適切な脅威防御適用による脆弱性緩和

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Mitigate Vulnerabilities Through Proper Application of Threat Prevention
https://live.paloaltonetworks.com/t5/Management-Articles/Mitigate-Vulnerabilities-Through-Proper-App...

 

問題

脆弱性漏洩を防御、検知を行うために、PAN-OS装置を適切に設定する必要があります。
パロアルト ネットワークスは、PAN-OS装置を含む全ての脆弱な装置に対して、セキュリティ勧告に明記されている修正パッチ適用を推奨アクションとしていますが、緊急コンテンツ リリースに含まれるシグネチャはPAN-OSを保護するのに役立ちます。

 

解決方法

解決方法は細かなステップを踏む必要があります。

  1. 最新のコンテントをインストール
  2. 脆弱性プロファイルで、シグネチャパターンマッチに適切なアクション(例 : Reset-both)を設定
  3. 設定した脆弱性プロファイルをセキュリティポリシーに設定
  4. 内向きSSL復号化設定

 

詳細

  1. 最新のコンテントをインストール
    コンテントを最新のバージョンに更新してください。
    ContentInstallation.png

  2. 脆弱性プロファイルの設定
    このセクションでは、セキュリティ勧告に関連した脅威IDの検知を防御する脆弱防御プロファイル設定をする方法について大まかに説明します。
    2つの設定方法があります。
    1. この設定例では、脆弱防御プロファイル"strict"設定に重要度の高いシグネチャ(脅威ID : 38902, 38903, 38904)の検知に対して、RESET-BOTHアクション設定をしています。このようなプロファイルはファイアウォール向けの内向きの通信に合致するセキュリティルールに適応できます。
    2. この3つのシグネチャをRESET-BOTHに設定したカスタム脆弱防御プロファイルです。設定の詳細についてはリンクを参照ください。
       
  3. 脆弱防御プロファイルをセキュリティルールに設定する

    このセクションでは以前設定した脆弱防御プロファイルをグローバル・プロテクト、データポート経由したマネージメント向け通信にマッチするセキュリティルールに設定します。


    この作業では、グローバル・プロテクトが"Untrust"ゾーンのインターフェースでホストされていて、VPNトラフィックも"Untrust"ゾーンから送信されていると推測します。

     

    データポート経由したグローバル・プロテクト、もしくは他のサービスに対する脆弱行為から保護するために、脆弱防御プロファイルを"Untrust"ゾーンから"Untrust"ゾーン通信検査をするセキュリティルールに設定する必要があります。


    AssignVulnerability.png

    上記のスクリーンショットでは、プロファイル欄のアイコンは、前のステップで示したように脆弱防御プロファイル"strict"になっています。送信元、宛先ゾーン共に"Untrust"ゾーン設定となっています。

    以下のステップではデータポート経由でのデバイス管理をする場合に必要なステップです。

  4. 内向きSSL復号化設定
    内向きSSL復号化設定については以下のKBをご参照ください。