アクセス・コントロール・ポリシーのUserCheck

UserCheck機能を有効にすると、管理者がセキュリティポリシーで設定したルールに基づいて、セキュリティゲートウェイは、コンプライアンスに違反する可能性のある行動や危険なインターネット閲覧に関するメッセージをユーザに送信します。これは、ユーザがセキュリティ・インシデントを防ぎ、組織のセキュリティ・ポリシーを学ぶのに役立つ。ログに記録されたユーザの反応に基づいて、効果的なポリシーを策定することができます。UserCheckオブジェクトを作成し、ルールベース内で使用して、ユーザと通信します。

これらのソフトウェアブレードは、UserCheck機能をサポートしています:

  • データ損失防止

  • アクセスコントロール:

    • アプリケーション コントロール

    • URL フィルタリング

    • コンテンツ認識

  • 脅威対策:

    • アンチボット

    • アンチウイルス

    • Threat Emulation

    • 脅威抽出

    • ゼロフィッシング

セキュリティ・ゲートウェイでのUserCheckの構成

セキュリティゲートウェイでUserCheckを直接有効または無効にする。UserCheckが有効な場合、ユーザのインターネットブラウザの新しいウィンドウで、UserCheckメッセージが表示されます。ユーザがリモートでセキュリティゲートウェイに接続する場合、セキュリティゲートウェイの内部インタフェース(Topology ページ)を UserCheck Portal のMain URL と同じに設定します。

ステップ

手順

1

ゲートウェイエディタ > UserCheck を開き、Enable UserCheck for active blades を選択する。

2

UserCheck Web Portalセクションで:

Main URL フィールドには、UserCheck 通知を表示する Web ポータルのプライマリ URL が表示されます。

提案されたMain URL を使用するか、手動で別のMain URL を入力することができます。

3

オプションです。

異なるホスト名をAliases にリダイレクトするURLエイリアスを追加するには、Main URL をクリックします。例:Usercheck.mycompany.com

エイリアスは、企業DNSサーバー上のポータルIPアドレスに解決されなければならない。

4

Certificate 」セクションで、「Import 」をクリックして、ポータルがSecurity Management Serverへの認証に使用する証明書をインポートする。

デフォルトでは、ポータルはCheck Point内部認証局(ICA)の証明書を使用します。このため、ユーザのブラウザがCheck Pointを信頼できる認証局として認識していない場合、警告が表示されることがあります。これらの警告を防ぐには、公認の外部機関から独自の証明書をインポートすることが重要です。

- 証明書をダウンロードした後、Replace をクリックして別の証明書に置き換え、View をクリックして証明書情報を見ることができます。

5

Accessibility セクションで、Edit をクリックして、ポータルにアクセスできるセキュリティゲートウェイのインタフェースを設定します。これらのオプションは、セキュリティゲートウェイに設定されたトポロジに基づいている。トポロジーを設定する必要がある。

  • Through all interfaces

  • Through internal interfaces(デフォルト)

    • Including undefined internal interfaces

    • Including DMZ internal interfaces

    • Including VPN encrypted interfaces(デフォルト) - ルートベース VPN トンネル (VTI) の確立に使用されるインタフェース。

  • According to the Firewall Policy- 誰がポータルにアクセスできるかを規定するルールがある場合は、このオプションを選択します。

Main URL が外部インタフェースに設定されている場合、Accessibility オプションをこれらのいずれかに設定する必要がある:

  • Through all interfaces- VSX環境で必要

  • According to the Firewall Policy

6

UserCheck Client- UserCheckクライアントは、エンドポイントデバイスにインストールされ、セキュリティゲートウェイと通信し、UserCheckインタラクション通知をユーザーに表示します。

  • Activate UserCheck Client support- これにより、クライアントを通じてUserCheckが有効になる。

  • Download Client をクリックして、UserCheck Client のインストール ファイルをダウンロードします。

    - リンクは、UserCheckポータルが立ち上がるまで有効ではありません。

UserCheck Clientのインストールと設定の詳細については、 を参照してください。

7

Mail Server セクションで、UserCheck 用のメールサーバを設定します。このサーバは、サーバがユーザのEメールアドレスを知っている場合、セキュリティゲートウェイが他の手段で通知できないユーザに通知を送信する。たとえば、ユーザがルールに一致する電子メールを送信した場合、トラフィックが HTTP ではないため、セキュリティゲートウェイ はユーザを UserCheck Portal にリダイレクトできません。

  • Use the default settings- リンクをクリックして、どのメールサーバーが設定されているかを確認する。

  • Use specific settings for this gateway- デフォルトのメールサーバー設定を上書きするには、このオプションを選択します。

  • Send emails using this mail server- リストからメールサーバーを選択するか、New をクリックして新しいメールサーバーを定義します。

8

クリックOK

9

内部インタフェースを経由する暗号化トラフィックがある場合、アクセス制御ポリシーのファイアウォールレイヤーに新しいルールを追加します。

発信元

宛先

VPN

サービス&アプリケーション

アクション

Any

UserCheckクライアントが有効になっているセキュリティゲートウェイ

Any

UserCheck

許可

10

アクセスコントロールポリシーをインストールします。

UserCheck インタラクション・オブジェクトの作成

UserCheck インタラクションオブジェクトは、柔軟性を追加し、セキュリティゲートウェイにユーザと通信するメカニズムを与える。

UserCheck インタラクション・オブジェクト:

  • 組織のセキュリティーにとって危険な決断を下すユーザを支援する。

  • Webアプリケーションやサイトに関する組織のインターネットポリシーの変更を、リアルタイムでユーザと共有。

UserCheck が有効な場合、ユーザのインターネットブラウザは、UserCheck Interaction メッセージを新しいウィンドウに表示します。

UserCheck ページには、デフォルトの UserCheck Interaction メッセージが含まれます。UserCheck インタラクション・オブジェクトとそのメッセージを編集し、プレビューすることができます。

デフォルトの UserCheck インタラクション・オブジェクトを参照する:

SmartConsoleで、Security Policies > Access Control > Access Tools > UserCheckに進みます。

必要に応じて、UserCheck Interaction オブジェクトを追加作成できます。

ステップ

手順

1

UserCheck ページで、New をクリックし、オブジェクトタイプを選択する:

  • Ask

    ユーザに、リクエストを続行するかどうかを尋ねるメッセージを表示します。リクエストを続行するには、ユーザは理由を説明する必要があります。

  • Inform

    ユーザに情報メッセージを表示します。ユーザはアプリケーションを続行するか、リクエストをキャンセルすることができます。

  • Block

    ユーザにメッセージを表示し、アプリケーションのリクエストをブロックします。

新しいUserCheckオブジェクト用のウィンドウが開きます。

2

Enter Object Name

3

UserCheck オブジェクトウィンドウのメニューバーから、該当するオプションをクリックします:

  • Source- HTMLコードを入力

  • Design- 書式設定ボタンとオプションでテキストを入力

4

オプション: Language をクリックし、メッセージの言語を1つ以上選択します。

メッセージのデフォルト言語は英語です。

5

タイトル、サブタイトル、本文のテキストを入力します。
Source モードでは、メッセージの本文中にある以下のオプションをクリックすると、追加機能が利用できます。

  • Insert Field- 以下のような動的テキスト:元のURL、ソースIPアドレスなど。Askユーザ」、「Informユーザ」、または「Block」のアクションが発生すると、UserCheck PortalおよびUserCheck Clientは、これらの変数をメッセージ内の該当する値に置き換えます。

    注 - Username 変数を解決するには、Identity AwarenessSoftware Blade を有効にし、必要な設定を構成する必要があります。詳細はR81.20 Identity Awareness Administration Guide

  • Insert User Input- ユーザ入力用の特別なフィールドを挿入するには、以下のようにします:チェックボックスの確認、カテゴリ違いの報告など、ユーザ入力用の特別なフィールドを挿入するには、上部のツールバーからInsert User Input をクリックし、該当するオプションをクリックします。

6

メッセージにグラフィックを追加するには、Add logo をクリックします。

グラフィックのサイズは176×52ピクセルでなければならない。

7

また、ナビゲーションツリーからSettings をクリックして、これらのオプションの1つ以上を設定することもできます。

  • Languages - ユーザブラウザの言語が定義されていない場合は、言語を選択します。

  • Ask および Inform UserCheck インタラクション・オブジェクトでは、ユーザがメッセー ジを表示できない場合、Fallback Action を選択できます。
    これらのメッセージのいずれかを選択します:

    • Drop- 接続またはトラフィックは切断され、内部ネットワークには入らない。

    • Accept- 接続またはトラフィックは受け入れられ、内部ネットワークに入る。

  • Ask UserCheck Interaction オブジェクトでは、Conditions を設定できます:

    UserCheck メッセージには、ユーザの操作を必要とするこれらの項目を含めることができます(サンプル・メッセージで示されています)。トラフィックは、ユーザが必要なアクションを行った後にのみ許可されます。1つまたは両方のオプションを選択します:

    • User accepted and selected the confirm checkbox- ユーザは警告を無視し、続行を希望している。これは、Message メニューからInsert User Input ページにエレメントConfirm Checkbox を挿入した場合に適用されます。

    • User entered the required textual input in the user input field- ユーザは、脅威対策警告を無視する理由を入力する必要があります。これは、Message のページで、Insert User Input メニューから以下の要素を挿入した場合に適用される。Textual Input

    重要- ユーザが必要なアクションを実行するまで、トラフィックまたは接続がブロックされます。

  • Redirect the user to an external portal:

    ユーザを外部のユーザチェック・ポータルにリダイレクトするようにUserCheckを構成すると、ユーザにはこのUserCheckメッセージが表示されません。

    External Portal に、外部ポータルのURLを入力します。URLは、ユーザ名やパスワードなど、ユーザから認証情報を取得する外部システムとすることができる。この情報をセキュリティゲートウェイに送る。

    オプションです。

    URL クエリの最後にインシデント ID を追加するには、Add UserCheck Incident ID to the URL query を選択します。

    Confirmation sent to the gateway:

    • URLテンプレート・フィールドはXMLファイルを指す。このファイルを外部ポータルに置き、セキュリティゲートウェイに送り返せるようにする。

    • 事前共有秘密は、外部ポータルをセキュリティゲートウェイに認証する。

8

クリックOK

9

脅威対策ポリシーをインストールします。