraction > File statistics 」ページで、「internal errors 」の数字が全体のメール数に対して多くなっています。

添付ファイルの検査中にThreatSpectエンジン閉じた ネットワークトラフィックを解析し、複数の層(レピュテーション、シグネチャ、不審なメールの発生、行動パターン)のデータを相関させてボットやウイルスを検出する独自の多層型エンジンです。に過負荷がかかったり、失敗したりすると、ログが生成されます。デフォルトでは、ログエラーの原因となった添付ファイルは、電子メール受信者にそのまま送信されます。これらの添付ファイルが送信されないようにするには、エンジンのフェイルオーバーモードをBlock all connections に設定してください。

ステップ

手順

1

Manage & Settings > Blades > Threat Prevention > Advanced Settings にアクセスしてください。

2

Fail Modeセクションで、Block all connections (fail-close)を選択します。

破損した添付ファイルをクリーンアップすることはできず、デフォルトでログ& モニタビューにログエントリが生成されます。破損した添付ファイルは、そのままメール受信者に送信されます。

ステップ

手順

1

SmartConsoleで、Threat Prevention > Profiles > Profile > Threat Extraction Settings>を開きます。

2

Threat Extraction Exceptions 」領域で、添付ファイルに「Block 」を選択します。

ステップ

手順

1

Security Policies > Threat Prevention > policy で、Action カラムを右クリックし、Edit を選択します。

2

脅威の抽出> File Types で、Process specific file types を選択し、Configure をクリックします。

File Types Configurationウィンドウが開きます。

3

PDFファイルの種類は、抽出方法を「Clean 」に設定します。

ステップ

手順

1

VSX閉じた 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。 Gatewayのコマンドラインに接続します。

2

Gaia Clish閉じた CheckPoint Gaiaオペレーティングシステムのデフォルトのコマンドラインシェルの名前。これは制限付きシェルです(役割ベースの管理は、シェルで使用可能なコマンドの数を制御します)。にログインします。

3

該当する仮想システムのコンテキストに移動します。

vsenv <VSID>

4

ファイル作成scrub_connectivity_results.txt:

touch $FWDIR/conf/scrub_connectivity_results.txt

5

メールサーバとの接続をテストする。

/etc/fw/scripts/scrub_cvsenvheck_connectivity.sh <IP Address of Mail Server> $FWDIR/conf/scrub_connectivity_results.txt

6

このファイルを解析する。

$FWDIR/conf/scrub_connectivity_results.txt

Threat Emulationのトラブルシューティング

ClusterXLでMTAを使用する。

ClusterXL展開でMTAを有効にする場合、スタンバイ・クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。・メンバが1つまたは複数のネクスト・ホップに接続できることも確認してください。そうでない場合、待機メンバへのフェイルオーバー時に、MTA内のメールが宛先に届かない可能性があります。

PostfixをMTAとして設定する

Check Point MTA は Postfix を使用しており、ユーザが定義したカスタムPostfix オプションを追加することができます。

ステップ

手順

1

Security Groupでコマンドラインに接続します。

1

ファイル作成mta_postfix_options.cf:

touch $FWDIR/conf/mta_postfix_options.cf

2

ファイルを編集して、定義を追加します。

3

変更内容をファイルに保存し、エディタを終了します。

4

SmartConsoleで、Threat Preventionポリシーをインストールします。

メールエミュレーションの問題点

ベストプラクティス- PreventアクションでSMTPトラフィックをブロック閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。している場合、Security GatewayでMTAを有効にすることをお勧めします(「Security GatewayでMTAを有効にする」を参照してください)。MTAを有効にしない場合、メールがドロップされてメールサーバに届かない可能性があります。

セキュリティゲートウェイのIPSのトラブルシューティング

IPS閉じた さまざまなタイプのリスクについてパケットとデータを検査および分析するセキュリティゲートウェイ上のCheck Point Software Blade(侵入防止システム)。には、「Prevent」に設定されたSecurity Gateway上のプロテクションがトラフィックをブロックするのを一時的に停止する機能があります。これは、ネットワークトラフィックの問題をトラブルシューティングするときに便利です。

ステップ

手順

1

SmartConsoleで、Gateways & Servers をクリックし、Security Gatewayをダブルクリックします。

2

左側のツリーから、IPS をクリックします。

3

Activation Modeセクションで、Detect Onlyをクリックします。

4

OKをクリックします。。

5

アクセスコントロールポリシーをインストールします。

Preventに設定されたすべての保護機能は、トラフィックの通過を許可しますが、Trackの設定に従って脅威の追跡を継続します。