Symantec Endpoint Protection (SEP) 14.3 RU1 以降で利用可能な侵入防止ポリシーの URL 評価機能について詳しく知りたい。
Q: URL 評価とは何ですか。
A: URL 評価の検出は、マルウェア、詐欺、フィッシング、スパムなどの悪意のあるコンテンツをホストする可能性のあるドメインおよび URL からの脅威を識別します。URL 評価は、悪質なコンテンツの既知のソースとして識別された Web アドレスへのアクセスを遮断します。アクセスした URL の情報がブロードコムに送信され、評価情報を取得します。
Q: URL 評価は定義を使用しますか。
A: URL 評価の検出には、Symantec LiveUpdate からダウンロードした Symantec Endpoint ファンデーション定義 (SymPlatform 定義) と侵入防止定義が必要です。
Q: URL 評価の検出には、どの侵入防止シグネチャが使用されますか。
A: SID 60501 検出がブラウザベースの検出、SID 29565 検出が非ブラウザソースからトリガされる検出です。
Q: ログエントリの例を示してもらえますか。
A: 以下は、各検出について考えられるログエントリの例です。
[SID: 29565] Web Attack: Webpulse Bad Reputation Domain Request 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: <パス>
[SID: 60501] URL reputation: Browser navigation to known bad URL 攻撃を遮断しました。 このアプリケーションのトラフィックを遮断しました: <パス>
Q: なぜ SID 29565 は侵入防止例外リストで表示されないのですか。
A: 14.3 RU3 で解決された既知の問題です。
Q: どのブラウザーが URL 評価をサポートしていますか。
A: サポートされているブラウザの一覧は ブラウザ侵入防止でサポートされるブラウザ を参照してください。
注: URL 評価は Microsoft Edge と Mozilla Firefox で動作しません。
Q: URL 評価をテストするにはどうすればよいですか。
A: 以下の URL を使用して、サポートブラウザ上でサンプル URL の検出を行うことができます。
http://testrating.webfilter.bluecoat.com/Malicious%20Sources/Malnets?locale=en_US
http://testrating.webfilter.bluecoat.com/Malicious%20Outbound%20Data/Botnets?locale=en_US
http://testrating.webfilter.bluecoat.com/Phishing?locale=en_US
注: URL 評価の検出は (ブラウザのパフォーマンスを維持するために) 非同期です。テスト検出を作成するためには各サンプルページに 2 ~ 3 回アクセスする必要があります。
Q: 信頼できる Web ドメイン例外は URL 評価の検出に適用されますか。
A: はい。信頼できる Web ドメイン例外として設定された Web サイトは URL 評価によって許可されます。
Q: URL 評価が既知の良好な URL でトリガーされます。解決するにはどうすればよいですか。
A: URL 評価の過剰検知プロセス を参照してください。
[英語文書] SEP URL Reputation FAQ