脅威対策エンジンの詳細設定

Threat Prevention >Threat Prevention Engine Settingsページでは、アンチウイルス閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。略語:AV。アンチボット閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、ボットネットの動作とコマンドアンドコントロール(C&C)センターへの通信をブロックします。略語:AB、ABOT。Threat Emulation閉じた セキュリティゲートウェイ上のCheck Point Software Bladeは、サンドボックス内のファイルの動作を監視して、悪意のあるファイルかどうかを判断します。略語:TE。、および IPS エンジンの高度な構成設定を構成できます。

- 以下の設定の多くは高度な内容となっているため、熟練の管理者以外の方は使用しないようにしてください。

IPS

新たにダウンロードされた保護の設定を行います。

  • アクティブ

  • 検出

  • 非アクティブ

検出のみモードを有効にするには:

チェックボックスをオンにします。

IPS保護をインポートするには:

リンクをクリックします。

アンチウイルス

アンチウイルスで外部からのファイルをスキャンします。

メール設定には次のものがあります。

  • SMTP - Simple Mail Transfer Protocolは、Eメール転送のための通信プロトコルです。

  • POP3 - POP3プロトコルを使用して、TLS暗号化を使用したEメールを送受信します。

  • IMAP - TCP/IP接続を介してメール サーバからメール メッセージを取得するためにメール クライアントで使用されるインターネット標準プロトコルです。これにより、任意のデバイスからメールにアクセスできます。

POP3SまたはIMAPスキャンを有効にするには:

  1. [脅威対策]>[エンジン設定]ページの[アンチウイルス スキャンしたプロトコル]で、[メール(SMTP、POP3、IMAP)]チェックボックスを選択します。

  2. アクセスポリシー > SSL検査ポリシーページで、SSLトラフィック検査を有効にするチェックボックスを選択します。

  3. 検査するプロトコルで、POP3SまたはIMAPを選択します。

  4. [適用]をクリックします。

アンチウイルスの設定を行うには:

  1. いずれかの保護スコープ オプションを選択します。

    • [外部からのファイルをスキャン] - 外部から送られるファイルをスキャンするインタフェースとして次のいずれかを選択します。

      • [外部およびDMZ] - 外部およびDMZインタフェースから送られるファイルをインスペクトします。

        - DMZは1530/1550アプライアンスではサポートされていません。

      • 外部 - 外部インタフェースから送られるファイルをインスペクトします。

      • すべての - すべてのインタフェース間で転送されるファイルをインスペクトします。

    • 受信ファイルと送信ファイルを両方スキャン - 組織の外部からのファイルと組織の内部からインターネットへ送られるファイルをインスペクトします。

  2. 指定したスコープでスキャンするプロトコルを選択します。

    • HTTP(任意のポート)

    • メール(SMTPPOP3IMAP)

    • FTP - デフォルトで無効になっています。

      FTPを有効化するには

      1. WebUIで[ホーム]>[セキュリティダッシュボード]を開き、Anti-Virus Software Bladeをオンにします。

      2. コマンドラインに接続し、次のコマンドを実行します。

        set threat-prevention anti-virus policy protocol-ftp true

      3. ポリシーをインストールします。

    HTTPおよびIMAPの暗号化トラフィックをスキャンするには、SSLトラフィック インスペクションを有効にする必要があります。有効にするには、リンクをクリックするか[アクセス ポリシー] > [SSL検査ポリシー]に移動します。

  3. いずれかのファイル タイプ ポリシーを選択します。

    • マルウェアを含むことが知られているファイルタイプを処理する

    • すべての種類のファイルを処理する

    • 特定のファイル タイプ ファミリを処理 - 設定をクリックして、ファイル タイプのリストと、該当のファイルがアンチウイルス エンジンを通過するときに行われる規定のアクションをセットします。指定したファイルタイプのアクションを編集するには、行を右クリックして編集をクリックします。

      設定可能なアクションは以下のとおりです。

      • スキャン - アンチウイルス エンジンでこのタイプのファイルをスキャンします。

      • ブロック閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。 - アンチウイルス エンジンでこのタイプのファイルがブロックされ、ファイルは通過しません。

      • 通過 - アンチウイルス エンジンでこのタイプのファイルはスキャンされず、そのまま通過します。

        システム定義のファイル タイプは削除できません。システム定義のファイル タイプは、変更できないビルトイン シグネチャによって識別されます。手動で定義したファイル タイプは拡張子で識別され、Webおよびメール プロトコルでサポートされます。

  4. ポリシー上書きを設定して、脅威対策のブレード コントロール ページで定義される一般的なポリシー設定を上書きできます。以下の保護タイプオプションごとに、該当するオーバーライドアクション「Ask」、「Prevent」、「Detect」、「Inactive」、「According to policy (オーバーライドなし)」を設定できます。アクション タイプの説明は、脅威対策>脅威対策ブレード コントロールページを参照してください。

    • マルウェアのURL - マルウェアの拡散やマルウェア感染サーバに使われるURLに関連する保護。

    • ウイルス - 各ファイルをCheck Point ThreatCloudデータベースに照らし合わせ、最新のマルウェアやウイルスに対するリアルタイムの防御。

検出のみモードを有効にするには:

チェックボックスをオンにします。

アンチボット

ポリシー上書きを設定して、脅威対策のブレード コントロール ページで定義される一般的なポリシー設定を上書きできます。以下の保護タイプオプションごとに、該当するオーバーライドアクション「Ask」、「Prevent」、「Detect」、「Inactive」、「According to policy (オーバーライドなし)」を設定できます。アクション タイプの説明は、脅威対策>脅威対策ブレード コントロールページを参照してください。

  • [不正なアクティビティ] - ボットネットやマルウェアの特定ファミリのユニークな通信に関する保護。

  • レピュテーションドメイン- コマンド&コントロール(C&C)サーバーに関する保護。各ホストはCheck Point ThreatCloudレピュテーション データベースでチェックされます。

  • [レピュテーションIP] - C&Cサーバに関連する保護。各IPはCheck Point ThreatCloudレピュテーション データベースでチェックされます。

  • [レピュテーションURL] - C&Cサーバに関連する保護。各URLはCheck Point ThreatCloudレピュテーション データベースでチェックされます。

  • [通常とは異なるアクティビティ] - ボットネットやマルウェアのアクティビティとして知られる振る舞いパターンに関連する保護。

検出のみモードを有効にするには:

チェックボックスをオンにします。

Threat Emulation

Threat Emulationを設定するには:

  1. いずれかの保護スコープ オプションを選択します。

    • [外部からのファイルをスキャン] - 外部から送られるファイルをスキャンするインタフェースとして次のいずれかを選択します。

      • [外部およびDMZ] - 外部およびDMZインタフェースから送られるファイルをインスペクトします。

        - DMZは1530/1550アプライアンスではサポートされていません。

      • 外部 - 外部インタフェースから送られるファイルをインスペクトします。

      • すべての - すべてのインタフェース間で転送されるファイルをインスペクトします。

        - LAN間のスキャンはサポートしていません。

    • 受信ファイルと送信ファイルを両方スキャン - 組織の外部からのファイルと組織の内部からインターネットへ送られるファイルをインスペクトします。

  2. 指定したスコープでスキャンするプロトコルを選択します。

    • HTTP(任意のポート)

    • メール(SMTPPOP3IMAP)

      HTTP/IMAP暗号化トラフィックをスキャンするには、SSLトラフィック インスペクションを有効にする必要があります。有効にするには、リンクをクリックするか[アクセス ポリシー] > [SSL検査ポリシー]に移動します。

  3. ファイル タイプ ポリシー

    [特定のファイル タイプ ファミリを処理] - [設定]をクリックして、ファイル タイプのリストと、該当のファイルがThreat Emulationエンジンを通過するときに行われる規定のアクションをセットします。

    指定したファイルタイプのアクションを編集するには、行を右クリックして編集をクリックします。また、ファイルの種類をクリックして選択してから[編集]をクリックします。。

    設定可能なアクションは以下のとおりです。

    • インスペクト - Threat Emulationエンジンで、このタイプのファイルをスキャンします。

    • バイパス - Threat Emulationエンジンでこのタイプのファイルはスキャンされず、そのまま通過します。

      システム定義のファイル タイプは削除できません。システム定義のファイル タイプは、変更できないビルトイン シグネチャによって識別されます。

  4. HTTP接続のエミュレーション処理モードを選択します。

    • バックグラウンド - エミュレーションが完了するまで接続は許可されます。

    • ホールド - エミュレーションが完了するまで接続はブロックされます。

Threat Emulationでは、各ファイルはCheck Point Public ThreatCloud内で実行され、ファイルが不正かどうか確認閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。されます。判定結果はゲートウェイに戻されます。

[詳細設定]ページで、エミュレータの場所をローカルプライベートSandBlastアプライアンスに変更できます。

最初にThreat Emulationブレードを有効にしてから、リモート エミュレーションの設定を行う必要があります。

リモート プライベート クラウド上のThreat Emulationエミュレータを有効にするには

  1. [デバイス]>[詳細設定]へ移動します。

  2. Threat Prevention Threat Emulation ポリシー - エミュレーションの場所を探します。

  3. [エミュレーションをリモート(プライベート)SandBlast 上で実行]を選択します。

  4. エミュレータのIPアドレスを追加またはアップデートします。

  5. [適用]をクリックします。

リモート プライベート クラウド上のThreat Emulationエミュレータを無効にするには

  1. [デバイス]>[詳細設定]へ移動します。

  2. Threat Prevention Threat Emulation ポリシー - エミュレーションの場所を探します。

  3. [エミュレーションをPublic ThreatCloud上で実行]を選択します。

  4. [適用]をクリックします。

複数のリモート エミュレータの設定を行うには、CLIコマンドを使用する必要があります。

Threat Emulationの詳細については、Small Business Security video channelThreat Emulation videoを参照してください。

検出のみモードを有効にするには:

チェックボックスをオンにします。

ユーザ メッセージ

確認アクションでは、保護タイプに応じてメッセージをカスタマイズできます。確認アクションが設定されている保護タイプとトラフィックが一致すると、ユーザのインターネット ブラウザで新しいウィンドウにメッセージが表示されます。

確認アクションのオプションと関連する通知は以下のとおりです。

オプション

アンチウイルスの通知

アンチボットの通知

確認

ユーザにメッセージが表示され、悪質だと分類されているサイトへのアクセスまたはファイルのダウンロードを続行するかどうかを確認します。

ユーザにメッセージが表示され、ユーザのコンピュータが悪質なサーバへアクセスしようとしていることを通知します。

ブロック

ユーザにメッセージが表示され、サイトはブロックします。

アンチボットでバックグラウンドのプロセスはブロックされます。ブラウザから悪質なサーバへの特定操作がブロックされると、ユーザにメッセージが表示されます。

メッセージをカスタマイズするには:

  1. [アンチウイルス ユーザ メッセージのカスタマイズ]または[アンチボット ユーザ メッセージのカスタマイズ]をクリックします。

  2. 次のタブでオプションを設定します。

    • 確認

    • ブロック

  3. 通知のフィールドを設定します。

    • タイトル - デフォルトのまま、または別のタイトルを入力します。

    • サブジェクト - デフォルトのままにするか、新しくサブジェクトを入力します。

    • 本文 - デフォルトのままにするか、新しく本文を入力します。オプション キーワードをクリックして、ユーザへの情報の本文に使用できるキーワードのリストを表示できます。

    • 無視する場合(確認の) - ユーザがメッセージを無視する場合、このテキストとチェックボックスが表示されます。デフォルトのままにするか、新しくテキストを入力します。

    • ユーザは理由を入力する必要があります(Askの場合のみ) - ユーザがアクティビティに関する説明を入力する必要がある場合は、このチェックボックスを選択します。ユーザ メッセージには理由を入力するテキスト ボックスがあります。

    • フォールバック(確認のみ) - 通知がブラウザまたはアプリケーションに表示されず、その通知が表示される場合(主にWebアプリケーション以外)、代わりのアクション(ブロック/許可)を選択します。

      • フォールバックが許可の場合 - ユーザはWebサイトまたはアプリケーションにアクセスできます。

      • フォールバックがブロックの場合 - Webサイトまたはアプリケーションはブロックされ、ユーザに通知は表示されません。

    • 頻度 - アンチウイルス、アンチボット、Threat Emulationの確認メッセージがユーザに表示される回数を設定できます。

      • 1日1回

      • 週1回

      • 月1回

    • ユーザをURLにリダイレクトする(ブロックの場合のみ)-

      ユーザを外部のポータル(ゲートウェイ以外)にリダイレクトできます。[URL]フィールドに、外部ポータルのURLを入力します。URLには外部システムを指定できます。ユーザから認証情報(ユーザ名/パスワードなど)を受け取り、この情報をゲートウェイに送りします。

  4. [カスタマイズ]タブをクリックしてアプライアンスで表示されるすべてのポータルのロゴをカスタマイズします(ホットスポット閉じた インターネットサービスプロバイダへのリンクに接続されたルータを介して、インターネットアクセス可能な無線ローカルエリアネットワークを提供するエリア。ユーザ認識閉じた ログ記録と制御を目的としてユーザをIPアドレスに関連付けるよう設計されたCheck Point Software Bladeの1つ。のキャプティブ ポータル)。アップロードをクリックしてロゴ ファイルの場所を参照し、適用をクリックします。必要な場合は、デフォルトを使用をクリックしてデフォルトのロゴに戻すことができます。

  5. [適用]をクリックします。