脅威からの保護
概要
脅威からの保護は、Sourcefire® SNORT® 侵入検知エンジンとAMPマルウェア対策テクノロジーで構成されています。AMPの詳細については、この記事を参照してください。
脅威からの保護は、アドバンスド セキュリティ エディション ライセンスでのみ使用可能です。
高度なマルウェア防御(AMP)
高度なマルウェア防御は、MXセキュリティ アプライアンスを介したHTTPファイルのダウンロードを検査し、AMPクラウドから取得した脅威インテリジェンスに基づいてファイルのダウンロードをブロックまたは許可します。 AMPの詳細については、この記事を参照してください。
AMPを有効にするには、Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Threat protection(脅威からの保護)ページで、Mode(モード)オプションをEnabled(有効)に設定します。.
トラフィックのフィルタリング時、URLまたはIDと実行されたアクションがセキュリティ センターでログに記録されます。
MX 12.20以上では、マルウェア防御にはアドバンスド マルウェア防御エンジンが採用されています。これより前のリリースでは、Kaspersky Labがマルウェア防御エンジンとして利用されています。
組織内のMXアプライアンスのファームウェア バージョンを確認し、ファームウェアのアップグレードをスケジュールするには、Organization(オーガナイゼーション) > Monitor(監視) > Firmware upgrades(ファームウェアのアップグレード)ページを参照してください。
誤検知の処理
場合によっては、管理者が安全とみなすファイルまたはURLをMXアプライアンスがブロックすることがあります。そのような場合には、コンテンツをホワイトリストに登録することによって、コンテンツまたはWebページのダウンロードを許可するようにMXに指示できます。
ホワイトリストへのURLの登録
ブロックされたURLを「Event log(イベント ログ)」ページで探して、「Allowlisted URLs(ホワイトリストに登録されたURL)」セクションに入力すると、今後そのURLは許可されます。
ホワイトリストへのIDの登録
ファイルやJavaScriptなど、URLではないオブジェクトについては、MXアプライアンスは一意のIDを割り当てます。ブロックされたアイテムは、「Event log(イベント ログ)」ページで確認できます。許可するオブジェクトのIDを「Allowlisted IDs(ホワイトリストに登録されたID)」セクションに入力することによって、URLが異なっている場合でも、検出されたシグネチャを許可するようにアプライアンスに指示できます。
侵入検知と防御
侵入検知は、LANとインターネット インターフェイス間、およびVLAN間を流れるすべてのパケットをSNORT® 侵入検知エンジンにフィードして、生成されたアラートをセキュリティ レポートに記録します。これらのアラートをSyslogからエクスポートすることもできます。
侵入検知は、不正であると判断されたトラフィックに対して、単にアラートを生成するのでなく、ブロックを行います。
侵入検知と防御の設定
侵入検知
侵入検知を有効にするには、Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Threat protection(脅威からの保護) > Intrusion detection and prevention(侵入の検出と防止)で、Mode(モード)をDetection(検出)に設定します。侵入検知を有効にすると、Ruleset(ルールセット)セレクタを使用して、以下の3つの検出ルールセットのいずれかを選択できます。
- Connectivity(コネクティビティ)::今年と過去2年間について、CVSSスコアが10の脆弱性に関するルールが含まれます。
- Balanced(バランス): 今年と過去2年間について、CVSSスコアが9以上であり、次のいずれかのカテゴリに属している脆弱性に関するルールが含まれます。
- マルウェアCNC:識別されたボットネット トラフィックについて、既知の不正なコマンドとコントロール アクティビティに関するルール。これには、Call Home、ドロップされたファイルのダウンロード、データ流出などが含まれます。
- ブラックリスト:不正なアクティビティの兆候と判断されたURI、ユーザ エージェント、DNSホスト名、およびIPアドレスに関するルール。
- SQLインジェクション:SQLインジェクションの試みを検出するためのルール。
- エクスプロイトキット: エクスプロイト キット アクティビティを検出するためのルール。
- セキュリティ:今年と過去3年間について、CVSSスコアが8以上であり、次のいずれかのカテゴリに属している脆弱性に関するルールを含んでいます。
- マルウェアCNC: 識別されたボットネット トラフィックについて、既知の不正なコマンドとコントロール アクティビティに関するルール。これには、Call Home、ドロップされたファイルのダウンロード、データ流出などが含まれます。
- ブラックリスト:不正なアクティビティの兆候と判断されたURI、ユーザ エージェント、DNSホスト名、およびIPアドレスに関するルール。
- SQLインジェクション:SQLインジェクションの試みを検出するためのルール。
- エクスプロイトキット:エクスプロイト キット アクティビティを検出するためのルール。
- アプリ検出:ネットワーク アクティビティを生成する特定のアプリケーションのトラフィックを検出して制御するルール。
デフォルトでは、Balanced(バランス)ルールセットが選択されます。
Cisco Merakiは適宜、Cisco Talos脅威インテリジェンス グループからの推奨などのさまざまな要素に基づいて、上記の基準に該当しないシグネチャを追加することがあります。
侵入防止
侵入防止を有効にするには、Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Threat protection(脅威からの保護) > Intrusion detection and prevention(侵入の検出と防止)でMode(モード)ドロップダウンを Prevention(防止)に設定します。上記で指定された検出ルールセットに基づいて、不正と検知されたトラフィックは自動的にブロックされます。
ホワイトリストへのシグネチャの追加
特定のSNORT® シグネチャをホワイトリストに追加するには、Allowlist an IDS rule(IDSルールをホワイトリストに登録)をクリックします。トラフィックに一致するシグネチャは、アプライアンスによって認識されるとSelect an Option(オプションを選択)ドロップダウンに表示され、ユーザはホワイトリストに追加するシグネチャを選択できます。
セキュリティ レポート
脅威からの保護を有効にすると、Security & SD-WAN(セキュリティ & SD-WAN) > Monitor(監視) > Security center(セキュリティ センター)からセキュリティ レポートにアクセスできます。レポートには、ネットワーク内の侵入検知イベントがグラフィカルに表示されます。
セキュリティの脅威は、次のように分類されます。
- シグネチャ(SNORT®により定義)
- ネットワーク
- クライアント
これらのカテゴリでセキュリティ イベントをフィルタリングできます。