高リスクおよび他のセキュリティ URL フォーカスカテゴリの管理
39745
Created On 08/04/21 17:03 PM - Last Modified 01/12/24 14:58 PM
Symptom
多 URL くのサイトは一時的に高リスクに設定されますが、悪意のあるサイトではないため、危険度の高いカテゴリをブロックすることはお勧めしません。
Environment
firewall URL フィルタリングと OS >= 9.0を持つ任意の
Resolution
[高] および [中] カテゴリの場合、推奨されるアクションは [アラート] です。
- これはトラフィックをブロックしませんが、戻って何が起こったのかを確認する必要がある場合は、サイトをログに記録します。
- アラートを出し、 SSL 可視性を高めるために復号を強制し、より厳しい脅威防止プロファイルを設定し、危険なファイル(PE、PowerShellなど)のダウンロードを危険なサイトからブロックすることをお勧めします。
- さらに、追加の洞察のためにログ記録を増やしたい場合があります。
リスクの高いサイトには、次のようなものがあります。
- 以前に確認されたサイトは、マルウェア、フィッシング、または C2 サイトで、30 日以上の間、無害なアクティビティしか表示されません。
- 不明なドメインは、 PAN-DB サイトの分析と分類が完了するまで、危険度の高いドメインとして分類されます。
- 確認された悪意のあるアクティビティに関連付けられているサイト。 たとえば、同じドメインに悪意のあるホストが存在する場合、ページ自体に悪意のあるコンテンツが含まれていない場合でも、ページのリスクが高くなる可能性があります。
- 防弾 ISP- ホスト サイト。
- 悪意のあるコンテンツを許可することがわかっている ASN からの IP でホストされているサイト。
度の高いサイトがブロックされている場合は、リスクが高いサイトとして分類されるがアクセスが必要な場合もあるサイトに対して、例外リストまたは許可リストが必要になる場合があります。
中リスクサイトには、次のようなものがあります。
- すべてのクラウド ストレージ サイト ( URL カテゴリのオンライン ストレージとバックアップ)。
- 以前に確認されたサイトは、マルウェア、フィッシング、または C2 サイトで、60 日以上の間、無害なアクティビティしか表示されません。
- 不明な IP アドレスは、 PAN-DB サイトの分析と分類が完了するまで、中リスクとして分類されます。
低リスク
低リスクサイトが最も一般的であり、通常は表示されるカテゴリになります。 通常、これらのサイトをログに記録する理由はありませんので、allow が推奨される設定です。
- リスクが中程度でも高くないサイトも、リスクが低いと見なされます。 これらのサイトは、最低 90 日間の無害な活動を表示しています。
新しく登録されたドメインを
許可する 新しく登録されたドメインは、多くの場合、マルウェアまたは悪意のある、これはブロックする必要がある唯一のセカンダリ カテゴリです。
- 過去 32 日以内に登録されたサイトを識別します。 新しいドメインは、悪意のあるキャンペーンのツールとして頻繁に使用されます。
推奨 Policy アクション: ブロック