ナビゲーションをスキップする

ネットワーク保護の構成

CylanceGATEWAY
が脅威を検出して対応するさまざまな方法を設定できます。宛先へのアクセスを許可するようにアクセス制御リスト(ACL)ルールを構成しても、引き続き
CylanceGATEWAY
は、潜在的な脅威が特定された場合に宛先へのユーザーアクセスをブロックできます。[ネットワークイベント]画面と[アラート]表示に表示できる情報や、SIEM ソリューションまたは syslog サーバーに送信される情報(設定されている場合)を制御することもできます。追加のネットワーク保護を有効にする場合は、個々の ACL ルールで[ネットワーク保護に対してアドレスを確認]パラメーターが選択されていることを確認します。この設定はデフォルトで有効になっています。
  • 署名検出:署名検出を使用することで、ネットワーク接続の署名を使ってディープネットワーク脅威検出を有効にできます。署名検出を有効にしておくと、ACL ルールと宛先が一致した場合、
    CylanceGATEWAY
    は脅威の検出された接続を自動的にブロックし、ネットワーク保護のチェックをします。署名検出を無効にすると、脅威はログに記録されますが、接続はブロックされません。検出のリストとそのアクションの詳細については、「ネットワークアクティビティの表示」を参照してください。署名検出はデフォルトで有効になっています。
  • 宛先防御:宛先評価を使用して、指定したリスクレベル(低、中、高)に一致する、潜在的に悪意のある IP アドレスおよび FQDN をブロックできます。有効にした場合、デフォルトのリスクレベルは高にされます。ACL ルールと宛先が一致した場合、
    CylanceGATEWAY
    はログに記録して、リスクレベル設定に一致した宛先への接続を自動的にブロックし、ネットワーク保護を確認します。宛先防御を無効にすると、脅威はログに記録されますが、接続はブロックされません。検出のリストとそのアクションの詳細については、「ネットワークアクティビティの表示」を参照してください。宛先評価はデフォルトで有効になっています。
    リスクレベルの特定では、機械学習(ML)モデルと静的 IP レピュテーションデータベースの組み合わせを用いて、宛先に潜在的な脅威が含まれているかを判断しています。
    • ML モデル:ML モデルでは、ユーザーがアクセスする可能性のある宛先に対して信頼レベルを割り当てます。ML モデルは、宛先に潜在的な脅威が含まれている可能性の有無を継続的に学習します。
    • IP レピュテーションデータベース:IP レピュテーションデータベースは、オープンおよび商用の IP レピュテーションフィードに基づき、IP アドレスに信頼レベルを割り当てます。
      CylanceGATEWAY
      はレピュテーションフィードを参照して、IP アドレスのリスクレベルを判断します。
      CylanceGATEWAY
      は、特定の宛先を危険と判定したベンダーの数とソースの信頼性を考慮してリスクレベルを割り当てます(たとえば、大部分のソースと IP レピュテーションエンジンによって潜在的な脅威を含む宛先だと確認された場合、
      CylanceGATEWAY
      はその宛先に高いリスクレベルを割り当てます)。リスクレベルの詳細については、「宛先評価リスクのしきい値」を参照してください。
    CylanceGATEWAY
    は、ML モデルと IP レピュテーションデータベースを組み合わせて使用し、悪意のある脅威を含む可能性があると特定された IP レピュテーション検出に、動的リスクカテゴリとサブカテゴリを自動的に適用します。データベースは継続的に変更され、宛先エントリが追加または削除されます。動的リスクとして分類されたネットワークイベントに関する追加のメタデータと詳細は、[ネットワークイベント]画面で表示できます。動的リスクカテゴリには、次のサブカテゴリがあります。
    • ビーコン
    • コマンドと制御
    • DNSトンネリング
    • マルウェア
    • フィッシング攻撃
    • 潜在的に有害
    • 疑わしい Web サイト
    • ドメイン生成アルゴリズム(DGA)