着信ファイルは、セキュリティ サービスにより次の順序で処理されます:
Gateway AntiVirus > APT Blocker > Data Loss Prevention
APT Blocker チェックは、ファイルが Gateway AntiVirus スキャンで許可されている場合にのみ行われます。APT Blocker を使用するには、APT Blocker と Gateway AntiVirus を有効にする機能キーが必要です。Data Loss Prevention アクションは、Gateway AntiVirus または APT Blocker でファイルが許可されている場合にのみ適用されます。
APT Blocker ファイル送信のトラブルシューティング
最初の検査時に、ファイルの MD5 ハッシュ チェックが行われます。以前に解析されたファイルに一致するものがない場合、そのファイルはデータセンターに送信され、解析を受ける必要があります。
ファイルが正常に送信されると、参照のために タスク uuid が割り当てられ、以下のようにログ メッセージに含まれます:
Allow 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 34063 80 msg="ProxyAllow: HTTP File submitted to APT analysis server" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/test/sample.exe" md5="dd0af53fec2267757cd90d633acd549a" task_uuid="35c8ac1aaeee4e5186d584318deb397b" (HTTP-proxy-00)
ファイルがデータセンターに送信され、脅威として特定されると、APT Blocker 通知が送信されたことを知らせるイベント ログが生成されます。
APT 脅威通知。Details='Policy Name: HTTPS-proxy-00 Reason: high APT threat detected Task_UUID: d09445005c3f4a9a9bb78c8cb34edc2a Source IP: 10.0.1.2 Source Port: 43130 Destination IP: 67.228.175.200 Destination Port: 443 Proxy Type: HTTP Proxy Host: analysis.lastline.com Path: /docs/apt_sample.exe'
APT Blocker が脅威を検出すると、この種のログ メッセージが表示されます。ログ メッセージは、脅威レベル、脅威名、脅威クラス、悪質なアクティビティ、送信先ホスト名および URI パスを示します。
Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.20 192.168.3.30 48120 80 msg="ProxyDrop: HTTP APT Detected" proxy_act="HTTP-Client.1" host="192.168.3.30" path="/apt_sample.exe" md5="2e77cadb722944a3979571b444ed5183"
このタイプのログ メッセージは、ハッシュ ファイル チェックまたはデータセンターへのアップロードによりファイルがスキャンされた結果、クリーンでマルウェアがないと判断された場合に表示されます。
Allow 2-Internal 0-External tcp 172.16.182.27 172.16.180.32 52816 80 msg="ProxyAllow: HTTP File reported safe from APT hash check" proxy_act="HTTP-Client.Standard.1" host="172.16.180.32" path="/VOD/5k_end.zip" md5="221f11af6a29be878ad54f164304f1f2" task_uuid="d1eb81f2519c466e93db4827167dd935" (HTTP-proxy-00)