脅威シグネチャの概要

シグネチャに基づく脅威検出は、悪意のある動作を特定するために最もよく使用されるメカニズムの一つであり、ネットワーク攻撃の防止に広く使用されています。Cloud Next Generation Firewall の脅威検出機能は、Palo Alto Networks の脅威防止テクノロジーを利用しています。

このセクションでは、Cloud NGFW が Palo Alto Networks と連携して提供するデフォルトの脅威シグネチャ、サポートされている脅威の重大度レベル、脅威の例外について説明します。

デフォルトの署名セット

Cloud NGFW には、ネットワーク ワークロードを脅威から保護するために役立つ脅威シグネチャがデフォルトで用意されています。このシグネチャは、脆弱性とスパイウェアを検出するために使用されます。Cloud NGFW で構成されたすべての脅威シグネチャを表示するには、Threat Vault に移動します。アカウントをまだお持ちでない場合は、新しいアカウントを登録してください。

  • 脆弱性検出シグネチャは、システムの欠陥の悪用やシステムへの不正アクセスの試みを検出します。スパイウェア対策シグネチャは、トラフィックがネットワークから出るときに感染したホストを特定するのに役立ちますが、脆弱性検出シグネチャは、ネットワークに侵入する脅威からの保護に役立ちます。

    たとえば、脆弱性検出シグネチャは、バッファ オーバーフロー、不正なコード実行、システムの脆弱性を悪用するその他の試みからの保護に役立ちます。デフォルトの脆弱性検出シグネチャは、クライアントとサーバーで既知のすべての脅威(重大、高、中)と、重大度が「低」および「情報」の脅威を検出します。

  • スパイウェア対策シグネチャは、侵害されたホストでスパイウェアを検出します。このようなスパイウェアは、外部のコマンド アンド コントロール(C2)サーバーに接続を試みる可能性があります。

  • ウイルス対策シグネチャは、実行可能ファイルとファイル形式に含まれるウイルスとマルウェアを検出します。

それぞれの脅威シグネチャには、デフォルトのアクションが関連付けられています。セキュリティ プロファイルを使用すると、これらのシグネチャのアクションをオーバーライドできます。また、ファイアウォール ポリシー ルールで、これらのプロファイルをセキュリティ プロファイル グループの一部として参照することもできます。インターセプトされたトラフィックで、構成済みの脅威のシグネチャが検出されると、ファイアウォール エンドポイントは、一致したパケットに対してセキュリティ プロファイルで指定された対応アクションを実行します。

脅威の重大度

脅威シグネチャの重大度は、検出されたイベントのリスクを示します。Cloud NGFW は、一致するトラフィックに対してアラートを生成します。次の表に、脅威の重大度を示します。

重大度 説明
重大 サーバー侵害の根本的な原因となる深刻な脅威です。このような脅威は、広くデプロイされているソフトウェアのデフォルト インストールに影響を及ぼします。また、攻撃者によってエクスプロイト コードが広く利用されています。通常、特別な認証情報や個々の被害者に関する知識がなくても、ターゲットに特別な機能を実行させなくても攻撃が可能です。
重大になる可能性はあるものの、緩和要素がある脅威。たとえば、悪用が困難である、権限昇格が発生しない、多数の被害者プールがない、などが該当します。
影響が最小限に抑えられ、ターゲットを侵害しない軽微な脅威。または、被害者と同じローカル ネットワーク上に攻撃者が存在する必要があるエクスプロイト。このような攻撃は、標準以外の構成または難読化されたアプリケーションにのみ影響するか、アクセスが非常に限定的になります。
組織のインフラストラクチャにほとんど影響を与えない警告レベルの脅威。通常、このような脅威はローカルまたは物理的なシステムへのアクセスを必要とし、多くの場合、被害者のプライバシーの問題や情報漏洩につながる可能性があります。
情報 差し迫った脅威ではないが、潜在的な問題の可能性があると報告される不審なイベント。

脅威の例外

特定の脅威シグネチャ ID に対するアラートを抑制または増やす場合は、セキュリティ プロファイルを使用して、脅威に関連付けられたデフォルトのアクションをオーバーライドできます。Cloud NGFW によって検出された既存の脅威の脅威シグネチャ ID は、脅威ログで確認できます。

Cloud NGFW は、環境内で検出された脅威を可視化します。ネットワークで検出された脅威を確認するには、脅威を表示するをご覧ください。

ウイルス対策

デフォルトでは、サポートされているプロトコルのネットワーク トラフィック内で Cloud NGFW がウイルスの脅威を検出すると、アラートが生成されます。セキュリティ プロファイルを使用してこのデフォルトのアクションをオーバーライドし、ネットワーク プロトコルに基づいてネットワーク トラフィックを許可または拒否できます。

サポートされているプロトコル

Cloud NGFW は、ウイルス対策検出に対して次のプロトコルをサポートしています。

  • SMTP
  • SMB
  • POP3
  • IMAP
  • HTTP2
  • HTTP
  • FTP

サポートされているアクション

Cloud NGFW は、サポートされているプロトコルに対して次のウイルス対策アクションをサポートしています。

  • DEFAULT: Palo Alto Networks によるウイルス対策アクションのデフォルトの動作。

    SMTP、IMAP、POP3 プロトコル トラフィックで脅威が検出されると、Cloud NGFW は脅威ログにアラートを生成します。FTP、HTTP、SMB プロトコルのトラフィックで脅威が検出されると、Cloud NGFW はトラフィックをブロックします。詳細については、Palo Alto Networks アクションのドキュメントをご覧ください。

  • ALLOW: トラフィックを許可します。

  • DENY: トラフィックを拒否します。

  • ALERT: 脅威ログにアラートを生成します。これは、Cloud NGFW のデフォルトの動作です。

ウイルス対策アクションを使用するためのベスト プラクティス

ウイルスの脅威をすべて拒否するようにウイルス対策アクションを構成することをおすすめします。トラフィックの拒否とアラートの生成のいずれを選択するかを決定する際には、次のガイダンスを参考にしてください。

  • ビジネス クリティカルなアプリケーションの場合は、まずセキュリティ プロファイルのアクションを alert に設定します。このように設定すると、トラフィックを中断することなく脅威をモニタリングして評価できます。セキュリティ プロファイルがビジネス要件とセキュリティ要件を満たしていることを確認したら、セキュリティ プロファイルのアクションを deny に変更します。
  • 重要でないアプリケーションの場合は、セキュリティ プロファイルのアクションを deny に設定します。重要でないアプリケーションに対する悪意のあるトラフィックは、安全のためにすぐにブロックしてください。

サポートされているすべてのネットワーク プロトコルに関して、アラートを設定する、またはネットワーク トラフィックを拒否するには、次のコマンドを使用します。

  • サポートされているすべてのプロトコルに対して、ウイルス対策の脅威に関するアラート アクションを設定するには:

    gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action ALERT \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

    次のように置き換えます。

    • NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

    • ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。

      name フラグに一意の URL 識別子を使用する場合、organization フラグは省略できます。

    • LOCATION: セキュリティ プロファイルのロケーション。

      ロケーションは常に global に設定されます。name フラグに一意の URL 識別子を使用する場合、location フラグは省略できます。

    • PROJECT_ID: セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID。

  • サポートされているすべてのプロトコルに対して、ウイルス対策の脅威に関する拒否クションを設定するには:

    gcloud network-security security-profiles threat-prevention add-override NAME \
    --antivirus SMB,IMAP,HTTP,HTTP2,FTP,SMTP,POP3 \
    --action DENY \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

    次のように置き換えます。

    • NAME: セキュリティ プロファイルの名前。名前は文字列または一意の URL 識別子として指定できます。

    • ORGANIZATION_ID: セキュリティ プロファイルが作成される組織。

      name フラグに一意の URL 識別子を使用する場合、organization フラグは省略できます。

    • LOCATION: セキュリティ プロファイルのロケーション。

      ロケーションは常に global に設定されます。name フラグに一意の URL 識別子を使用する場合、location フラグは省略できます。

    • PROJECT_ID: セキュリティ プロファイルの割り当てとアクセス制限に使用するプロジェクト ID。

オーバーライドの設定方法については、脅威防止セキュリティ プロファイルにオーバーライド アクションを追加するをご覧ください。

コンテンツの更新頻度

Cloud NGFW では、すべてのシグネチャがユーザーの介入なしで自動的に更新されるため、ユーザーがシグネチャの管理や更新から解放されて、脅威の分析と解決に集中できます。

Palo Alto Networks からの更新は Cloud NGFW によって取得され、既存のすべてのファイアウォール エンドポイントに push されます。更新レイテンシは最大で約 48 時間です。

ログを表示する

Cloud NGFW のいくつかの機能により、脅威ログに送信されるアラートが生成されます。ロギングの詳細については、Cloud Logging をご覧ください。

次のステップ