-
次の手順では、認証証明書の設定ファイルを準備するためにControl Manager 7.0サーバを使用していることを前提としています。
-
不審オブジェクト移行ツールは、Control Manager7.0以降で使用できます。
最新のControl Managerインストールパッケージをダウンロードするには、http://downloadcenter.trendmicro.com/index.php?clk=left_nav&clkval=all_download®s=jpを参照してください。
認証証明書の設定ファイルを準備する前に、Check Pointファイアウォールサーバを準備する必要があります。
詳細については、Check Pointファイアウォールサーバを準備するを参照してください。
- Control Managerサーバでコマンドプロンプトを開きます。
-
Check PointファイアウォールサーバからSecure Internal Communication (SIC) 証明書を準備します。
-
次のコマンドを実行します。
opsec_pull_cert –h <host> -n <object> -p <password> -o <path>
ここでは次を意味します。
-
-h <host>: Check PointファイアウォールサーバのIPアドレスを指定します。
-
-n <object>: Check Point SmartDashboardコンソールで作成したOPSECアプリケーションの名前を指定します。
詳細については、Check Pointファイアウォールサーバを準備するを参照してください。
-
-p <password>: 指定したOPSECアプリケーションのワンタイムパスワードを指定します。
-
-o <path>: 出力されるopsec.p12証明書ファイルのフルパスを指定します。
opsec_pull_certコマンドは、full entity sic nameを次の形式で返します。
CN=*,O=*
-
- opsec_pull_certコマンドで返されたfull entity sic nameをコピーします。
- opsec.p12ファイルを<Control Managerインストールディレクトリ>\SOToolsディレクトリに移動します。
-
次のコマンドを実行します。
opsec_pull_cert –h <host> -n <object> -p <password> -o <path>
- <Control Managerインストールディレクトリ>\SOToolsディレクトリに移動し、sam.confファイルを探します。
-
sam.confファイルをテキストエディタで開き、以下の表を使用して必要なキーを変更します。
キー
説明
例
sam_server auth_type
認証方法を指定します。
sam_server auth_type sslca
sam_server ip
Check PointファイアウォールサーバのIPアドレスを指定します。
sam_server ip 192.168.127.130
sam_server auth_port
Check PointファイアウォールサーバのOPSEC通信ポートを指定します。
sam_server auth_port 18181
重要:fwopsec.confファイルで設定したものと同じsam_server auth_port番号を指定する必要があります。
sam_server opsec_entity_sic_name
Check PointファイアウォールサーバのSIC名を指定します。
sam_server opsec_entity_sic_name "cn=cp_mgmt,o=gw-1e9412..7ny9dn"
opsec_sic_name
opsec_pull_certコマンドで返されたSIC名を指定します。
opsec_sic_name "CN=CMtest,O=gw-1e9412..7ny9dn"
重要:opsec_pull_certコマンドで返された正確なfull entity sic nameを指定する必要があります。
opsec_sslca_file
認証証明書ファイルのファイル名を指定します。
opsec_sslca_file opsec.p12
opsec_sic_policy_file
SICポリシーファイルのファイル名を指定します。
opsec_sic_policy_file sic_policy.ini
- <Control Managerインストールディレクトリ>\SOToolsディレクトリに移動し、Customized.configファイルを探します。
-
Customized.configファイルをテキストエディタで開き、以下の表を使用して必要なキーを変更します。
キー
説明
例
場所: <SOMigrationTool>
値を「CKP_SAM_Client.exe」に変更します。
<add key="Sender" value="CKP_SAM_Client.exe" />
Arguments
場所: <SOMigrationTool>
値を「-t <timeout> -g <fw-ip> -c <conf_path> -A notify any <IP_address>」に変更します。
ここでは次を意味します。
-
-t <timeout>: 不審オブジェクトが期限切れになるまでCheck Pointサーバが待機する時間 (秒数) を指定します。
-
-c <conf_path>: sam.confファイルの相対パスを指定します。
-
-g <fw-ip>: Check PointファイアウォールサーバのIPv4アドレスを指定します。
-
-A notify any <IP_address>: Check Pointファイアウォールサーバに対し、有効なIPv4アドレスを通知するように要求します。
<add key="Arguments" value="-t 600 -g 192.168.127.130 -c sam.conf -A notify any 10.10.10.10" />
注:Check Point sam_client_action引数の使用の詳細については、Check Pointサーバのドキュメントを参照してください。
outputFolderName
場所: <OutputSettings>
値を「Check_Point」に変更します。
<add key="outputFolderName" value="Check_Point" />
outputFile
場所: <OutputSettings>
値を「SuspiciousObjectList.xml」に変更します。
<add key="outputFile" value="SuspiciousObjectList.xml" />
description="IP"
場所: <suspiciousObjectTypeList>
isEnable="true" に設定します。
<add value="0" description="IP" isEnable="true"
description="SourceType"
場所: <suspiciousObjectSourceType>
値を「0」に変更します。
<add value="0" description="SourceType" isEnable="true"
name="Entity"
場所: <suspiciousObjectColumns>
isEnable="true" に設定します。
<add id="3" name="Entity" isEnable="true"
-