インターネットとSaaSへのセキュアなアクセス(ZIA)
推奨Sandboxポリシー
デフォルトのSandboxルールは、ユーザーが以下の疑わしいURLカテゴリーからダウンロードしようとする悪意のあるWindows実行ファイルとWindowsライブラリファイルをブロックします。
- ヌード
- ポルノ
- アノニマイザー
- ファイルホスト
- シェアウェアのダウンロード
- Webホスト
- 未分類または不明
- 未分類
デフォルトのSandboxルールは、2MB以下のWindows実行可能ファイルとWindowsライブラリファイルを分析してブロックします。
高度Sandboxがある場合は、ポリシーにルールを追加できます。リスク許容度とパフォーマンスの期待値は多岐にわたるため、Sandboxポリシーの構成は、以下の推奨ポリシーと大きく異なる場合があります。Zscalerでは、組織の許容範囲に従ってポリシーを構成することを推奨します。
- [悪意のあるファイルに対する低い許容度]:組織がマルウェアのダウンロードに対して持つ許容度が低い場合は、大部分のURLカテゴリーで[初回アクション]に[隔離]を選択できます。このオプションを選択する可能性のある組織には、次のものがあります。
- 高額トランザクションを行う金融機関または組織。
- 機密データにアクセスする組織、部門、法的機関。
- [ファイルの隔離に対する低い許容度]:ダウンロードの遅延やファイルの隔離によるエンドユーザーの中断に対する組織の許容度が低い場合は、すべてまたは大部分のURLカテゴリーで[初回アクション]に[許可およびスキャン]を選択できます。このオプションを選択する可能性のある組織には、次のものがあります。
- 悪意がないにもかかわらず、Windowsの実行ファイルやその他の[疑わしい]ファイルを定期的にダウンロードしている技術研究所や研究所のある組織。
- 定期的に多様なファイルをダウンロードしたり、他の組織と交換したりする組織。
- [疑わしいファイルに対する低い許容度]:組織で従業員がダウンロードまたはインストールするその他のファイルに対する許容度が低い場合は、アーカイブ、実行可能ファイル、PDFファイルなど、さまざまなタイプのファイルに対して[初回アクション]に[許可およびスキャン]を選択できます。このオプションを選択する可能性のある組織には、次のものがあります。
- タスクを完了するためにサードパーティのソフトウェアを使用する必要がある従業員を抱える組織には、間違った場所からダウンロードすると疑わしいファイルが含まれている可能性があります。
- 未確認のソースから取得される可能性のあるPDFまたはZIPファイルを定期的にダウンロードまたは操作する組織。
Zscalerでは、次のSandboxポリシーを構成することを推奨します。
Sandboxのルール例
以下は、Zscalerが推奨するサンドボックス ポリシー ルールのサンプルです。これらのルールは、すべてのユーザー、グループ、部署、ロケーションおよびロケーション グループに適用されます。
ルール1:実行可能ファイルの検疫
次の表は、ルールの基準を示すものです。
| ファイルタイプ | URLカテゴリー | Sandboxカテゴリー | 初回アクション | AIインスタント判定 | その後のアクション |
|---|---|---|---|---|---|
|
|
| 検疫 | 有効 | ブロック |
ルール2:不明なオフィス ファイルを隔離する
次の表は、ルールの基準を示すものです。
| ファイルタイプ | URLカテゴリー | Sandboxカテゴリー | 初回アクション | AIインスタント判定 | その後のアクション |
|---|---|---|---|---|---|
|
|
| 検疫 | 有効 | ブロック |
ルール3:不明なPDFファイルを隔離する
次の表は、ルールの基準を示すものです。
| ファイルタイプ | URLカテゴリー | Sandboxカテゴリー | 初回アクション | AIインスタント判定 | その後のアクション |
|---|---|---|---|---|---|
| PDFドキュメント(PDF) |
|
| 検疫 | N/A | ブロック |
Sandboxのデフォルトルール
次の表は、ルールの基準を示すものです。
| ファイルタイプ | URLカテゴリー | Sandboxカテゴリー | 初回アクション | AIインスタント判定 | その後のアクション |
|---|---|---|---|---|---|
|
|
| 初回のみの許可とスキャン | N/A | 後続のダウンロードをブロックする |