Cloud Firewallの侵入防止システム (IPS) は、攻撃、エクスプロイト、ブルートフォース攻撃、ワーム、マイニングプログラム、トロイの木馬、およびDoS攻撃によって生成される悪意のあるトラフィックをリアルタイムで事前に検出してブロックします。 これにより、クラウド内のエンタープライズ情報システムとネットワークアーキテクチャが攻撃から保護され、不正アクセスやデータ漏洩が防止され、ビジネスシステムやアプリケーションの損傷や障害が防止されます。
制限事項
Cloud Firewallの侵入防止機能は、SSLまたはTransport Layer Security (TLS) を使用して暗号化されたトラフィックを復号化または保護することはできません。 ただし、特定の暗号化されたフィンガープリントとIPSベースのルールは、このタイプのトラフィックをサポートします。
侵入防止のデータは、データ集約によるレイテンシで生成される。 リアルタイムデータをクエリする場合は、ログ監査またはログ分析機能を使用することを推奨します。 詳細については、「ログ監査」または「ログの照会と分析」をご参照ください。
前の1時間以内に生成された侵入防止データを照会すると、データのレイテンシは10分になります。 この場合、クエリ結果には、過去10分以内に発生した侵入防止イベントのデータは含まれません。
過去30分以内の侵入防止データを含め、1時間以上前に生成された侵入防止データを照会すると、データのレイテンシは30分になります。 この場合、クエリ結果には、過去30分以内に発生した侵入防止イベントは含まれません。
たとえば、現在の時刻は15:00:00です。 当日の12:00:00から15:00:00までのデータを照会した場合、当日の14:30:00から15:00:00までのデータは表示できません。 当日の12:00:00から14:30:00までのデータをクエリすると、時間範囲内の完全なデータを表示できます。
侵入防止ルールの表示または変更
デフォルトでは、Cloud Firewallを購入すると、脅威検出エンジンのブロックモードが有効になります。 Cloud Firewallは攻撃を自動的にブロックします。 Cloud Firewallは、ビジネストラフィックに基づいてブロックモードのレベルを自動的に選択します。 レベルはルース、ミディアム、ストリクトです。 Cloud Firewallは、脅威インテリジェンス、基本的な保護、および仮想パッチ機能も自動的に有効にします。
Cloud Firewall Enterprise EditionまたはUltimate Editionを使用している場合は、 ページに移動し、選択のカスタマイズ をクリックしてデフォルトの侵入防御ルールを表示します。 侵入防止ルールを変更する場合は、ルールを見つけて、このアクション 列でアクションを変更します。 詳細については、「IPS設定」をご参照ください。
インターネットブロックイベントの表示
Cloud Firewallは、クラウドアセットのインバウンドおよびアウトバウンドインターネットトラフィックに関する統計を提供します。 これにより、アセットのトラフィック保護ステータスを取得し、アセットのセキュリティを確保できます。 過去90日間のインターネットトラフィックのブロックのイベントを照会できます。 1つのクエリの最大期間は31日です。
侵入防止データの統計と詳細を表示するには、 ページに移動します。 Protection Status タブで、時間範囲を指定します。
Protection Statistics セクションには、攻撃の総数、攻撃タイプの分布、およびブロックデータが表示されます。
[ブロッキング情報] セクションには、次のタブが表示されます。
Top Blocked Destinations: Cloud Firewallによってブロックされたトラフィックに関する統計の中で最も頻繁に使用される上位5つの宛先IPアドレスを表示します。
ポインタを宛先IPアドレスの上に移動し、
アイコンをクリックしてログ監査ページに移動します。 ログリストでは、IPアドレスのトラフィックのポートとアプリケーションタイプ、およびIPアドレスのトラフィックに対して実行されるアクションを表示できます。 Top Blocked Sources: Cloud Firewallがトラフィックをブロックするために最も頻繁に使用する上位3つのモジュールを表示します。
Top Blocked Applications: Cloud Firewallによってブロックされたトラフィックに関する統計の中で最も頻繁にリクエストされるアプリケーションの上位5種類が表示されます。
詳細データ: リスクレベル、イベントの発生回数、送信元IPアドレス、送信先IPアドレスなど、各イベントの保護の詳細を検索条件別に表示します。
説明送信元IPアドレスがWebアプリケーションファイアウォール (WAF) またはAnti-DDoSで使用されるback-to-originアドレスの場合、Cloud Firewallはback-to-originアドレスを識別し、WAF Back-to-origin IPアドレスまたはAnti-DDoS Back-to-origin IPアドレスを表示します。
このセクションでは、次の操作を実行できます。
イベントの検索: 条件を指定し、[検索] をクリックしてイベントを検索します。 条件には、リスクレベル、防御モード、攻撃タイプ、ソース、方向、および時間範囲が含まれます。
イベントの詳細を表示する: イベントを検索し、操作する 列の [詳細] をクリックして、基本情報や 攻撃ペイロード などのイベントの詳細を表示します。 [攻撃ペイロード] タブには、5タプル情報やペイロードコンテンツなどの情報が表示され、攻撃の原因を追跡してセキュリティリスクを軽減するのに役立ちます。
ブロッキングイベントのダウンロード: 検索ボックスの右側にあるアイコンをクリックし
ます。 ページの右上隅にある ダウンロードタスクの管理 をクリックして、ブロッキングイベントをダウンロードします。
VPCトラフィック遮断イベントの表示
Cloud Firewallは、仮想プライベートクラウド (VPC) 間のトラフィック保護に関する統計を提供します。 VPC間のトラフィックステータスを表示できます。 過去90日間のVPCトラフィックブロックのイベントを照会できます。 1つのクエリの最大期間は31日です。
Cloud Firewall Premium Editionは、VPCファイアウォール機能またはVPC保護タブの表示をサポートしていません。
ページに移動します。 VPC Protection タブで、名前、リスクレベル、攻撃タイプなどの情報を表示できます。 情報を表示する時間範囲を指定することもできます。
次の操作を実行できます。
イベントの検索: 条件を指定し、[検索] をクリックしてイベントを検索します。 条件には、リスクレベル、防御モード、攻撃タイプ、および時間範囲が含まれます。
イベントの詳細を表示する: イベントを検索し、操作する 列の [詳細] をクリックして、基本情報や 攻撃ペイロード などのイベントの詳細を表示します。 [攻撃ペイロード] タブには、5タプル情報やペイロードコンテンツなどの情報が表示され、攻撃の原因を追跡してセキュリティリスクを軽減するのに役立ちます。
ブロッキングイベントのダウンロード: 検索ボックスの右側にあるアイコンをクリックし
ます。 ページの右上隅にある ダウンロードタスクの管理 をクリックして、イベントをダウンロードします。