NW機器

PaloAlto URLフィルタリング 「ランサムウェア」カテゴリ追加について

この記事は投稿日から1年以上経過しています。

PaloAltoのURLフィルタリング機能において、新規カテゴリが追加される旨が発表されています。
2022/9/27を以て正式にカテゴライズが始まるため、リマインドとして記事を作成しています。

当記事は、PaloAltoをよりよくご活用いただくための記事であり、皆様の環境に即した設定値をお伝えするものではありません。
皆様にて設定値については検討いただく必要があるほか、不明点については別途購入元の代理店様や運用・保守ベンダー様へお問い合わせ下さい。

対象機器について

全PAN-OS
※2022/7/12以降にダイナミック更新にて、更新が行われている必要がある。

PaloAltoのURLフィルタリングについて

PaloAltoのURLフィルタリングは、社内ユーザのWebアクセスを制御・可視化する機能です。

PaloAltoの開発元PaloAlto Networks社が世界中のURLを約70のカテゴリに分類しています。カテゴリごとに、「通過」「検知」「ユーザにアクセスを続行するか判断させる」「遮断」などのアクションを設定します。

「ランサムウェア」カテゴリの初期設定について

動作を確認したところ、事前定義済みのURLフィルタリングプロファイルについては、アクション [ block ] ですが、それ以外のプロファイルについては、アクション [ allow ] となっているようです。

PaloAlto Networks社からは、アクション [ block ] に変更することが推奨されています。

「ランサムウェア」カテゴリのアクションの設定変更方法

  1. PaloAltoにログインし、[ Objects > セキュリティプロファイル > URLフィルタリング ] をクリックします。
  2. 既に作成済みの [ URLフィルタリングプロファイル ] があれば、それを編集します。
    今回は新規作成画面より進めます。
    [ カテゴリ ] タブより、[ ransom ]と検索すると、ランサムウェアカテゴリの設定が変更できます。
    [ サイトアクセス ] の [ allow ] をクリックします。
  3. プルダウンより、[ block ] を選択します。
    必要に応じてそのほかの設定項目も変更します。変更が終わり次第、コミットを実施します。

動作確認方法

「ランサムウェア」カテゴリにカテゴライズされているページにアクセスします。
PaloAlto Networks社より、以下のテストページが提供されています。
http://urlfiltering.paloaltonetworks.com/test-ransomware

2022/9/27以前であっても、既にカテゴライズされているため動作の確認は可能なようです。

今後もランサムウェアにはご注意ください

巷を騒がせているランサムウェアに対する対策として遮断設定が行えるようになりました。
しかし、PaloAltoの仕様上どうしても被害を被ってしまうケースがございます。PaloAltoの導入以外にもEDRの導入検討などを行い、多層防御を実現させましょう。

皆様のPaloAltoの設定がよりよいものになることを祈っております。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare CollectorでのVPCフローログの取得方法とログレポート前のページ

Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. Zabbixヒストリデータのレポート生成について
  3. ログフォワーダー「okurun.jar」について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    AWS Transit Gateway で集約したトラフィックをFortiGate で精査する

    当記事では、AWS Transit Gateway を用いて通信を集約…

  2. NW機器

    VMware ESXiにおけるSNMPサービス有効化手順

    当記事では、VMware ESXiにおけるSNMPサービスの有効化方法…

  3. NW機器

    Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする

    当記事では、Cubro社のPacketmasterを使用して、既存環境…

  4. NW機器

    FortiGateにおける複数のSyslogサーバへログ転送を行う設定について

    当記事では、FortiGateにおける複数のSyslogサーバへログ転…

  5. NW機器

    FortiGateの送信元NAT/宛先NAT設定について

    当記事では、FortiGateにおける送信元NAT(Source NA…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  3. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  5. 実践記事

    DNSキャッシュポイズニングやってみた
PAGE TOP