アンチウイルス機能の設定手順
UTX100/UTX200でアンチウイルスの設定をするための手順になります。ウイルス検出時のログの内容や、例外設定の方法を解説します。
※ アンチウイルスとは、添付ファイル付きのメールを受信したりWebサイトからファイルをダウンロードした際に検査を行い、マルウェアへの感染被害を予防するための機能になります。
- 接続先について
- 基本設定
- セキュリティーログの確認
- 例外設定
- サービスの登録
- 例外設定後の通信確認
- エンジン設定
- 備考:Confidence Levelと深刻度について
UTX構成モード | ブリッジモード (※) |
UTX IPアドレス | 192.168.100.210 |
アクセス元PC | 192.168.100.23 |
(※) 操作手順はルーター/ブリッジモードで共通です
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001960) のキャプチャーになります。
本書では、接続先としてCheck Point社が提供するアンチウイルス用のテストファイルを利用します。テストページには次の手順でアクセス可能です。
- Check Point ThreatWiki (https://threatwiki.checkpoint.com/threatwiki/public.htm) を開きます
- ページ右上にある「Test Anti-Virus」をクリックします
※ UTX配下で接続するとアンチウイルスが動作して接続をブロックします。セキュリティーレポートの検知数にも反映されますので、実際に接続される際はご注意ください。
※ ダウンロードするファイルは EICAR(www.eicar.org) のテストファイルです。
アンチウイルスの基本設定は次のメニューで設定できます。
- 左メニューから【脅威対策】 > 【脅威対策】 > 【ブレードコントロール】 とメニューを開きます
- アンチウイルス機能の有効/無効を切り替えたい場合、「アンチウイルス」の左側にある【オン】または【オフ】をクリックします
- 【適用】をクリックします
- 保護機能の設定は、「ポリシー」に【カスタム】を選択すると変更できます
保護機能のポリシーに対する初期設定値は下記の通りです。
| 厳格 (Strict) | 推奨(工場出荷状態時) |
追跡オプション | ログ記録 |
コンフィデンス - 高 | ブロック |
コンフィデンス - 中 | ブロック |
コンフィデンス - 低 | 検出 |
深刻度 | 低以上 | 中以上 |
パフォーマンスの影響 | 高-中 | 中-低 |
※ 「コンフィデンス」とは「Confidence Level」のことです。「Confidence Level」について詳しくは「8. 備考:Confidence Levelと深刻度について」をご参照ください。
※ この設定はアンチウイルス機能とアンチボット機能の両方に影響します。
- 追跡オプション
検知時のログが不要な場合、【なし】を選択することでログ出力を停止することができます。
- コンフィデンス - 高・中・低
Confidence Level(コンフィデンスレベル) に応じた処理を変えることができます。
例えば「コンフィデンス - 低」を【ブロック】に変更すると、より多くの脅威をブロックしますが、誤検知の可能性が高まります。
- 深刻度
どの深刻度以上の脅威を検知させるか設定することができます。
例えば「中以上」を【小以上】に変更すると、深刻度が【小】に分類される脅威を検知できるようになりますが、処理が増加する分パフォーマンスに影響を与えます。
- パフォーマンスの影響
脅威検知の対象とパフォーマンスへの影響とのバランスを変えることができます。
例えば【高-中】に変えるとより幅広い脅威検知を行いますが、パフォーマンスへの影響も高まります。
- 左メニューから【ログ&モニタリング】 >【セキュリティログ】 とメニューを開きます
- 検索欄に 「Anti-Virus」と入力すると、アンチウイルスのログのみを抽出できます
- アクセス元 PC (192.168.100.23) からのログをダブルクリックし、詳細情報を確認します
ブレード | アンチウイルス |
アクション | Block |
ソース | 192.168.100.23 |
宛先 | 213.211.198.62 |
マルウェアアクション | Malicious fie/exploit download |
リソース | http://www.eicar.org/download/eicar_com.zip |
ログ詳細の各項目を解説します。
- ブレード
検知したブレード(機能)を示します。このログではアンチウイルスブレードが検知したことを表しています。
- アクション
UTXが実施したアクション(動作)を示します。このログではBlock(遮断)したことを表しています。
- ソース
通信の発信元IPアドレスを示します。このログでは192.168.100.23から発信されたことを表しています。
- 宛先
通信の宛先IPアドレスを示します。このログでは213.211.198.62へ通信していることを表しています。
- マルウェアアクション
検知したマルウェアの動作内容を示します。このログでは「不正なファイル、または脅威のダウンロード」を表しています。
- リソース
検知した通信の宛先 URL やファイル名を示します。
このログでは「http://www.eicar.org/download/eicar_com.zip」宛であることを表しています。
アンチウイルスブレードでは、「安全である」と判断したアクセスに対して許可する設定(例外設定)ができます。例外設定には以下の特徴があります。
- パターンファイルに依存しない
- 該当アクセスに対してチェックを行わないため、システムへの負荷がかからない
例外設定には以下の3つの方法があります。許可したい対象によって使い分けてください。
4-1. URLの例外登録
アクセス先URLを例外として登録する方法です。特定のウェブサイトからのダウンロードをまとめて許可したい場合に有効です。
- 左メニューから【脅威対策】 > 【脅威対策】 >【例外】 とメニューを開きます
- 「脅威対策の例外」メニューから【ホワイトリスト】をクリックします
- 【URLホワイトリスト】をクリックします
- 【新規】をクリックします
- 「URLの追加」メニューが開くため、例外として登録したいドメインを入力します
※ 今回の例ではログの「リソース」欄の「http://www.eicar.org/download/eicar_com.zip」から登録しています
- 入力ができたら【適用】をクリックします
- 【閉じる】をクリックしてメニューを閉じます
4-2. ファイルの例外登録
ダウンロードしたいファイルを例外として登録する方法です。特定ファイルのダウンロードのみを許可したい場合に有効です。
- 左メニューから【ログ&モニタリング】 >【セキュリティログ】 とメニューを開きます
- 例外指定したい通信のブロックログを開き、【ファイルMD5】の欄の値をコピーして残しておきます
- 左メニューから【脅威対策】 > 【脅威対策】 >【例外】 とメニューを開きます
- 「脅威対策の例外」メニューから【ホワイトリスト】をクリックします
- 【ファイルのホワイトリスト】をクリックします
- 【新規】をクリックします
- 「ファイルの追加」メニューが開くため、手順2でコピーした【ファイルMD5】の値を貼り付けます
- 入力ができたら【適用】をクリックします
- 【閉じる】をクリックしてメニューを閉じます
4-3. 例外対象のスコープを登録
マルウェア保護機能の例外となるスコープを登録する方法です。特定のサーバーやPCの通信を全て例外設定したい場合に有効です。
※ この方法で指定した端末に対してはアンチウイルス機能が全て無効となり、設定によってはアンチボット機能も無効になります。セキュリティーレベルが低下することを認識した上で利用してください。
- 左メニューから【脅威対策】 > 【脅威対策】 >【例外】 とメニューを開きます
- 「脅威対策の例外」から【新規】をクリックします
- 「新しいマルウェアの例外の追加」が開くので【ソース】をクリックします
- 【新規】から「ネットワークオブジェクト」をクリックします
- タイプを「単一IP」、「IP範囲」、「ネットワーク」から選択します
- 例外対象の IP アドレス、またはネットワークを入力し、【適用】をクリックします
※ 下図では「IP範囲」を例としています
- 【宛先】をクリックして手順3〜5と同様の手順で設定することで、例外対象とする宛先を限定できます
※ ドメインで指定することはできません
- 【保護】をクリックし、例外とする保護の対象を次の中から選択します
任意の保護 | アンチウイルス、アンチボット、IPSの検知が対象です |
すべてのアンチウイルス | アンチウイルスブレードの検知のみが対象です |
すべてのアンチボット | アンチボットブレードの検知のみが対象です |
任意のIPS | IPSブレードの検知のみが対象です |
- 例外とするプロトコルを限定する場合、【サービス】をクリックして指定します
※ 登録方法は「5. サービスの登録」を参照ください
- アクションを【検出】に設定します
- 【適用】をクリックします
「サービス」には、あらかじめ HTTP や HTTPS といった主要なプロトコルが登録されています。手動でポート番号を指定したい場合、以下の方法で登録することが可能です。
- 【ユーザ&オブジェクト】 > 【サービス】 とメニューを開きます
- 【新規】をクリックします
- アクセス先が利用するポート番号を登録します
名前 | 任意(例:Camera_Login) |
タイプ | TCP |
プロトコルタイプ | なし |
ポート | 任意(例:50443) |
コメント | 任意 |
※ IP プロトコルで定義するものは 【タイプ】→【その他】 と指定します
- 【適用】をクリックして登録します
- 実際にアクセスを行い、接続が可能となったことを確認します
- ログの内容が変わったことを確認します
アクション | Detect(検出) |
処理の結果 | exception(例外) |
※ 本書ではアンチウイルスのテストファイルを利用して例外設定の解説を行っています。しかし、ダウンロード先である EICAR(www.eicar.org)のウェブサイトは、UTXのセキュリティー機能の一つであるURLフィルタリングブレードのブロック対象となっています。もし本書と同様の手順で検証したい場合は、事前にURLフィルタリングで「www.eicar.org*」を許可対象として設定してください。
「エンジン設定」を変更することで、スキャンする対象をより細かく設定することができます。
- 【脅威対策】 > 【保護】 > 【エンジン設定】 とメニューを開きます
- 変更を行いたい機能の設定項目を確認します
- 変更が完了したら【適用】をクリックします
各機能の設定項目を以下で説明します。
- 保護スコープ
スキャン対象の通信方向、及びインターフェースを指定します
- スキャンしたプロトコル
スキャン対象の通信プロトコルを指定します
- ファイルタイプポリシー
スキャン対象のファイルタイプ(拡張子)を指定します
- ポリシー上書き
基本設定からアクションを上書きできます
- マルウェアの URL (HTTP)
マルウェアの分散に使われる URL へのアクセスを検知した時
- ウイルス
ウイルスに感染したファイルを検知した時
- 検出のみ
検出のみを実施し、ブロックをさせない場合は有効にします
- アンチウイルスユーザメッセージのカスタマイズ
接続をブロックした時に表示されるメッセージのカスタマイズができます(日本語には対応していません)
利用可能な変数は下記の通りです
- $activity
検出されたマルウェアアクティビティ
- $original_url
アクセスをブロックした URL
- $incident_id
インシデントのリファレンス ID
- $mis_categorization_link
ウェブサイト / アプリケーションのカテゴリ間違いの報告リンク
アンチウイルスやアンチボットのログには「Confidence Level」と「深刻度」という項目があります。どちらも検知した脅威の程度を表す指標ですが、それぞれが持つ意味は異なります。
[EOF]