セキュリティーレポート活用ガイド

UTX100/UTX200のセキュリティーレポートの確認方法について解説します。設置環境のセキュリティー状態の認識やトラブルシューティングにご活用ください。

1. セキュリティーレポートの確認方法
2. レポートの生成方法
3. レポートの表示内容について
4. レポートの見方
5. Q&A

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。

1. セキュリティーレポートの確認方法

1. UTXのGUIへのアクセス
   
   1. Webブラウザーを起動します

      ※推奨：Google Chrome, Mozilla Firefox

   2. URL欄に次のアドレスを入力します

      https://UTXのIP:4434

   3. 【詳細設定】をクリックします
   4. 「*.*.*.*にアクセスする（安全ではありません）」をクリックします
      

      ※ 実際の画面では、UTXのIPアドレスが表示されます

   5. 【ユーザ名】と【パスワード】を入力してログインします
2. セキュリティーレポートの表示
   
   1. 左のメニューから【ホーム】 > 【レポート】とメニューを開きます
   2. 画面にセキュリティーレポートが表示されます

2. レポートの生成方法

• ページ上部にある期間をクリックすると、その期間のレポートが生成されます
• レポートの冒頭部分には、生成されたレポートの時間間隔が表示されます
• 表示データを更新したい場合は【生成】をクリックします
• 【印刷】をクリックすると印刷が可能です

3. レポートの表示内容について

セキュリティーレポートでは、指定した期間ごとに次の3項目が表示されます。

1. ネットワーク分析
2. セキュリティー分析
3. 感染デバイス情報

期間の指定は「毎月」、「毎週」、「毎日」、「毎時」が可能です。また、レポートに表示される内容については、次の2つの要素が重要な関連性を持ちます。

1. 時間の丸め処理
2. システムの再起動

以下、これらの2つの要素について解説します。

3-1. 時間の丸め処理について

セキュリティーレポートに表示される時間は、以下のように丸め処理されています。

1. レポート（毎時）の場合

   1分毎の間隔で処理されます。例えば「10:15:45 AM」にレポートを生成した場合、レポートは「9:15 AM〜10:15 AMのデータ」になります。

2. レポート（毎日）の場合

   1時間毎の間隔で処理されます。例えば「9:15 AM」にレポートを生成した場合、レポートは「その日の9:00 AMから24時間遡った24時間分のデータ」になります。

3. レポート（毎週）の場合

   2時間毎の間隔で、0:00、2:00、4:00、6:00といった偶数時間で処理されます。
   例えば「9:55 AM」にレポートを生成した場合、レポートは「その日の8:00 AMから1週間遡った1週間分のデータ」になります。

4. レポート（毎月）の場合

   4時間毎の間隔で、0:00、4:00、8:00、12:00といった4の倍数の時間で処理されます。
   例えば「11:15 AM」にレポートを作成した場合、レポートは「その日の8:00 AMから1ヶ月間遡った1ヶ月分のデータ」になります。

3-2. システムの再起動

UTXの起動後（設置後やアップデート後）最初の24時間は、次回のレポート生成までの時間にもう1回分の待ち時間がシステムで追加されます。
例えば、再起動後にレポート（毎週）を生成する場合、UTXでは、起動から最初の生成時間までの差分時間に加え、1回分の生成時間である2時間を追加で待つ必要があります。

• 0:00 AMにUTXを起動した後、レポート（毎週）を生成したい
  → 最初のレポート（毎週）は4:00 AMに生成されます。起動から生成までの待ち時間は約4時間です。

  ※ 起動後最初のレポート生成時間は2:00 AMですが、その次の生成時間まで待ち時間が追加されます

• 3:59 AMにUTXを起動した後、レポート（毎週）を生成したい
  → 最初のレポート（毎週）は6:00 AMに生成されます。起動から生成までの待ち時間は約2時間です。

  ※ 起動後最初のレポート生成時間は4:00 AMですが、その次の生成時間まで待ち時間が追加されます

• 9:45 AMにUTXを起動した後、レポート（毎日）を生成したい
  → 最初のレポート（毎日）は11:00 AMに生成されます。起動から生成までの待ち時間は約1時間15分です。

  ※ 起動後最初のレポート生成時間は10:00 AMですが、その次の生成時間まで待ち時間が追加されます

4. レポートの見方

4-1. レポートの見方 - サマリー

以下に、月次レポートを例として実際のレポートの見方を解説します。レポートの最初のページにはサマリー（概要）が表示されます。

1. アンチボット・アンチウイルスの検出数、IPS攻撃数
2. カテゴリー、サイト、ユーザー別の帯域使用率上位の統計

   ※ 上位ランクの各リンクをクリックすると、該当するレポートのページを表示できます

3. アプリケーション別の帯域使用率上位の円グラフ
4. 受信および送信トラフィックの合計量
5. 感染デバイスの合計数、およびホスト、サーバー、最近アクティブなホスト、それぞれの感染台数
6. 高リスク・アプリケーションの合計数、および使用頻度の高い高リスク・アプリケーション数と、高リスク・アプリケーションを使用している上位ユーザー
7. セキュリティー・ゲートウェイ名、ファームウェアバージョン、MACアドレス

4-2. レポートの見方 - 目次

目次の項目はリンクになっており、クリックすると選択したセクションへ直接移動できます。また、インスペクションを行っているUTXの機能は項目ごとに異なります。

1. アンチウイルス
2. アンチボット
3. アプリケーションコントロール
4. URLフィルタリング
5. IPS
6. ユーザー認識

4-3. レポートの見方 - ネットワーク使用量

以下ではネットワーク使用量の統計が表示されます。

1. 受信トラフィックの推移
   • ダウンロードが行われたデータのトラフィック量
2. 送信トラフィックの推移
   • アップロードが行われたデータのトラフィック量
3. 送受信トラフィックの日別の帯域幅
   • 日別の送受信トラフィック量の比較ができます
   • 例えば、営業日以外で多くの送受信が見られる場合、次のような状況が想定できます。
     • PC の電源が入ったままの状態の場合
       • Windows Update等の更新が動作した
       • DropboxやGoogle Drive等の同期やバックアップが発生
       • Team Viewer等でPCをリモート操作している
     • PCの電源が入っていない場合
       • リモートアクセスVPNにより、外部からUTX配下のファイルサーバー等にアクセスしている

4-4. レポートの見方 - 上位アプリケーション

以下では、Check Point社で定義されたアプリケーション別の上位項目が表示されます。

1. 帯域幅別の上位アプリケーション
   • 帯域幅（送受信合計）で集計した上位10位のアプリケーションです。
2. セッション別の上位アプリケーション
   • セッション数で集計した上位10位のアプリケーションです。

定義されているアプリケーションの詳細については、AppWiki（英語）をご覧ください。
https://appwiki.checkpoint.com/appwikisdb/public.htm

4-5. レポートの見方 - 上位サイト

このページには上位のアクセス先サイトが表示されます。

1. 帯域幅別の上位サイト
   • 帯域幅（送受信合計）で集計した上位10位のサイトです。
2. セッション別の上位サイト
   • セッション数で集計した上位10位のサイトです。

名前解決が可能なものはURLが表示されますが、それ以外の場合はIPアドレスが表示されます。IPアドレスのWHOIS情報を検索すると、接続先のサーバー情報（例：ドメイン所有者情報や国名等）を確認できる場合があります。

※ 危険が伴う可能性があるため、直接URLやIPアドレスへアクセスすることはお控えください

利用した覚えのないURLやIPアドレスが表示されている場合、PC内の常駐アプリケーションやツール、Webブラウザーのツールバー等が関連することがあります。

4-6. レポートの見方 - 上位カテゴリー

以下ではアプリケーションコントロールで分類されたカテゴリーの上位項目が表示されます。

1. 帯域幅別の上位カテゴリー
   • 帯域幅（送受信合計）で集計した上位10位のカテゴリーです。
2. セッション別の上位カテゴリー
   • セッション数で集計した上位10位のカテゴリーです。

■カテゴリー名の例

• High Bandwidth - 広帯域を利用するアプリケーション
  • YouTube、Dropbox、P2Pファイル共有 等
• Supports File Transfer - ファイル共有機能
  • Dropbox、Norton Online Backup 等
• Social Networking - ソーシャルネットワーキングアプリ
  • Facebook、Twitter、Ameba 等

定義されているアプリケーションのカテゴリについては、AppWiki（英語）をご覧ください。
https://appwiki.checkpoint.com/appwikisdb/public.htm

4-7. レポートの見方 - 上位ユーザー

このページには上位の利用ユーザーが表示されます。

1. 帯域幅別の上位ユーザ
   • 帯域幅（送受信合計）で集計した上位10位のユーザーです。
2. セッション別の上位ユーザ
   • セッション数で集計した上位10位のユーザーです。

※ このページは【ユーザ認識】ブレードを有効にしている場合のみ表示されます
※ ユーザー名はActive Directory等のユーザー管理機能を紐づけることにより表示されます

4-8. レポートの見方 - セキュリティー イベント

以下では、潜在的な高リスクアプリケーションへの接続上位項目が表示されます。

1. セッション別の上位の潜在的な高リスク
   • アプリケーション
     • UTXにより高リスクと判断されるアプリケーション名を表示します。
2. セッション別の上位の潜在的な高リスク
   • アプリケーションユーザ
     • 高リスクアプリケーションのセッション数が多い上位ユーザーを表示します。

   ※ ユーザー名は、【ユーザ認識】ブレードを有効にし、Active Directory等のユーザー管理機能を紐づけることにより表示されます

   セキュリティー イベントのページではセッション数に応じた順位が表示されます。

   ■セッション数とは

   • 接続先／アプリケーションに対して行われた接続回数です
   • セッション数が多いほど、利用回数／利用時間が多いことが分かります

4-9. レポートの見方 - 侵入 ＆ 攻撃イベント

以下では、発生した保護イベントと検知したマルウェアの上位項目が表示されます。

1. セッション数の上位保護
   • IPSブレードで保護（ブロック）されたセッション数が表示されます。

   ※ IPSシグネチャーに登録された保護名が表示されます

2. 上位マルウェア
   • 検出したマルウェア名と、その深刻度／インシデント数が表示されます。マルウェア名はCheck Point社が定義・命名した名称が表示されます。

   ※ 同じマルウェアでも、セキュリティーベンダーによって定義される名前が変動することがあります

   ■深刻度とは

   • 検出したマルウェアの、脅威としての深刻度を表します。

   ■インシデント数とは

   • マルウェアの動作が確認された件数を表します。
   • インシデント数が複数の場合、次のようなケースが考えられます。
     • 同じPCでダウンロード等の動作が複数回行われた
     • 別のPCで同じマルウェアが動作した

4-10. レポートの見方 - 感染したデバイス

このページには感染したデバイスの情報が表示されます。

1. 感染したデバイスの一覧
   • アンチボットにより、外部C&Cサーバーとの疑わしい通信が検出されたホスト／サーバーの一覧です。
2. 危険にさらされたホストの一覧
   • アンチウイルスにより、マルウェアへの感染に繋がる可能性のあるアクティビティーが検出されたホスト／サーバーの一覧です。

   ■アクティビティーの例

   • マルウェアに感染したファイルをダウンロードしようとした
   • マルウェア感染の疑われるウェブサイトや、安全でないウェブサイトへアクセスを行った
3. インシデント数別の上位感染ホストおよび危険にさらされたホスト
   • 検出されたマルウェアのアクティビティーの動作件数をホスト別に表示したものです。

■最後のインシデントとは

• マルウェアの動作が最後に検知された、またはマルウェアの感染に繋がる可能性のあるアクティビティーが最後に確認された日付です。

■掲載期間について

• 感染したデバイスの一覧／危険にさらされたホストの一覧に表示されるホストは、最後のインシデントから30日が経過すると一覧から消去されます。そのため、PCから脅威の駆除が完了していてもレポートの一覧に表示される場合があります。
• 具体的には、次のような例があります。
  • 駆除の完了した翌々週のウィークリーレポートで、同じデバイスが「感染したホスト」に掲載されている
  • 駆除の完了した翌月のマンスリーレポートで、同じデバイスが「危険にさらされたホストの一覧」に掲載されている

5. Q&A

5-1. Q&A - 一般

Q1) レポートを見ると、【○○○が非アクティブです】と表示される。

対応するブレード（機能）が有効になっているかをご確認ください。

• 該当のブレードが無効化されていると非アクティブ表示となります。
• ブレードを有効化いただいた上でレポートを再生成すると、検知情報が表示されるようになります。

※収集される情報は、ブレードを有効化にした後のものです

Q2) ブレードが有効になっているのに【○○○が非アクティブです】と表示される。

ブレード（機能）を一度OFFに変更し、再度ONにしてください。
それでも改善しない場合は、サポートセンターにご連絡ください。

Q3) レポートに表示されるトラフィック容量が【0バイト】となっている。

次の順番でご確認ください。

1. LANケーブルの配線をご確認ください。

   アプリケーションコントロールは【内部】→【外部】への通信でアプリケーションの利用を判定しています。インターネットへの接続が【WAN】に接続されていないと、トラフィック容量としてカウントされません。

2. アプリケーションコントロールを一度OFFに変更し、再度ONにしてください。
3. 上記を実施しても改善されない場合、サポートセンターにご連絡ください。

5-2. Q&A - よく検出される項目について

Q1) 侵入＆攻撃イベントで表示されるIPS保護の内容を知りたい。

頻出する4つの保護について、概要は次の通りです。

1. TCP Segment Limit Enforcement（TCPセグメント制限実施）

   あらかじめ設けられた制限を上回ったTCP 通信の件数です。 通常、TCPの通信では、通信先からの応答（ACK）があるまでその通信に関わる一時記憶データをUTX本体内のメモリに持ち続けます。
   IPSの【TCP Segment Limit Enforcement】保護では、あらかじめ通信の数やサイズに限度を設け、既に発生している通信に対して応答があるまで次の通信を受け付けないことで、UTXのメモリ使用率を抑えています。
   レポートには限度以上の通信をブロックした件数が出力されます。

2. TCP Urgent Data Enforcement（緊急データ実施）

   URGビットを削除した場合に記録されます。
   URG（Urgent = 緊急）ビットは、「この信号は優先的に送信して下さい」「即時にサービスを停止してください」といった緊急の指令を行うために使われており、TELNET（遠隔でサーバやパソコンを制御する通信規格）やFTP（ファイルを送受信する規格）などの一部サービスが対応しています。
   URGビットを含む通信を許可すると、UTXが内容をチェックしているデータと、サービスが受け取るデータの内容が食い違うことになり、結果としてIPS（不正侵入防止機能）が有効に動作しなくなります。
   また、このパケットを悪用してシステムのクラッシュを起こす攻撃もあるため、UTXは「このサービスでは使われていない信号である」と判断し、URG ビットを削除しています。
   「緊急性の低い念のための保護機能が、業務に影響しない範囲で動作した」とご認識いただいて問題ありません。

3. Potential network configuration problem

   RFC に準拠していない通信をブロックした場合に記録されます。
   RFC (Request For Comments) とはインターネットに関する技術の標準を定める文書で、TCP/IP の通信方法（IP パケットの構成等）が細かく定められています。 OS やプログラムによっては RFC に準拠していない通信をしていることがあり、そのような通信をUTXがブロックすることがあります。
   実際の攻撃ではなく、 TCP/IP 通信の標準ルールを厳格に守ることで、リスクを遠ざけているものです。
   このログが出ていても、業務に影響が出ることはほとんどございません。

4. Packet Sanity（パケットの正常性）

   通信パケットに含まれている概要の情報と実際のパケットの整合性をチェックし、異常なものをブロックします。
   概要の情報とは宅配便で言う「送り状」にあたります。言わば、送り状に書かれた内容と実際の荷物の中身が異なるものを「異常」と判断し、ブロックしていると言うことです。

   例えば、次のようなケースがあります。

   • 「lengthフィールド」に書かれたパケットの長さ情報と実際のパケットの長さが違う。
     → 攻撃または不正な通信と判断し、通信をブロックする。 (malformed packet)

   他にも、パケット・サイズ、UDP およびTCPヘッダ長、IPオプションの破棄、TCPフラグの確認などがあります。
   悪意あるユーザーによってパケットが改変されていないか、パケットの値がすべて正しいかを、UTXは常に確認しています。
   この保護に該当するケースは、往々にして攻撃者が無作為に攻撃の穴（脆弱性）が無いかを探している、偵察活動のような単純な攻撃です。