手順

1. Check Pointのアプライアンスを設定します。
   1. Check Pointのアプライアンスで、SAMの通信モードポートを確認または設定します。
      詳細については、セキュリティゲートウェイの事前設定を参照してください。
   2. Check Pointのアプライアンスで、OPSECアプリケーションを設定します。
      詳細については、保護された接続を設定するを参照してください。
   3. Check Pointのアプライアンスで、SAMファイルの削除を有効にします。
      1. Check Point SmartDashboardを開きます。
      2. [Other] を展開し、[SAM] に移動します。
      3. [Purge SAM file when it reaches:] を有効にします。
      4. ファイルサイズを指定します。
      5. [OK] をクリックします。
      6. 保存します。
   4. Check Pointのアプライアンスで、セキュリティポリシーを設定します。
      1. Check Point SmartConsoleを開きます。
      2. [SECURITY POLICIES] タブで、[Access Control] → [Policy] の順に選択します。
         
      3. ルールを追加するには、[Add rule above] アイコン () をクリックします。
      4. 新しいポリシーを設定するには、Actionを右クリックします。
      5. 処理を [Accept] に変更します。
      6. 送信元を右クリックします。
         
      7. [Add new items...] を選択します。
      8. 新規アイコン () をクリックします。
         
      9. [Address Ranges] → [Address Range...] の順に選択します。
         [New Address Range] 画面が表示されます。
         
      10. [Enter Object Name] フィールドにDDIと入力します。
      11. [First IP address] には、Deep Discovery InspectorのIPアドレスを入力します。
      12. [Last IP address] には、Deep Discovery InspectorのIPアドレスを入力します。
      13. [OK] をクリックします。
      14. Destinationを右クリックします。
      15. [Add new items...] を選択します。
      16. 新規アイコン () をクリックします。
      17. [Address Ranges] → [Address Range...] の順に選択します。
          [New Address Range] 画面が表示されます。
          
      18. [Enter Object Name] フィールドにCheckPointと入力します。
      19. [First IP address] には、CheckPointのIPアドレスを入力します。
      20. [Last IP address] には、CheckPointのIPアドレスを入力します。
      21. [OK] をクリックします。
      22. [Install Policy] をクリックします。
          次の画面が表示されます。
          
      23. [Publish & Install] をクリックします。
      24. [Install] をクリックします。
          Check Pointのアプライアンスで、Deep Discovery Inspectorからの不審オブジェクトおよびC&Cコールバックアドレスの受信が有効になります。
2. Deep Discovery Inspectorを設定します。
   1. Deep Discovery Inspectorの管理コンソールで、[管理] → [統合製品/サービス] → [インライン製品/サービス] の順に選択します。
   2. [Check Point Open Platform for Security (OPSEC)] を選択します。
   3. 接続の種類を選択します。

      注意 ネットワーク設定で、Deep Discovery InspectorからCheck Pointのアプライアンスへの接続が許可されていることを確認します。 Deep Discovery Inspectorでは接続先のCheck Pointで設定されている保護された接続ポートまたは通常の接続ポートを介して接続することがあります。また、Deep Discovery Inspectorは、18210番ポートを介してCheck Pointのアプライアンスから証明書を取得します。

      [保護された接続] を選択した場合、[OPSECアプリケーション名] 設定と [SICワンタイムパスワード] 設定が表示されます。
   4. サーバのアドレスを入力します。

      注意 サーバアドレスは、インライン製品のIPv4アドレスまたは完全修飾ドメイン名である必要があります。

   5. ポート番号を入力します。

      注意 このポート番号は、セキュリティゲートウェイに設定されているポート番号と同じである必要があります。詳細については、セキュリティゲートウェイの事前設定を参照してください。

   6. [保護された接続] を選択した場合は、[OPSECアプリケーション名] と [SICワンタイムパスワード] を入力します。
      詳細については、保護された接続を設定するを参照してください。

      注意 Check Pointのアプライアンスでワンタイムパスワードがリセットされた場合、新しいワンタイムパスワードには、以前とは異なるものを使用する必要があります。

   7. (オプション) [接続テスト] をクリックします。
   8. [オブジェクトの配信] で [有効] をクリックします。
      [使用許諾契約/利用規約] が開きます。
   9. [使用許諾契約/利用規約] を読み、同意できる場合は同意します。

      注意 この製品/サービスとの連携を有効にするには、[使用許諾契約/利用規約] に同意する必要があります。

   10. (オプション) 新しい [実行間隔] を選択します。
   11. 次の条件を設定して、不審オブジェクトおよびC&Cコールバックアドレスの情報をDeep Discovery InspectorからCheck Pointのアプライアンスに送信します。
       • オブジェクトの種類:
         • C&Cコールバックアドレス
           • IPv4アドレス
         • 不審オブジェクト
           • IPv4アドレス
       • リスクレベル:
         • 高のみ
         • 高および中
         • 高、中、および低
   12. [詳細設定] で、次の処理のいずれかを選択します。
       • 拒否: パケットが拒否され、パケットが拒否された通信先に通知が送信されます。
       • 破棄: パケットは破棄されますが、通信先には通知が送信されません。
       • 通知: 定義されたアクティビティについて通知が送信されますが、そのアクティビティはブロックされません。
   13. [保存] をクリックします。
   14. (オプション) [配信] をクリックして、不審オブジェクトおよびC&CコールバックアドレスをCheck Pointのアプライアンスにただちに配信します。
3. Deep Discovery Inspectorから配信された不審オブジェクトおよびC&CコールバックアドレスをCheck PointのSmartView Monitorで表示するには、次の手順を実行します。
   1. Check Point SmartConsoleで、[Logs & Monitor] に移動します。
   2. 新しいタブを追加します。
      
   3. [Tunnels & User Monitoring] をクリックして、SmartView Monitorを開きます。
   4. [Launch Menu] アイコンをクリックして、[Tools] → [Suspicious Activity Rules] の順にクリックします。
      [Enforced Suspicious Activity Rules] 画面が開きます。
   5. [Show On] で目的のアプライアンス名を選択します。
   6. [Refresh] をクリックします。
   Deep Discovery Inspectorから配信された不審オブジェクトおよびC&Cコールバックアドレスが表示されます。