Check Point OPSEC (Open Platform for Security) の設定 親トピック

手順

  1. Check Pointのアプライアンスを設定します。
    1. Check Pointのアプライアンスで、SAMの通信モードポートを確認または設定します。
      詳細については、セキュリティゲートウェイの事前設定を参照してください。
    2. Check Pointのアプライアンスで、OPSECアプリケーションを設定します。
      詳細については、保護された接続を設定するを参照してください。
    3. Check Pointのアプライアンスで、SAMファイルの削除を有効にします。
      1. Check Point SmartDashboardを開きます。
      2. [Other] を展開し、[SAM] に移動します。
      3. [Purge SAM file when it reaches:] を有効にします。
      4. ファイルサイズを指定します。
      5. [OK] をクリックします。
      6. 保存します。
    4. Check Pointのアプライアンスで、セキュリティポリシーを設定します。
      1. Check Point SmartConsoleを開きます。
      2. [SECURITY POLICIES] タブで、[Access Control][Policy] の順に選択します。
        checkpoint_SecurityP.png
      3. ルールを追加するには、[Add rule above] アイコン (admin_intgr-prods_se_001.jpg) をクリックします。
      4. 新しいポリシーを設定するには、Actionを右クリックします。
      5. 処理を [Accept] に変更します。
      6. 送信元を右クリックします。
        checkpoint_AddPolicy.png
      7. [Add new items...] を選択します。
      8. 新規アイコン (checkpoint_icon.jpg) をクリックします。
        checkpoint_AddPolicy_001.png
      9. [Address Ranges][Address Range...] の順に選択します。
        [New Address Range] 画面が表示されます。
        checkpoint_AddPolicy_002.png
      10. [Enter Object Name] フィールドにDDIと入力します。
      11. [First IP address] には、Deep Discovery InspectorのIPアドレスを入力します。
      12. [Last IP address] には、Deep Discovery InspectorのIPアドレスを入力します。
      13. [OK] をクリックします。
      14. Destinationを右クリックします。
      15. [Add new items...] を選択します。
      16. 新規アイコン (checkpoint_icon.jpg) をクリックします。
      17. [Address Ranges][Address Range...] の順に選択します。
        [New Address Range] 画面が表示されます。
        checkpoint_AddPolicy_002.png
      18. [Enter Object Name] フィールドにCheckPointと入力します。
      19. [First IP address] には、CheckPointのIPアドレスを入力します。
      20. [Last IP address] には、CheckPointのIPアドレスを入力します。
      21. [OK] をクリックします。
      22. [Install Policy] をクリックします。
        次の画面が表示されます。
        checkpoint_SmartCons.png
      23. [Publish & Install] をクリックします。
      24. [Install] をクリックします。
        Check Pointのアプライアンスで、Deep Discovery Inspectorからの不審オブジェクトおよびC&Cコールバックアドレスの受信が有効になります。
  2. Deep Discovery Inspectorを設定します。
    1. Deep Discovery Inspectorの管理コンソールで、[管理][統合製品/サービス][インライン製品/サービス] の順に選択します。
    2. [Check Point Open Platform for Security (OPSEC)] を選択します。
    3. 接続の種類を選択します。
      注意
      注意
      ネットワーク設定で、Deep Discovery InspectorからCheck Pointのアプライアンスへの接続が許可されていることを確認します。
      Deep Discovery Inspectorでは接続先のCheck Pointで設定されている保護された接続ポートまたは通常の接続ポートを介して接続することがあります。また、Deep Discovery Inspectorは、18210番ポートを介してCheck Pointのアプライアンスから証明書を取得します。
      [保護された接続] を選択した場合、[OPSECアプリケーション名] 設定と [SICワンタイムパスワード] 設定が表示されます。
    4. サーバのアドレスを入力します。
      注意
      注意
      サーバアドレスは、インライン製品のIPv4アドレスまたは完全修飾ドメイン名である必要があります。
    5. ポート番号を入力します。
      注意
      注意
      このポート番号は、セキュリティゲートウェイに設定されているポート番号と同じである必要があります。詳細については、セキュリティゲートウェイの事前設定を参照してください。
    6. [保護された接続] を選択した場合は、[OPSECアプリケーション名][SICワンタイムパスワード] を入力します。
      詳細については、保護された接続を設定するを参照してください。
      注意
      注意
      Check Pointのアプライアンスでワンタイムパスワードがリセットされた場合、新しいワンタイムパスワードには、以前とは異なるものを使用する必要があります。
    7. (オプション) [接続テスト] をクリックします。
    8. [オブジェクトの配信][有効] をクリックします。
      [使用許諾契約/利用規約] が開きます。
    9. [使用許諾契約/利用規約] を読み、同意できる場合は同意します。
      注意
      注意
      この製品/サービスとの連携を有効にするには、[使用許諾契約/利用規約] に同意する必要があります。
    10. (オプション) 新しい [実行間隔] を選択します。
    11. 次の条件を設定して、不審オブジェクトおよびC&Cコールバックアドレスの情報をDeep Discovery InspectorからCheck Pointのアプライアンスに送信します。
      • オブジェクトの種類:
        • C&Cコールバックアドレス
          • IPv4アドレス
        • 不審オブジェクト
          • IPv4アドレス
      • リスクレベル:
        • 高のみ
        • 高および中
        • 高、中、および低
    12. [詳細設定] で、次の処理のいずれかを選択します。
      • 拒否: パケットが拒否され、パケットが拒否された通信先に通知が送信されます。
      • 破棄: パケットは破棄されますが、通信先には通知が送信されません。
      • 通知: 定義されたアクティビティについて通知が送信されますが、そのアクティビティはブロックされません。
    13. [保存] をクリックします。
    14. (オプション) [配信] をクリックして、不審オブジェクトおよびC&CコールバックアドレスをCheck Pointのアプライアンスにただちに配信します。
  3. Deep Discovery Inspectorから配信された不審オブジェクトおよびC&CコールバックアドレスをCheck PointのSmartView Monitorで表示するには、次の手順を実行します。
    1. Check Point SmartConsoleで、[Logs & Monitor] に移動します。
    2. 新しいタブを追加します。
      checkpoint_NewTab.png
    3. [Tunnels & User Monitoring] をクリックして、SmartView Monitorを開きます。
    4. [Launch Menu] アイコンをクリックして、[Tools][Suspicious Activity Rules] の順にクリックします。
      [Enforced Suspicious Activity Rules] 画面が開きます。
    5. [Show On] で目的のアプライアンス名を選択します。
    6. [Refresh] をクリックします。
    Deep Discovery Inspectorから配信された不審オブジェクトおよびC&Cコールバックアドレスが表示されます。