クラウド管理の Fireboxes の場合は、以下のセキュリティ サービスを使用してコンテンツ フィルタを構成することができます。
- Gateway AntiVirus
- IntelligentAV
- APT Blocker
コンテンツ スキャンを Firebox 経由のトラフィックに適用するには、コンテンツ スキャンをファイアウォール ポリシーでも有効にしておく必要があります。ポリシー設定の詳細については、次を参照してください:ファイアウォール ポリシーでセキュリティ サービスを構成する。
Gateway AntiVirus を構成する
Gateway AntiVirus 登録サービスは、SMTP、IMAP、POP3、HTTP、FTP、明示的、および TCP/UDP プロキシで機能し、新たな攻撃を特定してそのウイルスに固有な特徴を記録します。これらの記録された特徴は、署名と言われます。Gateway AntiVirus では、コンテンツがプロキシによってスキャンされる際に、署名を使用してウイルスが検出されます。Gateway AntiVirus を有効にすると、自動的に最新の署名が使用されます。
プロキシで Gateway AntiVirus を有効にする方法の詳細については、次を参照してください:プロキシ ポリシーの Gateway AntiVirus を有効化する。
WatchGuard Cloud では、ウイルスが検出された場合、エラーが発生した場合、スキャンされたコンテ ンツが構成されているサイズ制限を超えた場合、またはスキャンされたコンテンツが暗号化されている場合に Gateway AntiVirus が実行するアクションを構成することができます。スキャン サイズ制限の設定方法の詳細については、次を参照してください:詳細設定を構成する。ウイルスが検出された場合は アラーム オプションを選択することをお勧めします。
Gateway AntiVirus を構成するには、以下の手順を実行します。
- 構成 > デバイス の順に選択します。
- クラウド管理の Firebox を選択します。
選択された Firebox のステータスと設定が表示されます。 - デバイス構成 を選択します。
デバイス構成ページに、WatchGuard Cloud のセキュリティ サービスが表示されます。 - コンテンツ スキャン タイルをクリックします。
コンテンツ スキャン ページが開きます。
- 設定 タブで、Gateway AntiVirus を有効にします。
- アクション 列でにある各ステータスの ドロップ チェックボックスを選択して、Firebox が接続をドロップするタイミングを指定します。
- ウイルスが検知された場合 — Gateway AntiVirus が電子メール メッセージ、ファイル、Web ページ、または Web アップロードでウイルスを検出すると、Firebox はパケットと接続をドロップします。メッセージの発信元には情報は送信されません。
- スキャン エラーが発生した場合 — Firebox がオブジェクトや添付ファイルをスキャンできない場合、Firebox はパケットと接続をドロップします。メッセージの発信元には情報は送信されません。
- コンテンツがスキャン サイズ制限を超えた場合 — コンテンツのスキャン サイズが設定されている制限を超えた場合、Firebox はパケットと接続をドロップします。メッセージの発信元には情報は送信されません。
- コンテンツが暗号化されている場合 — ファイルが暗号化されている、パスワードで保護されている、 または Gateway AntiVirus でサポートしていないタイプの圧縮 (パスワードで保護された ZIP ファイルなど) が使用されているなどの理由で Gateway AntiVirus がスキャンを実行できない場合、Firebox はパケットと接続をドロップします。メッセージの発信元には情報は送信されません。
- アラームを生成するには、アラーム チェックボックスを選択します。
アラームを設定しない場合は、アラーム チェックボックスをクリアします。
- 構成変更をクラウドに保存するには、保存 をクリックします。
IntelligentAV を構成する
Gateway AntiVirus セキュリティ サービスの保護を強化するには、IntelligentAV を有効化します。IntelligentAV が有効になっている場合、Gateway AntiVirus では 2 つのスキャン エンジンが連携して機能するため、マルウェアがネットワークに侵入する前に、Firebox でそれを検出・ブロックする機能が強化されます。
IntelligentAV では、署名ではなく人工知能を使用して、既知または未知のマルウェアが特定されてブロックされます。IntelligentAV は Gateway AntiVirus でサポートされているすべてのプロキシで動作します。詳細については、IntelligentAV について を参照してください 。
APT Blocker を有効にするには、まず Gateway AntiVirus を有効にする必要があります。
IntelligentAV を構成するには、以下の手順を実行します。
- 構成 > デバイス の順に選択します。
- クラウド管理の Firebox を選択します。
選択された Firebox のステータスと設定が表示されます。 - デバイス構成 を選択します。
- コンテンツ スキャン タイルをクリックします。
コンテンツ スキャン ページが開きます。
- 設定 タブで、IntelligentAV を有効にします。
IntelligentAV について、個別に設定する項目はありません。
- 構成変更をクラウドに保存するには、保存 をクリックします。
APT Blocker を構成する
高度な持続的脅威 (APT) 攻撃は、高度なマルウェアやゼロデイ エクスプロイトを悪用してネットワークや機密データに長期間侵入するネットワーク攻撃の一種です。APT Blocker は、フル システム エミュレーション分析を利用する登録サービスで、ネットワーク内に入り込んだファイルやメール添付ファイル内の APT マルウェアの特性や動作を特定します。APT Blocker は、ウイルス対策プログラムのような他の従来型のスキャナとは異なり、署名を使用しません。詳細については、APT Blocker について を参照してください 。
APT Blocker により、脅威の重大度に基づいて APT アクティビティが分類されます。WatchGuard Cloud では、脅威のレベル (高、中、低) ごとに取るべきアクションを設定することができます。クリーン脅威レベルは、APT Blocker が分析したファイルで、クリーンでありマルウェアを含まないと判定されたもののステータスを追跡するのに役立ちます。すべての脅威レベルに対し、APT Blocker 構成で アラーム オプションを選択し、APT Blocker アクティビティを監視することをお勧めします。
APT Blocker を有効にするには、まず Gateway AntiVirus を有効にする必要があります。
APT Blocker を構成するには、以下の手順を実行します。
- 構成 > デバイス の順に選択します。
- クラウド管理の Firebox を選択します。
選択された Firebox のステータスと設定が表示されます。 - デバイス構成 を選択します。
- コンテンツ スキャン タイルをクリックします。
コンテンツ スキャン ページが開きます。
- 設定 タブで、APT Blocker を有効にします。
- アクション 列で、APT Blocker が接続をドロップする脅威レベルごとに ドロップ チェックボックスを選択します。
- 脅威のレベルのアラームをトリガするには、アラーム チェックボックスを選択します。
アラームを設定しない場合は、その脅威のレベルの アラーム チェックボックスをクリアします。
- 構成変更をクラウドに保存するには、保存 をクリックします。
詳細設定を構成する
ファイル スキャン の設定は、Gateway AntiVirus と IntelligentAV でスキャンできるファイルの最大サイズを制御します。スキャン制限により、APT Blocker から分析のために送信されるファイルの最大サイズも制御されます。Gateway AntiVirus の既定のスキャン サイズは、各 Firebox モデルのハードウェア機能に基づいて設定されます。すべてのモデルの最小スキャン サイズは 1 MB です。
スキャン制限の詳細については、Gateway AntiVirus スキャン制限について を参照してください。
ファイルのスキャン サイズを構成するには、以下の手順を実行します。
- 詳細 タブを選択します。
ファイル スキャンの既定値と最大値は、Firebox のモデルによって異なり、既定では推奨値に設定されています。
- スキャン サイズ制限 テキスト ボックスに、ファイルのスキャン サイズ制限をキロバイト単位で入力します。
- 構成変更をクラウドに保存するには、保存 をクリックします。