カトのファイアウォールとURLフィルタリングに加えて、追加のセキュリティサービスとして、アンチマルウェアと侵入防止システム (IPS) を提供します。 両方のサービスは即座に有効化でき、ほとんど設定を必要としません。 これらのサービスは、WANトラフィック、インターネットトラフィック、または両方に対する追加のセキュリティ層を提供します。
-
簡単に言えば、アンチマルウェアは悪性のファイルを検出し、ブロックします。 クラウド上のアンチウイルスゲートウェイと見なされます。
-
一方、IPSはホストの脆弱性の悪用を検出してブロックします。 例として、ユーザーが最新のセキュリティアップデートが適用されていないWindowsのバージョンを使用している場合、リモートサーバーはホストの特定の脆弱性を利用し、ワークステーション上で悪意のあるコードを実行することができます。 IPSは通常「仮想パッチ」サーバーと見なされます。 多くの場合、ITは全てのホストに最新のセキュリティアップデートとパッチが適用されていることを確認するのに苦労します。 IPSは新しい脆弱性の即時解決策です。
アンチマルウェアとIPSサービスの有効化は非常に推奨されます。 アンチマルウェア処理によりエンドユーザー体験で遅延はありません。 悪意のあるファイルが検出された場合、ユーザーのアクセスはブロックされ、ユーザーはブロックページにリダイレクトされます。
これらのサービスを有効化しない理由はありません。 カトのセキュリティチームは、世界の脅威インテリジェンスデータベースに基づいて常にマルウェア保護データベースを更新しており、現在の脅威に対する効果的な保護を確保しています。
アンチマルウェアと侵入防御システム (IPS) サービスの有効化に対するベストプラクティスとして、以下のワークフローが推奨されます:
-
WANとインターネットトラフィックの両方に対してモニタモードでアンチマルウェアとIPSを有効化します。 モニタモードでは、悪意のあるトラフィックは記録されるだけで停止されません。
-
必要に応じて、マルウェアが検出されたときに(モニタモードのためブロックされない)メールアラートを受信するようにトラッキングを設定できます。
-
数日以内にAMとIPSイベントを確認し、サービスを徐々にブロックモードに切り替えます。
注意
注意: 最大の検出結果を得るためには、TLSインスペクションが有効になっている必要があります。
TLSインスペクションにより、セキュリティエンジンは悪意のあるファイルやコードを含む可能性のある暗号化されたトラフィックを分析できます。 TLSインスペクションの有効化はアンチマルウェアとIPSを有効化する最後のステップです。 TLSインスペクションを有効にし、GPOを使用してCatoの証明書を配布するガイドラインはこちらにあります。
以下は、セキュリティサービスの構成と結果の確認のためのステップバイステップガイドです。
-
ナビゲーションペインから、セキュリティ > アンチマルウェア をクリックします。
-
アカウントのアンチマルウェア保護を有効化する(緑色)または無効にする(灰色)には、左側のスライダーをクリックします。
-
右側のスライダーをクリックして、次世代アンチマルウェアエンジンを有効化(緑色)または無効化(灰色)にします。
これでアンチマルウェアエンジンが有効になりました。 次のステップは、マルウェア対策設定を構成することです。
各アンチマルウェアルールのアクション列をクリックし、次のいずれかを選択します:
-
ブロック - 悪意のあるファイルが宛先に到達するのを防ぎます。 該当する場合、ユーザーを専用のブロックウェブページにリダイレクトします。
-
許可 - 悪意のあるファイルが宛先に到達することを許します。
ブロックせずに監視するには、ルールを許可に設定し、トラッキングセクションでイベントオプションを有効にします。 これにより、イベントページ(ホーム > イベント)で確認できるイベントログが作成されます。 また、トラフィックタイプによってトリガーされる通知を送信することもできます。 セキュリティイベント(マルウェア検出)の場合、通知は事前定義されたサブスクリプショングループ、メーリングリスト、およびアラート統合に送信されます。 これらの通知タイプについての詳細は、アラートセクションの関連する記事をご覧ください。
-
ナビゲーションペインから、セキュリティ > 侵入防止システムをクリックします。
-
IPS スライダーをクリックして、アカウントの IPS 保護を有効化する(緑)または無効化する(灰色)。
AMエンジンと同様に、WANトラフィック、インバウンドトラフィック、およびアウトバウンドトラフィックのIPS保護を有効化してください。 WANは、Catoに接続されたネットワーク要素(サイトおよびユーザー)間のあらゆる種類のトラフィックと見なされます。 インバウンドプロテクションは、インターネットからのトラフィックに適用され、リモートポートフォワーディングを使用して内部ホストに転送されます。 アウトバウンドは、内部ホストからインターネットに発信される通常のインターネット閲覧を指すあらゆる種類のトラフィックです。
上記のように、セキュリティサービスが有効になると、セキュリティエンジンは実際に検出され、潜在的にブロックされるトラフィックを判別します。
イベントページ(ホーム > イベント)には、特定の期間中にすべてまたは任意のサイトおよびユーザーで発生したイベントに関するデータが表示されます。
AMイベントのみをフィルタするには、プリセット選択 ドロップダウンメニューからマルウェア対策を選択します。
IPSイベントのみをフィルタするには、プリセット選択 ドロップダウンメニューからIPSを選択します。
下にスクロールしてイベントを見つけます。 各イベントについて、詳細を取得するには展開できます。
* マルウェア対策および/またはIPSが存在しない場合は、イベントが生成されていないことを意味します。 この場合、より広い時間枠をフィルタリングすることができます。
一度マルウェア対策とIPSが有効になると、悪意のあるファイルをダウンロードしてテストすることができます。「マルウェア対策およびIPSテスト推奨サイト」を参照してください
-
ネットワークフローはWANファイアウォールによって検査され、セキュリティ管理者はサイト、ユーザー、ホスト、サブネットなどの組織エンティティ間のトラフィックを許可またはブロックできます。 デフォルトでは、CatoのWANファイアウォールは許可リストアプローチに従い、暗黙の任意-任意のブロックルールを持っています。
-
インターネットファイアウォール - セキュリティ管理者は、サイト、個別のユーザー、サブネットなどのネットワークエンティティ間で、様々なアプリケーション、サービス、ウェブサイトへの許可またはブロックのルールを設定することができます。 デフォルトでは、Catoのインターネットファイアウォールは、ブロックリストアプローチを採用しており、暗黙の任意任意の許可ルールを持っています。 したがって、アクセスをブロックするには、1つ以上のネットワークエンティティからアプリケーションへの接続を明示的にブロックするルールを定義する必要があります。
-
URLフィルタリング - インターネットファイアウォールを強化します。 Catoは、Suspected SpamやSuspected Malwareなどのセキュリティ指向のカテゴリを含む、数十の異なるURLカテゴリの定義済みポリシーを提供します。 インターネットファイアウォールはインターネットアプリケーションへの静的アクセス防止を提供しますが、URLフィルタリングは動的な保護を通じてインターネットセキュリティを完成させます。
-
アンチマルウェア - クラウドのアンチウイルスゲートウェイとして考えられます。 顧客はこのサービスを使用して、WANおよびインターネットトラフィックの両方をマルウェアのために検査できます。 アンチマルウェア処理には以下が含まれます:
-
明確かつ暗号化されたトラフィックのトラフィックペイロードのディープパケット検査(有効な場合)。
-
ファイルの拡張子またはコンテンツタイプヘッダに関係なく、ネットワークを通るファイルの実際のファイルタイプを識別するために、真のファイルタイプ検出が使用されます。
-
マルウェア検出は、署名とヒューリスティクスのデータベースを使用して行われ、常に最新の状態に保たれ、グローバル脅威インテリジェンスデータベースに基づいて、現在の脅威に対する効果的な保護を保証します。 Catoは、顧客データを機密に保つために、クラウドベースのリポジトリとファイルやデータを共有しません。
-
-
侵入防止システム - Catoのクラウドベースのネットワーク侵入防止システム(IPS)は、インバウンド、アウトバウンド、およびWANトラフィックを検査し、SSLトラフィックも含まれます。 IPSは、ブロックアクションを行わずにモニターモード(IDS)で動作することができます。 IDSモードでは、すべてのトラフィックが評価され、セキュリティイベントが生成されます。
0件のコメント
サインインしてコメントを残してください。