更新可能なオブジェクト

更新可能オブジェクトの紹介

Updatable Objectは、Office 365、AWS、GEOロケーションなどの外部サービスを表すネットワークオブジェクトです。外部サービスプロバイダは、そのサービスへのアクセスを許可するために、IPアドレスまたはドメイン、あるいはその両方のリストを公開しています。これらのリストは動的に更新されます。

更新可能オブジェクトは、Check PointがCheck Pointクラウドにアップロードするプロバイダの公開リストからその内容を取得します。更新可能なオブジェクトは、プロバイダがリストを変更するたびに、Security Gateway上で自動的に更新されます。アップデートを有効にするために、ポリシーをインストールする必要はありません。

更新可能オブジェクトは、3 種類のポリシーすべてで使用できます:アクセス制御、脅威対策、HTTPS 検査です。

アクセスコントロール、Threat Prevention、またはHTTPSインスペクションポリシーの更新可能なオブジェクトをソースまたは宛先として使用することができます。Threat Preventionポリシーでは、更新可能なオブジェクトを保護スコープとして使用することもできます。

注:

  • アクセスコントロールについては、Security Gateway R80.20以降でサポートされます。

  • 脅威対策とHTTPSインスペクションについては、Security Gateway R80.40以降でサポートされる機能です。

  • 更新可能オブジェクトをネットワークグループに追加することはできません。

アクセス制御ポリシーへの更新可能オブジェクトの追加

  1. Security Management Server/ドメイン管理サーバとセキュリティ・ゲートウェイが、インターネット上のCheck Pointクラウドにアクセスできることを確認します(sk83520 を参照)。

  2. SmartConsoleでSecurity Management Server/ドメイン管理サーバに接続します。

  3. 左側のナビゲーションパネルでSecurity Policiesをクリックします。

  4. 上部パネルで、Access Control >Policy をクリックする。

  5. 必要な位置に新しいルールを追加する。

  6. Destination カラムで、+ アイコンをクリックする。

    - 更新されたオブジェクトは、Source カラムに追加することもできます。

  7. 右上の隅で、Import >Updatable Objects をクリックします。

    Updatable Objectsウィンドウが開きます。

  8. 追加する更新可能オブジェクトを選択する。

  9. クリックOK

    選択された更新可能オブジェクトがルールカラムに追加される。

  10. このルールで他のカラムを設定する。

  11. SmartConsoleセッションを公開する。

  12. アクセスコントロールポリシーをインストールします。

カスタム脅威対策ポリシーへの更新可能オブジェクトの追加

  1. セキュリティ管理サーバ/ドメイン管理サーバとゲートウェイが、インターネット上のCheck Pointクラウドにアクセスできることを確認します(sk83520 を参照)。

  2. SmartConsoleでSecurity Management Server/ドメイン管理サーバに接続します。

  3. 左側のナビゲーションパネルでSecurity Policiesをクリックします。

  4. 上部パネルで、Threat Prevention >Custom Policy をクリックする。

  5. 必要な位置に新しいルールを追加する。

  6. Protected Scope カラムで、+ アイコンをクリックする。

  7. 右上の隅で、Import >Updatable Objects をクリックします。

    Updatable Objectsウィンドウが開きます。

    - Sourceカラムにオブジェクトを追加することもできます。

  8. 追加する更新可能オブジェクトを選択する。

  9. クリックOK

    選択された更新可能オブジェクトがルールカラムに追加される。

  10. このルールで他のカラムを設定する。

  11. SmartConsoleセッションを公開する。

  12. 脅威対策ポリシーをインストールします。

HTTPS 検査ポリシーへの更新可能オブジェクトの追加

  1. セキュリティ管理サーバ/ドメイン管理サーバとゲートウェイが、インターネット上のCheck Pointクラウドにアクセスできることを確認します(sk83520 を参照)。

  2. SmartConsoleでSecurity Management Server/ドメイン管理サーバに接続します。

  3. 左側のナビゲーションパネルでSecurity Policiesをクリックします。

  4. 上部パネルで、該当するポリシーをクリックします:

    • HTTPS Inspection>Inbound Policy

    • HTTPS Inspection>Outbound Policy

  5. 必要な位置に新しいルールを追加する。

  6. Destination カラムで、+ アイコンをクリックする。

    - 更新されたオブジェクトは、Source カラムに追加することもできます。

  7. 右上の隅で、Import >Updatable Objects をクリックします。

    Updatable Objectsウィンドウが開きます。

  8. 追加する更新可能オブジェクトを選択する。

  9. クリックOK

    選択された更新可能オブジェクトがルールカラムに追加される。

  10. このルールで他のカラムを設定する。

  11. SmartConsoleセッションを公開する。

  12. HTTPS 検査ポリシーをインストールします。

更新可能オブジェクトのモニタリング

更新可能オブジェクトが対応するIPアドレスをどのように更新するかは、SmartConsoleまたはSmartViewのLogs & Events >Logs タブでモニタできます。

自分に最も適した手順に従ってください。

  1. 左側のナビゲーションパネルでSecurity Policiesをクリックします。

  2. 上部パネルで、該当するポリシーをクリックします:

    • Access Control>Policy

    • Threat Prevention>Custom Policy

  3. 該当するUpdatedオブジェクトを含むルールを探す。

  4. 更新されたオブジェクトにマウスカーソルを合わせる。

  5. 表示されたメニューで、Show Logs アイコン(クリップボードのアイコン)をクリックする。

    Logs ウィンドウが開き、一番上の検索フィールドに二重引用符で囲まれた更新可能コンテナの名前が表示されます。

  6. 左側で、該当する期間を選択します。

  7. 該当するログエントリをダブルクリックする。

    Log Detailsウィンドウが開きます。

  8. アップデートが成功すると、Status フィールドが表示される:

    Succeeded

  1. 左のナビゲーションパネルから、Logs & Events >Logs をクリックします。

  2. 上部の検索バーに、更新可能オブジェクトの名前を二重引用符で囲んで入力します。

    例:

    "Office365 Services"

  3. 左側で、該当する期間を選択します。

  4. 該当するログエントリをダブルクリックする。

    Log Detailsウィンドウが開きます。

  5. アップデートが成功すると、Status フィールドが表示される:

    Succeeded

管理サーバによる更新可能オブジェクトの更新

重要- この機能はR81.20 Jumbo Hotfix Accumulatorテイク96以上(PMTR-102617)。

セキュリティゲートウェイがインターネットに接続されていない場合、管理サーバ(プロキシサーバとして機能する)を介して更新可能オブジェクトの更新を取得できます:

  1. セキュリティゲートウェイ/各クラスタメンバ/Scalable Platformセキュリティグループのコマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. 現在の設定ファイルをバックアップする:

    cp -v $CPDIR/conf/downloads/dl_prof_ONLINE_SERVICES.xml{,_BKP}

  4. 現在の設定ファイルを編集する:

    vi $CPDIR/conf/downloads/dl_prof_ONLINE_SERVICES.xml

  5. ProxyRoute" パラメーターの値を0 から1 に変更する:

    <ProxyRoute>1</ProxyRoute>

    例(ファイルの下部を参照):

    コピー 
    <?xml version="1.0" encoding="UTF-8"?>
    <DownloadPreferences>
        <ModuleName>Online_Services</ModuleName>
        <ID>111</ID>
        <Version>1.0</Version>
        <Files>online_services_gw.tgz</Files>
        <DeletionMethod>2</DeletionMethod>
        <Interval>120</Interval>
        <SVT_Log_ID>Firewall</SVT_Log_ID>
        <SVT_Log_Desc>IPs and Domains for Online Services objects</SVT_Log_Desc>
        <SVT_Log_Severity>2</SVT_Log_Severity>
        <SVT_Log_Failure_Impact>Online Services objects update has failed</SVT_Log_Failure_Impact>
        <CK_Identifier>fw1:6.0:xlate</CK_Identifier>
        <CK_Identifier>fw1:6.0:auth</CK_Identifier>
        <CK_Identifier>fw1:6.0:content</CK_Identifier>
        <URL>https://updates.checkpoint.com/WebService/services/DownloadMetaDataService?wsdl</URL>
        <Updatable>Yes</Updatable>
        <ProxyRoute>1</ProxyRoute>
    </DownloadPreferences>

  6. 変更内容をファイルに保存し、エディタを終了します。

  7. Scalable Platformセキュリティグループ上で、変更したファイルをすべてのセキュリティグループメンバにコピーします:

    asg_cp2blades $CPDIR/conf/downloads/dl_prof_ONLINE_SERVICES.xml