【Check Point R81】Infinity Threat Prevention について

ファイアウォール(UTM)
2021.05.24

はじめに

Check Point R81 で追加された機能である Infinity Threat Prevention について記載します。

Infinity Threat Prevention とは

リリースノートによると Infinity Threat Prevention の概要は次の通りです。

Infinity Threat Preventionは、次のような革新的な脅威防止管理モデルです。

  • ゼロデイ脅威からのゼロメンテナンス保護を提供し、継続的かつ自律的に、最新のサイバー脅威と防止テクノロジーで保護を最新の状態に保ちます
  • ビジネスおよび IT セキュリティのニーズに基づいて、すぐに使用できるポリシープロファイルを使用して、ゲートウェイの役割をワンクリックで分類できるようにします
  • ゲートウェイ全体でのポリシープロファイルの構成と展開を合理化します
  • 組織のニーズに最適な、シンプルで強力なカスタマイズを提供します

Infinity Threat Prevention プロファイル

選択可能なプロファイルが 5 つ用意されていて、その中から一つ選択して使用します。

  • Recommended for Perimeter Profile
    • サイバー攻撃を防ぐために境界ゲートウェイのセキュリティを最適化しました
    • Web、データセンター、受信メール、および FTP を閲覧するユーザーの保護が含まれます
    • これはデフォルトのプロファイルであり、同じゲートウェイでの複数の保護に推奨されるプロファイルです(たとえば、境界保護と内部ネットワーク保護の両方が必要な場合)
  • Data Center East/West Profile
    • データセンターへのサイバー攻撃を防ぐために最適化されたセキュリティ
    • サーバーと東西のトラフィックに対する広範な保護が含まれます
  • Internal Network Profile
    • 内部ユーザーと内部サーバー間の内部トラフィックに対するサイバー攻撃を防ぐための最大限のセキュリティ
  • Strict Security for Perimeter Profile
    • サイバー攻撃を防ぐための境界ゲートウェイの最大のセキュリティ
    • Web、データセンター、受信メール、およびFTPを閲覧するユーザーの保護が含まれます
  • Recommended for Guest Network Profile
    • ゲストネットワーク(Wi-Fi)を介したサイバー攻撃の試みを非侵入的に監視するための「検出モード」セキュリティプロファイル

次の表は、各プロファイルで使用されるテクノロジーをまとめたものです。

IPS ProtectionsFile & URL ReputationThreatCloudSandboxSanitization (CDR)C&C protection
Recommended for Perimeter Profile
Data Center East/West Profile
Internal Network Profile
Strict Security for Perimeter Profile
Recommended for Guest Network Profile
  • IPS Protections
    • 最高のパフォーマンスと無制限のスケーリングを備えた統合侵入防止システム
    • IPSは、ネットワークベースの攻撃からの高度な保護を実装し、サーバー、エンドポイント、産業用システム、 IoT を含むすべての IT システムを保護します
  • File & URL Reputation
    • ファイルと URL は、ThreatCloud リポジトリを介してレピュテーションがチェックされます
  • ThreatCloud
    • 脅威センサーの Check Point worldwide network を使用したクラウドベースのリアルタイムグローバル脅威インテリジェンス
  • Sandbox
    • 回避に強いサンドボックスで疑わしいファイルを実行し、高度な AI 技術を適用することで、未知のゼロデイ攻撃や高度な多態性攻撃を防ぎます
  • Sanitization (CDR)
    • 受信ファイルをユーザーに配信する前にサニタイズ(危険なコードやデータを変換または除去して無力化する処理)することにより、ゼロデイから未知の攻撃を予防的に防止します
  • C&C protection
    • ネットワーク上の感染したデバイスや侵害されたデバイスを検出します
    • マルウェアのコマンド&コントロール(C&C)通信をブロックすることにより、攻撃をブロックし、損害を防ぎます

MTA(メール転送エージェント)は、Infinity Threat Prevention ではサポートされていません。MTA として設定されたゲートウェイは、従来の Threat Prevention ポリシーで管理できます。

Infinity Threat Prevention の設定

次の手順で設定します。

1. Security Gateway で Infinity Threat Prevention を有効にする

2. Infinity Threat Prevention ポリシーを作成する

セキュリティポリシー画面 > 脅威対策 > Infinity Threat Prevention (Policy) 画面で ▼ ボタンをクリック

・表示されるプロファイル一覧からプロファイルを選択

Help me decide をクリックすると、各プロファイルの比較情報が表示されます

3. Infinity Threat Prevention ポリシーをインストールする

Deployment Dashboard

ネットワークに Threat Prevention ポリシーを段階的に展開できます。Deployment Dashboard には、次の 3つの保護モードがあります。

  • According to profile
    • Threat Prevention プロファイルの設定がオブジェクトに適用されます
    • デフォルトでは、すべてのトラフィックはプロファイルに従って保護されており、これが推奨事項です
    • 段階的な展開が必要な場合は、特定のネットワークオブジェクトを [Detect only] に配置できます
    • 短い試用期間の後、これらのオブジェクトをプロファイルに従って移動することをお勧めします
  • No Protection
    • オブジェクトは、選択した Threat Prevention プロファイルによって保護されていません
    • トラフィックは許可され、ログに記録されません
  • Detect only
    • トラフィックは許可されますが、Threat Prevention プロファイル設定に従ってログに記録されます

例外

グローバル例外は、Infinity Threat Prevention として設定されたゲートウェイ、または従来のThreat Prevention ポリシーで設定されたゲートウェイで使用できます。 Infinity Threat Prevention への移行前に存在していたグローバル例外は、アクションを必要とせずに Infinity Threat Prevention に適用されます。

Infinity Threat Prevention ポリシーにグローバル例外を追加する方法は次の通りです。

  1.  セキュリティポリシー画面 > 脅威対策 > 例外 Global Exceptions
  2. 該当する例外を追加します
  3. インストール欄で、それぞれの例外の適用対象となるゲートウェイを選択します

File Protections

 File Protections 画面で次のことができます。

  • 選択した Infinity Threat Prevention プロファイルに関する、保護されたファイルタイプと保護タイプを表示
  • プロファイルに従って推奨されるファイル保護を上書きし、さまざまな保護を選択

File Protections の設定は手順で行います。

  1. セキュリティポリシー画面 > 脅威対策 > Infinity Threat Prevention > File Protections
  2. [+ Add Override] をクリックしてファイルタイプとアクションを設定
  • Inspect
    • ファイルレピュテーション、ThreatCloud、サンドボックスが有効
    • サンドボックスはオプション
  • Inspect & Clean
    • ファイルレピュテーション、ThreatCloud、サンドボックスおよび Sanitization (CDR) が有効
    • サンドボックスはオプション
  • Block
    • ファイルをブロックします
  • Bypass
    • ファイルを検査しません

リストにないファイルタイプの保護を上書きすることはできません。リストにないファイルタイプは、すべてのプロファイルで検査されます。

従来の Threat Prevention から Infinity Threat Prevention への移行

  • Infinity Threat Prevention を有効にし、プロファイルを選択し、ポリシーをインストールすると、ゲートウェイは、Check Point のベストプラクティスと選択した Infinity Threat Preventionプロファイルに従ってすぐに設定されます
  • ゲートウェイで以前に選択されたプロファイル、および従来の Threat Prevention ポリシーでこれらのプロファイルに加えられた変更は、Infinity Threat Prevention ポリシーに移行されません
  • ただし、従来の Threat Prevention ポリシーで以前に使用されていたグローバル例外は、アクションを必要とせずに Infinity Threat Prevention によって適用されます

Infinity Threat Prevention の画面が表示されない場合

SmartConsole の Infinity Threat Prevention 設定画面を表示しようとしたときに、ずっと読み込み中の表示になる、または何も表示されないという場合があります。

この場合、SmartConsole を実行している PC の設定が原因の場合があります。

ディスプレイ設定の拡大縮小とレイアウトの設定で倍率が 100% になっていない場合は、100% に変更してみてください。

参考資料

―――――――――――――

Check Point アプライアンス設定用情報まとめ
基礎知識【LT風】CheckPointアプライアンス構築ロードマップ※以下は公式マニュアル等の内容のまとめ【CheckPointR80.40】構築用メモ【基礎知識】【CheckPointR80.40】インターフェース設定の基礎知識【Chec...
nwengblog.com
2021.05.10
スポンサーリンク
タイトルとURLをコピーしました