あなたは、組織のインバウンド、アウトバウンド、WAN全体で発生する悪意のあるトラフィックからの脅威に対する保護を有効または無効にすることができます。 サービスをブロックに設定したり、ブロックせずに監視だけを行うことができます。
Catoの侵入防御システム (IPS) サービスは、以下を含む複数のセキュリティレイヤーで構成されています:
-
評判分析: 脆弱または悪意のあるリソースとのインバウンド/アウトバウンド通信に対する保護。
-
既知の脆弱性: 既知のCVEに対する保護、新しいCVEを迅速に取り入れるために適応。
-
アンチボット: 評判フィードおよびネットワークの振る舞い分析に基づいてC&Cサーバーに向かうアウトバウンドトラフィックを防御。
-
ネットワークの振る舞い分析: 入出力ネットワークスキャンに対する防御。
-
プロトコル検証: 無効なパケット(プロトコルに合致すること)を防ぎ、異常なトラフィックを使用した攻撃からの攻撃面を減少させます。
-
地理的制限: 特定の国に対するインバウンド、アウトバウンド、または全てのトラフィックをブロックするカスタム地理的制限ポリシーを施行します。
-
トンネル攻撃: 正規のプロトコル(例:HTTP、HTTPS、DNS)を利用して、悪意のあるトラフィックをこっそり隠し、セキュリティ対策を回避しようとする試みを識別し、ブロックします。
注意
注意: IPSサービスがネットワークに最大の保護を提供するために、TLSインスペクションを有効にすることをお勧めします。
IPSポリシーは脅威保護ライセンスがある場合にのみ利用可能です。 詳細情報については、営業担当者にお問い合わせください。
静的な脅威フィードに加えて、Cato IPSは特定の攻撃タイプに対するリアルタイム保護を提供するために機械学習モジュールを使用します。 IPSエンジンは、既知の脆弱性パターンを取り込み、署名に変換してエンジンに統合する数百の静的脅威フィードを使用します。 一方で、機械学習のヒューリスティックモジュールは、KnownおよびUnknownの脅威インテリジェンスを混合して脅威か否かを判断し、静的なフィードに依存しません。 これらの機械学習モデルは、DGAおよびサイバースクワッティング技術により生成された可能性のある悪意のある未知のドメインをリアルタイムで識別します。
脅威予防のために機械学習モデルを使用する利点は、DGAおよびサイバースクワッティングは静的なブラックリストだけでは防ぐことができないということです。戦術はランダムな間隔で変わり、毎日新しいDGAおよびサイバースクワッティングの方法が使用されています。 機械学習アルゴリズムにより、潜在的に悪意のあるドメインをリアルタイムで検出することができます。 DGAはアルゴリズムによって生成された可能性のある()ように見えるドメインを検出します。 DGAは、コマンド&コントロール(C&C)通信に使用され、サイバースクワッティングはフィッシング攻撃に使用される可能性があります。
Catoの機械学習アルゴリズムの一部は、エンジンのサイバースクワッティング部分を監視するための既知のブランドのリストです。しかし、顧客も監視用に独自のドメインリストを追加することができます。 DGAの機械学習モデルはDNS保護とIPSエンジンで実行されますが、サイバースクワッティングエンジンはIPSでのみ実行されます。
イベントが発生すると、シグネチャーIDがどのモデルが脅威を特定したかを示しますが、他のイベントフィールドからは識別できません。
このセクションでは、アカウント内のネットワークを保護するためのIPSポリシーの設定方法について説明します。
WAN、受信、送信トラフィックに対して、脅威検知によってトリガされるアクションを定義し、アラートを設定することができます。 利用可能なアクションは以下のとおりです:
-
ブロック - 悪意のあるトラフィックが送信先に到達するのをブロックします。 適用可能な場合、ユーザーは専用のブロックウェブページにリダイレクトされます。
-
モニタ - 悪意のあるトラフィックに対するイベント(ホーム > イベント に表示される)を生成します。 その後、トラフィックは宛先に進みます。
IPSポリシーのファイル保護アクションを設定するには:
-
ナビゲーションメニューから、セキュリティ > IPS をクリックします。
-
保護ポリシータブをクリックし、各保護範囲の設定を定義します:
-
保護範囲の列で、トラフィックタイプをクリックします。 編集パネルが開きます。
-
一般 セクションで、保護範囲を有効または無効にします(緑は有効、灰色は無効)。
-
アクション セクションで、IPS保護に一致するトラフィックのアクションを設定します。
-
トラックセクションで通知オプションを設定します。
通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。
-
保存をクリックしてください。
保護範囲の設定がIPS ポリシーに追加されます。
-
-
保存をクリックしてください。 IPSポリシーが保存されました。
IPSポリシーの施行オプションは、送受信トラフィックに対する脅威保護の追加レベルを追加できます。
送信トラフィックに対しては、14日未満のドメインを自動的にブロックするようにIPSを設定できます。 マルウェアはしばしば脅威保護を回避するために新規登録ドメインを使用します。 新規登録されたドメインの大部分は悪意があるか、疑わしいです。
特定の国への(アウトバウンド)または国からの(インバウンド)トラフィックをブロックするために、IPS 地理的制限ルールを定義することができます。また、ルールで定義された国へのすべてのトラフィックも対象とします。
注意
注: インバウンドトラフィックに対して地理的制限ルールを設定すると、RPFリソースにも適用されます。 ただし、Cato SDPクライアントからのトラフィックには、IPS地理的制限ルールは適用されません。 特定の地域からのクライアント接続をブロックするには、クライアント接続ポリシーでルールを設定することができます。
地理的制限ルールを定義するには:
-
ナビゲーションメニューから、セキュリティ > IPSをクリックします。
-
地理的制限 タブから、新規 をクリックします。 追加パネルが開きます。
-
一般セクションで、以下の設定を構成します:
-
ルールに対して名前を入力します。
-
ルールが有効になっていることを確認します(緑は有効、灰色は無効)。
-
このルールのトラフィックの方向を選択します: アウトバウンド, インバウンド または 両方向。
-
-
国 セクションで、この地理的制限ルールで対象とする国を定義します。
-
国を検索し、選択します。
-
このルールに追加する各国に対して、前のステップを繰り返します。
-
-
アクションセクションで、このルールのアクションおよびトラッキング設定を設定します:
-
ルールのアクションを定義します:ブロック 、監視 または 許可(監視と許可のアクションはトラフィックをブロックせずにイベントを生成します)。
-
イベントをクリックして、IPS保護に一致するトラフィックのイベントを生成します。
-
通知を送信をクリックし、通知が送信される頻度を設定します。
通知を受け取る管理者のメーリングリストを選択します。
-
-
適用をクリックします。 ルールが追加されました。
-
保存をクリックします。
0件のコメント
サインインしてコメントを残してください。