UTX100/UTX200のセキュリティーレポートの確認方法について解説します。設置環境のセキュリティー状態の認識やトラブルシューティングにご活用ください。
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。
※推奨:Google Chrome, Mozilla Firefox
https://UTXのIP:4434
※ 実際の画面では、UTXのIPアドレスが表示されます
セキュリティーレポートでは、指定した期間ごとに次の3項目が表示されます。
期間の指定は「毎月」、「毎週」、「毎日」、「毎時」が可能です。また、レポートに表示される内容については、次の2つの要素が重要な関連性を持ちます。
以下、これらの2つの要素について解説します。
セキュリティーレポートに表示される時間は、以下のように丸め処理されています。
1分毎の間隔で処理されます。例えば「10:15:45 AM」にレポートを生成した場合、レポートは「9:15 AM〜10:15 AMのデータ」になります。
1時間毎の間隔で処理されます。例えば「9:15 AM」にレポートを生成した場合、レポートは「その日の9:00 AMから24時間遡った24時間分のデータ」になります。
2時間毎の間隔で、0:00、2:00、4:00、6:00といった偶数時間で処理されます。
例えば「9:55 AM」にレポートを生成した場合、レポートは「その日の8:00 AMから1週間遡った1週間分のデータ」になります。
4時間毎の間隔で、0:00、4:00、8:00、12:00といった4の倍数の時間で処理されます。
例えば「11:15 AM」にレポートを作成した場合、レポートは「その日の8:00 AMから1ヶ月間遡った1ヶ月分のデータ」になります。
UTXの起動後(設置後やアップデート後)最初の24時間は、次回のレポート生成までの時間にもう1回分の待ち時間がシステムで追加されます。
例えば、再起動後にレポート(毎週)を生成する場合、UTXでは、起動から最初の生成時間までの差分時間に加え、1回分の生成時間である2時間を追加で待つ必要があります。
※ 起動後最初のレポート生成時間は2:00 AMですが、その次の生成時間まで待ち時間が追加されます
※ 起動後最初のレポート生成時間は4:00 AMですが、その次の生成時間まで待ち時間が追加されます
※ 起動後最初のレポート生成時間は10:00 AMですが、その次の生成時間まで待ち時間が追加されます
以下に、月次レポートを例として実際のレポートの見方を解説します。レポートの最初のページにはサマリー(概要)が表示されます。
※ 上位ランクの各リンクをクリックすると、該当するレポートのページを表示できます
目次の項目はリンクになっており、クリックすると選択したセクションへ直接移動できます。また、インスペクションを行っているUTXの機能は項目ごとに異なります。
以下ではネットワーク使用量の統計が表示されます。
以下では、Check Point社で定義されたアプリケーション別の上位項目が表示されます。
定義されているアプリケーションの詳細については、AppWiki(英語)をご覧ください。
https://appwiki.checkpoint.com/appwikisdb/public.htm
このページには上位のアクセス先サイトが表示されます。
名前解決が可能なものはURLが表示されますが、それ以外の場合はIPアドレスが表示されます。IPアドレスのWHOIS情報を検索すると、接続先のサーバー情報(例:ドメイン所有者情報や国名等)を確認できる場合があります。
※ 危険が伴う可能性があるため、直接URLやIPアドレスへアクセスすることはお控えください
利用した覚えのないURLやIPアドレスが表示されている場合、PC内の常駐アプリケーションやツール、Webブラウザーのツールバー等が関連することがあります。
以下ではアプリケーションコントロールで分類されたカテゴリーの上位項目が表示されます。
定義されているアプリケーションのカテゴリについては、AppWiki(英語)をご覧ください。
https://appwiki.checkpoint.com/appwikisdb/public.htm
このページには上位の利用ユーザーが表示されます。
※ このページは【ユーザ認識】ブレードを有効にしている場合のみ表示されます
※ ユーザー名はActive Directory等のユーザー管理機能を紐づけることにより表示されます
以下では、潜在的な高リスクアプリケーションへの接続上位項目が表示されます。
※ ユーザー名は、【ユーザ認識】ブレードを有効にし、Active Directory等のユーザー管理機能を紐づけることにより表示されます
セキュリティー イベントのページではセッション数に応じた順位が表示されます。
以下では、発生した保護イベントと検知したマルウェアの上位項目が表示されます。
※ IPSシグネチャーに登録された保護名が表示されます
※ 同じマルウェアでも、セキュリティーベンダーによって定義される名前が変動することがあります
このページには感染したデバイスの情報が表示されます。
対応するブレード(機能)が有効になっているかをご確認ください。
※収集される情報は、ブレードを有効化にした後のものです
ブレード(機能)を一度OFFに変更し、再度ONにしてください。
それでも改善しない場合は、サポートセンターにご連絡ください。
次の順番でご確認ください。
アプリケーションコントロールは【内部】→【外部】への通信でアプリケーションの利用を判定しています。インターネットへの接続が【WAN】に接続されていないと、トラフィック容量としてカウントされません。
頻出する4つの保護について、概要は次の通りです。
あらかじめ設けられた制限を上回ったTCP 通信の件数です。
通常、TCPの通信では、通信先からの応答(ACK)があるまでその通信に関わる一時記憶データをUTX本体内のメモリに持ち続けます。
IPSの【TCP Segment Limit Enforcement】保護では、あらかじめ通信の数やサイズに限度を設け、既に発生している通信に対して応答があるまで次の通信を受け付けないことで、UTXのメモリ使用率を抑えています。
レポートには限度以上の通信をブロックした件数が出力されます。
URGビットを削除した場合に記録されます。
URG(Urgent = 緊急)ビットは、「この信号は優先的に送信して下さい」「即時にサービスを停止してください」といった緊急の指令を行うために使われており、TELNET(遠隔でサーバやパソコンを制御する通信規格)やFTP(ファイルを送受信する規格)などの一部サービスが対応しています。
URGビットを含む通信を許可すると、UTXが内容をチェックしているデータと、サービスが受け取るデータの内容が食い違うことになり、結果としてIPS(不正侵入防止機能)が有効に動作しなくなります。
また、このパケットを悪用してシステムのクラッシュを起こす攻撃もあるため、UTXは「このサービスでは使われていない信号である」と判断し、URG ビットを削除しています。
「緊急性の低い念のための保護機能が、業務に影響しない範囲で動作した」とご認識いただいて問題ありません。
RFC に準拠していない通信をブロックした場合に記録されます。
RFC (Request For Comments) とはインターネットに関する技術の標準を定める文書で、TCP/IP の通信方法(IP パケットの構成等)が細かく定められています。 OS やプログラムによっては RFC に準拠していない通信をしていることがあり、そのような通信をUTXがブロックすることがあります。
実際の攻撃ではなく、 TCP/IP 通信の標準ルールを厳格に守ることで、リスクを遠ざけているものです。
このログが出ていても、業務に影響が出ることはほとんどございません。
通信パケットに含まれている概要の情報と実際のパケットの整合性をチェックし、異常なものをブロックします。
概要の情報とは宅配便で言う「送り状」にあたります。言わば、送り状に書かれた内容と実際の荷物の中身が異なるものを「異常」と判断し、ブロックしていると言うことです。
例えば、次のようなケースがあります。
他にも、パケット・サイズ、UDP およびTCPヘッダ長、IPオプションの破棄、TCPフラグの確認などがあります。
悪意あるユーザーによってパケットが改変されていないか、パケットの値がすべて正しいかを、UTXは常に確認しています。
この保護に該当するケースは、往々にして攻撃者が無作為に攻撃の穴(脆弱性)が無いかを探している、偵察活動のような単純な攻撃です。