SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【3分で分かるFortinet】【第23回】FortiGate Cloud Sandbox機能 設定手順

セキュリティ
2021.09.10

はじめに

Fortinet社では、FortiGate CloudというFortiGateを管理できるクラウドサービスを提供しており、FortiGateと連携することでデバイス管理機能・ログレポート機能・クラウドサンドボックス機能等を利用することができます。

本ブログでは、FortiGate Cloudとの連携で利用可能なサンドボックス機能について、具体的な設定方法を紹介します。通常、サンドボックス製品は高価な場合が多いですが、FortiGate Cloudのサンドボックス機能*に関してはFortiGate のアンチウイルスライセンスがあれば利用することができます。

(*以後、Cloud Sandboxと表記)

スクリーンショット 2021-09-09 095832.png

FortiGateから連携設定

では、実際のFortiGateの画面で設定手順を紹介していきます。

(※FortiGate のOSバージョン 6.4.6での手順になります。)

まず「システム」>「表示機能設定」より、「FortiSandbox Cloud」機能の項目をオンにします。

MicrosoftTeams-image.png

「セキュリティファブリック」> 「ファブリックコネクタ」 を開くと、FortiGateで連携する製品の設定がそれぞれできる画面が表示されますが、「FortiSandbox Cloud」を選択して開きます。

MicrosoftTeams-image (1).png

FortiSandbox Cloud設定のステータスを「有効」にし、地域を「日本」に指定します。

MicrosoftTeams-image (2).png

これで連携の設定は完了です。

※参考 CLI設定方法

もしも、GUIでの設定ができない場合は、CLIからの有効化を行ないます。

表示機能設定の有効化をしていない状態ですと、「セキュリティファブリック」> 「ファブリックコネクタ」 から「FortiSandbox Cloud」の項目が出てきません。

スクリーンショット 2021-07-14 17.22.51.png

「FortiSandbox」を選択すると"FortiSandbox設定" と表示がされていますが、Cloud Sandboxを利用するため、CLIにてリージョンの指定とアップデートを行います。

スクリーンショット 2021-07-14 17.23.02.png

コマンドを打つとリージョンの指定ができるので、" 0 " でJAPANを選びます。

Inkedスクリーンショット 2021-07-14 17.24.04_LI.jpg

次に "execute forticloud-sandbox update" コマンドを打ちます

Inkedスクリーンショット 2021-07-14 17.24.38_LI.jpg

ファブリックコネクタの画面に戻ると、表示がFortiSandbox Cloudに変わり、ステータスの下にリージョン(地域)の表示が現われます。

接続ステータスや送ったファイルの統計情報の項目が表示されるようになりました。

スクリーンショット 2021-07-14 17.25.16.png

CLIで設定を行なった場合の連携は、こちらで完了です。

ファイル送信設定

続いて、Cloud Sandboxに送るファイルの設定です。アンチウイルスプロファイルの設定から、検査のために疑わしいファイルのみを送るか、サポートされるすべてのファイルを送るという設定ができます。

Cloud Sandboxでは、FortiGateのモデルごとに1日のうちに送れるファイルの上限数というのが定まっていますので、疑わしいファイルのみ、もしくは除外するファイルタイプを選択することで、送るファイルの数を調整することを推奨します。

スクリーンショット 2021-07-14 17.27.18.png

FortiSandboxデータベースを利用するというチェックを入れます。

Webフィルタの機能でも、Cloud Sandboxで検知した情報を元に制御を行なうことができます。

スクリーンショット 2021-07-14 17.27.32.png

設定したアンチウイルスのプロファイルを、検査する通信のファイアーウォールポリシーで有効化します。

スクリーンショット 2021-07-15 10.26.57.png

FortiGate 側の設定は以上です。

FortiGate Cloud からの確認

通信を発生させた後、FortiGate Cloud側の画面を確認してみます。

送られてきたファイルの種類、数や検査結果がダッシュボード上に表示されます。

Inkedsandbox_LI.jpg

ファイルレコードの項目では「クリーンファイル」「リスクのあるファイル(低・中・高)」「マリシャス判定のファイル」と分かれており、それぞれから検査したファイルの詳細も確認できます。

スクリーンショット 2021-07-15 141703.png

スクリーンショット 2021-07-15 141731.png

FortiGate Cloudは無償でアカウントを作成しての利用が可能となっており、こちらのCloud Sandboxの画面は無償のアカウントでも確認することができます。

有償のライセンスを購入するとFortiGate Cloudの有償機能として、ログや疑わしいファイルの情報が1年間保存できるようになり、FortiGateのコンフィグ管理機能なども使えるのでお勧めです。

サンドボックスといえば未知の脅威対策として有名ですが、ぜひFortiGateと合わせてご利用ください。

banner-in-article.PNG

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
小野 詩織