アンチスパイウェア/脆弱性防御/アンチウイルスの脅威例外・許可/ブロック設定について

告知

ATTENTION Customers, All Partners and Employees: The Customer Support Portal (CSP) will be undergoing maintenance and unavailable on Saturday, November 7, 2020, from 11 am to 11 pm PST. Please read our blog for more information.

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Use Anti-Spyware, Vulnerability and Antivirus Exceptions to Block or Allow Threats
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Use-Anti-Spyware-Vulnerability-and-A...

 

この記事は、アンチスパイウェア、脆弱性防御、アンチウイルスの例外設定において、Palo Alto Networks ファイアウォールで、特定脅威のアクションを変更する方法について記述しています。

 

vulnerability exception.png

 アンチスパイウェア脆弱性防御の例外設定

この例では、アンチスパイウェアの既存プロファイル名 "Threat_exception_test_profile" の例外設定に脅威ID番号30003を追加します。

    1. Objects > セキュリティ プロファイル > 'アンチスパイウェア' もしくは '脆弱性防御' に移動します。
    2. 既存のプロファイルを選択
    3. "例外 (Exceptions)"タブを選択
    4. まず、画面左下にある"Show all signatures"チェックボックスを選択し、
    5. 検索フィールドで、検索したい文字列(例:'microsoft' )もしくは脅威ID番号(例:30003)を入力し、改行ボタン、もしくは緑の矢印をクリックし、検索を実行します。
      注意: もしシグネチャ検索がdynamic update直後で、検索結果が得られない場合は、GUIのキャッシュをクリアするために、WebUIをログアウトして、ログインしなおしてください。
    6. "Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability"(脅威ID番号30003)が表示されます。
      注意: 脅威ID番号は、threatログから容易に見つけられます。
    7. この例外を有効にするため'Enable'ボックスをクリックします。
    8. 既定の'アクション'を変更するため、通過させたい場合はAllow落としたい場合は、Dropを選択します。Threat Action detail - change default action.Threat Action detail - change default action.
    9. IPアドレスの例外欄は、脅威例外をIPアドレスでフィルターしたい場合に使います。もしIPアドレスが追加されれば、送信/宛先IPアドレスが例外設定と一致した場合のみ、シグネチャのルールアクションが適応されます。シグネチャ当たり100個までIPアドレスを追加できます。このオプション設定によって、特定のアドレス毎に、新しいセキュリティ・ルールを作る必要はありません。全てのトラフィックでなく特定のアドレスを除外したい場合、画面下の"IP Address Exemptions"をクリックして、追加したいIPアドレスを100個まで追加してください。IP Address Exemption detail.IP Address Exemption detail.IPアドレス例外設定詳細
    10. アンチスパイウェアもしくは脆弱性防御プロファイルが適切なセキュリティ ポリシーに設定されていることを確認してください。
    11. 例外設定を有効にするためにCommitを実行します。
  1.  

アンチウイルス例外設定

この例では、アンチウイルスの既存のプロファイル名 "AV_exception_test_profile" の例外設定に脅威ID番号253879を追加します。
(注意: アンチウイルスの例外設定は、全体に対して有効か無効かの設定であり、特定のIPアドレスに対しての例外設定はできません)

 

  1. Objects > セキュリティ プロファイル > アンチウイルスに移動します。
  2. 既存のプロファイルを選択し、ウイルス例外 (Virus Exception) タブをクリック。
  3. ID(この例では253879)をページ下の脅威 ID フィールドに入力し、追加をクリックします。
    注意: 脅威 IDはthreat ログから見つけられます。
  4. この例では、"Win32/Virus.Generic.koszy"の例外が作られました。
    AntiVirus - Virus Excemption window detail.AntiVirus - Virus Excemption window detail.AntiVirus – Virus例外ウィンドウの詳細
  5. アンチウイルス プロファイルが適切なセキュリティ ポリシーに設定されていることを確認してください。
  6. アンチウイルス例外設定には特定IP アドレスを除外するオプションはありません。
  7. 変更を反映するためにCommitを実施します。

 

著者: kadak