TDR でネットワーク イベントと Host Sensor イベントが効果的に関連するように、Firebox でプロキシ ポリシーとサービスを有効化することをお勧めします。
ネットワーク イベントに関するログ メッセージが Firebox から TDR アカウントに送信されるため、接続がブロック、ドロップ、または拒否されたときにログ メッセージが送信されるように Firebox を構成することが重要です。
Firebox で Threat Detection and Response を有効化する場合は、以下のようにポリシーを構成することをお勧めします。
- ネットワーク トラフィックを検査し、脅威とみなされるトラフィックを許可しない
- Gateway AntiVirus、IPS、APT Blocker、WebBlocker、および Reputation Enabled Defense を有効化する
- 拒否、ドロップ、およびブロック アクションのログ メッセージを生成する
脅威が特定されたときに、Firebox で接続が検査され、措置が実行されるようにするには、プロキシ ポリシーとサービスを構成する必要があります。プロキシ アクションを構成する際は、ログ記録を有効化し、すべての拒否、ブロック、またはドロップ アクションに関するログ メッセージが生成されるようになっていることを確認します。たとえば、アウトバウンド HTTP、SMTP、および DNS 接続を調べる場合は、以下のポリシーを Firebox 構成に追加します。
HTTP プロキシ
プロキシ アクション — HTTP-Client.Standard または Default-HTTP-Client
プロキシ アクションで Gateway AntiVirus、APT Blocker、WebBlocker、および Reputation Enabled Defense を有効化する
プロキシ アクションで拒否、ドロップ、およびブロック アクションのログ記録を有効化する
HTTPS プロキシ
プロキシ アクション — HTTPS-Client.Standard または Default-HTTPS-Client
プロキシ アクション — HTTP-Client.Standard または Default-HTTP-Client プロキシ アクションで、コンテンツ インスペクションを有効化する
プロキシ アクションで Gateway AntiVirus、APT Blocker、WebBlocker、および Reputation Enabled Defense を有効化する
プロキシ アクションで拒否、ドロップ、およびブロック アクションのログ記録を有効化する
SMTP プロキシ
プロキシ アクション — SMTP-Client.Standard
プロキシ アクションで Gateway AntiVirus と APT Blocker を有効化する
プロキシ アクションで拒否、ドロップ、およびブロック アクションのログ記録を有効化する
Firebox でネットワークのサーバーやその他のリソースへの接続が許可されている場合は、受信トラフィックを検査するようにプロキシ ポリシーが構成されており、プロキシ アクションで拒否、ドロップ、およびブロック アクションのサービスとログ記録が有効化されていることを確認してください。