NW機器

PaloAlto URLフィルタリング 「ランサムウェア」カテゴリ追加について

PaloAltoのURLフィルタリング機能において、新規カテゴリが追加される旨が発表されています。
2022/9/27を以て正式にカテゴライズが始まるため、リマインドとして記事を作成しています。

当記事は、PaloAltoをよりよくご活用いただくための記事であり、皆様の環境に即した設定値をお伝えするものではありません。
皆様にて設定値については検討いただく必要があるほか、不明点については別途購入元の代理店様や運用・保守ベンダー様へお問い合わせ下さい。

対象機器について

全PAN-OS
※2022/7/12以降にダイナミック更新にて、更新が行われている必要がある。

PaloAltoのURLフィルタリングについて

PaloAltoのURLフィルタリングは、社内ユーザのWebアクセスを制御・可視化する機能です。

PaloAltoの開発元PaloAlto Networks社が世界中のURLを約70のカテゴリに分類しています。カテゴリごとに、「通過」「検知」「ユーザにアクセスを続行するか判断させる」「遮断」などのアクションを設定します。

「ランサムウェア」カテゴリの初期設定について

動作を確認したところ、事前定義済みのURLフィルタリングプロファイルについては、アクション [ block ] ですが、それ以外のプロファイルについては、アクション [ allow ] となっているようです。

PaloAlto Networks社からは、アクション [ block ] に変更することが推奨されています。

「ランサムウェア」カテゴリのアクションの設定変更方法

  1. PaloAltoにログインし、[ Objects > セキュリティプロファイル > URLフィルタリング ] をクリックします。
  2. 既に作成済みの [ URLフィルタリングプロファイル ] があれば、それを編集します。
    今回は新規作成画面より進めます。
    [ カテゴリ ] タブより、[ ransom ]と検索すると、ランサムウェアカテゴリの設定が変更できます。
    [ サイトアクセス ] の [ allow ] をクリックします。
  3. プルダウンより、[ block ] を選択します。
    必要に応じてそのほかの設定項目も変更します。変更が終わり次第、コミットを実施します。

動作確認方法

「ランサムウェア」カテゴリにカテゴライズされているページにアクセスします。
PaloAlto Networks社より、以下のテストページが提供されています。
http://urlfiltering.paloaltonetworks.com/test-ransomware

2022/9/27以前であっても、既にカテゴライズされているため動作の確認は可能なようです。

今後もランサムウェアにはご注意ください

巷を騒がせているランサムウェアに対する対策として遮断設定が行えるようになりました。
しかし、PaloAltoの仕様上どうしても被害を被ってしまうケースがございます。PaloAltoの導入以外にもEDRの導入検討などを行い、多層防御を実現させましょう。

皆様のPaloAltoの設定がよりよいものになることを祈っております。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare CollectorでのVPCフローログの取得方法とログレポート前のページ

Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする次のページ

ピックアップ記事

  1. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  2. ログフォワーダー「okurun.jar」について
  3. Zabbixヒストリデータのレポート生成について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    FortiGateの送信元NAT/宛先NAT設定について

    当記事では、FortiGateにおける送信元NAT(Source NA…

  2. NW機器

    【FortiGate】インスペクションモードについて

    インスペクションモードとはスループットよりセキュリティを優先させる…

  3. NW機器

    Palo Alto にSNMP v2c / Syslog 設定を追加する

    当記事では、Palo Alto からSNMP 並びにSyslog を取…

  4. NW機器

    Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする

    当記事では、Cubro社のPacketmasterを使用して、既存環境…

  5. NW機器

    GlobalProtect から特定アプリケーションの通信を除外する

    当記事では、PaloAlto のGlobalProtect を利用して…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  2. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP