感染デバイスの表示

[感染したデバイス]ページでは、内部ネットワークで感染したデバイスとサーバの情報を確認することができます。また、感染または感染の疑いがあるデバイス/サーバに関連する特定の保護に対して、例外ルールを直接作成することもできます。

感染デバイス テーブルには、各エントリの次の情報が表示されます。

  • アイコン - 感染デバイスやサーバの異なる分類を示すアイコン

    内容 ホスト アイコン サーバ アイコン
    感染デバイス/サーバ - 特定の保護により、アンチボット ブレードでホストまたはサーバと外部のC&Cセンター間での疑わしい通信が検出されたとき

    感染の疑いがあるデバイス/サーバ - アンチウイルス ブレードでホストやサーバの感染につながる可能性があるアクティビティが検出されたとき例:

    • 感染したインターネット サイトや安全でないインターネット サイトにアクセスすると、マルウェアをインストールしてしまう可能性があります。

    • 感染したファイルをダウンロードすると、そのファイルを開く際にホストやサーバを感染させてしまう可能性があります。

  • オブジェクト名 - ホストまたはサーバがネットワーク オブジェクトとして設定されている場合、オブジェクト名が表示されます。

  • IP/MACアドレス

  • デバイス/ユーザ名 - DHCPまたはユーザ認識によりCheck Pointアプライアンスが情報を確認できた場合、デバイス/ユーザ名が表示されます。

  • インシデント タイプ - 検出されたインシデントのタイプ:

    • ボットのアクティビティ

    • マルウェアのダウンロード

    • マルウェアを持つサイトへアクセス

  • 深刻度 - マルウェアの深刻度レベル:

    • 深刻

  • 保護名 - アンチボット/アンチウイルスの保護機能名が表示されます。

  • 最終インシデント - 最後のインシデントの日付。

  • インシデント - 先月のデバイスまたはサーバのインシデントの合計件数が表示されます。大量にある場合は対象期間が短くなる場合があります。

感染デバイス リストを絞り込むには

  1. [絞り込み]をクリックします。

  2. いずれかの絞り込みオプションを選択します。

    • サーバのみ - サーバとして識別されるマシンのみが表示されます(任意のマシン/デバイスではない)。サーバは[アクセス ポリシー]>[サーバ]ページで定義され、システムのサーバ オブジェクトとして定義されます。

    • 感染の疑いがあるデバイスのみ - 感染の疑いがあるデバイスまたはサーバのみが表示されます。

    • 感染したデバイスのみ - 感染したデバイスまたはサーバのみが表示されます。

    • 深刻度が「高」以上のデバイス - マルウェアに感染または感染の疑いがあり、深刻度が「高」または「重大」なデバイスおよびサーバが表示されます。

特定の保護にマルウェア例外ルールを追加するには

  1. 例外を作成する保護を含むリストのエントリを選択します。

  2. [保護機能の例外の追加]をクリックします。

  3. ルール サマリまたは表のセル中のリンクをクリックして、例外ルールの各フィールドに挿入するネットワーク オブジェクトまたはオプションを選択します。

    • [スコープ] - 任意を選択するか、リストから特定のスコープを選択します。必要があれば、新規ネットワーク オブジェクト、ネットワーク オブジェクト グループ、またはローカル ユーザを作成できます。
      特定のスコープを無効にする必要がある場合は、対象のスコープを選んで[次を除外]チェックボックスをオンにします。
      例として、DMZネットワークを除いたすべてのスコープを、例外として含めたい場合は、[DMZネットワーク]を選択し、[次を除外]チェックボックスをオンにします。

      - DMZは1550アプライアンスではサポートされません。

    • アクション - 一致するトラフィックで実施するアクションを、[確認][ブロック][検出][非アクティブ]から選びます。アクション タイプの説明は、脅威対策>脅威対策ブレード コントロールページを参照してください。

    • ログ記録 - 追跡オプションとして[なし][ログ][アラート]から選びます。[ログ&モニタリング]>[セキュリティ ログ]ページにログが表示されます。アラートはログのフラグです。フラグを使ってログを絞り込むことができます。

  4. [オプション] - [コメントの入力]フィールドにコメントを追加します。

  5. 適用をクリックします。

    ルールは[脅威対策]>[例外]ページのマルウェアの例外に追加されます。

特定エントリのログを表示するには

  1. 表示するログのリストのエントリを選択します。

  2. [ログ]をクリックします。

    [ログ&モニタリング]>[セキュリティ ログ]ページが開いてIP/MACアドレスに該当するログが表示されます。

    - このページには、[ホーム]および[ログ&モニタリング]タブからアクセスできます。

 

 
2019年 10月28日
© 2020 Check Point Software Technologies Ltd.

1500アプライアンス シリーズR80.20ローカル管理 管理ガイド