Sandboxポリシーの既定のルールは、特定の悪意のあるファイルの種類を含む疑わしいURLから、すべてのWindows実行可能ファイルとWindowsライブラリー ファイルをブロックします。さらに、ユーザーが疑わしいURLからWindows実行可能ファイルまたはWindowsライブラリー ファイルをダウンロードし、そこに不明なファイルが含まれている場合、既定のアクションでは、ユーザーがファイルをダウンロードした後、Sandboxエンジンにファイルを送信して解析できます。

デフォルトのSandboxルールを設定する。

• ステップ1：インバウンドおよびアウトバウンドトラフィック検査を有効にする

  マルウェア対策ポリシーでインバウンドトラフィック検査とアウトバウンドトラフィック検査を有効にして、Sandbox化のためにファイルを送信する必要があります。

  インバウンドおよびアウトバウンドのトラフィックインスペクションを有効にするには、次のようにします。

  1. ポリシー > マルウェア対策 にアクセスしてください。
  2. Inspect Inbound Traffic および Inspect Outbound Traffic を有効にします。

  画像を見る。

  

  閉じる

  3. 保存 と 変更を有効にする をクリックします。

  Sandboxはダウンロードされた(インバウンド)ファイルのみを分析します。

  閉じる
• ステップ2：デフォルトのサンドボックスルールを編集する

  デフォルトのサンドボックス ルールの設定を変更することはできますが、削除することはできません。Zscalerは、デフォルトの設定を変更しないことを推奨します。

  デフォルトのSandboxルールを編集するには、次の操作を行います。

  1. [ポリシー]>[Sandbox]の順にアクセスします。
  2. デフォルト ルールの横にある編集アイコンをクリックします。

  Edit Sandbox Rule ウィンドウが表示されます。

  3. [Sandboxルールの編集]ウィンドウで、次の操作を行います。
     • ルールの状態: 既定のサンドボックス ルールが有効になり、適用されます。このフィールドは変更できますが、Zscalerは変更をお勧めしません。
     • ルール ラベル：選択したラベルにデフォルトのルールが関連付けられます。このフィールドは変更できます。
     • ファイル タイプ：既定のルールでは、Windows実行可能ファイルとWindowsライブラリー ファイルが分析されます。また、これらのファイルがZIPアーカイブ ファイル(.zip)に含まれている場合は、これらのファイルを分析します。Standard Sandboxサブスクリプションでは、サービスは2 MB以下のファイルのみを分析します。このフィールドは変更できません。
     • URLカテゴリー：デフォルトのルールでは、上記のファイル タイプが[疑わしい送信先]のURLからダウンロードされた場合に分析されます。不審な送信先には、以下のようなURLのカテゴリーがあります。
       • ヌード
       • ポルノ
       • アノニマイザー
       • ファイルホスト
       • シェアウェアのダウンロード
       • Webホスト
       • 未分類または不明
       • 未分類

  このフィールドは変更できません。

  • Sandboxカテゴリー：デフォルトのルールが次の悪意のあるファイル タイプに適用されます
    • サンドボックス アドウェア：自動的に広告をレンダリングまたはアドウェアをインストールするファイル。多くの場合、これらの広告は望ましくないものであり、スパイウェアやその他のグレーウェア指向のプライバシー侵害につながる可能性があります。
    • [Sandboxマルウェア/ボットネット]：APT、エクスプロイト、ボットネット、トロイの木馬、キーロガー、スパイウェア、その他のマルウェアのような動作をするファイル。これは、他のSandboxカテゴリーに該当しない悪意あるファイルのキャッチオールカテゴリーです。Sandboxに分類されるほとんどのファイルは、ファイルを分類する特定のシグネチャやインジケーターがないため、特定の脅威またはマルウェアファミリー指向であることは明確には知られていません。代わりに、Zscalerサービスは、ファイルのOSとアプリケーションの動作、およびネットワークアクティビティのアグリゲーションに基づいてファイルを分類します。
    • Sandbox P2P/アノニマイザー：アノニマイザーとP2Pクライアントを含むファイル。Zscalerサービスは、ファイルがTorブラウザーや他のVPNサービスなどのP2P/アノニマイザープログラムと一致する動作を示しており、本質的にユーザーのインターネットアクティビティを追跡不能にしているかどうかを検出します。

  • [ZPA Application Segment]：セキュリティおよびデータ保護サービスに関するZPA Application Segmentsの検査により、インターネット/ SaaSおよびプライベート アプリケーションを保護するための単一のポスチャを活用できます。
    最大255のZPA Application Segmentsを選択します。値を選択しない場合、ポリシー評価の条件は無視されます。リストには、送信元IPアンカーオプションが有効になっているZPA Application Segmentsのみが表示されます。

    リストから[App Segmentを検査]オプションを選択した場合、構成済みルールがZIAテナントとペアになっているすべてのZPA Application Segmentsに適用されます。このオプションは、組織で[SIPA App Segments]サブスクリプションが有効になっている場合にのみ利用可能です。
    画像を参照してください。

    閉じる

  必要に応じて変更することができますが、Zscalerではこのフィールドを変更しないことを推奨します。

  • プロトコル：デフォルトのルールが次のプロトコルからのファイルのダウンロードに適用されます。
    • HTTP経由のFTP：HTTP Webサイト経由のFTPからのファイルのダウンロード。
    • HTTP：HTTP Webサイトからのファイルダウンロード。
    • HTTPS：TLS/SSLで暗号化されたHTTP Webサイトからのファイルダウンロード。
    • ネイティブFTP：ネイティブFTPサーバからのファイルダウンロード。

  このフィールドは変更できません。

  • 初回のアクション：ユーザーが疑わしいURLからWindows実行可能ファイルまたはWindowsライブラリー ファイルをダウンロードし、不明なファイルが含まれている場合、既定のアクションでは、ユーザーがファイルをダウンロードし、分析のためにSandboxエンジンにファイルを送信できます。このフィールドは変更できません。
  • AIインスタント判定：このフィールドは、[初回アクション]が[隔離]または[[許可してスキャン]の場合にのみ適用されます。デフォルトのサンドボックス ルールでは、このフィールドを変更することはできません。
  • 後続のダウンロードのアクション：デフォルトのアクションは、上記の条件に一致するSandbox分類ファイル(Sandboxが以前に分析したファイル)をブロックすることです。ユーザーが悪意のあるSandbox分類ファイルをダウンロードしようとすると、サービスはブロック通知を表示し、ダウンロードを防止します。

  [許可]を選択すると、ユーザーは悪意のある場合でもファイルをダウンロードできますが、トランザクションはログに記録されます。このフィールドは変更できますが、Zscalerは変更することをお勧めしません。

  保存 をクリックします。

  画像を見る。

  

  閉じる

  4. 保存 と 変更を有効にする をクリックします。

  ファイルがデフォルトのSandboxルールの条件に一致しない場合、悪意のあるファイルであってもダウンロードが許可されます。

  閉じる

Zscalerサービスは、すべてのSandboxトランザクションを[Web解析ログ]ページに記録します。悪意のあるファイルが既定のSandboxルールの条件に一致しないために許可されている場合、Zscalerサービスの[脅威名]列に[サブスクライブされていません]と表示されます。

画像を見る。