手順
- Check Pointのアプライアンスを設定します。
- Check Pointのアプライアンスで、SAMの通信モードポートを確認または設定します。詳細については、セキュリティゲートウェイの事前設定を参照してください。
- Check Pointのアプライアンスで、OPSECアプリケーションを設定します。詳細については、保護された接続を設定するを参照してください。
- Check Pointのアプライアンスで、SAMファイルの削除を有効にします。
-
Check Point SmartDashboardを開きます。
-
[Other] を展開し、[SAM] に移動します。
-
[Purge SAM file when it reaches:] を有効にします。
-
ファイルサイズを指定します。
-
[OK] をクリックします。
-
保存します。
-
- Check Pointのアプライアンスで、セキュリティポリシーを設定します。
-
Check Point SmartConsoleを開きます。
-
[SECURITY POLICIES] タブで、 の順に選択します。
-
ルールを追加するには、[Add rule above] アイコン (
) をクリックします。 -
新しいポリシーを設定するには、Actionを右クリックします。
-
処理を [Accept] に変更します。
-
送信元を右クリックします。
-
[Add new items...] を選択します。
-
新規アイコン (
) をクリックします。
-
の順に選択します。[New Address Range] 画面が表示されます。
-
[Enter Object Name] フィールドにDDIと入力します。
-
[First IP address] には、Deep Discovery InspectorのIPアドレスを入力します。
-
[Last IP address] には、Deep Discovery InspectorのIPアドレスを入力します。
-
[OK] をクリックします。
-
Destinationを右クリックします。
-
[Add new items...] を選択します。
-
新規アイコン () をクリックします。
-
の順に選択します。[New Address Range] 画面が表示されます。
-
[Enter Object Name] フィールドにCheckPointと入力します。
-
[First IP address] には、CheckPointのIPアドレスを入力します。
-
[Last IP address] には、CheckPointのIPアドレスを入力します。
-
[OK] をクリックします。
-
[Install Policy] をクリックします。次の画面が表示されます。
-
[Publish & Install] をクリックします。
-
[Install] をクリックします。Check Pointのアプライアンスで、Deep Discovery Inspectorからの不審オブジェクトおよびC&Cコールバックアドレスの受信が有効になります。
-
- Check Pointのアプライアンスで、SAMの通信モードポートを確認または設定します。
- Deep Discovery Inspectorを設定します。
- Deep Discovery Inspectorの管理コンソールで、 の順に選択します。
- [Check Point Open Platform for Security (OPSEC)] を選択します。
- 接続の種類を選択します。
注意
ネットワーク設定で、Deep Discovery InspectorからCheck Pointのアプライアンスへの接続が許可されていることを確認します。Deep Discovery Inspectorでは接続先のCheck Pointで設定されている保護された接続ポートまたは通常の接続ポートを介して接続することがあります。また、Deep Discovery Inspectorは、18210番ポートを介してCheck Pointのアプライアンスから証明書を取得します。[保護された接続] を選択した場合、[OPSECアプリケーション名] 設定と [SICワンタイムパスワード] 設定が表示されます。 - サーバのアドレスを入力します。
注意
サーバアドレスは、インライン製品のIPv4アドレスまたは完全修飾ドメイン名である必要があります。 - ポート番号を入力します。
注意
このポート番号は、セキュリティゲートウェイに設定されているポート番号と同じである必要があります。詳細については、セキュリティゲートウェイの事前設定を参照してください。 - [保護された接続] を選択した場合は、[OPSECアプリケーション名] と [SICワンタイムパスワード] を入力します。詳細については、保護された接続を設定するを参照してください。
注意
Check Pointのアプライアンスでワンタイムパスワードがリセットされた場合、新しいワンタイムパスワードには、以前とは異なるものを使用する必要があります。 - (オプション) [接続テスト] をクリックします。
- [オブジェクトの配信] で [有効] をクリックします。[使用許諾契約/利用規約] が開きます。
- [使用許諾契約/利用規約] を読み、同意できる場合は同意します。
注意
この製品/サービスとの連携を有効にするには、[使用許諾契約/利用規約] に同意する必要があります。 - (オプション) 新しい [実行間隔] を選択します。
- 次の条件を設定して、不審オブジェクトおよびC&Cコールバックアドレスの情報をDeep Discovery InspectorからCheck Pointのアプライアンスに送信します。
-
オブジェクトの種類:
-
C&Cコールバックアドレス
-
IPv4アドレス
-
-
不審オブジェクト
-
IPv4アドレス
-
-
-
リスクレベル:
-
高のみ
-
高および中
-
高、中、および低
-
-
- [詳細設定] で、次の処理のいずれかを選択します。
-
拒否: パケットが拒否され、パケットが拒否された通信先に通知が送信されます。
-
破棄: パケットは破棄されますが、通信先には通知が送信されません。
-
通知: 定義されたアクティビティについて通知が送信されますが、そのアクティビティはブロックされません。
-
- [保存] をクリックします。
- (オプション) [配信] をクリックして、不審オブジェクトおよびC&CコールバックアドレスをCheck Pointのアプライアンスにただちに配信します。
- Deep Discovery Inspectorから配信された不審オブジェクトおよびC&CコールバックアドレスをCheck PointのSmartView Monitorで表示するには、次の手順を実行します。
- Check Point SmartConsoleで、[Logs & Monitor] に移動します。
- 新しいタブを追加します。
- [Tunnels & User Monitoring] をクリックして、SmartView Monitorを開きます。
- [Launch Menu] アイコンをクリックして、 の順にクリックします。[Enforced Suspicious Activity Rules] 画面が開きます。
- [Show On] で目的のアプライアンス名を選択します。
- [Refresh] をクリックします。
Deep Discovery Inspectorから配信された不審オブジェクトおよびC&Cコールバックアドレスが表示されます。