対象製品:
- VMware Carbon Black Cloud Standard
- VMware Carbon Black Cloud Advanced
- VMware Carbon Black Cloud Enterprise
影響を受けるバージョン:
対象オペレーティング システム:
ホスト ベースのファイアウォール ルール
ファイアウォール ルールは、アクションとオブジェクトで構成されます。使用可能なアクションは次のとおりです。
- 許可:ネットワーク トラフィックを許可する
- ブロック:ネットワーク トラフィックをブロックする
- ブロックとアラート: ネットワーク トラフィックをブロックし、[Alerts]ページにアラートを送信します。
ファイアウォール ルールは、次のタイプのオブジェクトの評価に基づいています。
- ローカル(クライアント コンピューター)
- リモート(クライアント コンピューターと通信するコンピューター)
注:ローカル ホストは、常にセンサーがインストールされたクライアント コンピューターです。リモート ホストは、通信するコンピューターまたはデバイスです。このホスト関係の式は、トラフィックの方向に依存しません。
- IPアドレスとサブネット範囲
- ポートまたはポート範囲
- プロトコル(TCP、UDP、ICMP)
- 方向(インバウンドとアウトバウンド)
- ファイル パスによって決定されるアプリケーション
ファイアウォール ルールは、ファイアウォール ルール グループと呼ばれるものに組み合わせることができます。ファイアウォール ルール グループは、複数の個々のルールの管理をシンプルにするファイアウォール ルールの論理セットであり、共有の目的を持つ1つのグループ(FTPサーバーへのアクセスを制御する複数のルールなど)をシンプルにします。
ルール グループとルールはポリシーで定義され、ポリシーは資産に割り当てられます。
ルールの優先順位
ルールを作成して適用する場合は、次の順序に注意してください。
- バイパス ルールは、他のすべてのルールよりも優先されます。このため、ホスト ベースのファイアウォール ルールはバイパス ルールよりも低い優先度になります。
- ホスト ベースのファイアウォール ルールは、[許可]または[許可]>[ログ]に設定されている権限ルールよりも優先度が高くなります。
注:プロセス レベルの権限 バイパス ルールは、ルールによって指定されたプロセスをバイパスするだけでなく、その子プロセスもバイパスします。
既存のセンサーの状態は、ルールの適用に影響を与える可能性があります。たとえば、センサーをバイパス モードまたは隔離したり、アプリケーションをブロックしたりすることができます。Carbon Black Cloud Host-based Firewallは、ユーザーが指定したとおりにルールの意図したアクションを維持しますが、センサーの状態に基づいてルールを適用すると、実際のアクションは異なる場合があります。
例:
センサー モード |
ホスト ベースのファイアウォールアクションの意図 |
目的の権限またはブロックおよび分離ルール |
実際のアクション |
概要 |
隔離 |
すべて |
すべて |
ブロック |
ブロック ルールの隔離は、ホスト ベースのファイアウォール ルールと権限よりも優先されます。 |
バイパス |
すべて |
すべて |
Allow |
センサーはバイパス モードであるため、ホスト ベースのファイアウォール ルールは無効です。 |
アクティブ |
すべて |
プロセス レベルのバイパス |
Allow |
バイパスされたプロセスとその子は、ホスト ベースのファイアウォール ルールによってブロックされません。 |
アクティブ |
ブロック |
許可、許可、ログ |
ブロック |
ホスト ベースのファイアウォール ルールは、バイパスされていない権限ルールよりも優先されます。 |
アクティブ |
Allow |
ブロック |
ブロック |
接続を許可するホスト ベースのファイアウォールは、ネットワーク ブロックおよび分離ルールを 介した通信 の適用を妨げるものではありません。 |
Carbon Black Cloud Host-Based Firewallの使用
このセクションでは、ファイアウォール ルールを作成および実行する方法の概要について説明します。
- ファイアウォール ルールを追加するポリシーを選択します。
- デフォルトのルールを設定します([Allow all ]または[ Block all])。
- ルール グループを作成し、ファイアウォール ルールを設定します。
- 必要に応じて、ルール グループとルールを表示、作成、変更します。
- センサー タブで ホストベースファイアウォール を 有効 に切り替えます。
- ルールをテストします。
注:ルールの ステータス が Disabled に設定されている場合にのみ、ルールをテストできます。
- ルールの結果を確認します。[調査]ページにテスト ルール データが表示されます。
- 必要に応じてルールを変更し、ルールが期待どおりに実行されるまで再テストします。
- 正常に実行されることが確認されたルールのテストを停止し、ステータスを 有効 に設定します。
- 変更中に無効にした場合は、[ センサー ]タブで[ ホスト ベースファイアウォール ]を[ 有効 ]に切り替えます。
- [調査]ページと[アラート]ページで、ファイアウォール関連のイベントとアラートをそれぞれ表示します。
- 必要に応じてルールの変更を続行します。順序付き(ランク付けされた)ルール グループとセキュリティ ポリシーの関連づけ。ルール グループは、セキュリティ ポリシー全体で再利用できます。
- ルールは、ユーザー定義の優先順位の順に評価されます。
- 適用前にルールをテストする機能。
- ホスト ベースのファイアウォール ポリシーによってブロックされた動作の数。
- Carbon Black Cloudコンソールの[Alerts]ページと[Investigate]ページを使用して、資産のセキュリティ態勢を可視化します。
注:Carbon Black Cloud Host-based Firewallアドオンには、Windowsセンサーv3.9以降が必要です。
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。