Endpoint Security Firewall Global Threat Intelligence に関する FAQ
最終更新: 2022-05-05 12:16:47 Etc/GMT
常に適応し続ける XDR エコシステムが企業を活性化するしくみをお伝えします。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
Magic Quadrant で、19 のベンダーについてビジョンの完全性と実行能力が評価されました。レポートをダウンロードして詳細をご覧ください。
Gartner によると、XDR は脅威の防止、検出、応答を改善する可能性を秘めた新しい技術です。
2022 年に注意が必要なサイバー セキュリティ脅威は?
サイバー セキュリティ業界に安穏の時はありません。今こそ、この考え方を、ビジネスの活性化につながる利点として、また推進剤として念頭に置くべきです。
サイバー セキュリティの世界で信頼される二大リーダーが 1 つになって、耐久性の高いデジタル ワールドを実現します。
Trellix の CEO を務める Bryan Palma が、常に学習するセキュリティが決定的に必要であることを力説します。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Endpoint Security Firewall Global Threat Intelligence に関する FAQ
技術的な記事 ID:
KB90837
最終更新: 2022-05-05 12:16:47 Etc/GMT 環境
McAfee Endpoint Security (ENS) Firewall 10.x
概要
この記事は、 ENS Firewall の Global Threat Intelligence (GTI) 機能に関する詳細情報を提供します。 GTI 機能を開いて使用するには、何というホスト名とポート番号が必要ですか? 次のホスト名とポート番号がゲートウェイのファイアウォールで開いていること、また該当の場合、ENS Firewall の GTI 機能を正常に実行させるために、プロキシサーバーから開いているか確認してください: ホスト: tunnel.web.trustedsource.org (IP アドレスは変化します) ポート: 443 GTI レピュテーション検索のホスト名とポート情報を変更することはできますか? できません。GTI レピュテーション検索に使用するホスト名とポートの情報は、製品にハードコードされています。 この情報は、ローカル構築や ePolicy Orchestrator (ePO) ポリシーでは変更できません。 GTI 機能は、プロキシ サーバーの有無に関わらず、動作しますか ? はい。 プロキシ サーバーの有無に関わらず、ENS Firewall の GTI 機能は正常に動作します。 プロキシ サーバーが設定されている場合に、インターネット ブラウザは、インターネット アクセス用のプロキシ サーバーに直接接続するように設定されています。
08/31/2018 09:27:48.465 AM mfeesp(9820.12244) 障害が発生する場合、 EndpointSecurityPlatform_Debug.log でプロキシ認証エラーの確認をします。 詳しくは、 KB88190 を参照してください。08/31/2018 09:27:48.481 AM mfeesp(9820.12244) 08/31/2018 09:27:48.481 AM mfeesp(9820.12244) 08/31/2018 09:27:48.481 AM mfeesp(9820.12244) 08/31/2018 12:38:36.920 PM mfeesp(3052.4660) 08/31/2018 12:38:36.921 PM mfeesp(3052.4660) GTI 機能をテストするには、どの IP アドレスが使用できますか ? ENS Firewall の GTI 機能をテストするには、以下の IP アドレスを使用します。 以下の IP アドレスにアクセスすると、ブロックされたイベントが GTI Rule - TCP - Out というルール名で、 ENS FirewallEventMonitor.log ファイルに表示されます。 207.67.117.51 HIGH RISK 207.67.117.52 MEDIUM RISK 207.67.117.53 UNVERIFIED RISK Example block event: Time: 08/23/2018 05:26:21 PM Event: Traffic IP Address: 207.67.117.51 Description: MICROSOFT TELNET CLIENT Path: C:\WINDOWS\SYSTEM32\TELNET.EXE Message: Blocked Outgoing TCP - Source 10.10.10.1 : (48249) Destination 207.67.117.51 : http (80) Matched Rule: GTI Rule - TCP - Out ENS Firewall が GTI サーバーに接続できなかった場合、トラフィックに何が起こりますか ? ENS 10.6.0 以降では、GTI 評価サーバーに接続できない場合に、デフォルトで ENS Firewall をブロックするか許可するかの設定ができます。 [Endpoint Security Firewall] の [オプション (ユーザー別のポリシー)] の [McAfee GTI ネットワーク レピュテーション] という名前のセクションで、 [McAfee GTI 評価サーバーに接続できない場合] の設定を選んでください。 どのようなハッシュ タイプがファイル クエリに使用されますか ? ENS 10.6.0 以降では、GTI に対するファイル クエリに SHA-256 を使用します。 ENS は、ポリシー設定とレポートには、 MD5 をサポートし続けます。 ドメイン名の評価は使用されますか ? されません。接続要求の IP アドレスは、GTI データベースに対して評価されます。 ドメイン名の評価は使用されません。 GTI の評価は、接続が確立される方法によって異なりますか ? はい。 GTI の評価は、接続が確立する方法によって異なります。 例えば、ある IP アドレスに対するポート 25 トラフィックは、ポート 80 の時と違う GTI 評価を受けます。 内部ネットワークの ENS Firewall GTI 除外対象を設定するにはどうすれば良いですか ? (ルーティング可能な IP アドレスを使用する場合)、ENS Firewall を設定して内部ネットワークをバイパスするには、 IP アドレスを ENS Firewall [オプション (ユーザー別のポリシー)] ポリシーの [定義済みのネットワーク] に、 [信頼済み] エントリとして追加します。 注: 定義済みのネットワーク の 信頼済み エントリとして追加されたアドレス タイプ値は、これらのエントリからファイアウォールを すべて許可する を実行します。 言い換えると、[信頼済み] は、すべての機能のロジックに対して全許可を意味します。 これは、従来の Host Intrusion Prevention Firewall 製品と比べて新しい ENS Firewall の機能です。 ENS Firewall GTI が自動的に IP アドレスを除外することはありますか ? ENS Firewall GTI は自動的に、評価チェックから以下の IP アドレスを除外します。
トラフィックがブロックされている場合、GTI はどのようなルールをトリガーしますか ? ENS Firewall GTI は、GTI 評価のしきい値と一致させるためネットワーク トラフィックがブロックされている場合、ファイアウォール ルール GTI Rule - TCP - Out もしくは GTI Rule - TCP - In をトリガーします。 トラフィックがブロックされている場合、イベントは ePO に送信されますか ? ENS Firewall [オプション (ユーザー別のポリシー)] ポリシーの McAfee GTI Network Reputation という名前のセクションにある [一致するトラフィックをログに記録する] 設定が有効になっている場合、イベント ID 35002 のイベントが生成され、レポートのために ePO サーバーに送信されます。 GTI イベントを報告する ePO クエリを使用できますか ? はい。 Endpoint Security ファイアウォール: 過去 6 か月の McAfee GTI イベント という名前のデフォルト クエリが提供されます。 GTI イベントでレポートする ePO クエリをお客様ご自身で作成できます。 GTI 評価について議論したり、 GTI 評価の詳細を調べられますか ? GTI 評価についてのご相談は、McAfee TrustedSource ウェブサイト <https://www.trustedsource.org> に接続していただくか、sites@mcafee.com にご連絡ください。 関連情報免責事項この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
|
|