きめ細かい SaaS 制御では、多くの場合、複数の識別方法とポリシー方法を組み合わせる必要があります。 - オプション A: URL フィルタリングは、「ソーシャル ネットワーキング」などのカテゴリをブロックするのに便利ですが、同じアプリケーションの承認済みインスタンスと承認されていないインスタンス (企業用 Slack/Box と個人用 Slack/Box など) を区別するのが困難です。これらのアプリケーションは、多くの場合、同じベース URL を共有しますが、動作やサブドメインが異なります。 - オプション B: App-ID はベース アプリケーション (「slack」) を識別し、アプリケーション機能制御は特定のアクション (「slack-post」) に役立ちますが、それだけでは、同じ App-ID を使用する場合、どの Slack ワークスペースにアクセスされているかを区別しません。 - オプション C: アプリケーション アクティビティを完全に可視化するには復号化が必要ですが、それだけでは、承認されたインスタンスと承認されていないインスタンスを区別しません。 - オプション D (正解): これは最も包括的なアプローチです。App-ID (「ソーシャル ネットワーキング」App-ID など) を使用して、一般的なカテゴリをブロックします。次に、特定の App-ID (Clinkedin'、'slack') を許可ルールで使用します。同じアプリの企業インスタンスと個人インスタンス (Slack など) を区別するには、多くの場合、App-ID を他の基準と組み合わせる必要があります。 - URL フィルタリング: 企業が認可したインスタンスで使用される特定のドメイン/サブドメインのカスタム URL カテゴリを作成します (例: 'mycompany.slack.com')。ポリシーでは、企業の URL カテゴリ宛ての場合は 'slack' App-ID を許可しますが、一般的な 'slack.com' またはコンシューマー URL 宛ての場合は 'slack' を拒否します。 - ユーザー ID/グループ: 個人アカウントが別のユーザー グループに関連付けられている場合、または認可されたアクセスが特定の企業ユーザー グループに限定されている場合、ポリシーはユーザー メンバーシップに基づいて区別できます。 - サービス グループ (443 の SaaS インスタンスではあまり一般的ではありません): ここではあまり当てはまりません。App-ID、インスタンス区別のための URL フィルタリング、および場合によってはユーザー ID の組み合わせが必要です。 - オプション E:

より広範な「許可」ルール内で、一部のユーザーとアプリケーションに対して特定の「拒否」ルールを実装するには、より具体的な「拒否」ルールを作成し、ポリシーの上位に配置する必要があります。 - オプション A: 既存の一般的な「許可」ルールを編集して特定の拒否基準を追加し、アクションを「拒否」に変更すると、「インターン」グループに属し、ソーシャルネットワーキングだけでなく、あらゆる Web アプリケーションにアクセスするすべてのユーザーの Web 閲覧が拒否されます。 - オプション B (正解): より具体的な新しいルールを作成するのが正しい方法です。このルールは、拒否の具体的な条件 (インターン ユーザー グループ、ソーシャルネットワーキング アプリケーション) に一致し、アクションを「拒否」に設定します。このルールをより広範な「Web 閲覧の許可」ルールの上に配置することで、インターンがソーシャルネットワーキングにアクセスする際のトラフィックが評価される際に、まず「拒否」ルールに該当し、一般的な「許可」ルールに到達する前にブロックされるようになります。 - オプション C: このルールは、ソーシャルネットワーキングだけでなく、インターンによるすべての Web 閲覧を拒否します。 - オプションD：URLフィルタリングプロファイルを適用するとウェブサイトがブロックされる可能性がありますが、セキュリティポリシーでユーザーグループに基づいてアプリケーションを明示的に拒否する方が、より正確なアプリケーション制御が可能です。また、トラフィックを拒否するセキュリティポリシールールでアクションを「許可」に設定することは矛盾しています。 - オプションE：ルール内の「除外アプリケーション」リストは、リストされているアプリケーションとルールが一致しないようにします。つまり、個別の拒否アクションを定義しません。

高度なURLフィルタリングは、クラウドインテリジェンスと高度な技術を活用して、堅牢なWebセキュリティを実現します。 - オプションA（誤）：基本的なURLフィルタリングでは小規模なローカルキャッシュが使用される場合がありますが、高度なURLフィルタリングは主に大規模で動的なクラウドデータベースに依存します。 - オプションB（正）：高度なURLフィルタリングの強みは、継続的に更新される膨大なクラウドデータベースにクエリを実行し、URLの正確な分類と脅威ステータスを取得することです。 - オプションC（正）：高度なURLフィルタリングは、機械学習を用いて、これまで未知または未分類のURLをリアルタイムで分析し、悪意のあるパターンを検出して、新しいフィッシングサイトやマルウェアサイトへのアクセスを、静的データベースに追加される前に防止します。 - オプションD（正）：高度なURLフィルタリングは、他の脅威インテリジェンスソースと統合されています。他の脅威インテリジェンスフィードとの相関関係に基づき、コマンドアンドコントロールまたは攻撃インフラストラクチャの一部と特定された悪意のあるURLや、関連するIPアドレスまたはドメインへのアクセスをブロックできます。 - オプションE（誤）：Webページのコンテンツに埋め込まれたエクスプロイトを検査するのは、URLフィルタリングプロファイルではなく、脆弱性保護プロファイル（脅威防止の一部）の機能です。

エンタープライズデータ損失防止（DLP）サブスクリプションは、データフィルタリングプロファイルの機能を強化します。データフィルタリングプロファイルは、トラフィック内の機密データパターンを定義および検出するために使用される特定のコンテンツIDコンポーネントです。DLPサブスクリプションが有効な場合、より広範な定義済みデータ識別子と高度な機能が提供され、データフィルタリングプロファイルが利用できるようになります。オプションAは脅威を検出します。オプションBはファイルタイプをブロックします。オプションDはURLをブロックします。オプションEはマルウェアシグネチャを検出します。

集中管理プラットフォームは、分散展開全体のセキュリティ ポリシーと構成を簡素化および標準化するように設計されています。 - オプション A: セキュリティ ポリシーは NGFW の基礎であり、集中プラットフォームによって管理されますが、削除されるものではありません。 - オプション B: 管理にはデバイスへのネットワーク接続が必要です。 - オプション C (正解): 主な利点は、オブジェクト (アドレス、サービス、アプリケーション、プロファイル) とポリシーを 1 回 (またはテンプレート/デバイス グループで) 定義し、複数のファイアウォールに一貫してプッシュできることです。これにより、各デバイスを個別に構成する場合に比べて、統一された構成が確保され、エラーが削減されます。 - オプション D: ポリシー作成は管理者の責任です。 - オプション E: 動的更新は自動化できますが、PAN-OS ソフトウェアのアップグレードでは通常、管理者が Panorama/SCM を介してスケジュール設定および開始する必要があります。