ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Allow a Single YouTube Video and Block All Other Videos https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGzCAK     1 つの YouTube 動画へのアクセスのみ許可し、それ以外の動画は全てブロックする方法 この記事は、1つのYouTube動画(https://www.youtube.com/watch?v=hHiRb8t2hLM)へのアクセスのみ許可し、それ以外の動画のアクセスは拒否したい場合の例です。 これを達成するには、以下の手順に従ってください。   手順 URL フィルタリングプロファイルにて、streaming-mediaをブロックに設定してください。WebGUI > Objects > セキュリティ プロファイル > URL フィルタリング > 利用したい URL フィルタリングプロファイルをクリックします。 これはURL フィルタリングプロファイルでstreaming-mediaをブロックに設定した際の画面です。   Objects > カスタム オブジェクト > URL カテゴリ から、カスタム URL カテゴリを作成します。 カスタム URL カテゴリには以下のエントリを追加する必要があります。   *.youtube.com *.googlevideo.com www.youtube-nocookie.com www.youtube.com/yts/jsbin/ www.youtube.com/yts/cssbin/   これですべてのYouTubeページやコンテンツが復号化され、完全なHTTP GETが取得できるようになります。   「SSL フォワードプロキシ」タイプの復号ポリシーを追加し、その「サービス/URL カテゴリ」に、上記で追加したカスタムURLカテゴリを設定します。 SSL 復号に関しては、以下の記事を参照してください。 How to Implement and Test SSL Decryption URL フィルタリングプロファイルに移動し、以下のURLを許可リストに追加します。   www.youtube.com/watch?v=hHiRb8t2hLM *.googlevideo.com   1つ目のエントリはコンテナページ自体のURL、2つ目の *.googlevideo.comは、*.googlevideo.com の Google CDN で表示されるコンテナページから取得されるメディアを許可します。   また、URLフィルタリングプロファイル上で、作成したカスタムURLカテゴリが"allow"になっていることを確認してください。 これはURLフィルタリングプロファイルで許可リストを設定した際の画面です。   Commitを実行し、動作をテストします。   Milvaldiの貢献に感謝します。   注:この手順はこの記事が発行された時点では有効でしたが、YouTubeはサーバーの設定を絶えず変更しているため、今後動作しなくなる可能性もあります。   著者: jdelio  
記事全体を表示
hfukasawa ‎12-21-2018 02:50 AM
6,818件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Check if an Application Needs Explicitly Allowed Dependency Apps https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Check-if-an-Application-Needs-Explicitly-Allowed/ta-p/61893     PAN-OS 5.0, 6.0, 6.1   概要 PAN-OS 5.0 以前は、依存関係を持つアプリケーションを許可するために、セキュリティポリシー上ですべての依存関係をもつアプリケーションを同様に許可する必要がありました。   PAN-OS 5.0 より、いくつかのプロトコルのアプリケーションは明示的に依存関係を可能にするために必要とせずに許可することができます。Palo Alto Networks ファイアウォールは、ライブセッションで事前定義された特徴を持つのアプリケーションを識別することができれば、いくつかのアプリケーションに対してこれを実施できます。Palo Alto Networks デバイスが事前に定義された特徴によってアプリケーションを決定することができないようデベロッパーによって作成されている場合、そのアプリケーションはセキュリティルールの一つによって遮断することができます。これらのアプリケーションには依存関係を持つアプリケーションの明示的な許可が必要とされます。   ここではこのプロセスを説明するために、以下の用語を適用します: イネーブラーアプリ (Enabler app) :セッションが最初に一致するApp-ID (例. web-browsing) 従属アプリ (Dependent app) :セッションがあとで一致するApp-ID (例. facebook-base)   注: アプリケーションを許可する場合は、常に依存関係を確認してください。また、正しいポリシーを作成することができるよう、依存アプリケーションで暗黙的に使用されるアプリケーションもチェックしてください。   詳細 正しくライブセッションで事前に決定ポイントで特定することができる上記のアプリケーションでは、ファイアウォールは、暗黙的にイネーブラアプリを許可します。このためにファイアウォールはアプリケーションのコンテンツアップデートのメタデータの一部である “uses-apps” と “implicit-uses-apps” を使用します。 “implicit-uses-apps” のアプリリストを持っているアプリケーションの場合、それらのアプリケーションは暗黙的に許可されるため、別途許可するためのセキュリティルールは必要ありません。   アプリケーション定義の一部として “uses-apps” のアプリリストを持ち、“implicit-uses-apps” アプリのリストを持っていないアプリケーションの場合、依存するアプリケーションを許可するために、明示的にそれら(イネーブラーアプリケーション)を許可する必要があります。これは、別のセキュリティルールとして追加することも、同じルールに設定して依存するアプリケーションを許可することもできます。   アプリケーション定義で、明示的にイネーブラアプリケーションを許可する必要があるかどうかをチェックすることができます。コンフィギュレーションモードから次のコマンドを実行します。 # show predefined application <name-of-app>   手順 この例として、ここでは "facebook-base" と "office-on-demand" を使用します。   Facebook-base アプリケーション定義: # show predefined application facebook-base facebook-base {   ottawa-name facebook;   category collaboration;   subcategory social-networking;   technology browser-based;   description "......THIS PART IS OMITTED..... ";   alg no;   appident yes;   vulnerability-ident yes;   evasive-behavior no; consume-big-bandwidth no;   used-by-malware yes; able-to-transfer-file yes; has-known-vulnerability yes; tunnel-other-application yes;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   deny-action drop-reset;   run-decoder no;   cachable no;   references {     Wikipedia {       link http://en.wikipedia.org/wiki/Facebook;     }   }   default {     port tcp/80,443;   }   use-applications [ ssl web-browsing];   tunnel-applications [ facebook-apps facebook-chat facebook-file-sharing facebook-mail facebook-posting facebook-social-plugin instagram] ; implicit-use-applications [ ssl web-browsing];   applicable-decoders http;   risk 4; application-container facebook; } [edit]   facebook-base を許可するには、facebook-base アプリケーションを持つセキュリティポリシーのみが必要です。アプリケーション定義内の以下の部分に基づいて暗黙的に許可されているため、SSLやWebブラウジングを可能にする必要はありません: "use-applications [ ssl web-browsing]; implicit-use-applications [ ssl web-browsing];"   "facebook-base" のために、"facebook-base" だけを許可する "allow-facebook" のセキュリティルールがあります。web-browsing や ssl を許可する明示的なルールはありません。逆にテストの目的で、web-browsing や ssl を拒否ルールが使用されます:   ログで facebook が許可されているのが表示されます:   Office-on-demand アプリケーション定義: # show predefined application office-on-demand office-on-demand {   category business-systems;   subcategory office-programs;   technology browser-based;   description "......THIS PART IS OMITTED..... ";   alg no;   appident yes;   virus-ident yes;   spyware-ident yes;   file-type-ident yes;   vulnerability-ident yes;   evasive-behavior no; consume-big-bandwidth yes;   used-by-malware no; able-to-transfer-file yes; has-known-vulnerability yes;   tunnel-other-application no;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   deny-action drop-reset;   run-decoder no;   cachable no;   file-forward yes;   references {     "Office on Demand" {       link http://office.microsoft.com/en-us/support/use-office-on-any-pc-with-office-on-demand-HA102840202.aspx;     }   }   default {     port tcp/80;   }   use-applications [ ms-office365-base sharepoint-online ssl web-browsing];   applicable-decoders http;   risk 3; application-container ms-office365; } [edit]    office-on-demand 場合、 use-applications [ ms-office365-base sharepoint-online ssl web-browsing] が見られ、 implicit-use-applications のリストがありません。 これは、office-on-demand のすべての機能が正しく動作するように、リスト内のすべてのアプリケーションを明示的に許可する必要があることを意味します。 web-browsing や office-on-demand として許可されたトラフィックを見ることができます。アプリケーションはweb-browsing としてスタートし、Palo Alto Networks DFAにより正しく確認され、これにより "office-on-demand" に変更されます。   もし web がセキュリティポリシーで拒否されている場合、office-on-demand のアプリケーションを許可するルールにヒットしないため、接続が確立されていないように見えます。   owner: ialeksov
記事全体を表示
dyamada ‎11-28-2018 09:01 PM
14,902件の閲覧回数
2 Replies
※この記事は以下の記事の日本語訳です。 How to Create a Security Policy to Block Selective Flash https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Create-a-Security-Policy-to-Block-Selective-Flash/ta-p/61505   概要 この記事は標準のAdobe Flash サイトをブロックしつつ、特定のFlash サイトは許可するセキュリティ ポリシーの設定方法について説明したものとなります。 注: この設定が完全に動作するにはドメインがダイナミック IP アドレスを使用していない必要があります。   手順 example.com と example.org 用のアドレス オブジェクトを作成します。 Object > アドレス に移動し、新たなアドレスオブジェクトを追加します。どちらのアドレス オブジェクトもタイプでFQDNを選択し、ドメイン名を入力します: 注:  example.com が3つのダイナミック IP アドレスにマッチする場合、取得したIPアドレスに基づいた制御になり、FQDN リフレッシュの度(デフォルト30分間隔)にアクセス可能なIP アドレスが変わることになります。 アドレス グループ オブジェクトを作成します。 Object > アドレス グループに移動し、example.com と example.org 用の新たなアドレス グループ オブジェクトを作成します: Policies > セキュリティに移動し、宛先アドレスとして新たに作成したアドレス グループを含むセキュリティ ポリシーを作成します。アプリケーションに"flash"を設定し、アクションは"Allow"を設定します。作成したらこのポリシーを最上部に移動します。 上記のセキュリティ ポリシーの下に、"flash"を拒否する別のセキュリティ ポリシーを作成します。重要なポイントは、上記で設定した以外全てのFlashへのアクセスをブロックするためにこのポリシーを2番目に設定することです。   著者: pchanda  
記事全体を表示
tsakurai ‎07-09-2018 07:18 PM
4,038件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Tips & Tricks: How to Create an Application Override https://live.paloaltonetworks.com/t5/Learning-Articles/Tips-amp-Tricks-How-to-Create-an-Application-Override/ta-p/65513   アプリケーション オーバーライドとは? アプリケーション オーバーライドは、Palo Alto Networks ファイアウォールを通過する特定のトラフィックに対して、通常のアプリケーション識別(App-ID)を特定のアプリケーションで上書きするように設定することです。アプリケーション オーバーライド ポリシーが有効になると、すぐにそのトラフィックの全てのApp-ID検査が停止され、セッションのアプリケーションはカスタム アプリケーションとして識別されます。   使用例 あなたはアプリケーション識別を上書きする必要がある理由を尋ねるかもしれません。場合によって、顧客固有のニーズに対応する独自のカスタム アプリケーションを作成する場合があります。これらのアプリケーションでは、ファイアウォールがトラフィックの動作を認識し、既知のアプリケーションとして適切に識別するためのシグネチャがない場合があります。このような場合は、識別やレポートを簡単にし混乱を避けるためのアプリケーション オーバーライドを作成することをお勧めします。   アプリケーション オーバーライドを使用する典型的なシナリオを見てみましょう。例えば、TCP ポート 23を使用する独自のアプリケーションがあったとします。しかしファイアウォールを通過するトラフィックが"temenos-t24"と誤判定されることで混乱する場合は、トラフィックを正しく識別するためにアプリケーション オーバーライドを実装することができます。   セットアップに必要なもの アプリケーション オーバーライドを設定するには、WebUIで、Policies > アプリケーション オーバーライド に移動します。設定には次のものが必要となります: アプリケーション オーバーライド ポリシーで使用するカスタム アプリケーション(推奨) アプリケーション オーバーライド ポリシー 新しく作成されたカスタム アプリケーションを許可するセキュリティ ポリシー 手順 TCP ポート 23を使用するTelnetのための新しいカスタム アプリケーションを設定する: 当該トラフィックに対して新しいカスタム アプリケーションを作成します。WebUIで、Objects > アプリケーション に移動し、左下の"追加"をクリックします。 アプリケーションに名前をつけます(この場合、既に使用されているTelnet以外のもの)。この例では"Telnet_Override"を名前として使用します。またカテゴリ、サブカテゴリ、テクノロジの値を選択します。 オプション手順: これは必須ではない別のレイヤーまたは詳細を追加するものです。 詳細 > デフォルト に進み、ポートを選択し、アプリケーションのポートを一覧表示します。 この例ではTCP ポート 23が表示されています: パラメータとして"ポート"を選択した後、"追加"をクリックし、必要に応じて例のようにプロトコルとポートを入力します。この例ではシグネチャは必要ないため、このカスタム アプリケーションの作成を完了するために"OK"をクリックします。 アプリケーション オーバーライド ポリシーを作成するために、Policies > アプリケーション オーバーライドに移動し、"追加"をクリックします: "全般"タブでポリシーの名前を入力します。この例では"Telnet_Override"を使用します。 "送信元"に移動し、送信元ゾーンを追加します。送信元が静的の場合は送信元アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 "宛先に"に移動し、宛先ゾーンを追加します。宛先が静的の場合は宛先アドレスを入力します(例を参照)。静的でない場合は"いずれか"のままにします。 プロトコル/アプリケーションに移動し、プロトコルを選択してからポート番号を入力し、作成したカスタム アプリケーションを選択します。 独自のアプリケーションを使って作成したアプリケーション オーバーライドが正しく動作することの確認   この新しいアプリケーションがファイアウォールを通過することを許可するためのセキュリティ ポリシーを作成するか、既存のルールを変更します。   新しいルールを作成するには、Policies > セキュリティ に移動し、左下の"追加"をクリックします。トラフィックがカスタム アプリケーションを使用して通過するゾーンのセキュリティ ポリシーを作成します。サービスで使用されるポートを指定します。全ての新しいセッションは新しいカスタム アプリケーションで検出され、トラフィックは許可されます。 コミットを実行し、テストします。前述のようにトラフィックは"telnet"や"temenos-t24"の代わりに、Telnet_Override"を使用する必要があります。 ポリシーの変更を反映するためにコミットを実行した後、CLIで以下のコマンドを実行し、セッションの詳細を表示します。 > show session all filter application Telnet_Override  
記事全体を表示
tsakurai ‎06-26-2018 06:40 PM
5,110件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to View Application-Default Ports for an Application https://live.paloaltonetworks.com/t5/Management-Articles/How-to-View-Application-Default-Ports-for-an-Application/ta-p/61616   概要 "Application-default" ポートは、様々なアプリケーションで使用されるデフォルトの宛先ポートであり、セキュリティ ポリシーの設定でよく使用されます。   詳細 次のコマンドを使用して、各アプリケーションの"application-default" ポートを確認することができます: # show predefined application <application>   以下の例では、"gmail-base"によって使用されるデフォルトの宛先ポートがデフォルト セクションに表示されています: > configure Entering configuration mode [edit] # show predefined application gmail-base gmail-base {   ottawa-name gmail;   category collaboration;   subcategory email;   technology browser-based;   description "Gmail is a free, advertising-supported email service provided by Google. Users may access Gmail as secure webmail, as well as via POP3 or IMAP4 protocols.";   alg no;   appident yes;   virus-ident yes;   spyware-ident yes;   file-type-ident yes;   vulnerability-ident yes;   evasive-behavior no;   consume-big-bandwidth no;   used-by-malware yes;   able-to-transfer-file yes;   has-known-vulnerability yes;   tunnel-other-application yes;   prone-to-misuse no;   pervasive-use yes;   per-direction-regex no;   timeout 1800;   deny-action drop-reset;   data-ident yes;   run-decoder no;   cachable no;   file-forward yes;   references {     Wikipedia {       link http://en.wikipedia.org/wiki/Gmail;     }   }   default {     port tcp/80,443,993,995,465,587;   }   use-applications [ imap pop3 smtp ssl web-browsing];   tunnel-applications [ gmail-chat gmail-drive gmail-enterprise google-buzz google-talk-base];   implicit-use-applications web-browsing;   applicable-decoders http;   risk 4;   application-container gmail; } Web UIで同じ情報を確認することができます。(Objects > アプリケーション) 以下のスクリーンショットは、gmail-baseのポートを表示したもので、標準ポート (Standard Ports) で確認できます:   著者: sdurga
記事全体を表示
tsakurai ‎06-25-2018 08:43 PM
2,861件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Controlling Skype using App-ID https://live.paloaltonetworks.com/t5/Learning-Articles/Controlling-Skype-using-App-ID/ta-p/149689   Skypeとは?     Skype (スカイプ)はよく知られているインターネット電話サービスで、 Niklas Zennstrm と Janus Friis によって開発されました。ピア・ツー・ピアのファイル共有ソフト Kazaa と新しいピア・ツー・ピアのテレビ アプリケーション Joost の創業者でもあります。 Skype は、従来の POTS から VoIP サービスまで、既存の電話サービスと競い合います。強みとしては、ファイアウォールや NAT 変換を介して接続性を提供でき、多くのアクティブ ユーザーをサポートし、強力な暗号化技術によりプライバシーを保護しています。さらに、インスタント メッセージ、チャット、ファイル転送、ビデオ会議、グローバル ディレクトリーなどをサポートしています。   スカイプの基礎となる技術は、分散型 ピア・ツー・ピア  アーキテクチャを利用して、マルチメディア パケットを中央サーバ型ではなくユーザ間でやりとりします。 ピア・ツー・ピア  ネットワークは接続性とスケーラビリティを向上させると同時に、ファイアウォール トラバーサルや、ダイナミック ルーティングによって、会社に設置されたファイアウォールを回避します。独自のプロトコルに基づくクローズド ソース アプリケーションであるにもかかわらず、Skype の独自でかつ回避的な動作は、特に、可視性や制御なしにファイルや情報を転送する能力を備えているため、エンタープライズ ネットワークにとってセキュリティ上の課題となっています。詳しくは以下の URL をご参照ください。 - https://www.skype.com/en/about/   Skypeをネットワーク上で許可するには、以下のApp-IDをパロアルトネットワークス・ファイアウォールで許可する必要があります。   office365-consumer-access rtcp rtp skype skype-probe ssl websocket stun web-browsing windows-azure-base apple-push-notifications   Policies > Security にて以下のスクリーンショットの例にあるように、Skypeを許可するためのセキュリティ ポリシーを追加します。     Skype For Business:   最小設定では、以下のApp-IDを、Skype For Businessが正しく動作するために許可する必要があります。   Ms-lync-base (matches the core functionality of the application) ms-lync-online rtcp stun (for media negotiation) rtp (for media streaming) ms-office365-base (core functionality of O365 applications) ssl web-browsing ms-lync-audio/video   クライアント端末では、固定の証明書を使用しており、 Skype For Business でも、「 *.online.lync.com 」や「 *.infra.lync.com 」を例外リストに追記し( Device > Certificate Management の SSL 復号化例外より)、復号化の除外すべきです。     著者: vsathiamoo 
記事全体を表示
kkondo ‎04-21-2018 05:09 PM
4,415件の閲覧回数
0 Replies
 ※この記事は以下の記事の日本語訳です。 SIP Application Override Policy https://live.paloaltonetworks.com/t5/Management-Articles/SIP-Application-Override-Policy/ta-p/69349   事象 ある状況においては、Palo Alto Networksのファイアーウォールによって処理されるSIPトラフィックによって、一方向音声、電話機のレジストレーション解除などに問題が発生することがあります。   解決策 次の手順に従って、SIPの Application Override ポリシーを作成します:   1. Policies > Application Override より、 左下の Add をクリックして新しいポリシールールを作成します。 Create new Application Override rule.   2.次に、 Source タブの Add をクリックして、SIPサーバーが存在するソースゾーンを追加します。 App override screen - source zone.   3. Destination タブの Add をクリックして、VoIPプロバイダーのサーバーの宛先ゾーンと、サブネットまたはIPアドレス、の両方を追加します。 App override - Destination zone and address.   4. Protocol/Application タブでは、VoIPベンダーによって使用されるTCPまたはUDPのどちらかが有効であり、また、ポートも異なります。Applicationでは、sipを使用します。 Protocol - Application tab showing the options.   5. 以下で Application Override ルールの内容を確認できます。 Application Override rule view   SIPアプリケーションの Application Override ポリシーを作成する以外にも、以下をチェックする必要があります:   内部SIPサーバへの着信および発信トラフィック双方のためのセキュリティポリシー SIPサーバの送信元および宛先NAT ALGが無効かどうか。そうではない場合、以下の記事のリンクをクリックして無効にしてください。   How to Disable SIP ALG SIP ALG無効化の方法 (日本語)  ※訳者追記   著者: shganesh 
記事全体を表示
dyamada ‎04-17-2018 09:10 PM
3,195件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。原文はepic App-IDリリース前に公開しておりますが、本翻訳時点ではepic App-IDはリリース済です。 Release of the Epic App-ID https://live.paloaltonetworks.com/t5/Management-Articles/Release-of-the-Epic-App-ID/ta-p/159047   背景: Epicはヘルスケア 提供者により患者の管理のために使用される、電子カルテ(EMR:  electronic medical record )に使用されます。Epicとお客様有志のご協力により、Palo Alto Networksはヘルスケア 提供者ネットワークにおけるEpicアプリケーション トラフィック可視化を提供する、新しいEpic App-IDのリリース計画をアナウンスいたします。    Epic App-IDの作成以前は、Palo Alto NetworksファイアウォールはEpic CFトラフィックを"不明なTCP(unknown-tcp)"と識別してきました。Epic App-IDにより、ポート ベースのポリシーや宛先ポートあてにunknown-tcpトラフィックを許可したポリシーを作成することなく、Epicを単に安全に有効化するだけで、お客様はとても容易に扱えるようになります。   リリースプラン: 2017年7月17日週、Palo Alto Networksは、Epic(EPICとは ) にて開発された電子カルテアプリケーションの容易で安全な有効化を企図して、Epic CFプロトコルの新規のApp-ID 'Epic'を追加しました。   "epic"App-IDは2部に分けてリリースされます:   2017年6月 - ”Epic” プレースホルダー App-ID -(2017年6月19日の週 リリース予定) 2017年7月 - "Epic" App-ID機能有効化 - (2017年7月17日の週 リリース予定)   "Epic" は2017年6月19日の週には、プレースホルダー アプリケーションとして提供されます。プレースホルダーとして提供されるこのApp-IDで、お客様は必要なポリシー変更を事前に行うことができます。プレースホルダーApp-IDによって、お客様はセキュリティー ポリシーにApp-IDを追加を計画するにあたって、十分な時間を確保できます。    よくある質問(FAQ)   問:なぜPalo Alto Networksはこの変更を行うのですか? 答:ヘルスケアに関する多くのお客様との共同の結果、またEpic App-IDによる脅威の可視性の改良のご要望が多く寄せられたことによるものです。お客様が安全にEpicアプリケーションを利用できるという、弊社はお客様とEpicとのご期待を認識した上で、該当App-IDを開発いたしました。   問:どのようなポリシーの変更が必要ですか? 答:Epic関係のトラフィックを、App-IDベースのポリシーでunknown-tcpとして許可しているのであれば、Epic App-IDを許可するためにこのポリシーの変更が必要になります。   問:Epicをポート ベースのポリシーで許可している場合は、どうなりますか? 答:もし安全なEpicトラフィックの有効化のためにポートベースのポリシーを使用している場合、この変更による影響はありません。しかしながら、Epic関連のトラフィックの安全な有効化のために、Epic App-IDの使用を開始いただくことを、推奨いたします。   問:セキュリティー ポリシーのunknown-tcpをEpic App-IDに置き換えないと、何が起きますか? 答:2017年7月17日週に、Epic App-IDの機能が有効化されます。EpicトラフィックはEpicと識別され、unknown-tcpとは識別されなくなります。該当トラフィックはそれ以降Epicと識別されるため、unknown-tcpを許可ないしは拒否するいずれのセキュリティーポリシーも、Epicトラフィックに適用されなくなります。  
記事全体を表示
TShimizu ‎03-07-2018 09:59 PM
4,761件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 Pro-Tips: Unknown Applications https://live.paloaltonetworks.com/t5/Management-Articles/Pro-Tips-Unknown-Applications/ta-p/77052     'Unknown' アプリケーションの対処   トラフィック ログの中に稀に出てくる unknown-tcp や unknown-udp とは一体何なのでしょうか。これはApp-ID において、十分なデータが流れていないコネクションがあったり、十分なデータが流れていてもそれが既知のアプリケーションの動作にマッチしなかったりして、App-IDがアプリケーションの特定をすることができなかったことを意味します。このタイプのアプリケーションが組織内のトラフィックで見つかった場合、例えば、バックアップによるトラフィックやスクリプトで自動化されたメンテナンス処理など、Unknownアプリケーションであっても無害な場合が考えられます。しかし、これらのトラフィックがインターネットに出ていくものだったり、あるいはインターネットから入ってくるものだったりした場合は、注意が必要です。     大雑把に言えば、これらのトラフィックは実際どのようなセッションなのか不明で、悪意のあるトラフィックであり得るので、ベスト プラクティスとしてunknown-udp/unknown-tcp   アプリケーションは全てブロックした方が無難です。   ただ、やみくもに全てのunknownトラフィックをブロックしてしまうと、今度は逆に正規のトラフィック等を遮断してしまうことにも成りかねません。最善策は、カスタム アプリケーションを作成し、該当のトラフィックを特定した上で、セキュリティ ポリシーでどのフローを許可するか、あるいはブロックするかをより細かく制御することです。   簡単な方法は、まずシンプルなカスタム アプリケーションを作成し、アプリケーション オーバーライドを設定することです。これは、送信元と宛先が社内のアドレスで、かつ固定である場合に有効な方法です。例えば、とあるサーバーから別の管理下の環境へのスクリプトによるコネクションなどがこれに該当します。    まずシンプルなカスタム アプリケーションを作成します。詳細 (Advanced) とシグネチャ (Signatures) は設定しません。 ここでリスクの値に5を設定している理由は、この方法でApp-IDを適用するセッションにおいてインスペクションが無効になるためです。 アプリケーション オーバーライドを作成し、該当のトラフィック フローに完全にマッチするように設定をします。(アプリケーション オーバーライドは、管理者が把握しているフローにのみ使用してください) セッションがカスタム アプリケーションとして検知されるようになります。セキュリティ ポリシーをそのアプリケーション用に作成することで、セッションの制御が行えるようになります。   最もいいアプリケーションの特定方法は、パケット キャプチャを行ってアプリケーションがファイアウォールにとってどのように見えるかをよく理解し、それを元に期待されるコンテンツにマッチするようにシグネチャを作成することです。こうすることで、正規なセッションを完全に見分けることができるようになります。   パケット キャプチャをセットし、セッションの最初から最後までをキャプチャした後、pcapファイルを取得します。パケット キャプチャの詳細については、次の文書を参照してください。Getting Started: Packet Capture(英文) より適切なシグネチャが書けるよう、パケット キャプチャを解析します。 この例では、16進の HEX値 "2f69 6e66 6f3f 7478 7441 6972 506c 6179 2674 7874 5241 4f50"を使用します。これは、アスキー テキストで "/info?txtAirPlay&txtRAOP" に相当するものです。 新しいカスタム アプリケーションを作成し、これから特定しようとしているセッションにマッチするようにパラメータを設定していきます。以下の例は、カスタムAirPlayプロトコルをキャプチャしたデータを元に設定したものです。これは組織内のトラフィックであり安全であることが分かっているため、リスクの値は1に設定してあります。 このアプリケーションは、クライアントからサーバーへの通信の宛先としてTCPポートの7000番を使用します。 シグネチャには、以下の例にあるように、pcapから見つかった16進のHEX値が使用できます。(HEX値を使用する際には、先頭と末尾に '\x' を付与してください。そうすることで、シグネチャのエンジンがテキスト パターンではなくHEX値のパターンとして処理するようになります。) また、以下の例にあるように正規表現を使うこともできます。(テキスト文字列の中に特殊文字が含まれている場合は、特殊文字の前にバックスラッシュ '\' を付けてエスケープしてください。)   文字列のパターンが現れる位置を条件の制限に加えるために、修飾子(Qualifier)とその値にhttp-method GETを設定しています。なぜなら、これはhttpのbodyの部分には現れないからです。このシグネチャのコンテキスト (Context)はhttp-req-params (http request parameter)を設定しています。その理由は、カスタムAirPlayプロトコルは、サーバーとの通信においてhttpコマンドを使用するからです。このように、コンテキストのオプションはクライアントとサーバー間の通信で使用されるプロトコルにできるだけ即した形で設定する必要があります。 その他の例としては、Video Tutorial: Custom application(英語)や Getting Started: Custom applications and app override (英語)を参照してください。よく使われるコンテキストには、 'unknown-req-tcp-payload'、'unknown-rsp-tcp-payload'、'http-req-host-headers' などがあります。ここで、"-req-" はクライアントからのリクエスト、"-rsp-" はサーバーからのレスポンスを意味します。これによって、どちらの方向のトラフィックをチェックしてアプリケーションを特定するかの選択が可能になります。 カスタム アプリケーションを作成し、設定のコミットを行うと、unknown-tcp と表示されていたセッションは新しいカスタム アプリケーションとして新しくログに出てくるようになります。   つまり、この新しいカスタム アプリケーション用にセキュリティ ポリシーを作成することで別の制御が可能となり、ビジネスで使用しているアプリケーションを許可しつつ、unknownアプリケーションのトラフィックをブロックすることができるようになります。     この記事がお役に立つと幸いです。コメントもお待ちしています。 著者:Reaper   カスタム アプリケーションにまつわるその他のアイデアや事例についてもっと詳しく知りたい方は、次のサイトを訪れてみてください。the Palo Alto Networks Custom Signature discussion board(英語)   参照リンクのまとめ: Getting Started: Packet Capture Video Tutorial: Custom application Getting Started: Custom applications and app override    
記事全体を表示
ymiyashita ‎01-15-2018 06:39 PM
4,766件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to create custom application for ALG apps https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-Agentless-User-ID/ta-p/...   事象 カスタム アプリケーションと判定された後、Palo Alto Networks ファイアウォールは ALG による Predict セッションの 生成 ができない場合があります。 カスタムアプリケーションにマッチした後、Palo Alto Networks ファイアウォールは ALG による Predict セッションの生成ができない場合があり、FTP データ コネクション上でのファイル転送に失敗する可能性があります。   原因 カスタム アプリケーションで "他のアプリケーションに対するスキャンを続行" にチェックを入れないと、Palo Alto Networks ファイアウォールは L7 スキャンを停止し、カスタム アプリケーションに一致した後にそのセッションをハードウェア オフロードします。 セッションがオフロードされた後は、 ALG トリガーパケットがファイアウォールに到着したとしても、それはピックアップされず Predict セッションは生成されません。   解決方法 以下の手順に従ってカスタム アプリケーションの設定を変更します。 1. Objects > アプリケーションへ移動し、設定を変更するために作成済みのカスタム アプリケーション名をクリックします: Click your custom application. 2. 設定タブにて "他のアプリケーションに対するスキャンを続行" のチェック ボックスをクリックします: Click the checkbox, "Continue scanning for other Applications." 3. OK をクリックしてカスタム アプリケーションの設定画面を閉じ、Commit を実行して変越した設定を反映させます: Close the custom application window.   参照 Getting Started: Custom applications and app override https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Custom-applications-and-app-override/ta-p/71635    
記事全体を表示
tsakurai ‎12-30-2017 03:47 AM
4,665件の閲覧回数
0 Replies
FAQ - Office 365アプリケーションのアクセスコントロール ※この記事は以下の記事の日本語訳です。 FAQ - Office 365 Access Control https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949   2016年8月29日週、Palo Alto NetworksはMicrosoft ®  Office 365™アプリケーションID変更をリリースしました。我々のお客様に、変更の準備と、変更による問題を避けるために、Palo Alto Networksは以下の代理アプリケーションIDとデコード・コンテキストをアプリケーション、脅威コンテンツアップデート597でリリースします。既存のOffice 365ポリシーが8月29日週以降も有効に働くために、このドキュメントを読み、深く理解することを推奨します。   新アプリケーション(現時点で、仮設定のみ): office365-enterprise-access office365-consumer-access  新デコード・コンテキストカスタムアプリケーション・シグネチャーのパターンマッチング (現時点で、仮設定のみ): http-req-ms-subdomain   よくある質問とその回答:   Q. なぜPalo Alto Networksこの変更を実施したのか? A. 現在はOffice 365を安全に使用にするために、我々のお客様は、 “ms-office365”と“ms-onedrive”アプリケーションIDをご使用いただいています。しかしながら、我々は、お客様が以下の目的を達することを求められていることを認識しています。   企業向け、一般ユーザー向けOffice 365をネットワーク内で可視化する必要性 特定の承認された企業向けOffice 365 アカウントを許可し、承認されていないOffice 365 アクセス(承認されていない企業向けOffice 365アカウントもしくは、一般ユーザーアカウント)をブロックする 一般ユーザーアカウントでのOffice 365 サービスへのアクセスをブロック “sharepoint-online” 共有機能でcross-tenantをコントロールまたは制限したい   Q. この変更によって得られる新しい機能は何ですか? A. お客様がこの変更によって得られる新しい変更は以下になります: 企業向け、一般ユーザー向けOffice 365をネットワーク内で可視化 特定の企業向けOffice 365ログイン用のカスタムアプリケーションを作ることができます。このアプリケーションIDはドメイン名を使った企業向けoffice 365ログインアカウントで、例えば、ユーザーがoffice 365にuser@mydomain.org、user@mydomain.comもしくはuser@mydomain.onmicrosoft.comといったログイン名でアクセスした場合に、カスタムアプリケーションは “mydomain” といったドメイン名をチェックできます。作成されると、このアプリケーションIDは既存のOffice 365アプリケーションIDに設定することができ、このアプリケーションは認証された企業アカウントを使ったOffice 365へのアクセスに限定します。 一般ユーザーアカウントでのOffice 365 サービスへのアクセスをブロック “sharepoint-online” 共有機能でcross-tenantをURLフィルタリングかカスタムアプリケーションIDによる制御   Q. この機能を利用するためにSSL復号化機能を有効にする必要がありますか? A. はい、SSL複合化機能を有効にする必要があります。   Q. SSL復号化機能をOffice 365 トラフィックで使用していない場合、この変更の影響をうけますか? A.  SSL複合化機能をOffice 365 トラフィックで使用していない場合この変更の影響を受けません。   Q. 上位ネットワークでSSL復号化機能が動作し、ファイアウォールが複合化トラフィックを受信している場合、影響を受けますか? A. はい、この変更の影響を受けます。以下に示している推奨設定変更を実行してください。   Q. Office365 インスタンスの特定アカウントの “Custom Application” はどのようにつくりますか? A. ステップ 1. Objects > Applicationsと進み、 “Add” をクリックして以下のように値を設定します。        ステップ 2.  “Signatures” タブをクリックし、以下のように値を設定します。     ステップ 3. 設定を保存し、コミットします。   Q. この変更によりどのような影響をうけますか? どのようにしてOffice 365 アプリケーションを継続して使用することを保証できますか? A. 7月6日のコンテンツアップデートによって、Palo Alto Networksは “office365-enterprise-access” と “office365-consumer-access” を仮設定のアプリケーションIDとしてアプリケーション・カタログに追加します。これらのアプリケーションID配布は仮設定用で、我々のお客様に事前に必要な設定変更を事前に行うことができます。これらの2つの仮設定用アプリケーションIDは、8月29日の週のコンテンツアップデートが発生して動作し始めるまで、ファイアウォールのポリシーチェックに何ら動作影響はいたしません。 Palo Alto Networksはこれらの仮設定を正式なアプリケーションID “office365-enterprise-access” と “office365-consumer-access” 8月29日の週に変更します。               この移行期間による、Palo Alto Networksのタイムラインの概要は以下です: 2016年7月5日の週: Palo Alto Networksは仮設定用の “office365-enterprise-access” と “office365-consumer-access” アプリケーションIDをコンテンツアップデートで提供します。このリリースバージョンでは、仮設定用のカスタム・デコード・コンテキスト “http-req-ms-subdomain” も提供されます。 上記で示したように、これはカスタムアプリケーションIDがOffice 365にアクセスする特定の承認された企業向けアカウントを特定する目的で使われます。これらの2つのアプリケーションIDとカスタムアプリケーションIDはファイアウォールのポリシーにアップデートされこの変更アナウンスの準備としてご使用いただくことができます。 全てのOffice 365アクセスを許可する暫定のポリシー例     承認された企業アカウントによるOffice 365アクセスのみを許可するカスタムアプリケーションIDのポリシー例        全ての企業アカウントによるOffice 365アクセスのみを許可するポリシー例     8月29日週のコンテンツ・アップデートによりPalo Alto Networksは “office365-enterprise-access” と “office365-consumer-access” アプリケーションIDが動作します。これらのアプリケーションIDは設定されたポリシーによってOffice 365サービス宛のトラフィックにチェック、実行されます。もし上記のガイダンスのように変更されれば、Office 365サービスに対するアクセスコントロールを実施できます。   Q. もし “office365-enterprise-access” を追加しなかったり、Office 365企業向けログイン、カスタムアプリケーションIDを作らなかったらどうなりますか? A . もし “office365-enterprise-access” やOffice 365企業向けログイン、カスタムアプリケーションIDを許可しなかった場合、Office365サービスが動作しません。我々は8月29日週に配布されるアップデートの準備として、上記の設定に携わることを強くお勧めします。   Q. “office365-consumer-access” アプリケーションIDをポリシーに追加しなければどうなりますか? A. “office365-consumer-access” を明確に許可しない場合、ユーザーは一般ユーザー向けのOffice 365サービスにアクセスできなくなります。我々は8月29日週に配布されるアップデートの準備として、上記の設定に携わることを強くお勧めします。   Q. 既存の “ms-office365” と “ms-onedrive” アプリケーションIDにどのような影響がありますか? A. 既存のアプリケーションIDは8月28日まで動作します。しかし、8月29日週のコンテンツ・アップデートにより、ms-office365アプリケーションID向けのユーザーログインは、 “office365-enterprise-access” もしくは “office365-consumer-access” と識別されます。そのため、これらのアプリケーションIDが存在するセキュリティポリシーを上記の推奨のように設定変更してください。   Q. どのバージョンのPAN-OSがこの変更の影響を受けますか? A. すべての現行のサポートバージョンのPAN-OSが8月29日週のコンテンツ・アップデートによって影響を受ける可能性があります。   Q. 上記の設定変更をおこなったが、新しいアプリケーションIDや起因するカスタムアプリケーションIDが見えません A. これらは、8月29日週のコンテンツ・アップデートにより、仮設定のアプリケーションIDやデコード・コンテキストが有効動作します。それまで、これらの仮設定は8月29日週の変更のアシスタント、アイデアとしてご利用になれます。   See also Microsoft Office 365 Access Control Field Support Guide   著者: msandhu
記事全体を表示
kkondo ‎11-12-2017 07:00 PM
6,936件の閲覧回数
0 Replies
1 Like
※この記事は以下の記事の日本語訳です。 App-IDs for SSL-Secured Versions of Well-Known Services https://live.paloaltonetworks.com/t5/Configuration-Articles/App-IDs-for-SSL-Secured-Versions-of-Well-Known-Services/ta-p/57428   詳細 LDAP、IMAP、POP3、SMTP、そしてFTPのような多くのwell-known ポートを使用したサービスが、それらの標準のポートとは異なる代替のSSL用ポートで稼働する、SSLによるセキュアなバージョンが利用可能となっています。これらのすべての場合においてトラフィックはPalo Alto Networks 次世代ファイアウォールのApp-IDにより、'ssl'アプリケーションとして識別されます。   これらのサービスを許可するセキュリティ ポリシーを作成する、いくつか異なるアプローチがあります。以下の記載をご覧ください。 これらのプロトコルでサポートされるStartTLSを使用します。StartTLSについてはhttps://ja.wikipedia.org/wiki/STARTTLS / http://en.wikipedia.org/wiki/STARTTLSをご覧ください。 この場合SSL用に変更したポートでのはない標準のポートにて、'ssl'としてではなく該当するプロトコル(ldap、imap、pop3など)にそれぞれ識別されます。 SSL用に変更されたポートのサービス オブジェクト(S MTPS:TCP/465、IMAPS:TCP/993、POP3S:995、 FTPS:TCP/990 )を作成し、それらのサービスの'ssl' App-IDをセキュリティ ポリシー上で許可します。 サーバー証明書をもとにカスタムアプリケーションを 作成します。   Custom Application for SSL-based traffic をご覧ください。 復号を有効にすると、これらは対応するApp-ID(smtp、imap、pop3など)で識別されます。   参照 SSL Decryption設定と試験方法   著者: savasarala
記事全体を表示
TShimizu ‎11-06-2017 05:55 PM
4,856件の閲覧回数
0 Replies
セキュリティプラットフォームによる多層防御のアプローチと、 次世代ファイアウォールの各機能について ご紹介致します。
記事全体を表示
ykato ‎09-16-2016 01:15 AM
14,378件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 List of Apps with metadata change for Content version 575 https://live.paloaltonetworks.com/t5/Management-Articles/List-of-Apps-with-metadata-change-for-Content-version-575/ta-p/75836   これは、Application and Threat コンテンツバージョン 575 のリリース・ノートを理解を助けるための記事です。このバージョンにおいて、Palo Alto Networks はこれらのアプリケーション上のウイルス検出能力を向上させるために、これらのアプリケーションが識別される方法に影響を与えないようにメタデータ変更を実施しています。   よくある質問:   1. この変更は以下の App-ID が識別される方法に影響をあたえるのでしょうか? 回答:いいえ、この変更は以下の App-ID が識別される方法を変更しません。これは、以下の App-ID のシグネチャ変更ではありません。   2. メタデータとは何ですか?そして、メタデータの変更とは何ですか? 回答:App-ID メタデータは、App-ID の特性と機能を定義するの App-ID の属性です。たとえば、アプリケーションのタイムアウトやリスク値は、App-ID のメタデータの例です。これらの属性のいずれかがアプリケーションの性能を改善するために変更された場合、メタデータの変更が行われます。   3. どのようなメタデータの変更が以下の App-ID のされたのですか? 回答:以下の App-ID のメタデータの変更は、ウイルス検出とレポート作成機能を向上させるために実施されました。   4. このメタデータの変更は、私のアプリケーションフィルタ等の設定に影響はありますか? 回答:いいえ、この変更は現在の設定への影響はありません。   2ch 2ch-posting 51.com 51.com-bbs 51.com-games 51.com-mail 51.com-music 51.com-posting adnstream adobe-connectnow adobe-echosign adobe-meeting-remote-control afreeca aim-express amazon-aws-console amazon-instant-video ameba-blog-posting apple-vpp arcgis asana asf-streaming asproxy atmail att-locker autodesk360 avaya-webalive-desktop-sharing avoidr badoo baidu-webmessenger base-crm bbc-iplayer beamyourscreen beats-music bebo-mail bet365 blogger-blog-posting blokus bluejeans boldchat-logmein boxnet boxnet-consumer-access boxnet-editing boxnet-enterprise-access boxnet-uploading brighttalk buzzsaw callpilot camo-proxy campfire carbonite cbs-video cgi-irc channel4 chatroulette chinaren chinaren-apps chinaren-chat chinaren-mail chrome-remote-desktop circumventor classmates clubbox cnn-video concur constant-contact convo convo-chat cooltalk dabbledb dailymotion dcinside dcinside-posting deezer digg-posting disqus docusign dostupest dotvpn ebuddy elastic-search elluminate emc-documentum-webtop evony eyejot ezpeer facebook facebook-apps facebook-chat facebook-posting facebook-rooms facebook-social-plugin fc2-blog-posting fcc-speed-test firefox-update flixster fotki freecast freeetv friendfeed friendster friendvox fuze-meeting fuze-meeting-desktop-sharing gifboom gogobox google-analytics google-buzz google-cache google-calendar google-calendar-enterprise google-cloud-print google-docs-editing google-drive-web google-finance-posting google-hangouts google-hangouts-audio-video google-hangouts-chat google-lively google-location-service google-maps google-play google-plus google-plus-email google-safebrowsing google-translate google-translate-auto google-translate-manual google-video gotoassist gyao hi5 highrise hootsuite howardforums-posting http-audio http-video hulu hulu-posting hyves hyves-games hyves-mail hyves-music icq2go iheartradio iloveim im-plus imeet imgur imo insightly-crm instan-t-webmessenger intuit-quickbase iqiyi issuu jango jaspersoft jira join-me jotspot-editing kaixin-chat kaixin-mail kaixin001 kanban-tool khan-academy kino koolim labnol-proxy laconica last.fm lastpass letv libero-video linkedin linkedin-apps linkedin-intro linkedin-mail linkedin-posting live365 livelink liveperson livestream lokalisten lotuslive lotuslive-meeting lotuslive-meeting-apps-sharing magister mail.ru-moimir mail.ru-webagent mcafee-epo-admin me2day meebome meetup meetup-email meetup-forum meevee mega megaproxy megavideo meinvz mekusharim meldium messengerfx meta4 metacafe mgoon mibbit minecraft minus mixi mlb.tv morningstar-posting motleyfool-posting ms-exchange-admin-center ms-lync-online-apps-sharing ms-office365 ms-virtualserver msn-money-posting msn-webmessenger msn2go mymarkets myspace-video napster nate-video nbc-video netbackup netbotz netflix-streaming netspoke new-relic nextmedia-video niconico-douga ning ning-apps ning-mail nomadesk noteworthy-admin odnoklassniki odnoklassniki-messaging okta omegle onelogin onepagecrm ontv ooyala oracle-forms orb paltalk-express pandora pandora-tv panos-web-interface party-poker pathview pentaho photobucket phweet pingone pinterest pivotaltracker plaxo plex plugoo-widget pogo powow powow-file-transfer proofhub proxeasy proxylocal psiphon puffin pullbbang-video quora radiusim ragingbull-posting rally-software rdio readytalk readytalk-chat readytalk-desktop-sharing renren renren-apps renren-chat renren-music renren-posting rightscale rover rtmpt ruckus salesforce samsung-updates sap-jam sap-jam-uploading sbs-netv schmedley screencast secret secure-access securemeeting seesmic sentillion service-now sharepoint-blog-posting shutterfly signnow silverlight sina-webuc sina-weibo sina-weibo-posting slacker smugmug socialtv solarwinds solarwinds-npm solarwinds-sam speedtest stagevu stocktwits stocktwits-posting streamaudio studivz stumbleupon sugar-crm svtplay t-online-mail techinline tidaltv tokbox torch-browser torch-browser-games torch-browser-music tudou tuenti tumblr tv4play tvb-video twitch twitpic twitter twitter-posting usermin userplane ustream vbulletin-posting veetle veohtv vevo viadeo vimeo vkontakte vkontakte-chat vkontakte-mail vnc-http vtunnel vyew war2glory watch-abc watchdox weather-desktop webqq websocket whisper winamp-remote windows-azure wink woome workday xm-radio yahoo-blog-posting yahoo-calendar yahoo-douga yahoo-finance-posting yahoo-notepad yahoo-web-analytics yahoo-webmessenger youku youku-uploading yourminis youtube youtube-posting youtube-safety-mode yugma zango zoho-meeting zoho-people zoho-share zwiki-editing zynga-games  
記事全体を表示
dyamada ‎07-13-2016 01:53 AM
2,796件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Create an Application Filter to Block High-Risk Applications https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Create-an-Application-Filter-to-Block-High-Risk/ta-p/62794       概要 本ドキュメントでは、 peer-to-peer テクノロジーを利用したhigh-risk (5) file-sharing applicationsをブロックするためのセキュリティポリシーの作成方法を説明しています。   手順 Policies タブからSecurityを選択し、セキュリティ ポリシーの追加を行います。 General, Source,User,Destination タブの必要情報を入力します。その後、Applicationタブを選択します。 Addを選択し、 ドロップダウン リストの一番下までスクロールさせ、Application Filterを選択します。 作成するApplication Filterに対し、名前をつけます。 peer-to-peer technologyベースのhigh-risk (5) file-sharing applicationsに対して制御を行いたいため、以下の流れで指定します。 Category カラムの下にある、 highlight general-internetをクリックします。 Subcategoryの下にあるfile-sharingを選択します。 技術的な部分では、peer-to-peer Risk が 5 OKをクリックし、保存します。Application Filterがルール上に表示されます。 Security Policyの設定の残りを入力します。 Service/Urlカテゴリは、Anyを選択し、ActionについてはDenyを選択することが推奨となります。   これまでの手順を実施することで、ファイアウォールを経由するトラフィックは、application filterによりカテゴライズされます。   注: アプリケーション フィルターは、動的なものです。ビルト イン カテゴリ が選択された場合は、グループがルール内で利用できるようになります。この結果、選択されたカテゴリに該当するものはすべてグループに含まれる結果となります。 アプリケーションはリカテゴライズされたり、 もしくは、新しいアプリケーションがそのカテゴリに追加されるため、 そういったアプリケーションは、アプリケーションフィルターから動的に追加されたり、削除されたりすることになります。この動作により問題が発生する可能性があります。なぜなら、リカテゴライズにより、過去許可していたアプリケーションが突然ブロックされたり、過去ブロックしていたアプリケーションが突然許可されることが発生するからです。アプリケーション グループを使用していたケースでも、アプリケーションは、サービス グループやアドレス グループと同様に分類されます。ブロック、許可を行う対象のアプリケーションが追加されるたび、使用しているアプリケーション グループに手動で追加していく必要が見込まれます。   参考情報 セキュリティ ポリシー内で、効果的にHigh-Risk Appを活用したい場合、アプリケーションの依存関係について深い理解を得る必要があります。こちらのドキュメントをご参照ください。 How to Check if an Application Needs to have Explicitly Allowed Dependency Apps  (英文)   著者: sodhegba    
記事全体を表示
kkawachi ‎07-12-2016 01:01 AM
4,026件の閲覧回数
0 Replies
日々変化するサイバー脅威のトレンドと、それに対抗する弊社セキュリティプラットフォームを使った多層化防御アプローチに関する資料となります。
記事全体を表示
ykato ‎06-19-2016 11:33 PM
9,020件の閲覧回数
0 Replies
ykato ‎05-31-2016 07:53 PM
8,870件の閲覧回数
0 Replies
質問 ※この記事は以下の記事の日本語訳です。 App-ID changes to Google apps https://live.paloaltonetworks.com/t5/Management-Articles/App-ID-changes-to-Google-apps/ta-p/66890     2015年12月1日、Palo Alto Networks ファイアーウォールはGoogleアプリケーションを有効化するための簡素化、ポリシー設定のスリム化を考慮して、google-baseという名前の新しいApp-IDを追加しました。以下のFAQにて、既存ファイアーウォールの設定に対するインパクト、変更について、基本的な質疑応答を掲示します。もし追加の質問がございましたら、Discussion forumをご利用ください。     良くある御質問   質問: なぜPalo Alto Networksはこの変更を実施したのですか?   回答: 今日、Googleアプリケーションを有効化するためにはお客様にその他の依存するアプリケーション(ssl, web-browsing)を許可設定していただく必要がございました。この変更によって、明示的に依存するアプリケーションを許可するする必要なくなりました。新しいApp-ID、google-baseを許可することにより、Googleアプリケーションの基本サービスをご利用することができます。     質問: この変更によりどのような影響がありますか?   回答: 新しい変更の優位性を得るために、Googleアプリケーションを許可するために設定している、ssl, web-browsingの代わりに、google-baseをポリシーのApplication欄で許可する必要があります。サンプルの設定は以下をご参照ください。Google Calendar, Gmail, YouTubeとGoogle Mapsが許可され、その次の新しく設定されたポリシーで、google-baseをApplication欄で許可されています。        質問: どのようにしてGoogleアプリケーション継続動作することができますか?   回答: Palo Alto Networksは、2015年11月の第1週目にgoogle-baseをアプリケーションカタログに追加しました。これにより我々のお客様に、事前変更を実施することが可能となります。   この仮のApp-IDは、既存のファイアーウォールポリシーや、App-ID既存ルールに影響を及ぼすものではございません。 サンプルの移行ポリシーは以下です。   Palo Alto Networksが、仮のgoogle-baseを正式なものに更新するのは、2015年12月の第1週目です。   Palo Alto Networksの変更タイムラインはいかのようになります。   2015年10月20日 - Palo Alto Networksが次期Googleアプリケーションのファイアーウォールによる処理の変更点についてアナウンスいたします。 2015年11月の第2週目– Palo Alto Networks は仮のgoogle-baseであるApp-IDを週次で配布しているコンテンツアップデートで提供します。これにより、ファイアーウォールの事前設定が可能となります。 2015年12月の第1週目– Palo Alto Networks は正式のgoogle-baseであるApp-IDを週次で配布しているコンテンツアップデートで提供します。このアップデートにより、google-baseがApp-IDとして稼働します。以前ご使用になられていた、依存アプリケーションのssl, web-browsingを取り除くことができます。これより、いずれのGoogleアプリケーションにおいても依存アプリケーションはgoogle-baseとなります。   質問: いつこの変更が、アプリケーションと脅威のアップデートによって提供されますか?   回答: Palo Alto Networks は正式のgoogle-baseであるApp-IDを2015年12月の第1週目で配布するコンテンツアップデートで提供します。   質問: もしファイアーウォールのポリシー上にgoogle-base を追加せず、"ssl"、 "web-browsing" のままにしてたらどうなりますか?   回答: ファイアーウォールのポリシー上にgoogle-base を追加しなかった場合、Googleアプリケーションが正常に動作しなくなりますので、2015年12月の第1週目で配布されるコンテンツ アップデートで、google-base を許可する必要があります。   質問: PAN-OSどのバージョンがこの変更の影響を受けますか?   回答: 全てのPAN-OS softwareサポートバージョンで、2015年12月の第1週目で配布されるコンテンツアップデートを実施すると影響を受けます。   質問: 'google-base'が必要なアプリケーションのリストはありますか?   回答: 'google-base' が必要なアプリケーションのリストは、こちらのリンクをご参照ください。: List of applications that require 'google-base'   質問:  'google-base' App-IDを識別するためにSSL復号化を有効化する必要がありますか?   回答: いいえ、SSL復号化'google-base' App-ID を識別するために必要ではありません。しかしながら、SSL上で動作するGoogleアプリケーション(例えば、gmail)を復号化するためには必要です。   質問: 'google-base' App-IDをポリシーで許可すると、他のGoogleアプリケーション(youtube-baseやgmail-baseなど)も許可されますか?   回答: いいえ、他のGoogleアプリケーション(youtube-baseやgmail-baseなど)は個別にポリシー上で許可する必要がございます。   Palo Alto Networks 社は、お客様のファイアーウォール上のポリシーをご確認いただき、仮の'google-base' App-ID 設定を2015年12月1日以前に設定していただくことを強く推奨いたします。   その他質問に関して もしその他に、この記事に書かれている変更点についてご質問がありましたら、Discussion forumにご質問を掲示していただくようお願いします。 回答
記事全体を表示
kkondo ‎04-06-2016 12:32 AM
2,951件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community