脅威を一定時間ブロックする方法

※この記事は以下の記事の日本語訳です。

How to Block A Threat For a Specific Time Interval

https://live.paloaltonetworks.com/t5/Threat-Articles/How-to-Block-A-Threat-For-a-Specific-Time-Inter...

概要

本文書では、脅威を検知した際に、予め設定した一定時間その脅威をブロックする方法について説明します。

詳細

この制御は、アンチスパイウェアと脆弱性防御の両方において設定が可能です。

アンチスパイウェア

1. Objects > セキュリティ プロファイル > アンチスパイウェア へ移動し、「追加」をクリックします。
2. アンチスパイウェア プロファイル > 例外 > 名前 の欄で、名前を入力します。
3. 「すべてのシグネチャの表示」にチェックを入れ、該当の脅威IDを入力し、「アクション」をクリックします。
4. 「block-ip」を選択すると、時間を設定する項目が表示されます。時間は1秒から3600秒の間で設定が可能です。「追跡」では「IPソース」または「IPソース及び宛先」のどちらかを選択してください。
   
   設定変更後のアクションは以下のように表示されます。
   
   実際に攻撃が検知されるとセキュリティ ポリシーに割り当てた本プロファイルが適用されます。ソースIPと宛先IPアドレスがトラックされ、3600秒の間ブロックされ続けます。

脆弱性防御

1. Objects > セキュリティ プロファイル > 脆弱性防御 へ移動し「追加」をクリックします。
2. 名前を設定し、「例外」タブへ移動します。「すべてのシグネチャの表示」にチェックを入れ、該当の脅威IDを入力します。
3. 「block-ip」を選択すると、時間を設定する項目が表示されます。時間は1秒から3600秒の間で設定が可能です。「追跡」では「IPソース」または「IPソース及び宛先」のどちらかを選択してください。
   
   設定変更後のアクションは以下のように表示されます。
   
   実際に攻撃が検知されるとセキュリティ ポリシーに割り当てた本プロファイルが適用されます。ソースIPと宛先IPアドレスがトラックされ、3600秒の間ブロックされ続けます。

著者: dantony