PaloaltoVM(10.0.4) ウィルス対策プロファイル/セキュリティポリシー

今回はアンチウィルス機能のテストをしたいと思います。検証構成は前回と同じです。

1. アンチウィルスプロファイル作成

管理画面にログイン後、画面上の「OBJECTS」タブから画面左の「アンチウィルス」をクリックして、画面下の「追加」をクリックします。

名前を「Antivirus-Test」とし「パケットキャプチャの有効化」のチェックを入れ「プロトコル」httpの「SIGNATURE ACTION」のプルダウンから「reset-server」を選択して「OK」をクリックします。

2. セキュリティポリシーへの適用

次にセキュリティポリシーに適用します。前回作成したポリシーのcloneを作成してみましょう。最上部のセキュリティポリシーが選択されている状態で、画面下の「コピー」をクリックします。

ルール順序から「最上部へ」として「OK」をクリックします。

次に、コピー元のルールを選択して、画面下の「無効化」をクリックします。

対象のルールが灰色/斜体になったのが確認できます。このように同じようなポリシーを作成する場合、コピーや無効化/有効化など状況に合わせて使い分けていくと便利です。

では、コピーしたルールにアンチウィルスプロファイルを適用しましょう。アクションタブを開き、プロファイル設定のアンチウィルスのプルダウンから先ほど作成した「Antivirus-Test」を選択して、「OK」をクリックします。

セキュリティポリシーのプロファイル欄にアンチウィルスプロファイルのマークが反映されたことが分かります。コミットしましょう。

3. 動作確認

アンチウィルスプロファイルが正しく動作するかどうか確認するために、Webサーバにテスト用のEicarファイルを配置します。WebサーバのSSHログイン後に下記のコマンドを実行しておきましょう。

cd /var/www/html/
wget https://secure.eicar.org/eicar.com.txt

では、クライアント端末からアクセスしてみましょう。
http://ipaddress/eicar.com.txt

画面上は何やらブロックされた旨の画面が表示されています。

パロアルト側のログを確認してみましょう。管理画面にログイン後、画面上の「MONITOR」タブから画面左の「脅威」をクリックします。脅威ログとしてエントリーされているのが分かります。

エントリーされているログの下向き矢印をクリックします。

パケットキャプチャの内容を閲覧する事が出来ます。エクスポートしてワイヤシャークなどで確認することも可能です。

★ワイヤシャークで閲覧した場合

4. その他

次回は脆弱性保護プロファイルを使用してみたいと思いますが、残念ながらここから先の操作は評価ライセンスでは厳しい状況です。次回からはAWS環境を利用して脆弱性保護プロファイルを試したいと思います。