ネットワーク保護設定の構成

［ネットワークイベント］画面で有効にし、表示する検出を指定できます。また、SIEM ソリューションまたは syslog サーバーに送信される情報も指定できます。Gateway が悪意のある可能性のある宛先への接続をブロックするたびに、ユーザーにメッセージを表示するように Gateway を構成することもできます。利用可能なリスクレベルについては、宛先評価リスクのしきい値を参照してください。ネットワーク保護設定を構成すると、Gateway により、［アラート］表示に表示されるアラートが生成されます。詳細については、「Aurora Endpoint Security サービスにわたるアラートの管理」を参照してください。

各 ACL ルールで［ネットワーク保護に対するアクセス試行の確認］が選択されていることを確認してください。ACL の詳細については、ネットワークアクセスの制御を参照してください。

メニューバーで、［設定］ > ［ネットワーク］をクリックします。
［ネットワーク保護］タブをクリックします。

次の操作のいずれかを実行します。


タスク	手順
有効にする検出を指定し、検出によってブロックされたときにユーザーに通知するかどうかを指定します。	［保護］タブをクリックします。 Gateway が接続をブロックしたときにユーザーにメッセージを表示したい場合は、［ブロックされた通知メッセージをデバイスに表示します］を選択します。［メッセージ］フィールドに、ユーザーに表示するメッセージを入力します。署名検出をオンにするには、［署名検出を有効にする］を選択します。有効にすると、アラートは、ブロックされた署名検出について生成され、［アラート］表示に表示されます。無効にすると、アラートは生成されません。詳細については、「Cylance Endpoint Security サービスにわたるアラートの管理」を参照してください。宛先のレピュテーションをオンにするには、［宛先のレピュテーションを有効にする］を選択し、ブロックする潜在的に悪意のある IP アドレスおよび FQDN の最小リスクレベルを選択します。有効にすると、設定したリスクレベルに基づいてアラートが生成され、［アラート］表示に表示されます。たとえば、リスクレベル［中以上］を選択した場合、中または高リスクであるアラートが［アラート］表示に表示されます。無効にすると、デフォルトでは、Gateway が高リスクと見なしたアラートが生成され、［アラート］表示に表示されます。
［ネットワークイベント］画面に表示する検出を指定および制御します。注: トラフィックプライバシーを有効にし、ネットワークアクセス試行が ACL ルールと一致した場合、ネットワークアクセス試行は［ネットワークイベント］画面に表示されません。	［レポート］タブをクリックします。許可されているネットワークイベントの署名検出を表示するには、［許可された署名検出イベントを表示］を有効にします。デフォルトでは、自動的にブロックされた署名検出は、［ネットワークイベント］画面に表示されます。許可されたネットワークイベントの宛先のレピュテーションの検出を表示するには、［許可された宛先のレピュテーションイベントを表示］を有効にし、表示する潜在的に悪意のある IP アドレスの最小リスクレベルを選択します。このオプションが無効になっている場合、署名イベントは通常の許可されたトラフィックとして記録されます。 DNS トンネリング検出を表示するには、［DNS トンネリング検出を表示］を有効にし、クライアントから DNS サーバーへの DNS トラフィックの分析に基づいて潜在的な脅威の最小リスクレベルを選択します。デフォルトでは、このリスクレベルは［中］です。ゼロデイ検出を表示するには、［ゼロデイ検出を表示］を有効にし、以前に特定されていない新たに特定された悪意のある宛先の最小リスクレベルを選択します。デフォルトでは、このリスクレベルは［中］です。
［アラート］表示に表示し、SIEM ソリューションまたは syslog サーバーに送信する検出を指定および制御します。注: トラフィックプライバシーを有効にし、ネットワークアクセス試行が ACL ルールと一致した場合、ネットワークアクセス試行は SIEM ソリューションまたは syslog サーバー（設定されている場合）に送信されません。	［共有］タブをクリックします。署名検出がある、許可またはブロックされたネットワークイベントとアラートを送信するには、［署名検出イベントを共有］を有効にします。有効にすると、デフォルトでは、ブロックされた署名検出は、［アラート］表示に表示され、SIEM ソリューションまたは syslog サーバーに送信されます。必要に応じて、［許可されたイベント］を選択して、許可されたイベントを送信します。設定した最小限のリスクレベルに基づいて、許可またはブロックされた宛先のレピュテーション検出があるネットワークイベントとアラートを送信するには、［宛先のレピュテーションイベントを共有］を有効にします。有効にすると、デフォルトでは、ブロックされた宛先のレピュテーションイベントは、［アラート］表示に表示され、SIEM ソリューションまたは syslog サーバーに送信されます。必要に応じて、［許可されたイベント］を選択して、許可されたイベントを送信します。設定した最小限のリスクレベルに基づいて、DNS トンネリング検出があるネットワークイベントとアラートを送信するには、［DNS トンネリング検出を共有］を選択します。デフォルトでは、このリスクレベルは［中］です。設定した最小限のリスクレベルに基づいて、ゼロデイ検出があるネットワークイベントとアラートを送信するには、［ゼロデイ検出を共有］を選択します。デフォルトでは、このリスクレベルは［中］です。 ACL ルールによってブロックされたネットワークイベントを送信するには、［ブロックされた ACL イベントを共有］を有効にします。ブロックされた ACL イベントと許可された ACL イベントは、［アラート］表示に表示されません。

［保存］をクリックします。

タスク	手順
有効にする検出を指定し、検出によってブロックされたときにユーザーに通知するかどうかを指定します。	［保護］タブをクリックします。 Gateway が接続をブロックしたときにユーザーにメッセージを表示したい場合は、［ブロックされた通知メッセージをデバイスに表示します］を選択します。［メッセージ］フィールドに、ユーザーに表示するメッセージを入力します。署名検出をオンにするには、［署名検出を有効にする］を選択します。有効にすると、アラートは、ブロックされた署名検出について生成され、［アラート］表示に表示されます。無効にすると、アラートは生成されません。詳細については、「Cylance Endpoint Security サービスにわたるアラートの管理」を参照してください。宛先のレピュテーションをオンにするには、［宛先のレピュテーションを有効にする］を選択し、ブロックする潜在的に悪意のある IP アドレスおよび FQDN の最小リスクレベルを選択します。有効にすると、設定したリスクレベルに基づいてアラートが生成され、［アラート］表示に表示されます。たとえば、リスクレベル［中以上］を選択した場合、中または高リスクであるアラートが［アラート］表示に表示されます。無効にすると、デフォルトでは、Gateway が高リスクと見なしたアラートが生成され、［アラート］表示に表示されます。
［ネットワークイベント］画面に表示する検出を指定および制御します。注: トラフィックプライバシーを有効にし、ネットワークアクセス試行が ACL ルールと一致した場合、ネットワークアクセス試行は［ネットワークイベント］画面に表示されません。	［レポート］タブをクリックします。許可されているネットワークイベントの署名検出を表示するには、［許可された署名検出イベントを表示］を有効にします。デフォルトでは、自動的にブロックされた署名検出は、［ネットワークイベント］画面に表示されます。許可されたネットワークイベントの宛先のレピュテーションの検出を表示するには、［許可された宛先のレピュテーションイベントを表示］を有効にし、表示する潜在的に悪意のある IP アドレスの最小リスクレベルを選択します。このオプションが無効になっている場合、署名イベントは通常の許可されたトラフィックとして記録されます。 DNS トンネリング検出を表示するには、［DNS トンネリング検出を表示］を有効にし、クライアントから DNS サーバーへの DNS トラフィックの分析に基づいて潜在的な脅威の最小リスクレベルを選択します。デフォルトでは、このリスクレベルは［中］です。ゼロデイ検出を表示するには、［ゼロデイ検出を表示］を有効にし、以前に特定されていない新たに特定された悪意のある宛先の最小リスクレベルを選択します。デフォルトでは、このリスクレベルは［中］です。
［アラート］表示に表示し、SIEM ソリューションまたは syslog サーバーに送信する検出を指定および制御します。注: トラフィックプライバシーを有効にし、ネットワークアクセス試行が ACL ルールと一致した場合、ネットワークアクセス試行は SIEM ソリューションまたは syslog サーバー（設定されている場合）に送信されません。	［共有］タブをクリックします。署名検出がある、許可またはブロックされたネットワークイベントとアラートを送信するには、［署名検出イベントを共有］を有効にします。有効にすると、デフォルトでは、ブロックされた署名検出は、［アラート］表示に表示され、SIEM ソリューションまたは syslog サーバーに送信されます。必要に応じて、［許可されたイベント］を選択して、許可されたイベントを送信します。設定した最小限のリスクレベルに基づいて、許可またはブロックされた宛先のレピュテーション検出があるネットワークイベントとアラートを送信するには、［宛先のレピュテーションイベントを共有］を有効にします。有効にすると、デフォルトでは、ブロックされた宛先のレピュテーションイベントは、［アラート］表示に表示され、SIEM ソリューションまたは syslog サーバーに送信されます。必要に応じて、［許可されたイベント］を選択して、許可されたイベントを送信します。設定した最小限のリスクレベルに基づいて、DNS トンネリング検出があるネットワークイベントとアラートを送信するには、［DNS トンネリング検出を共有］を選択します。デフォルトでは、このリスクレベルは［中］です。設定した最小限のリスクレベルに基づいて、ゼロデイ検出があるネットワークイベントとアラートを送信するには、［ゼロデイ検出を共有］を選択します。デフォルトでは、このリスクレベルは［中］です。 ACL ルールによってブロックされたネットワークイベントを送信するには、［ブロックされた ACL イベントを共有］を有効にします。ブロックされた ACL イベントと許可された ACL イベントは、［アラート］表示に表示されません。