Bài viết này hướng dẫn cấu hình tính năng Threat Emulation trên Check Point R82 để ngăn chặn malware dựa vào cơ chế sandboxing.
Double-click vào Security Gateway cần cấu hình.
Tại General Properties → Threat Prevention, tick chọn:
Sau đó chọn OK và Publish.
Clone profile Optimized hoặc tạo profile mới.
Đặt tên profile:
ZeroDay_Sandboxing_Profile
Double-click vào profile vừa tạo.
Cấu hình:
Chọn Add Rule Top và cấu hình rule:
Name: Block Zero-Day Malware
Protected Scope: Internal_LAN hoặc 192.168.10.0/24
Protection/Site/File/Blade: N/A
Action: ZeroDay_Sandboxing_Profile
Track: Log, Packet Capture, Forensics
Install On: Security Gateway
Sau đó chọn Publish.
Cập nhật các thành phần:
Tick chọn Threat Prevention Policy.
Chọn đúng Security Gateway cần cài đặt.
Chờ trạng thái hiển thị Succeeded.
Ví dụ:
Client: 192.168.10.10
Gateway: 192.168.10.254
Nếu cấu hình đúng, Gateway sẽ kiểm tra file/URL bằng Threat Prevention Profile. Khi phát hiện nội dung độc hại, Gateway sẽ chặn kết nối hoặc hiển thị trang cảnh báo UserCheck.
[CHÈN ẢNH: Client truy cập/tải file test malware]
Tìm theo IP Client:
192.168.10.10
Hoặc tìm theo từ khóa:
malware
eicar
malware.wicar.org
blade:"Anti-Virus"
blade:"Threat Emulation"
Kiểm tra log có các thông tin:
Lưu ý: Với file test EICAR/WICAR, log thường hiển thị Anti-Virus hoặc URL Reputation vì mẫu này đã được ThreatCloud nhận diện sẵn. Với file chưa có signature, Threat Emulation sẽ thực hiện sandboxing để phân tích hành vi file.
1. Kích hoạt Threat Emulation trên Gateway
Vào SmartConsole → Gateways & Servers.Double-click vào Security Gateway cần cấu hình.
Tại General Properties → Threat Prevention, tick chọn:
- Threat Prevention
- Anti-Virus
- Anti-Bot
- Threat Emulation
Sau đó chọn OK và Publish.
2. Tạo Threat Prevention Profile
Vào Security Policies → Threat Prevention → Profiles.Clone profile Optimized hoặc tạo profile mới.
Đặt tên profile:
ZeroDay_Sandboxing_Profile
Double-click vào profile vừa tạo.
Cấu hình:
- Anti-Virus: Action chọn Prevent
- Threat Emulation: Action chọn Prevent
- Emulation Location: chọn Check Point ThreatCloud
- File Types: chọn Inspect all supported file types
3. Tạo rule Threat Prevention
Vào Security Policies → Threat Prevention → Policy.Chọn Add Rule Top và cấu hình rule:
Name: Block Zero-Day Malware
Protected Scope: Internal_LAN hoặc 192.168.10.0/24
Protection/Site/File/Blade: N/A
Action: ZeroDay_Sandboxing_Profile
Track: Log, Packet Capture, Forensics
Install On: Security Gateway
Sau đó chọn Publish.
4. Update Threat Prevention Database
Vào Security Policies → Threat Prevention → Updates.Cập nhật các thành phần:
- Anti-Virus
- Anti-Bot
- Threat Emulation
5. Install Policy
Chọn Install Policy.Tick chọn Threat Prevention Policy.
Chọn đúng Security Gateway cần cài đặt.
Chờ trạng thái hiển thị Succeeded.
6. Kiểm tra hoạt động
Từ máy Client trong LAN, truy cập hoặc tải file test malware qua trình duyệt.Ví dụ:
Client: 192.168.10.10
Gateway: 192.168.10.254
Nếu cấu hình đúng, Gateway sẽ kiểm tra file/URL bằng Threat Prevention Profile. Khi phát hiện nội dung độc hại, Gateway sẽ chặn kết nối hoặc hiển thị trang cảnh báo UserCheck.
[CHÈN ẢNH: Client truy cập/tải file test malware]
7. Kiểm tra log
Vào Logs & Monitor → Logs.Tìm theo IP Client:
192.168.10.10
Hoặc tìm theo từ khóa:
malware
eicar
malware.wicar.org
blade:"Anti-Virus"
blade:"Threat Emulation"
Kiểm tra log có các thông tin:
- Action: Block / Prevent
- Source: 192.168.10.10
- Blade: Anti-Virus hoặc Threat Emulation
- Resource: URL/file test malware
- Protection Type: URL Reputation hoặc Threat Emulation
Lưu ý: Với file test EICAR/WICAR, log thường hiển thị Anti-Virus hoặc URL Reputation vì mẫu này đã được ThreatCloud nhận diện sẵn. Với file chưa có signature, Threat Emulation sẽ thực hiện sandboxing để phân tích hành vi file.
Kết luận
Sau khi cấu hình, Gateway đã áp dụng Threat Prevention Profile có bật Threat Emulation để kiểm tra và ngăn chặn malware. Khi Client truy cập nguồn chứa malware, Gateway đã chặn kết nối và ghi nhận log trên SmartConsole.Bài viết liên quan
Được quan tâm
Bài viết mới