このトピックでは、Cloud Firewallの攻撃防止に関するよくある質問に対する回答を提供します。
脆弱性をスキャンするときに、Cloud FirewallがSecurity Centerやその他のスキャナーのサーバーIPアドレスからのリクエストをブロックするのはなぜですか。
考えられる原因
Security Centerを使用してサーバー上のアプリケーションの脆弱性をスキャンする場合、Security Centerはインターネットから起動された侵入をシミュレートしてサーバーをスキャンします。 シミュレートされた侵入は、Cloud Firewallの保護ポリシーまたはアクセス制御ポリシーをトリガーする可能性があります。
解決策
脆弱性スキャンを実行する場合は、Cloud Firewallの [防御設定] モジュールのホワイトリストにSecurity Centerおよびその他のスキャナーのサーバーIPアドレスを追加することを推奨します。 Security CenterのサーバーIPアドレスについては、「webスキャナーのサーバーIPアドレス」をご参照ください。 [防御設定] モジュールのホワイトリストにIPアドレスを追加する方法の詳細については、「ホワイトリストの設定」をご参照ください。 また、Security CenterのサーバーIPアドレスをアドレス帳に追加し、ホワイトリストの設定時にアドレス帳を参照することもできます。 アドレス帳の作成方法の詳細については、「アドレス帳の管理」をご参照ください。
[防御設定] ページでブロックモードを選択した後、攻撃トラフィックがブロックされないのはなぜですか。
考えられる原因
基本保護、仮想パッチ、または脅威インテリジェンスをオンにしませんでした。
一致するトラフィックを許可するようにホワイトリストを設定しました。
脅威検出エンジンを [ブロックモード] に設定しますが、攻撃トラフィックがヒットするルールは [モニタモード] のみをサポートするか、ルールの [現在のアクション] パラメーターが [モニタ] に設定されます。
解決策
基本保護、仮想パッチ、および脅威インテリジェンスのスイッチをオンにします。 詳細については、「IPS設定」をご参照ください。
ホワイトリストを設定します。 詳細については、「ホワイトリストの設定」をご参照ください。
脅威検出エンジンの動作モードとルールのCurrent Actionパラメーターを変更します。 詳細については、「IPS設定」をご参照ください。
アセットで脆弱性が検出されたときに、Cloud Firewallコンソールの脆弱性防止ページに統計が表示されないのはなぜですか。
考えられる原因を次のリストに示します。
Cloud Firewallは、攻撃トラフィックに基づいてエクスプロイト動作を分析し、脆弱性を防御します。 脆弱性に対して攻撃トラフィックが生成されない場合、脆弱性の予防統計は表示されません。
Security Centerのソフトウェアコンポーネント分析に基づいて検出された脆弱性は、Cloud Firewallに同期できません。 これらの脆弱性は、Security Centerがアセットのソフトウェアバージョンに関する情報を収集した後に検出されます。 ネットワークスキャンに基づいて検出された脆弱性のみをCloud Firewallに同期できます。
脆弱性は、内部ネットワークに存在するアセットで検出されます。 Cloud Firewallには、インターネットに公開されているアセットの脆弱性に関する統計のみが表示されます。
脆弱性防止の詳細については、「IPS設定」をご参照ください。
Cloud Firewallは攻撃サンプルを取得する方法?
Cloud Firewallは、トラフィックが基本保護または仮想パッチ用に設定されたルールに一致する場合にのみ、攻撃サンプルを取得できます。 次のいずれかの方法を使用して、攻撃サンプルを表示できます。
クラウドファイアウォールはサイバーキルチェーンを使用して、攻撃と防御のシナリオで防御と検出機能を強化する方法を教えてください。
攻撃と防御の訓練は、体系的で大規模で、段階的に正規化されています。 ドリルは、すべての業界の主要なビジネスシステムを対象としています。 ただし、フィッシング、サプライチェーン、水たまりなどの攻撃方法は、よりステルスになります。 サイバーキルチェーンは、攻撃の各段階を説明します。 各ステージは、攻撃を検出して対応する機会です。 攻撃者がネットワーク環境に侵入するのを防ぐためにサイバーキルチェーンを使用する場合は、インテリジェンスとデータ分析および応答機能が必要です。 Cloud Firewallは、アセットの公開を最小限に抑え、攻撃に迅速に対応し、違反認識を実装し、ログトレースを実行することで、検出および防御機能を強化します。
アセットエクスポージャーの最小化: インターネットに接続されたアセットを監視し、インバウンドおよびアウトバウンドのアクセス制御ポリシーを設定して、アセットエクスポージャーを最小化できます。 詳細については、「アクセス制御」をご参照ください。
攻撃への迅速な対応: 侵入防止システム (IPS) と仮想パッチ機能を使用できます。これらは自動的にリリースされ、攻撃を傍受します。 脅威インテリジェンスを使用して、ネットワーク全体の攻撃を検出し、スキャンや侵入をブロックすることもできます。 詳細については、「侵入防止」および「IPS設定」をご参照ください。
違反認識: 違反認識機能を使用して、攻撃を分析、検索、追跡し、できるだけ早い機会に攻撃に対応して処理できます。 サーバーのアウトバウンド接続データがリアルタイムで表示されるため、疑わしいサーバーをできるだけ早く処理できます。 セキュアな転送プロキシとインテリジェントなポリシーを使用して、内部ネットワークからインターネットへのトラフィックを制御および保護できます。 詳細については、「違反の認識」をご参照ください。
ログトレース: 脅威検出エンジンを使用して、侵入を検出し、詳細情報を記録できます。 エンジンは、Simple Log Serviceに基づいて、収集されたアクセスログと攻撃防止ログに対して詳細な分析と脅威追跡を実行します。 アラートを自動的に処理する方法の詳細については、「ログ監査」をご参照ください。
Cloud Firewallはどのように違反認識を実装しますか? セキュリティポリシーの設定方法を教えてください。
Cloud Firewallはどのように違反認識を実装しますか?
クラウドの脅威は多様で複雑です。 高度な永続的脅威 (APT) 攻撃などの高度な脅威は、ユーザーに重大なリスクをもたらします。 侵害されたサーバーとは、攻撃者が制御権を取得し、内部ネットワーク内の他のサーバーに侵入し続けるためのジャンプサーバーとして使用できるサーバーを指します。 攻撃者は、脆弱性の悪用段階で、インストールと挿入、コマンドと制御、データの取得、水平侵入などの動作を実行できます。 違反認識機能は、検出方法を使用して攻撃を分析、特定、および追跡します。 この機能を使用して、できるだけ早い機会に攻撃に対応して処理し、企業に対する損失などの攻撃の影響を減らすことができます。 Cloud Firewallの脅威検出エンジンは、侵入を検出し、詳細情報を記録します。 アウトバウンド接続ページには、サーバーのアウトバウンド接続データがリアルタイムで表示され、疑わしいサーバーをできるだけ早く検出できます。
セキュリティポリシーの有効化と構成
Cloud Firewallでアクセス制御ポリシーを設定して南北トラフィックを管理し、資産の公開を最小限に抑えます。 詳細については、「インターネットファイアウォールのアクセス制御ポリシーの作成」をご参照ください。
クラウドファイアウォールの侵入防止機能を有効にして、インターネットからのクラウドサーバーの侵入をブロックします。 詳細については、「IPS設定」をご参照ください。
セキュアなフォワードプロキシとインテリジェントポリシーを使用して、内部ネットワークからインターネットへのトラフィックを制御および保護します。 詳細については、「アクセス制御」をご参照ください。
アウトバウンド接続と違反認識のために生成されるアラートを監視し、できるだけ早い機会にリスクを処理します。 詳細については、「通知の設定」をご参照ください。
透過プロキシモードでWAFとインターネットファイアウォールの両方を有効にした後、転送ポートに対して生成される侵入防止イベントはどこで表示されますか?
Web Application Firewall (WAF) コンソールで、転送ポートに対して生成された侵入防止イベントを表示できます。 詳細については、「セキュリティレポート」をご参照ください。