WSS Tips

Symantec CloudProxy Web Security Service(WSS)のTips

PAC File Management

WSSが提供するPACファイルのカスタマイズ機能が追加された。

設定箇所は サービス > モビリティ > PAC File Management

PACファイルを複数作成して利用者別に分ける事も可能。

Include Office365 Bypass を有効にすると、O365関連のドメインをバイパスして、
WSSをプロキシとして使用せず、O365にアクセスできる。

Include Office365 Bypass を使用する時は、バイパス対象のO365ドメイン
リストに表示されるので、ドメインを確認する事もできる。

 

オンラインヘルプは次のURLを参照

https://portal.threatpulse.com/docs/am/AccessMethods/deploy/explicit/pac_mgmt.htm

 

f:id:symcwss:20180727085203j:plain

 

カスタマイズ設定の内容

f:id:symcwss:20180727085213j:plain

SAML証明書の失効通知

SAMLの設定をする場合は、証明書のインストールが必要であるが、

証明書の有効期限が近づくと60日前にメールで通知される。

 

Subject:Warning: Symantec SAML Signing Certificate expires in 60 days

MailFrom:CloudServices@bluecoat.com

 

本文は以下の画像

The following Web Security Service SAML Signing Certificate is about to expire:

 

f:id:symcwss:20180726181729j:plain

 

接続場所(Location)の状況(ステータス)確認

WSSを利用する接続元を登録するとStatusがアイコンで確認できる。

アイコンの意味は次のリンクを参照
https://portal.threatpulse.com/docs/sol/AccessMethods/deploy/verifyconn_ta.htm

利用できる状態でも赤マークのアイコンが表示される場合がある。
障害と思われるが、30分間WSSトラフィックが流れないと
赤マークで表示される。
トラフィックの有無でStatusCheckをしてるようである。

 

f:id:symcwss:20180726105737j:plain

推奨されるバイパスサイト

Service Version: 6.10.3.1 にアップデートされ

バイパスサイトが2つ自動で設定された。

次のURLに詳細が記載されているが、パフォーマンス向上のため

推奨されるサイトをバイパス設定したようである。

 

https://support.symantec.com/content/unifiedweb/en_US/article.INFO5010.html

 

対象は次の2つであるが、削除も可能。

googlevideo.com
windowsupdate.com

 

管理画面は次のようになっている。

f:id:symcwss:20180523083453j:plain

認証のCookie Surrogate

WSSの仕様はPersistent Authentication Cookieを使用しており
ブラウザを閉じてもCookieは削除されない。

・Persistent Authentication Cookie
Cookie: BCSI-ACP
Cookieにexpireが設定されブラウザを閉じてもCookieは削除されない。
ブラウザを起動する毎に認証画面は出ない。

・Session Cookie
Cookie: BCSI-AC
ブラウザを閉じると Cookieは消される。
ブラウザを起動する毎に認証画面が出る。

 

Endpoint Protectionを使用したWSS宛トラフィック制御

SymantecEndpointProtection(以下SEP)を使用している場合は、
SEPの設定でWebトラフィックWSS経由にする事ができる。

UnifiedAgentと異なり、ポート80/443宛の通信全てではなく
PACファイルを使用できるWebブラウザのようなアプリケーションに限定はされる。

サポートされるブラウザは次の通りである。
Microsoft Internet Explorer 9 から 11
Mozilla Firefox
Google Chrome
Apple Safari
Microsoft Edge


詳細は以下のナレッジを参照
https://support.symantec.com/ja_JP/article.HOWTO127870.html

f:id:symcwss:20180517111236j:plain

f:id:symcwss:20180517111147j:plain

マルウェア名

レポートでマルウェア名が確認できるが、マルウェア名でない名称も表示されるので

一部について説明する。

・Blacklisted file
シグネチャエンジンではなく、ファイルハッシュで判定した

・Heuristics.Broken.Executable
壊れた実行形式/不正な形式のファイルを検出した

 

f:id:symcwss:20180515131952j:plain