File sandboxing
File sandboxing 機能の動作を確認します。
アンチウイルス(AV)スキャンに加え、Gatewayはユーザーがダウンロードした未見のファ イルをサンドボックスに隔離し、マルウェアをスキャンします。
ファイルが隔離されている間、Gatewayはユーザーにスキャンページを表示します。ファイルがスキャンに合格すると、Gateway はそのファイルを隔離から解放し、ユーザーのデバイスにダウンロードします。ファイルにマルウェアが含まれている場合、Gateway はリクエストをブロックし、HTTP ログにブロック決定として一致を記録します。
File sandboxing 設定
Settings > Network > Firewall > File sandboxing から有効にします。
AV inspection > File sandboxing の順番で実行されますが、File sandboxing の動作確認のため、AV inspection は無効にします。
悪意のあるコンテンツを含むダウンロードされたファイルを、密閉された環境で識別します。A/Vスキャナでは通常検出されないゼロデイ(新しく検出された/パッチが適用されていないソフトウェアエクスプロイト)や、これまで検出されなかった可能性のある悪意のあるファイルから保護します。HTTPポリシーで適用できます。
ポリシー設定
Gateway > Firewall policies > HTTP から Action = Quarantine とした HTTP ポリシーを作成します。
テスト
適当なファイルダウンロードページを探して、ファイルダウンロードを試行します。
スキャンページ
File sandboxing の対象となるファイルダウンロードでは、スキャン中に以下のページが表示されます。
安全性を確認するため、ファイルをスキャンしています。約2分後に下のリンクから再度ダウンロードをお試しください。注:ファイルによっては、スキャンに最大10分かかる場合があります。
スキャン後の許可・ブロック
スキャン完了後にリンクをクリックしてファイルダウンロードを試行すると
- 許可された場合、そのままファイルをダウンロードできます。
- ブロックされた場合、カスタマイズ可能なブロックページが表示されます。
2回目以降のファイルダウンロード
スキャンページは表示されません。
前回の判定結果に基づき、ファイルダウンロードが許可・ブロックされます。
ダッシュボードログ
スキャン
スキャン対象となったリクエストは Action = Quarantine と表示されます。
ブロック
スキャン後にブロック対象となったリクエストは Action = Block、Blocked file reason = Quarantine と表示されます。
Logpush - Gateway HTTP
スキャン
Action = sandbox となります。
{
"AccountID": "xx",
"Action": "sandbox",
"ApplicationIDs": [],
"ApplicationNames": [],
"BlockedFileHash": "",
"BlockedFileName": "",
"BlockedFileReason": "unknown",
"BlockedFileSize": 0,
"BlockedFileType": "",
"CategoryIDs": [
26,
109
],
"CategoryNames": [
"Technology",
"Information Technology"
],
"Datetime": "2024-10-16T15:57:27Z",
"DestinationIP": "2606:4700:3036::6815:23dc",
"DestinationIPContinentCode": "",
"DestinationIPCountryCode": "",
"DestinationPort": 443,
"DeviceID": "xx",
"DeviceName": "xx",
"DownloadMatchedDlpProfileEntries": [],
"DownloadMatchedDlpProfiles": [],
"DownloadedFileNames": [
"2mb.pdf"
],
"Email": "user1@example.com",
"FileInfo.files": [
{
"file_size": 2150543,
"content_type": "application/pdf",
"action": "none",
"direction": "download",
"file_name": "2mb.pdf",
"file_type": "PDF",
"file_hash": "6e3f8c115e6878776ce3d01e93238bc4703efa58562075d38e93c43eedb33db4"
}
],
"ForensicCopyStatus": "none",
"HTTPHost": "examplefile.com",
"HTTPMethod": "GET",
"HTTPStatusCode": 200,
"HTTPVersion": "HTTP/2",
"IsIsolated": false,
"PolicyID": "65e839fd-a946-4776-a4f0-3d675dcda11b",
"PolicyName": "Sandbox Scan files",
"PrivateAppAUD": "",
"ProxyEndpoint": "",
"Quarantined": false,
"Referer": "https://examplefile.com/document/pdf/2-mb-pdf",
"RequestID": "2337a57b07000025f2a0eef400000001",
"SessionID": "23377b8a48000025f2903fb400000001",
"SourceIP": "xx",
"SourceIPContinentCode": "AS",
"SourceIPCountryCode": "JP",
"SourceInternalIP": "",
"SourcePort": 51419,
"URL": "https://examplefile.com/file-download/152",
"UntrustedCertificateAction": "none",
"UploadMatchedDlpProfileEntries": [],
"UploadMatchedDlpProfiles": [],
"UploadedFileNames": [],
"UserAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36",
"UserID": "xx",
"VirtualNetworkID": "604aa865-1642-405c-a745-3d448f69b8f1",
"VirtualNetworkName": "default"
}
ブロック
Action = block、Quarantined = true、BlockedFileReason = sandboxScan となります。
また、BlockedFileHash が同じ値の場合には、スキャンログがなく、ブロックされたこともわかります。
{
"AccountID": "xx",
"Action": "block",
"ApplicationIDs": [],
"ApplicationNames": [],
"BlockedFileHash": "4fec481a4f18a275d09fcadf2ff41161bdab4260a5ba4d620841d64f9da1857a",
"BlockedFileName": "",
"BlockedFileReason": "sandboxScan",
"BlockedFileSize": 0,
"BlockedFileType": "",
"CategoryIDs": [
26,
155
],
"CategoryNames": [
"Technology",
"Technology"
],
"Datetime": "2024-10-16T16:06:35Z",
"DestinationIP": "xx",
"DestinationIPContinentCode": "EU",
"DestinationIPCountryCode": "FR",
"DestinationPort": 443,
"DeviceID": "xx",
"DeviceName": "xx",
"DownloadMatchedDlpProfileEntries": [],
"DownloadMatchedDlpProfiles": [],
"DownloadedFileNames": [
"<unknown file name>"
],
"Email": "user1@example.com",
"FileInfo.files": [
{
"action": "none",
"direction": "download",
"file_name": "<unknown file name>",
"file_type": "PDF",
"file_hash": "4fec481a4f18a275d09fcadf2ff41161bdab4260a5ba4d620841d64f9da1857a",
"file_size": 2057,
"content_type": "application/pdf"
}
],
"ForensicCopyStatus": "none",
"HTTPHost": "x.x.x",
"HTTPMethod": "GET",
"HTTPStatusCode": 302,
"HTTPVersion": "HTTP/1.1",
"IsIsolated": false,
"PolicyID": "65e839fd-a946-4776-a4f0-3d675dcda11b",
"PolicyName": "",
"PrivateAppAUD": "",
"ProxyEndpoint": "",
"Quarantined": true,
"Referer": "",
"RequestID": "2337add97f000025f2a1e64400000001",
"SessionID": "2337852e94000025f29155e400000001",
"SourceIP": "xx",
"SourceIPContinentCode": "AS",
"SourceIPCountryCode": "JP",
"SourceInternalIP": "",
"SourcePort": 51597,
"URL": "https://x.x.x/sample.pdf",
"UntrustedCertificateAction": "none",
"UploadMatchedDlpProfileEntries": [],
"UploadMatchedDlpProfiles": [],
"UploadedFileNames": [],
"UserAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36",
"UserID": "xx",
"VirtualNetworkID": "604aa865-1642-405c-a745-3d448f69b8f1",
"VirtualNetworkName": "default"
}