UTX100/UTX200でアンチボットの設定をするための手順になります。ボット検出時のログの内容や、例外設定の方法を解説します。
※ アンチボットとは、ボットに感染したコンピューターを検出し、感染コンピューターと C&C(指令)サーバーとの通信を遮断し、被害を予防する機能になります。
※ ボットとは、 侵入したコンピューターを遠隔操作する不正ソフトウェアです。ボットに感染した端末は、情報窃取や別のマルウェアに感染させられる、サーバーに対するDoS攻撃に利用される、などの被害に遭う可能性があります。
UTX構成モード | ブリッジモード (※) |
---|---|
UTX IPアドレス | 192.168.100.201 |
アクセス元PC | 192.168.100.23 |
(※) 操作手順はルーター/ブリッジモードで共通です
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001960) のキャプチャーになります。
本書では、接続先としてCheck Point社が提供するアンチボット用のテストページを利用します。テストページには次の手順でアクセス可能です。
※ UTX配下で接続するとアンチボットが動作して接続をブロックします。セキュリティーレポートの検知数にも反映されますので、実際に接続される際はご注意ください。
※ このテストページはHTTPSによる接続のため、 SSLインスペクションが無効の場合はページが開くことがあります。
アンチボットの基本設定は次のメニューで変更できます。
保護機能のポリシーに対する初期設定値は下記の通りです。
厳格 (Strict) | 推奨(工場出荷状態時) | |
---|---|---|
追跡オプション | ログ記録 | |
コンフィデンス - 高 | ブロック | |
コンフィデンス - 中 | ブロック | |
コンフィデンス - 低 | 検出 | |
深刻度 | 低以上 | 中以上 |
パフォーマンスの影響 | 高-中 | 中-低 |
※ 「コンフィデンス」とは「Confidence Level」のことです。「Confidence Level」について詳しくは「8. 備考1:Confidence Levelと深刻度について」をご参照ください。
※ この設定はアンチウイルス機能とアンチボット機能の両方に影響します。
ブレード | アンチボット |
---|---|
アクション | Block |
ソース | 192.168.100.23 |
宛先 | 25.33.52.127 |
マルウェアアクション | Communication with C&C Site |
リソース | http://sc1.checkpoint.com/za/images/threatwiki/pages/TestAntiBotBlade.html |
ログ詳細の各項目を解説します。
アンチボットブレードでは、「安全である」と判断したアクセスに対して許可する設定(例外設定)ができます。例外設定には以下の特徴があります。
例外設定には以下の2つの方法があります。許可したい対象によって使い分けてください。
URLを例外として登録する方法です。特定のウェブサイトとの通信をまとめて許可したい場合に有効です。
※ 今回の例ではログの「リソース」欄の「http://sc1.checkpoint.com/za/images/threatwiki/pages/TestAntiBotBlade.html」から登録しています
マルウェア保護機能の例外となるスコープを登録する方法です。特定のサーバーやPCの通信を全て例外設定したい場合に有効です。
※ この方法で指定した端末に対してはアンチボット機能が全て無効となり、設定によってはアンチウイルス機能も無効になります。セキュリティーレベルが低下することを認識した上で利用してください。
※ 下図では「IP範囲」を例としています
※ ドメインで指定することはできません
任意の保護 | アンチウイルス、アンチボット、IPSの検知が対象です |
---|---|
すべてのアンチウイルス | アンチウイルスブレードの検知のみが対象です |
すべてのアンチボット | アンチボットブレードの検知のみが対象です |
任意のIPS | IPSブレードの検知のみが対象です |
※ 登録方法は「5. サービスの登録」を参照ください
「サービス」には、あらかじめ HTTP や HTTPS といった主要なプロトコルが登録されています。手動でポート番号を指定したい場合、以下の方法で登録することが可能です。
名前 | 任意(例:Camera_Login) |
---|---|
タイプ | TCP |
プロトコルタイプ | なし |
ポート | 任意(例:50443) |
コメント | 任意 |
※ IP プロトコルで定義するものは 【タイプ】→【その他】 と指定します
アクション | Detect(検出) |
---|---|
処理の結果 | exception(例外) |
「エンジン設定」を変更することで、スキャンする対象をより細かく設定することができます。
各機能の設定項目を以下で説明します。
アンチウイルスやアンチボットのログには「Confidence Level」と「深刻度」という項目があります。どちらも検知した脅威の程度を表す指標ですが、それぞれが持つ意味は異なります。
脅威判定の信頼性を次の3段階で表したものです。
脅威が持つリスクを次の5段階で表したものです。
この数字が大きいほどリスクも大きいことを表します。上記の例は 「Medium」、つまり「3」と分類されています。
アンチボットを有効にしていると「DNS query for a C&C site Detected」というログが出る場合があります。これは検査対象の端末がC&Cサーバーのドメインを名前解決しようとした際に出力されるものです。
この時、UTXでは Detect(検出)のみを実施し、Block(遮断)はしませんが、実際のサーバーへの通信が発生した際には改めてアンチボット機能が検知するようになっています。