IPSで検知されBlockされた通信を許可したいです
CatoのIPS機能は攻撃が疑われる不審な通信を検知しBlockします。
まれに正常な通信が不審な通信と判断されBlockされる場合があります。
本稿はCatoのIPS機能で検知されBlockされた通信を許可する方法について記載した記事となります。
IPS機能によって通信がBlockされた場合、以下の特徴を持ったEventが表示されます。
Event
Action : Block
Sub-Type : IPS
Signature ID : Catoの脅威識別ID
許可ルールの作成
過検知等により正常な通信がBlockされていると判断した場合、
管理者で当該通信に対して許可ルールを作成することができます。
以下はBlockイベントから作成する方法です。
Signature IDに表示されているリンクを押下します。
許可ルールの設定画面に遷移します。
当該通信の送信元やドメイン等の情報があらかじめ入力されているため、必要に応じて変更します。
- Applyを押下します。
以上の手順で許可ルールを作成することができます。
作成したルールは Security > IPS > Allow List で確認することができます。
また許可ルールをイベントに依らず作成することも可能です。
- Security > IPS > Allow List から Newを押下します。
- Signature IDの欄にはイベントから確認したSignature IDを入力します。
Scope欄には制御したい内容に応じて以下から選択します。
・WAN - Cato Cloudを介したサイトとホスト間のWANトラフィック
・Inbound - インターネットから内部ネットワークへのトラフィック
・Outbound -内部ネットワークからインターネットへのトラフィック
・Any - 任意のネットワークトラフィック
- 送信元やドメイン等の情報を必要に応じて入力し、Applyを押下します。
以上の手順で許可ルールを作成することができます。
補足
本稿は下記メーカーKBを参考に作成されています。
Configuring the IPS Policy
Allowlisting IPS Signatures