Cloud Firewall の侵入防御システム (IPS) は、攻撃、エクスプロイト、ブルートフォース攻撃、ワーム、マイニングプログラム、トロイの木馬、DoS 攻撃によって生成される悪意のあるトラフィックをリアルタイムでプロアクティブに検出してブロックします。 これにより、クラウド内の企業情報システムとネットワークアーキテクチャを攻撃から保護し、不正アクセスやデータ漏洩を防ぎ、業務システムとアプリケーションの損傷や障害を防ぎます。
制限事項
Cloud Firewall の侵入防御機能は、SSL または Transport Layer Security (TLS) を使用して暗号化されたトラフィックを復号化または保護することはできません。 ただし、特定の暗号化されたフィンガープリントと IPS ベースのルールはこのタイプのトラフィックをサポートしています。
侵入防御のデータは、データ集約のために遅延して生成されます。 リアルタイムデータのクエリを実行する場合は、ログ監査またはログ分析機能を使用することをお勧めします。
過去 1 時間以内に生成された侵入防御データをクエリする場合、データには 10 分の遅延があります。 この場合、クエリ結果には、過去 10 分以内に発生した侵入防御イベントのデータは含まれません。
過去 30 分以内の侵入防御データを含め、1 時間以上前に生成された侵入防御データをクエリする場合、データには 30 分の遅延があります。 この場合、クエリ結果には、過去 30 分以内に発生した侵入防御イベントは含まれません。
たとえば、現在の時刻が 15:00:00 であるとします。 今日の 12:00:00 から 15:00:00 までのデータをクエリすると、今日の 14:30:00 から 15:00:00 までのデータは表示されません。 今日の 12:00:00 から 14:30:00 までのデータをクエリすると、時間範囲内の完全なデータが表示されます。
侵入防御ルールを表示または変更する
デフォルトでは、Cloud Firewall を購入すると、脅威検出エンジンの[ブロックモード]が有効になります。 Cloud Firewall は自動的に攻撃をブロックします。 Cloud Firewall は、ビジネストラフィックに基づいて、ブロックモードのレベルを自動的に選択します。 レベルは、「緩」、「中」、「厳格」です。 Cloud Firewall はまた、脅威インテリジェンス、基本保護、および仮想パッチ機能を自動的に有効にします。
次の方法を使用して、IPS の設定ページに移動し、侵入防御ルールを管理できます。
Intrusion Prevention ページに移動し、[保護ステータス] タブをクリックし、イベントリストの右上隅にある [保護ポリシーの管理] をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[IPS 構成]ページで、[基本保護]セクションの選択のカスタマイズをクリックして、デフォルトの侵入防御ルールを表示します。 ルールを変更する場合は、ルールを見つけて、このアクション列の操作を変更します。 詳細については、「IPS 構成」をご参照ください。
IPS プライベート IP 追跡を有効にする有効にする
エントリポイント:
Intrusion Prevention ページに移動し、[保護ステータス] タブをクリックし、イベントリストの右上隅にある [IPS プライベート IP 追跡] をクリックして、IPS プライベート IP 追跡 ページに移動します。
有効化:
IPS プライベートネットワークのトレーサビリティページで、アセットの機能を有効にします。 この場合、リスクのあるアセットを迅速に特定でき、アセットのプライベート IP アドレスは公開されません。
アセットの[インターネットファイアウォールステータス]列の値が「保護済み」で、[NAT ゲートウェイのセッションログ]列の値が「有効」の場合にのみ、アセットの機能を有効にできます。 詳細については、「IPS プライベート IP 追跡」をご参照ください。
ソース追跡:
機能を有効にした後、Intrusion Prevention ページに移動し、イベントリストでリスクのあるアセットを見つけ、「操作」列の [詳細] をクリックして、アセットのプライベート IP アドレスを表示します。
リスト
詳細
リスト
詳細
インターネットブロックイベントを表示する
Cloud Firewall は、クラウドアセットの送受信インターネットトラフィックに関する統計を提供します。 これにより、アセットのトラフィック保護ステータスを取得し、アセットのセキュリティを確保できます。 過去 90 日以内のインターネットトラフィックブロックのイベントをクエリできます。 1 回のクエリの最大期間は 31 日です。
侵入防御データの統計と詳細を表示するには、 ページに移動します。 Protection Statusタブで、時間範囲を指定します。
Protection Statisticsセクションには、攻撃の総数、攻撃タイプの分布、およびブロックデータが表示されます。
[ブロック情報] セクションには、次のタブが表示されます。
Top Blocked Destinations: Cloud Firewall によってブロックされたトラフィックの統計の中で最も頻繁に使用される上位 5 つの宛先 IP アドレスが表示されます。
宛先 IP アドレスの上にポインターを移動し、
アイコンをクリックして、ログ監査ページに移動できます。 ログリストでは、IP アドレスのトラフィックのポートとアプリケーションタイプ、および IP アドレスのトラフィックに対して実行される操作を表示できます。Top Blocked Sources: Cloud Firewall がトラフィックをブロックするために最も頻繁に使用する上位 3 つのモジュールが表示されます。
Top Blocked Applications: Cloud Firewall によってブロックされたトラフィックの統計の中で最も頻繁にリクエストされる上位 5 つのタイプのアプリケーションが表示されます。
詳細データ: 検索条件ごとに各イベントの保護の詳細 (リスクレベル、イベントの発生回数、送信元 IP アドレス、宛先 IP アドレスなど) が表示されます。
送信元 IP アドレスが Web Application Firewall (WAF) または Anti-DDoS によって使用される原点復帰アドレスである場合、Cloud Firewall は原点復帰アドレスを識別し、[WAF 原点復帰 IP アドレス]または[anti-ddos 原点復帰 IP アドレス]を表示します。
このセクションでは、次の操作を実行できます。
イベントの検索: 条件を指定し、[検索]をクリックしてイベントを検索します。 条件には、リスクレベル、防御モード、攻撃タイプ、送信元、方向、および時間範囲が含まれます。
イベントの詳細の表示: イベントを見つけて、アクション列の[詳細]をクリックして、イベントの詳細 (基本情報や攻撃ペイロードなど) を表示します。 [攻撃ペイロード] タブには、5 タプル情報やペイロードコンテンツなどの情報が表示され、攻撃の出所を追跡し、セキュリティリスクを軽減するのに役立ちます。
ブロックイベントのダウンロード: 検索ボックスの右側にある
アイコンをクリックします。 ページの右上隅にあるダウンロードタスクの管理をクリックして、ブロックイベントをダウンロードします。
VPC トラフィックブロックイベントを表示する
Cloud Firewall は、仮想プライベートクラウド (VPC) 間のトラフィック保護に関する統計を提供します。 VPC 間のトラフィックステータスを表示できます。 過去 90 日以内の VPC トラフィックブロックのイベントをクエリできます。 1 回のクエリの最大期間は 31 日です。
Cloud Firewall Premium Edition は、VPC ファイアウォール機能または[VPC 保護]タブの表示をサポートしていません。
ページに移動します。 VPC Protectionタブで、名前、リスクレベル、攻撃タイプなどの情報を表示できます。 また、時間範囲を指定して情報を表示することもできます。
次の操作を実行できます。
イベントの検索: 条件を指定し、[検索]をクリックしてイベントを検索します。 条件には、リスクレベル、防御モード、攻撃タイプ、および時間範囲が含まれます。
イベントの詳細の表示: イベントを見つけて、アクション列の[詳細]をクリックして、イベントの詳細 (基本情報や攻撃ペイロードなど) を表示します。 [攻撃ペイロード] タブには、5 タプル情報やペイロードコンテンツなどの情報が表示され、攻撃の出所を追跡し、セキュリティリスクを軽減するのに役立ちます。
ブロックイベントのダウンロード: 検索ボックスの右側にある
アイコンをクリックします。 ページの右上隅にあるダウンロードタスクの管理をクリックして、イベントをダウンロードします。
