脅威対策エンジンの詳細設定

[脅威対策]>[脅威対策エンジン設定]ページでは、アンチウイルス、アンチボット、Threat Emulation、IPSエンジンの詳細設定を行うことができます。

- 以下の設定の多くは高度な内容となっているため、熟練の管理者以外の方は使用しないようにしてください。

IPS

新たにダウンロードされた保護の設定を行います。

  • アクティブ

  • 検出

  • 非アクティブ

アプライアンスの負荷増大時にIPSエンジンをバイパスするよう設定するには

  1. [負荷時のバイパス]チェックボックスをオンにして、機能を有効にします。

  2. [設定]をクリックして、IPSエンジンのバイパス モードとインスペクション モードを切り替えるしきい値を選択します。表示されるウィンドウの手順に従い、[適用]をクリックします。

    しきい値は、CPU使用率とメモリ使用量に対して設定できます。しきい値には上限と下限があります。負荷が上限を上回るとIPSエンジンによる検査がバイパスされ、負荷が下限を下回ると検査が再開されます。このため、負荷の増大時に、IPSエンジンのモード切り替えが必要以上に発生することがありません。

  3. [負荷時のバイパスの追跡]で、この機能の追跡オプションを設定するには、発行するログのタイプを選択します。

検出のみモードを有効にするには:

チェックボックスをオンにします。

IPS保護をインポートするには:

リンクをクリックします。

アンチウイルス

アンチウイルスで外部からのファイルをスキャンします。

メール設定には次のものがあります。

  • SMTP - Simple Mail Transfer Protocolは、Eメール転送のための通信プロトコルです。

  • POP3 - POP3プロトコルを使用して、TLS暗号化を使用したEメールを送受信します。

  • IMAP - TCP/IP接続を介してメール サーバからメール メッセージを取得するためにメール クライアントで使用されるインターネット標準プロトコルです。これにより、任意のデバイスからメールにアクセスできます。

POP3SまたはIMAPスキャンを有効にするには:

  1. [脅威対策]>[エンジン設定]ページの[アンチウイルス スキャンしたプロトコル]で、[メール(SMTP、POP3、IMAP)]チェックボックスを選択します。

  2. [アクセス ポリシー]>[SSLインスペクション ポリシー]ページで、チェックボックスを選択してSSLトラフィック インスペクションを有効にします。

  3. 検査するプロトコルで、POP3SまたはIMAPを選択します。

  4. 適用をクリックします。

アンチウイルスの設定を行うには:

  1. いずれかの保護スコープ オプションを選択します。

    • [外部からのファイルをスキャン] - 外部から送られるファイルをスキャンするインタフェースとして次のいずれかを選択します。

      • [外部およびDMZ] - 外部およびDMZインタフェースから送られるファイルをインスペクトします。

        - DMZは1530/1550アプライアンスではサポートされていません。

      • 外部 - 外部インタフェースから送られるファイルをインスペクトします。

      • すべての - すべてのインタフェース間で転送されるファイルをインスペクトします。

    • 受信ファイルと送信ファイルを両方スキャン - 組織の外部からのファイルと組織の内部からインターネットへ送られるファイルをインスペクトします。

  2. 指定したスコープでスキャンするプロトコルを選択します。

    • HTTP(任意のポート)

    • メール(SMTPPOP3IMAP)

    • FTP

    HTTPおよびIMAPの暗号化トラフィックをスキャンするには、SSLトラフィック インスペクションを有効にする必要があります。有効にするには、リンクをクリックするか[アクセス ポリシー] > [SSL検査ポリシー]に移動します。

  3. いずれかのファイル タイプ ポリシーを選択します。

    • 既知のマルウェアが含まれるファイル タイプを処理

    • すべてのファイル タイプを処理

    • 特定のファイル タイプ ファミリを処理 - 設定をクリックして、ファイル タイプのリストと、該当のファイルがアンチウイルス エンジンを通過するときに行われる規定のアクションをセットします。特定のファイル タイプのアクションを編集するには、列を右クリックして[編集]をクリックします。

      設定可能なアクションは以下のとおりです。

      • スキャン - アンチウイルス エンジンでこのタイプのファイルをスキャンします。

      • ブロック - アンチウイルス エンジンでこのタイプのファイルがブロックされ、ファイルは通過しません。

      • 通過 - アンチウイルス エンジンでこのタイプのファイルはスキャンされず、そのまま通過します。

        システム定義のファイル タイプは削除できません。システム定義のファイル タイプは、変更できないビルトイン シグネチャによって識別されます。手動で定義したファイル タイプは拡張子で識別され、Webおよびメール プロトコルでサポートされます。

  4. ポリシー上書きを設定して、脅威対策のブレード コントロール ページで定義される一般的なポリシー設定を上書きできます。以下の各保護タイプ オプションに対し、確認、ブロック、検出、非アクティブ、ポリシーに基づく、のいずれかのアクションを設定できます。アクション タイプの説明は、脅威対策>脅威対策ブレード コントロールページを参照してください。

    • マルウェアのURL - マルウェアの拡散やマルウェア感染サーバに使われるURLに関連する保護。

    • ウイルス - 各ファイルをCheck Point ThreatCloudデータベースに照らし合わせ、最新のマルウェアやウイルスに対するリアルタイムの防御。

検出のみモードを有効にするには:

チェックボックスをオンにします。

アンチボット

ポリシー上書きを設定して、脅威対策のブレード コントロール ページで定義される一般的なポリシー設定を上書きできます。以下の各保護タイプ オプションに対し、確認、ブロック、検出、非アクティブ、ポリシーに基づく、のいずれかのアクションを設定できます。アクション タイプの説明は、脅威対策>脅威対策ブレード コントロールページを参照してください。

  • [不正なアクティビティ] - ボットネットやマルウェアの特定ファミリのユニークな通信に関する保護。

  • [レピュテーション ドメイン] - C&Cサーバに関連する保護。各ホストはCheck Point ThreatCloudレピュテーション データベースでチェックされます。

  • [レピュテーションIP] - C&Cサーバに関連する保護。各IPはCheck Point ThreatCloudレピュテーション データベースでチェックされます。

  • [レピュテーションURL] - C&Cサーバに関連する保護。各URLはCheck Point ThreatCloudレピュテーション データベースでチェックされます。

  • [通常とは異なるアクティビティ] - ボットネットやマルウェアのアクティビティとして知られる振る舞いパターンに関連する保護。

検出のみモードを有効にするには:

チェックボックスをオンにします。

Threat Emulation

Threat Emulationを設定するには:

  1. いずれかの保護スコープ オプションを選択します。

    • [外部からのファイルをスキャン] - 外部から送られるファイルをスキャンするインタフェースとして次のいずれかを選択します。

      • [外部およびDMZ] - 外部およびDMZインタフェースから送られるファイルをインスペクトします。

        - DMZは1530/1550アプライアンスではサポートされていません。

      • 外部 - 外部インタフェースから送られるファイルをインスペクトします。

      • すべての - すべてのインタフェース間で転送されるファイルをインスペクトします。

        - LAN間のスキャンはサポートしていません。

    • 受信ファイルと送信ファイルを両方スキャン - 組織の外部からのファイルと組織の内部からインターネットへ送られるファイルをインスペクトします。

  2. 指定したスコープでスキャンするプロトコルを選択します。

    • HTTP(任意のポート)

    • メール(SMTPPOP3IMAP)

      HTTP/IMAP暗号化トラフィックをスキャンするには、SSLトラフィック インスペクションを有効にする必要があります。有効にするには、リンクをクリックするか[アクセス ポリシー] > [SSL検査ポリシー]に移動します。

  3. ファイル タイプ ポリシー

    • [特定のファイル タイプ ファミリを処理] - [設定]をクリックして、ファイル タイプのリストと、該当のファイルがThreat Emulationエンジンを通過するときに行われる規定のアクションをセットします。

      特定のファイル タイプのアクションを編集するには、列を右クリックして[編集]をクリックします。ファイル タイプをクリックして選択することもできるので、この場合は[編集]をクリックしますをクリックします。

      設定可能なアクションは以下のとおりです。

      • インスペクト - Threat Emulationエンジンで、このタイプのファイルをスキャンします。

      • バイパス - Threat Emulationエンジンでこのタイプのファイルはスキャンされず、そのまま通過します。

        システム定義のファイル タイプは削除できません。システム定義のファイル タイプは、変更できないビルトイン シグネチャによって識別されます。

  4. HTTP接続のエミュレーション処理モードを選択します。

    • バックグラウンド - エミュレーションが完了するまで接続は許可されます。

    • ホールド - エミュレーションが完了するまで接続はブロックされます。

Threat Emulationでは、各ファイルはCheck Point Public ThreatCloud内で実行され、ファイルが不正かどうか確認されます。判定結果はゲートウェイに戻されます。

[詳細設定]ページで、エミュレータの場所をローカルプライベートSandBlastアプライアンスに変更できます。

最初にThreat Emulationブレードを有効にしてから、リモート エミュレーションの設定を行う必要があります。

リモート プライベート クラウド上のThreat Emulationエミュレータを有効にするには

  1. [デバイス]>[詳細設定]へ移動します。

  2. Threat Prevention Threat Emulation ポリシー - エミュレーションの場所を探します。

  3. [エミュレーションをリモート(プライベート)SandBlast 上で実行]を選択します。

  4. エミュレータのIPアドレスを追加またはアップデートします。

  5. 適用をクリックします。

リモート プライベート クラウド上のThreat Emulationエミュレータを無効にするには

  1. [デバイス]>[詳細設定]へ移動します。

  2. Threat Prevention Threat Emulation ポリシー - エミュレーションの場所を探します。

  3. [エミュレーションをPublic ThreatCloud上で実行]を選択します。

  4. 適用をクリックします。

複数のリモート エミュレータの設定を行うには、CLIコマンドを使用する必要があります。

Threat Emulationの詳細については、「Small Business Security動画チャンネル」Threat Emulationの動画を参照してください。

検出のみモードを有効にするには:

チェックボックスをオンにします。

ユーザ メッセージ

確認アクションでは、保護タイプに応じてメッセージをカスタマイズできます。確認アクションが設定されている保護タイプとトラフィックが一致すると、ユーザのインターネット ブラウザで新しいウィンドウにメッセージが表示されます。

確認アクションのオプションと関連する通知は以下のとおりです。

オプション

アンチウイルスの通知

アンチボットの通知

確認

ユーザにメッセージが表示され、悪質だと分類されているサイトへのアクセスまたはファイルのダウンロードを続行するかどうかを確認します。

ユーザにメッセージが表示され、ユーザのコンピュータが悪質なサーバへアクセスしようとしていることを通知します。

ブロック

ユーザにメッセージが表示され、サイトはブロックします。

アンチボットでバックグラウンドのプロセスはブロックされます。ブラウザから悪質なサーバへの特定操作がブロックされると、ユーザにメッセージが表示されます。

メッセージをカスタマイズするには:

  1. [アンチウイルス ユーザ メッセージのカスタマイズ]または[アンチボット ユーザ メッセージのカスタマイズ]をクリックします。

  2. 次のタブでオプションを設定します。

    • 確認

    • ブロック

  3. 通知のフィールドを設定します。

    • タイトル - デフォルトのままにするか、新しくタイトルを入力します。

    • サブジェクト - デフォルトのままにするか、新しくサブジェクトを入力します。

    • 本文 - デフォルトのままにするか、新しく本文を入力します。オプション キーワードをクリックして、ユーザへの情報の本文に使用できるキーワードのリストを表示できます。

    • 無視する場合(確認の) - ユーザがメッセージを無視する場合、このテキストとチェックボックスが表示されます。デフォルトのままにするか、新しくテキストを入力します。

    • ユーザは必ず理由を入力(確認の場合のみ) - ユーザがアクティビティの理由を入力する必要があるときにこのチェックボックスを選択します。ユーザ メッセージには理由を入力するテキスト ボックスがあります。

    • フォールバック(確認のみ) - 通知がブラウザまたはアプリケーションに表示されず、その通知が表示される場合(主にWebアプリケーション以外)、代わりのアクション(ブロック/許可)を選択します。

      • フォールバックが許可の場合 - ユーザはWebサイトまたはアプリケーションにアクセスできます。

      • フォールバックがブロックの場合 - Webサイトまたはアプリケーションはブロックされ、ユーザに通知は表示されません。

    • 頻度 - アンチウイルス、アンチボット、Threat Emulationの確認メッセージがユーザに表示される回数を設定できます。

      • 毎日

      • 毎週

      • 毎月

    • ユーザをURLにリダイレクト(ブロックのみ) -

      ユーザを外部のポータル(ゲートウェイ以外)にリダイレクトできます。[URL]フィールドに、外部ポータルのURLを入力します。URLには外部システムを指定できます。ユーザから認証情報(ユーザ名/パスワードなど)を受け取り、この情報をゲートウェイに送りします。

  4. [カスタマイズ]タブをクリックしてアプライアンスで表示されるすべてのポータルのロゴをカスタマイズします(ホットスポットとユーザ認識のキャプティブ ポータル)。アップロードをクリックしてロゴ ファイルの場所を参照し、適用をクリックします。必要な場合は、デフォルトを使用をクリックしてデフォルトのロゴに戻すことができます。

  5. 適用をクリックします。