ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Send a Test Email to Verify Email Profile Settings https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Send-a-Test-Email-to-Verify-Email-Profile-Settings/ta-p/60956     概要 電子メール サーバー プロファイル ( [ Device ] > [ サーバー プロファイル ] > [ 電子メール ] )を設定する際、この資料に記載されている手順によって、以下の設定が正しいかどうかを確認する方法を記載しています。 SMTP設定が正しいかどうか サーバーに到達できるかどうか   手順 [ Monitor ] > [ PDF レポート ] > [ レポート グループ ] を開き、事前定義済みレポートを追加します。今回の例では、"risky-users"を選択しています。 [ Monitor ] > [ PDF レポート ] > [ 電子メール スケジューラ ] を開き、追加ボタンを押して名前を入力します。テストするために、作成したレポート グループと電子メール プロファイルを選択します。 「テスト電子メールの送信」をクリックして、SMTPの設定を確認します。 SMTPの設定を確認する電子メールが送られます。   無効な受信者(Recipient) RCPT TO が外部のメールアドレスである場合、エラーが表示されることなく、テスト電子メールが失敗することがあります。多くのSMTPサーバーは、認証されていない送信元からの電子メールを中継しないように設定されています。   以下の手順に従い、受信者 (Recipient) のうちの1つが対応していないのかどうかを確認します。 ターミナルから (Linux, Mac)、あるいはコマンドプロンプトから (Windows)、SMTPサーバーにtelnet接続します。telnetはPAN-OS上では利用できないため、このテストはお手持ちのコンピュータから行う必要があります。 $ telnet <server_ip_or_fwdn> 25 注:接続が拒否される場合、サーバーが25番ポートで待ち受けていないか、接続を拒否する何らかのセキュリティ デバイスがあることを示します。 接続ができる場合、以下のコマンドを使用します。 HELO <server_ip_or_fwdn>       (250 - Hello messages and subsequent 250 messages expected) MAIL FROM: <you @ yourcompany.com>       (250 2.1.0 Sender OK expected) RCPT TO: <recipient1 @ yourcompany.com>        (250 2.1.5 Recipient OK expected) RCPT TO: <recipient2 @ othercompany.com>       (550 5.7.1 Unable to relay expected)   例:   注1: SMTPのトラブルシューティングに関する詳しい資料については、こちらを参照してください: Not authorized to view the specified document 1065 注2:現時点では、SMTP 認証には対応しておりません。     著者:mivaldi
記事全体を表示
hshirai ‎12-15-2016 12:01 AM
3,687件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Deal with Conficker using DNS Sinkhole https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Deal-with-Conficker-using-DNS-Sinkhole/ta-p/52920     訳注:本文書で紹介するDNSのシンクホール機能はPAN-OS 6.0から対応しています。   概要 Confickerは2008年11月に初めて見つかり、Windowsを実行しているコンピューターに最も広く感染したワームの1つです。 Palo Alto Networksは、Confickerワームを見つけ、遮断することができるシグネチャ群を作成しました。それらの中でもConfickerの亜種によって使用されるDNSドメインを見つけることのできるアンチ ウィルス/アンチ スパイウェアのシグネチャがあります。 このドメインは、Confickerの亜種が見つかるとすぐに更新されます。WildFireライセンスが使用されている場合、新しく見つかったドメインは、WildFireシグネチャをとおして、1時間ごとにPalo Alto Networksファイアウォールに展開されます。ライセンスを使用していない場合、シグネチャは24時間ごとに展開され、すべてのPalo Alto Networksデバイスに対して、ダイナミック アップデートによってダウンロードされます。次回の更新時に、新しいAVシグネチャに対してもアップデートが実施されます。この保護は、ネットワーク内のユーザーが「悪意ある」ドメインを要求している時に機能します。ログの分析を行うことで、感染したドメインに対する要求が、ローカルのDNSサーバーから来ていることを確認することができます。これは、DNSの階層構造により発生します。   詳細 すべてのPalo Alto Networksプラットフォームは、有害なドメインに対するクエリに対して、シンクホール機能を実装しています。この機能を使用して、Palo Alto Networksファイアウォールは、ネットワーク内の感染したホストを見つけることができ、セキュリティの管理者に通知を行うことができます。これにより、そのネットワークから感染した端末を隔離することができます。   一連の動作: 感染したコンピューターは、ローカルのDNSサーバーから、感染したドメインの名前解決を依頼します。 ローカルのDNSサーバーは、公開されているDNSサーバーにクエリを送ります。 Palo Alto Networksデバイスは、最新のシグネチャを使用して、そのクエリー内容から有害なドメインを見つけます。 管理者が設定したIPアドレス (シンクホール アドレス) を付与してDNS要求に対する回答を上書きし、クライアントに対して改変された回答を送ります。 クライアントは、シンクホールのIPアドレスに接続しようとします。 Palo Alto Networksは、そのトラフィックを遮断し、その試みをログに記録します。 ファイアウォールの管理者は、そのイベントの通知を受け取ります。 有害なクライアントは、ネットワークから隔離、除去されます。   手順 DNSシンクホール機能を設定するために、こちらをご覧ください: How to Configure DNS Sinkholing on PAN-OS 6.0 L3インターフェイスが、シンクホール インターフェイスとして設定されているPalo Alto Networksデバイスを使用して(ループバック インターフェイスを使用することもできます) 、以下の手順を行います: 仮想 ルーターとセキュリティ ゾーンに、以下の例のようにインターフェイスを追加します。このゾーンは、ユーザーが接続を開始するものとは異なります。有害なコンピューターはトラフィックを送り出すかは定かではありませんが、ベストプラクティスとしてはこのインターフェイスに対して新しいシンクホール ゾーンを作成します。 新しい"sinkhole"ゾーンの作成にし、作成したループバック インターフェイスを"loopback.222"を追加します。 現在使用されておらず、管理者に対して分かりやすいIPアドレスをインターフェイスに割り当てます。 社内でIPv6が使用されている場合、インターフェイスにIPv6アドレスも割り当てます。 [ Objects ] > [ セキュリティ プロファイル ] > [ アンチ スパイウェア ] を開き、インターネット ユーザーに割り当てられるプロファイルを選択(あるいは作成)します。 DNS シグネチャ タブ内で、DNSクエリ時のアクションとして"シンクホール"を選択します。"ブロック"を選択した場合、有害なドメインに対してのクエリを遮断し、ログにはローカルのDNSのみが"attacker"として表示されます。先ほど作成したシンクホールIPアドレス (222.222.222.222) を選択します。 IPv6のDNSクエリ用には、IPv6のIPアドレスを選択します。 「パケット キャプチャ」欄で、シグネチャをトリガーにしたパケットだけではなく、より多くのパケットをキャプチャするために、"extended-capture"を選択します。この値は、[ Device ] > [ セットアップ ] > [ コンテンツ ID ] > [ コンテンツ ID 設定 ] で定義されています。 アンチ スパイウェア プロファイルをセキュリティ ルールに適用し、「セッション終了時にログ」を有効にします。 コミットをクリックして、設定を反映させます。   検証 設定の反映が完了した後、トラフィックがキャプチャされることを確認し、有害なコンピューターを特定します。 ファイアウォールの背後にある検証機を使用します。 Confickerドメインの1つに対して、DNSトラフィックを開始します(この検証では"fetyeq.net"を使用します)。 注:他のConfickerドメインを確認するためには、Palo Alto Networksデバイス上にインストールされているダイナミック アップデートのアンチウィルス リリース ノートを開きます。Palo Alto Networksは、これらのドメインを定期的に更新しており、アンチウィルス シグネチャのリリース ノート内で確認することができます。 [ Device ] > [ ダイナミック更新 ] > [ アンチ ウィルス ] > [ リリース ノート ] を開き、"conficker"を検索すると、約1,000件のドメインを見ることができます。 脅威ログにて、アクションが"sinkhole"となっているログを確認します。 必要に応じて、パケット キャプチャを確認します。 クエリ ビルダーにて、フィルタとして"( action eq sinkhole)" を使用してカスタム レポートを作成します。毎日実行するために、スケジュール設定にチェックを入れます。 翌日、データが収集、表示されていることを確認するために、レポートを確認します。 上記の手順に従うことで、特定のネットワーク内の有害なコンピューターを追跡したり、隔離することができます。     著者:ialeksov
記事全体を表示
hshirai ‎07-22-2016 01:43 AM
6,452件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How and When to Clear Disk Space on the Palo Alto Networks Device https://live.paloaltonetworks.com/t5/Management-Articles/How-and-When-to-Clear-Disk-Space-on-the-Palo-Alto-Networks/ta-p/55736    詳細 Palo Alto Networks のデバイスは、保存済みのログがログ クォータの上限に達した場合、一番古いログから順に削除します。デバイスは "show system logdb-quota" コマンド結果にある各カテゴリ毎にログをパージします。 各プラットフォームでのログ パージ動作については、When are Logs Purged on the Palo Alto Networks Devices?を参照してください。 デバイスがディスクのルート パーティションを使い切っている場合、手動でのファイル削除が必要となります。ルート パーティションがフル状態の場合、デバイスは各コンテンツのインストール(アンチウィルス、アプリケーション及び脅威、URL)などの管理タスクの実行や、Tech Support ファイルの生成が出来なくなります。ルート パーティションの状態を確認するには、"show system disk-space" コマンドを実行します。Core ファイルは容量が大きい場合が多いため、必要のないファイルは "delete core management-plane file <ファイル名>" コマンドを使ってファイルを削除してください。 ディスク領域を参照及び削除するには、以下コマンドを実行します。   > show system disk-space Filesystem Size Used Avail Use% Mounted on /dev/sda3 3.8G 3.8G 0 100% / /dev/sda5 7.6G 3.4G 3.8G 48% /opt/pancfg /dev/sda6 3.8G 2.7G 940M 75% /opt/panrepo tmpfs 493M 36M 457M 8% /dev/shm /dev/sda8 51G 6.6G 42G 14% /opt/panlogs 手順 容量の大きい Core ファイルがないかどうか、"show system file" の結果を確認します。 >show system files /opt/dpfs/var/cores/: total 4.0K drwxrwxrwx 2 root root 4.0K Jun 10 20:05 crashinfo   /opt/dpfs/var/cores/crashinfo: total 0   /var/cores/: total 115M drwxrwxrwx 2 root root 4.0K Jun 10 20:15 crashinfo -rw-rw-rw- 1 root root 867M Jun 12 13:38 devsrvr_4.0.3-c37_1.gz -rw-rw-rw- 1 root root  51M Jun 12 13:39 core.20053   /var/cores/crashinfo: total 16K -rw-rw-rw- 1 root root 15K Jun 10 20:15 devsrvr_4.0.3-c37_0.inf o "delete core management-plane file devsrvr_4.0.3-c37_1.gz" コマンドを使って、必要ないファイルを削除します。(このコマンドは、管理プレーンの device server の Core ファイルを削除する例です) レポートの削除も同様にコマンドライン上で実行することが出来ます。例えば、864 で始まるファイルをすべて削除するには、"delete report summary scope shared report-name predefined file-name 864*" コマンドを実行します。   著者: bpappas
記事全体を表示
hfukasawa ‎04-15-2016 03:28 AM
7,125件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community