このトピックでは、Cloud Firewall の攻撃防止機能に関するよくある質問 (FAQ) に回答します。
スキャナー IP アドレスの許可リスト登録
原因
Security Center がアプリケーションの脆弱性をスキャンする際、インターネット経由の攻撃をシミュレートします。これにより、Cloud Firewall の攻撃防止ポリシーまたはアクセス制御ポリシーがトリガーされる可能性があります。
解決策
脆弱性スキャンを実行する場合は、Security Center およびその他のスキャナーの IP アドレスを Cloud Firewall の攻撃防止ホワイトリストに追加します。Security Center が使用するスキャナー IP アドレスのリストについては、「アプリケーション脆弱性の Web スキャナー IP アドレス」をご参照ください。Cloud Firewall で攻撃防止ホワイトリストを設定する方法については、「ホワイトリストの設定」をご参照ください。また、Security Center スキャナーの IP アドレスをアドレス帳に追加し、そのアドレス帳をホワイトリストで参照することもできます。アドレス帳の作成方法については、「アドレス帳」をご参照ください。
ブロックモードで攻撃トラフィックがブロックされない
原因
基本保護、仮想パッチ、または脅威インテリジェンスのスイッチがオフになっています。
一致するトラフィックを許可するようにホワイトリストが設定されています。
脅威エンジンはブロックモードに設定されていますが、攻撃トラフィックに一致するルールが監視のみをサポートしている (ブロックモードのレベルを問わずトラフィックを監視する) か、またはそのカスタムアクションが監視に設定されています。
解決策
基本保護、仮想パッチ、脅威インテリジェンスを有効にします。詳細については、「高度な防止設定」をご参照ください。
ホワイトリストを確認します。詳細については、「ホワイトリストの設定」をご参照ください。
ブロックモードと現在のアクションを変更します。詳細については、「IPS の設定」をご参照ください。
脆弱性防止ページにデータが表示されない
この問題には、いくつかの原因が考えられます:
Cloud Firewall は、攻撃トラフィック内のエクスプロイト試行を分析して保護を提供します。脆弱性が活発に悪用されていない場合、その脆弱性に対する保護データは表示されません。
Cloud Firewall は、ネットワークスキャンによって検出された脆弱性のみを同期し、Security Center のソフトウェアコンポーネント分析 (SCA) 機能によって検出された脆弱性は同期しません。
Cloud Firewall は、公開されているアセットの脆弱性のみを同期し、内部アセットの脆弱性は同期しません。
脆弱性防止の詳細については、「IPS の設定」をご参照ください。
攻撃サンプルの取得
サイバーキルチェーンによる防御の強化
攻防演習がより体系的、広範、かつ恒常的になるにつれて、攻撃者はフィッシング、サプライチェーン攻撃、水飲み場型攻撃などの、よりステルス性の高い手法に移行しています。サイバーキルチェーンは攻撃の各段階を概説し、各ステップで検知と対応の機会を提供します。サイバーキルチェーンを適用してネットワークへの侵入を防止するには、強力なインテリジェンスとデータ分析能力が必要です。Cloud Firewall は、攻撃対象領域の縮小、迅速な攻撃対応、侵害検知、ログトレースを通じて、検知と対応の能力を強化します。
攻撃対象領域の縮小:インターネットに公開されているアセットを特定し、インバウンドおよびアウトバウンドのアクセス制御ポリシーを使用して、ネットワークの攻撃対象領域を縮小します。詳細については、「アクセス制御」をご参照ください。
迅速な攻撃対応:侵入防止システム (IPS) と仮想パッチが攻撃を自動的に遮断します。脅威インテリジェンスは、ネットワーク全体の攻撃トレンドを把握し、スキャンや侵入活動のブロックに役立ちます。詳細については、「侵入防止」および「IPS の設定」をご参照ください。
侵害検知:攻撃を分析、特定、追跡し、タイムリーな対応と修復を可能にします。アウトバウンド接続の検知により、ホストのアウトバウンド活動に関するリアルタイムデータが提供され、不審なホストに迅速に対処できます。セキュアフォワードプロキシとインテリジェントポリシー機能により、内部ネットワークからインターネットへのトラフィックを制御および保護できます。詳細については、「侵害検知」をご参照ください。
ログトレース:脅威検出エンジンが侵入に関する詳細情報を検知し、記録します。ログサービスを使用することで、収集したアクセスログや攻撃防止ログに対して詳細な分析や脅威の追跡を行い、アラート処理を自動化できます。詳細については、「ログ監査」をご参照ください。
侵害の認識と推奨ポリシー
侵害検知の実装
クラウドの脅威はますます多様化・複雑化しており、高度標的型攻撃 (APT) などの高度な脅威は重大な課題となっています。侵害されたホストは攻撃者に制御されたマシンであり、内部ネットワーク上の他のホストに侵入するための踏み台として使用される可能性があります。サイバーキルチェーンモデルによれば、エクスプロイト段階の後、攻撃者はインストール、コマンドアンドコントロール、データ取得、ラテラルムーブメントに進む可能性があります。侵害検知機能は、攻撃の分析、特定、追跡を支援し、タイムリーな対応と修復を可能にし、攻撃の影響を最小限に抑えます。Cloud Firewall の脅威検出エンジンは、侵入に関する詳細情報を検知して記録します。アウトバウンド接続の検知機能は、ホストからのアウトバウンド活動に関するリアルタイムデータを表示し、不審なホスト活動を迅速に特定するのに役立ちます。
セキュリティポリシーの設定
Cloud Firewall でノースサウスのアクセス制御ポリシーを設定し、攻撃対象領域を縮小します。詳細については、「インターネット境界ファイアウォールのアクセス制御ポリシーの設定」をご参照ください。
Cloud Firewall の侵入防止 (IPS) 機能を有効にして、インターネットからクラウドホストへの侵入を遮断します。詳細については、「IPS の設定」をご参照ください。
セキュアフォワードプロキシとインテリジェントポリシー機能を使用して、内部ネットワークからインターネットへのトラフィックを制御および保護します。詳細については、「アクセス制御」をご参照ください。
アウトバウンド接続の検知と侵害検知に関する Cloud Firewall のアラートを監視し、迅速に対応します。詳細については、「アラート通知」をご参照ください。
透過型 WAF 使用時の侵入防止イベントの確認
侵入防止イベントは WAF で表示できます。詳細については、「セキュリティレポート」をご参照ください。
IPS と脅威インテリジェンスのバージョンの確認
Cloud Firewall コンソールにログインします。ナビゲーションペインで、 を選択します。
ページの右上隅で、ルールライブラリと脅威インテリジェンスのバージョン番号を確認します。