SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【Cato Networks】Anti-Malware

Cato Networks
2024.09.30

Anti-Malware

Cato Networksではネットワークへの悪意あるファイルの侵入を防ぐためにマルウェア対策機能を搭載しています。
マルウェア対策機能ではAnti-MalwareとNG Anti-malwareの2つの防御層でインターネット、WAN通信を流れるファイルを検査します。

マルウェア対策エンジンはSecurity > Anti-MalwareからAnti-Malware、NG Anti-Malwareを有効にすることで利用できます。

画像13.png

・Anti-Malware:既知のファイルシグネチャをシグネチャDBと照合し、シグネチャが合致するファイルについては検出・保護を実施します。
・NG Anti-Malware:機械学習によるマルウェア予測モデルに基づいて無害なファイルか、悪意あるファイルか判断し検出・保護を実施します。

Protection Policy

Security > Anti-Malware > Protection Policyからトラフィックにマルウェア対策を適用するためのポリシーを作成します。
暗黙でMaliciausファイルとSuspiciousファイルを検知した場合にブロックするポリシーが作成されています。

画像14.png

またユーザーの任意で送信元やトラフィックの内容、ファイルの種類に応じてポリシーを作成できます。

・General
ポリシー名とポリシーのスコープの範囲を設定します。

画像15.png

・Source、What
トラフィックの送信元と通信の内容を設定します。

画像16.png

・Verdict
マルウェア対策の対象とするファイルの種類を選択します。
Encryptedを選択すると暗号化ファイルがポリシーの対象となります。

画像17.png

・Actions
検出したファイルに対するアクションを設定します。

画像18.png

検出・ブロックされたトラフィックはSub-Type:Anti-Malwareとしてイベントに表示されます。

画像24.png

対象のイベントからFile Hashをクリックするとブロックされたファイルのハッシュを除外リストに追加することができます。
除外期間は1日、7日、30日、永続的から選択できます。

画像19.png

除外したファイルは除外リストに追加され、管理者の任意で除外リストから削除が可能です。

画像25.png

Allow List

マルウェア対策エンジンを有効にするとインターネットやWANのトラフィックを検査し、悪意あるファイルをブロックします。
許可リストを作成することで特定のトラフィックをマルウェア対策エンジンの検出からバイパスできます。

Security > Anti-Malware > Allow Listから許可リストを作成します。

画像23.png

・General
許可リストの名称とスコープの範囲を設定します。

画像21.png

・Source、What
送信元と通信の内容を設定します。

画像22.png

著者紹介

SB C&S株式会社
Cato Tech Team

ネットワークセキュリティのエキスパートチーム
Cato Networksの販売促進のため日々活動中