分散防御の設定 |ジュニパーネットワークス

通知の設定

[ Config > Notifications ] ページを使用して、[ Alert Settings ] または [SIEM Settings] を設定または編集します。

図 1: アラート通知 Setting Alert Notifications

の設定

アラート設定の構成

イベントまたはシステム監査の通知を指定された電子メール受信者にアラートとして送信するには、アラート設定を構成します。

新しいアラート通知を作成するには、次の手順を実行します。
既存のアラート設定を表示、削除、または編集するには:
アラート通知の構成オプション
SIEM 設定の構成
新しい SIEM 通知を作成するには、次の手順を実行します。
CEFアラートevent_idまたはincident_idを使用したWeb UIでの詳細の表示
Active SIEM コネクタ構成を表示、削除、または編集するには:
アラート通知の構成オプション

新しいアラート通知を作成するには、次の手順を実行します。

[ Config > Notifications ] ページに移動し、左側のパネルメニューから [Alert Settings ] を選択します。
[新しい atp レルムの作成通知] をクリックして、新しい [イベント] または [システム監査] または [システム正常性] アラートを設定します。
使用可能なオプション(詳細は以下の説明を参照)から選択し、「追加」をクリックして構成を完了し、新しいアラート構成を「現在の通知」リストに追加します。

既存のアラート設定を表示、削除、または編集するには:

既存のアラート通知設定を表示、削除、または編集するには、選択したアラートの [現在の通知(Current Notification)] テーブルで [表示(Display)]、[削除(Delete)]、または [編集(Edit)] をクリックします。
必要に応じて現在の設定とフィールドを編集、変更、または削除し、[ 保存]をクリックします。

アラートレポート表示のサンプルを以下に示します。

アラート通知の構成オプション

イベント、システム監査、およびシステム正常性アラートの設定の説明を次の表に示します。

表 1: イベント設定
種類	設定するアラート通知のタイプを選択します。イベント \|システム監査 \|システム状態
最大結果数(Max Num Results)	イベントベースのアラートの場合は、アラート通知に含める結果の行数を入力します (既定値は 25)。
形式	通知出力形式として [HTML] または [PDF] を選択します。
マルウェアの重大度	マルウェアの重大度の結果でレポート通知をフィルタリングするには、次のいずれかを選択します。すべてのマルウェア \|Critical(重大)、High(高)、Med (中) \|クリティカルまたは高
生成日時	「トリガー」または「スケジュール別」を選択して、アラートの生成方法を設定します。「スケジュール別」を選択した場合は、「日」を選択し、「時刻」を「00:00 am」または「pm」の形式で入力して、アラートを生成する曜日と時刻を設定します。

表 2:システム正常性設定
種類	注: [システム正常性] イベントの種類を選択すると、次の 4 つのイベントインスタンスの電子メールアラートが追加されます。別のアプライアンスへの接続が 10 分以上切断された(例:Central Manager が Web コレクタまたは Mac OSX セカンダリコアへの接続を失った場合) CLIで設定した低ネットワークトラフィックのしきい値。デフォルトでは、CLIで有効にしない限り、このアラートは生成されません。ネットワークインターフェイスがダウンしています。オンエンジンがダウンしました
全体的な正常性処理の遅延	[システム正常性アラート] で、全体的な正常性メトリックアラートまたは処理遅延固有のアラートのいずれかを選択します。
形式	通知出力形式として [HTML] または [PDF] を選択します。
生成日時	「トリガー」または「スケジュール別」を選択して、アラートの生成方法を設定します。「スケジュール別」を選択した場合は、「日」を選択し、「時刻」を「00:00 am」または「pm」の形式で入力して、アラートを生成する曜日と時刻を設定します。
受信者のメールアドレス	アラート通知の受信者のメールアドレスを入力します。

表 3: アラート構成の例: システム監査アラート設定
種類	設定するアラート通知のタイプを選択します。システム監査
イベントタイプ	アラート通知に含めるイベントタイプを選択します: ログイン/ログアウト \|失敗したログイン \|ユーザーの追加/更新 \|ミティゲーション \|ホワイトリスト \| \|システム設定 \|再起動 \|リモートサポート (ATA 分析用) 状態が続く場合、アラートは 2 時間ごとに再送信されます。生成された電子メールアラートのアラートテキストの例: Tue, 05 Aug 2014 21:45:18 -0700 n/a jatp(10.1.1.1) received 0 KB of monitor traffic over last 1 days, 16 hours, 31 Mon, 11 Aug 2014 10:57:26 -0700 n/a ビヘイビアエンジンが実行されていません Mon, 11 Aug 2014 10:57:26 -0700 n/a jatp(10.1.1.1)のリンクeth1がダウンしています Mon, 11 Aug 2014 10:57:26 -0700 n/a web_collector jatp(10.1.1.1) への接続が 2 日間 5 時間11 分切断されました
ユーザー	通知レポートで [すべてのユーザー] または [現在のユーザー] を選択します。
日付範囲を	期間でレポート通知をフィルタリングするには、次のいずれかを選択します。末日 \|先週 \|先月 \|去年
最大結果数(Max Num Results)	アラート通知に含める結果の行数を入力します (既定値は 25 行)。
形式	通知出力形式として [HTML] または [PDF] を選択します。
生成日時	「トリガー」または「スケジュール別」を選択して、アラートの生成方法を設定します。「スケジュール別」を選択した場合は、「日」を選択し、「時刻」を「00:00 am」または「pm」の形式で入力して、アラートを生成する曜日と時刻を設定します。
受信者のメールアドレス	アラート通知の受信者のメールアドレスを入力します。

電子メール通知設定をテストするには、を参照してください。

SIEM 設定の構成

イベントまたはシステム監査通知をCEF、LEEF、またはSyslog形式のログとして指定されたホストに送信するために、SIEM設定を構成します。

図 2: SIEM 通知 Setting SIEM Notification

の設定

システム健全性アラートの構成時にSIEM設定としてSyslogを選択した場合は、Juniper ATP Applianceから送信されるSyslogメッセージにホスト名またはプロセス名を含めることができます。

新しい SIEM 通知を作成するには、次の手順を実行します。

[ Config>Notifications ]ページに移動し、左側のパネルメニューから[ SIEM設定 ]を選択します。
[ 新しい SIEM コネクタの追加(Add New SIEM Connector )] をクリックして、CEF または Syslog 形式で新しいイベント、システム監査、またはシステム正常性ログ通知を設定します。
使用可能なオプション (以下の説明を参照) から選択し、[追加] をクリックして構成を完了し、新しい SIEM コネクタ構成を [アクティブな SIEMS] リストに追加します。

CEFアラートevent_idまたはincident_idを使用したWeb UIでの詳細の表示

incident_idまたはevent_idを指定すると、以下のURLを使用して、Juniper ATP Appliance Web UIに相対的な詳細を表示できます。

「JUNIPERATPAPPLIANCE_HOSTNAME_HERE」をJuniper ATP Applianceのホスト名に、「0000000」をevent_idまたはincident_idに置き換えてください。

https://JATPAPPLIANCE_HOSTNAME_HERE/admin/index.html?incident_id=0000000
https://JATPAPPLIANCE_HOSTNAME_HERE/admin/index.html?event_id=0000000

手記：

現在アクティブなログインセッションがない場合、システムはログイン/パスワードの入力を求めます。

Active SIEM コネクタ構成を表示、削除、または編集するには:

最近のレポートを表示したり、既存の SIEM 設定を削除または編集したりするには、選択した設定行の [Active SIEM] テーブルで [表示]、[削除]、または [編集] をそれぞれクリックします。
必要に応じて現在の設定とフィールドを編集、変更、または削除し、[ 保存]をクリックします。

アラート通知の構成オプション

SIEM イベントまたはシステム監査のアラート通知は、[Config>System Settings] メニューから [Outgoing Mail Settings] が設定されている場合にのみ使用できます。

イベントアラート設定の説明を次の表に示します。

表 4: イベント SIEM 設定
イベントタイプ	構成する SIEM コネクタ通知の種類を選択します。ログイン/ログアウト \|失敗したログイン \|ユーザーの追加/更新 \|ミティゲーション \|ホワイトリスト \|システム設定 \|再起動 \|リモートサポート
形式	通知出力形式として、CEF、LEEF、または Syslog を選択します。
マルウェアの重大度	マルウェアの重大度の結果でログ通知をフィルタリングするには、次のいずれかを選択します。すべてのマルウェア \|Critical(重大)、High(高)、Med (中) \|クリティカルまたは高
生成日時	「トリガー」または「スケジュール別」を選択して、SIEMイベント・ログの生成方法を設定します。「スケジュール別」を選択した場合は、「日」を選択し、「時刻」を「00:00 am」または「pm」の形式で入力して、アラートを生成する曜日と時刻を設定します。
ホスト名	CEF、LEEF、または Syslog サーバーのホスト名を入力します。
ポート番号	CEF、LEEF、または Syslog サーバーのポート番号を入力します。

表 5: システム監査 SIEM 設定
データ型	構成する SIEM 通知のタイプを選択します。システム監査
形式	通知出力形式として [CEF] または [Syslog] を選択します。
イベントタイプ	アラート通知に含めるイベントの種類を選択します。ログイン/ログアウト \|失敗したログイン \|ユーザーの追加/更新 \|ミティゲーション \|ホワイトリスト \|システム設定 \|再起動 \|リモートサポート
形式	ログ出力形式として CEF、LEEF、または Syslog を選択します。
生成日時	[トリガー] または [スケジュール別] を選択して、SIEM システム監査ログの生成方法を設定します。「スケジュール別」を選択した場合は、「日」を選択し、「時刻」を「00:00 am」または「pm」の形式で入力して、アラートを生成する曜日と時刻を設定します。

表 6:システム正常性 SIEM 設定
種類	構成する SIEM コネクタログの種類を選択します。システム状態
健康	SIEM ログに含める正常性レポートの種類を選択します。全体的な健康 \|処理遅延
形式	ログ出力形式として CEF、LEEF、または Syslog を選択します。システム健全性アラートの構成時にSIEM設定としてSyslogを選択した場合は、Juniper ATP Applianceから送信されるSyslogメッセージでホスト名またはプロセス名を表示するか非表示にするかを選択できます:show hostnameおよびshow process name。
生成日時	[トリガー] または [スケジュール別] を選択して、SIEM システム監査ログの生成方法を設定します。「スケジュール別」を選択した場合は、「日」を選択し、「時刻」を「00:00 am」または「pm」の形式で入力して、アラートを生成する曜日と時刻を設定します。

システムプロファイルの設定

[ Config>System Profiles ] ページを使用して、Central Manager Web UI パスワードのリセット、ユーザの設定、表示設定の変更、およびシステム機能と変数の設定を行います。

Central Manager パスワードのリセット
ロールベースのアクセス制御の設定
MSSP マルチテナントゾーンの設定
ユーザーアカウントの設定
SAML 設定の構成
RADIUS サーバーの設定
システム設定の構成
証明書の管理
表示設定の構成
送信メールの設定
メール通知設定のテスト
GSS 設定の構成
Web コレクターの構成
E メール・コレクターの構成
Mac OSX または Windows SecondaryCores の設定
ゴールデンイメージ VM の構成
Juniper ATP Applianceのライセンスキーの設定
バックアップおよび復元オプションの構成
マルウェア検出機能のテスト

Central Manager パスワードのリセット
管理者パスワードのリカバリー
ロールベースのアクセス制御の設定
デフォルトロール
リモート認証とロール

Central Manager パスワードのリセット

[パスワードのリセット] 設定ウィンドウを使用して、Juniper ATP Appliance Central Manager Web UI へのアクセスに使用する管理者パスワードをリセットします。

図 3: パスワードリセット構成 Password Reset Configuration

Central Manager のパスワードをリセットするには、次の手順を実行します。

[Config>System Profiles>Password Reset]ページに移動します。
「古いパスワード」フィールドに現在のパスワードを入力します。
「新しいパスワード」フィールドに新しいパスワードを入力し、「パスワードの再入力」フィールドにそのパスワードを再入力します。
「送信」をクリックします

管理者パスワードのリカバリー

管理者パスワードをリカバリーするには、アプライアンスに物理的にアクセスできる必要があります。パスワードリカバリーコマンドをリモートで実行することはできません。「recovery」という名前のユーザーは、パスワードなしでログインでき、限られた量のコマンドを入力できます。

管理者パスワードを回復するには、次の操作を行います。

ログインを求められたら、アプライアンスで直接ユーザー名 recovery を入力します。
パスワードをリセットする reset-admin-password を入力します。

回復ユーザーが使用できるその他のコマンドは、 exit、 help、および history のみです。

Web UI の [レポート(Reports )] で、監査ログに UI ユーザを表示するだけでなく、監査ログに Admin および Recovery-admin CLI ユーザも表示できるようになりました。

ロールベースのアクセス制御の設定

Juniper ATP Applianceでは、企業がJuniper ATP Appliance製品のユーザーを、業務遂行に必要なデータに固有のロールと権限に制限するオプションを提供しています。さらに、リモート認証とRADIUS/SAML構成は、Juniper ATP Applianceのロールベースのアクセス制御(RBAC)オプションをサポートします。

役割の設定では、システム内のすべての新規ユーザーを役割に関連付ける必要があり、Juniper ATP Appliance製品のさまざまな機能へのアクセスは、定義されたユーザー権限によって制御されます。いくつかのデフォルトロールを使用できますが、必要に応じてさらに多くのロールを作成できます。既存のユーザーは、新しい RBAC システムに自動的に移行されます。

役割の設定後、ユーザーがJuniper ATP Appliance製品に正常にログインすると、機能へのユーザーアクセスは、(ユーザー設定時にユーザーに関連付けられたロールを介して)そのユーザーに割り当てられたマッピングされた権限に従って制御されます。

手記：

RBACでは、リモートユーザー認証(RADIUS/SAML)もサポートされています。Juniper ATP Applianceでは、常に1種類のリモート認証(RADIUSまたはSAML)のみがサポートされます。

確立されたユーザーの新しいロールを設定するには、次の手順を実行します。

[Config>System Profiles>Roles] ページに移動します。

手記：
[Config>System Profiles>Users] ページに移動して、新しいユーザーを作成してから、そのユーザーのアクセスロールを定義します。

図 4: ユーザーロールベースのアクセス制御を構成するための [ロール(Roles)] ページ
「新規ロールの追加」をクリックして、新しいロールを定義します。
[Add New Roles] ウィンドウで、「Role」名を入力します。

手記：
デフォルトロールには、「デフォルト管理者ロール」と「デフォルト非管理者ロール」の 2 つがあります
リモートグループ名を入力します(オプション)。

手記：
リモートグループ名は、SAMLまたはRADIUS設定によるリモート認証用に定義された名前に固有です。
「はい」または「いいえ」をクリックして、新しいロールに管理者ステータスを割り当てます。

手記：
管理者ステータスが「いいえ」の場合、「権限」オプションが表示されます。管理者にはデフォルトですべての権限が割り当てられているため、管理者ステータスが「はい」に設定されている場合、このリストは表示されません。
管理者ステータスが「いいえ」の場合は、新しいロールに割り当てる権限のセットをクリックして選択します。
[追加] をクリックして、ロールの構成を完了します。新しいロールが [Current Roles Configured] テーブルに追加されます。

手記：
に移動して、設定されたロールをユーザーアカウントに追加します。
「削除」(Delete) ボタンをクリックして、「現在のロール設定」(Current Roles Configured) テーブルからロール設定を削除します。

手記：
ユーザーがアクティブにマップされているロールは削除できません。
「編集」ボタンをクリックして、設定を変更します。

デフォルトロール

ローカルおよびリモートで認証されたJuniper ATP Applianceユーザーは、以下のデフォルトロールを利用できます。

表 7: 既定のロール
デフォルトの非管理者ロール	すべての機能へのアクセス
デフォルトの非管理者ロール	ダッシュボードとインシデントへのアクセスファイルをアップロードするためのアクセス緩和策へのアクセス

リモート認証とロール

Juniper ATP Applianceのリモート認証機能は、ロールベースのアクセス制御(RBAC)をサポートします。

リモート認証のSAML 構成を有効にするには、を参照してください。リモートグループ名は、Juniper ATP Applianceシステム用に設定した有効なロールにマッピングする必要があります。
リモート認証とRBAC用にRADIUSを設定するには、を参照してください。

手記：
Juniper ATP Applianceでは、一度に1種類のリモート認証(SAMLまたはRADIUS)のみ使用できます。リモートグループ名は、Juniper ATP Applianceに設定した有効なロールにマッピングする必要があることも覚えておいてください。リモートグループ名は、SAMLまたはRADIUS設定によるリモート認証用に定義された名前に固有です。
「Active Directory の構成」も参照してください。

MSSP マルチテナントゾーンの設定

[ゾーン(Zones)] 設定ページを使用して、MSSP(マネージドセキュリティサービスプロバイダ)サポート用のマルチテナント Web コレクタゾーンを設定します。

手記：

Juniper SRXシリーズファイアウォールをゾーンに追加することもできます。手順については、『ATPアプライアンスとSRXシリーズデバイス統合ガイド』を参照してください。 JATPゾーンへのSRXシリーズデバイスの追加を参照してください。

この機能は、テナントサイトでトラフィックコレクターを展開するためのゾーンを設定します。すべてのテナントコレクターは、MSSPマルチテナントサイトでホストされているJuniper ATP Applianceコアクラスターに接続されています。インシデントのすべての管理は MSSP によって実行されます。テナントはコアクラスタにアクセスできません。

構成されたゾーンは、テナントごとにインシデントとイベントを識別します。MSSPは、テナントごとにゾーンを定義し、テナントに関連付けられているすべてのコレクタをテナント固有のゾーンにグループ化します。Juniper ATP Applianceのイベント相関ステージは、送信元ゾーンごとにすべてのイベントを追跡し、同じゾーン内のイベントを関連付けます。このように、マルチテナントMSSPは、ゾーン/テナントごとにインシデントを管理し、中央マネージャーのJuniper ATP Appliance Manager(MCM)を使用して、すべてのゾーン化されたJuniper ATP Appliance Central Managerをテナントごとに制御します。

MSSPテナント固有のゾーンを設定するには、次の手順に従います。

MSSPごとにテナントを設定し、ゾーンを割り当てます。
Juniper ATP Appliance Central Manager Web UI の [Config>System Profiles>Zones] ページで、MSSP ゾーンに名前を付けて説明します。
Juniper ATP Appliance Central Manager Web UIの[Config>System Profiles>Web Collectors]ページで、定義済みのゾーンにCollectorsを割り当てます。
Juniper ATP Appliance Central Manager Web UIインシデントページからゾーンデータを表示します。
Juniper ATP ApplianceのWeb UI運用ダッシュボードとリサーチダッシュボードには、ゾーンのデータと分析が表示されます。
Juniper ATP ApplianceのWeb UIレポートタブから、ゾーン分析を含むレポートを生成します。

確立されたMSSPテナントのゾーンを設定するには、次の手順を実行します。

[Config>System Profiles] メニューの [Zones] をクリックして、[Zones] 設定ページを開きます。

図 5: [Zones Configuration] ページ
「ゾーン名」と「説明」を入力し、「追加」をクリックします。
「編集」ボタンをクリックして、設定を変更します。
Juniper ATP Appliance Central Manager Web UIの[Config]>[System Profiles]>Web [Collectors]ページに移動して、定義済みのゾーンにCollectorを割り当てます。

手記：
ゾーンを削除するには、削除するゾーンの「現在のゾーン」(Current Zones) テーブル行で「削除」(Delete) オプションをクリックします。

ユーザーアカウントの設定
新しいユーザー設定の追加
ユーザーアカウントの更新とAPI認証キーの設定
SAML 設定の構成
SAML認証を使用したJuniper ATP Applianceへのログイン
PingFederate サーバーの SAML の設定

ユーザーアカウントの設定

Juniper ATP Applianceアクセス用のユーザーアカウントを作成するには、Config>Usersページを開きます。各アカウントに割り当てられたロールによって、ユーザーがアプライアンスを管理できるか、単にデバッグタスクを実行できるかが決まります。

手記：

Juniper ATP Applianceの設定を表示してアクセスするには、管理者ロールでログインする必要があります。

次のデフォルトロールが定義されています。

Default Administrator—すべての監視機能と管理機能へのフルアクセスを許可します。定義済みの管理者アカウントには、このロールがあります。
Debugging- デバッグ機能へのアクセスのみを許可します。デバッグロールを持つユーザーは、CLI または [設定(Config)] オプションを表示またはアクセスできません。デバッグロールを持つユーザーはシステムに含まれますが、既定では無効になっています。
Default Non-Administrator:[Config>System Profiles>Roles] 設定ページで定義された選択可能な権限のセットを使用して、次のすべてまたは一部へのユーザアクセスを許可します。
- Juniper ATP ApplianceのWeb UIダッシュボードへのアクセスとインシデント
- マルウェア分析へのアクセスファイルのアップロード
- 緩和オプションへのアクセス

Juniper ATP Appliance Users 設定ウィンドウを使用して、Juniper ATP Appliance とソフトウェア管理者およびユーザーの設定とステータスを追加、識別、編集、再構成、および/または表示します。

手記：

Juniper ATP Appliance Usersテーブルでユーザー名をクリックすると、既存のユーザー情報を表示、編集、削除できます。

新しいユーザー設定の追加

ユーザーアカウントを追加するには、次の手順に従います。

[Config>System Profiles me nu] の下の [Users] をクリックして、[Users] ページを開きます。

図 6:新しいユーザーアカウントの設定と、設定済みまたはデフォルトのロールの割り当て
[Add New User] ボタンをクリックして、新しいユーザーを設定します。

新しいJuniper ATP Applianceユーザーを設定するには、[下記参照]フィールドに設定を入力し、適用するには[新規ユーザーの追加]、または設定を終了するにはキャンセルをクリックします。

表 8: 新しいユーザー設定の追加
ユーザー名	新しいユーザーの簡単な名前。たとえば、admin です。
[SAML 構成] [RADIUS 構成] を使用して認証する	このユーザにSAMLまたはRADIUS認証を使用する場合は、そのようなリモート認証が設定され、使用可能な場合のみにチェックを入れます。このオプションをオンにすると、このダイアログにパスワードを入力する必要がなくなります。ユーザー認証は、ログイン画面の「<IdP名>を使用して認証する」オプションを介して行われます。リモート認証の設定情報については、『 SAML の設定』または『 RADIUS サーバーの設定』を参照してください。
フルネーム	新しいユーザーを識別するためのよりわかりやすい名前。たとえば、CentralManagerAdmin_NYCです。
役割	「ロール」ドロップダウンメニューから、設定済みまたはデフォルトのロールを選択します。デフォルトのロールには、「デフォルトの管理者」または「デフォルトの非管理者」が含まれます。デフォルトロールに割り当てられる権限の説明については、デフォルトロールを参照してください。デバッグを有効にして、このユーザーのロールを修飾します。
新しいパスワード	このユーザの Central Manager(CM)Web UI アクセスパスワードを入力します。 CM Web UIは、最大32文字、および少なくとも8文字のパスワードをサポートします。パスワードには、文字(大文字/小文字)、数字、特殊文字を使用できますが、二重引用符(")、スペース、バックスラッシュ文字(\)は例外です。
パスワードを再入力	このユーザーの新しいパスワードの再入力

「削除」ボタンをクリックして、ユーザー構成を削除します。

ユーザーアカウントの更新とAPI認証キーの設定

ユーザアカウントを変更するには、[Config>System Profiles>Users] ページリストで既存のアカウントをクリックします。[ユーザー] ページャーテーブルの各ユーザー名は、そのユーザーアカウントの詳細へのリンクです。ユーザー名のリンクをクリックすると、[ユーザーの更新] ウィンドウが表示されます。

「ユーザーの更新」ページでは、ユーザーの名前、パスワード、ロールを編集したり、そのユーザーのAPIキー(API認証キー)を作成または再作成したりできます。

新しいAPIキーを生成して、Juniper ATP Appliance REST APIへの承認されたプログラムによるアクセスを提供します。そのユーザー用に構成された認証キーは、そのユーザーによってAPIリクエストが行われるたびに適用されます。

手記：

この API キー設定により、API セッションログインの要件が削除されることに注意してください。

ユーザー設定を編集し、特定のユーザーの API キーを生成するには、この 2 段階の手順を使用します。

[Config>System Profiles>Users] ページで、既存のユーザアカウントをクリックします。
このユーザーにSAMLまたはRADIUS認証を使用する場合、[[SAML ID] [RADIUS]を使用して認証する」が設定されていれば、クリックしてオンにします。

このオプションをオンにすると、このダイアログでパスワードを定義する必要がなくなります。ユーザー認証は、ログイン画面の「<IdP名>を使用して認証する」オプションを介して行われます。リモート認証とRBACの設定については、『 SAMLの設定』または『 RADIUSサーバーの設定』を参照してください。
[ユーザーの更新]ウィンドウで、ユーザーの役割またはパスワードに必要な変更を加え、[新しいAPIキーの生成]オプションをクリックしてオンにします。新しいAPIキーは、次にこの[ユーザーの更新]ウィンドウを開いたときに表示されます。

[ユーザーのAPIキーを無効にするには、[APIキーを無効にする]オプションをクリックします。
「ユーザーの更新」ボタンをクリックします。
[User Update] ウィンドウをもう一度開き、新しい API キーを表示してコピーします。
Juniper ATP Appliance APIにアクセスし、以下の例に示すように、各API呼び出しの一部として認証キーを入力します。

例

詳細については、Juniper ATP Appliance HTTP API ガイドを必ず確認してください。

SAML 設定の構成

Juniper ATP Applianceは、ユーザーがユーザー名とパスワードでログインできる環境で、Webブラウザーのシングルサインオン(SSO)操作のためのSecurity Assertion Markup Language(SAML)認証をサポートします。

SAMLの詳細については、 https://en.wikipedia.org/wiki/SAML_2.0 を参照してください。

SAML 認証の一環として、ID アサーションをサービスプロバイダ(SP)に配信する前に、SSO ID プロバイダ(IdP)は、そのプリンシパルを認証するためにユーザ(プリンシパル)にユーザ(プリンシパル)にユーザ名やパスワードなどの情報を要求します。SAML 構成は、やり取りする当事者間のアサーションを指定します。

SAML では、1 つの ID プロバイダーのが複数のサービスプロバイダに SAML アサーションを提供できます。同様に、1 つの SP は、多数の独立した SSO ID プロバイダー (IdP) からのアサーションに依存し、信頼する場合があります。LDAP、RADIUS、または Active Directory を使用すると、ユーザーはユーザー名とパスワードを使用してログインできます。これらは、ID プロバイダーの認証トークンの一般的なソースとして機能します。

手記：

このセクションでは、SAML 構成について説明します。実装するには、各ユーザーの Juniper ATP Appliance Central Manager Web UI の [Config>System Profiles>Users] ページから [Authenticate Using MyIdP (MyIdP を使用して認証)] を選択します。詳細は、『新しいユーザー設定の追加』を参照してください。

Juniper ATP Appliance Central Manager Web UIでSAML設定を構成するには、SPとIdPの設定情報を入力します。

[Config>System Profiles>SAML Settings] ページに移動します。

[SP 設定] で、フィールドごとの定義を入力するか、リンクをクリックして [SP メタデータをダウンロード] をクリックします。

SP エンティティ ID	エンティティIDは、SAMLエンティティのグローバルに一意の名前です。IdP に登録されているアプライアンスエンティティ ID の名前。通常、SP エンティティ ID は絶対 URL ですが、場所ではなく名前です (実際の Web 場所に解決する必要はありません)。手記： URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があり、URL にポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。例: https://sp_name。JATPappliance.net/sp>
メタデータファイルのダウンロード	IdP にアップロードされる SP の XML(Juniper ATP Appliance)のダウンロード元のリンク。
ユーザー名属性	Juniper ATP Applianceのユーザー名を含むSAMLアサーション内の属性。デフォルトでは、Juniper ATP Applianceは、SAML 応答のNameIDフィールドが未定義のままの場合、このフィールドを使用します。
グループ属性	グループ名を含むSAMLアサーション内の属性。
管理者ユーザーグループ	管理者権限を受け取るグループ(属性で指定)。例: jatp_admin
認証要求に署名する	Juniper ATP ApplianceがSAML認証リクエストに署名するかどうかを確認します。
IdP にメッセージに署名させたい	IdP がメッセージに署名するかどうかを確認します。

次に、IdP 設定を定義します。

IdP エンティティ ID

IdP のグローバルに一意の名前 (SP エンティティ ID と同じ一般的な命名基準)

例: https://webauthentication.JATP.net/idp

ログイン URL

SSO URL (このフィールドは、SP が SSO を開始できるようにするために必要です)。

IdP証明書

IdP証明書の詳細。

上のスクリーンショットの例を参照してください。

手記：

SAML 認証されたユーザーが [ログアウト] リンクを使用して Juniper ATP アプライアンスからログアウトすると、Juniper ATP アプライアンスからサインアウトされますが、IdP からはサインアウトされません。

Juniper ATP Applianceユーザーと認証方法には、3つのタイプがあります。

ローカルパスワードを持つローカルユーザー

ユーザーは、Juniper ATP Appliance Web UIログイン画面で、ユーザー名とパスワードを使用してログインします。

レポート構成やその他の設定などのユーザー固有のデータは、このユーザータイプに対してローカルに保存されます。

SAMLを使用して認証されたローカルユーザー

ユーザーは、Juniper ATP Appliance(Config>System Profiles>Users)で手動で作成されますが、SAMLを介して認証されます。つまり、パスワードはJuniper ATP Applianceに保存されません。SAMLアサーションは、ユーザーに「admin」権限を付与するかどうかを制御します。ユーザー権限はローカルまたはSAML経由で設定することができ、両方が設定されている場合はSAMLが優先されます。

レポート構成やその他の設定などのユーザー固有のデータは、このユーザータイプに対してローカルに保存されます。

このようなユーザーは、Juniper ATP Applianceのユーザー固有の機能(APIキー、レポート、UIのカスタマイズ)を使用することもできます。

SAMLを使用して認証された非ローカルユーザー

これらのユーザーアカウントは IdP にのみ存在し、Juniper ATP Appliance 上には存在しません。そのため、このようなユーザーは Juniper ATP Appliance のユーザー固有の機能にアクセスできません。このユーザータイプのデータはローカルに保存されません。ユーザーロール(RBAC)は、SAMLアサーションに存在する情報から決定されます。

SAML認証を使用したJuniper ATP Applianceへのログイン

SAML SPとIdPの詳細をConfig>System Profiles>SAML Settingsページで設定した後、SAML認証にチェックマークが付いているユーザ(Config>System Profiles>Usersページから)がJuniper ATP Applianceにアクセスしようとすると、IdPのログインページに自動的にリダイレクトされます。ローカルログインを実行するには、パラメータ「local_login」がIdP URLに存在することを確認します。次に例を示します。 https://10.2.20.100/admin/?local_login

手記：

監査ログには、ユーザー名と SAML user-id が含まれます。さらに、Juniper ATP Applianceは、ユーザーがSAML設定を変更すると、監査メッセージをログに記録します。

PingFederate サーバーの SAML の設定

一部の企業では、AD 認証に PingFederate(PF)サーバーを使用して SML を構成します。管理者は、Juniper ATP Applianceデバイスへの決定論的なアクセスを許可するJuniper ATP Applianceの拡張RBACに加えて、アクセス動作を制御するための優先順位ベースの認証を設定することができます。初期展開では、前のセクションで説明した SAML 構成に加えて、いくつかの追加設定を構成する必要があります。

管理者は、Juniper ATP Appliance Central Manager の [Config>System Profiles>Users>Add New User] ウィンドウで、管理者以外のロールユーザーの認証制御を追加する必要があります。この制御では、SAML アサーションにグループ名を使用します (これにより、優先順位固有の問題が取り除かれます)。

[次を使用して承認] が有効な場合、Juniper ATP Appliance は設定されたロールのリモートグループを使用します。RadiusまたはSAML 応答にロールが設定されていない場合、認証は失敗します。

[次を使用して承認する] が無効 (オフ) の場合、選択したロールが適用されます。
Central Manager の [Config>System Profiles>SAML Settings>SP Settings] ウィンドウに移動して、ローカルに設定されたユーザだけに許可を許可します。「ローカルで設定されたユーザーのみを承認する」にチェックを入れます。

「ローカルで設定されたユーザーのみを承認する」を選択すると、ローカルユーザーが存在する場合にのみ承認が許可されます。

「ローカルに設定されたユーザーのみを承認する」が選択され、ユーザーが存在する場合、ユーザーアカウントウィンドウの認証チェックボックスが権限の承認に使用されます。

手記：
SP設定の「ローカルで設定されたユーザーのみを承認する」のデフォルト値がオフ(または無効)になっています。「Authorize using SAML/Radius」のデフォルト値はTrue(オン)です。

「ローカルで設定されたユーザーのみを承認する」のオプション

Simple Local User(RadiusおよびSAMLが設定されていない)の場合、「Authorize only locally configured users」は関係ありません。Juniper ATP Applianceデバイスへのアクセスは、一致する役割名ごとに付与されます。ロールに「リモートグループ」が設定されていても、無視されます。
SAMLまたはRadiusへの認証をオンにして設定されたJuniper ATP Applianceに存在するユーザーに対しては、SAML SP設定の[Authorize only locally configured users]オプションを設定する必要があります。
リモート認証と承認では、「ローカルで設定されたユーザーのみを承認する」が選択されていない場合、タイプ 3 のユーザーが許可されます。SAMLグループアサーションが設定されたロールの1つのリモートグループ設定と一致する場合、タイプ3ユーザーの認証の成功に基づいて一時ユーザーが作成されます。
[Config>System Profiles>SAML Settings>RADIUS Server Settings] ウィンドウに移動し、これらの設定済みユーザーに対して [Authorize only locally configured users] を選択します。

RADIUS サーバーの設定

Juniper ATP Appliance Releaseは、お客様のネットワークでRADIUSプロトコルを使用したActive Directory(AD)サーバーへのリモート認証をサポートします。この機能は、Juniper ATP Appliance製品とActive Directory RADIUS設定を、お客様企業のプライマリおよびセカンダリサーバー上で統合するものです。このように、Juniper ATP Appliance製品と、お客様のネットワーク内の既存のActive Directoryサーバー上のRADIUS機能を統合することで、ネットワークアクセス用とJuniper ATP Applianceアクセス用の2つのアクセスデータベースを維持する必要がなくなり、ネットワークのセキュリティと利用方法が簡素化されます。

手記：

RBAC では、RADIUS または SAML によるリモートユーザー認証がサポートされています。ただし、Juniper ATP Applianceでサポートされているリモート認証(RADIUSまたはSAML)は、常に1種類のみです。新しい AD ドメインコントローラーの設定については、「 Active Directory の構成」を参照してください。また、Juniper ATP Applianceのメールフィッシング相関には、Active Directoryの設定が必要であることにも注意してください。

RADIUSサポートを実装するには、Juniper ATP ApplianceシステムでRADIUSサーバー設定を行うだけでなく、RADIUSサーバーをActive Directoryで構成する必要があります。この実装では、RADIUSクライアント(Juniper ATP Appliance)とRADIUSサーバーの間にNASがないことを前提としています。Active Directory 認証は、Radius プロトコル (RFC 2865) を使用して実現されます。

RADIUS サーバー構成の場合:

Juniper ATP Appliance の IP を、許可された RADIUS クライアントのリストに追加します。
RADIUS サーバーで RADIUS シークレットを構成します。
フィルタ ID を設定するか、RADIUS サーバポリシーで RADIUS 属性を選択します。
RADIUSサーバーでPAPおよびMS-CHAP認証方式を有効にします。

手記：

Juniper ATP ApplianceのRADIUS統合は、Windows Server 2008および2012で利用でき、PAPおよびMS-CHAP認証方法を使用するプライマリおよびセカンダリRADIUSサーバーをサポートします。RADIUSが設定されている場合、ローカルログインに別のリンクを使用できます。 https://<JATPDeviceIP>/admin/ ?local_login

RADIUS グループについて
ローカル/リモートユーザー認証とRBAC
Juniper ATP ApplianceでのRADIUS設定の構成

RADIUS グループについて

RADIUS構成では、認証と許可が結合されています。Active Directoryのユーザー名が見つかり、パスワードが正しい場合、RADIUSサーバーは、セッションに使用するパラメーターを記述した属性と値のペアのリストを含むAccess-Accept応答を返します。ADで指定されたグループ名はAccess-Accept応答属性の一部として含まれていないため、Juniper ATP ApplianceはデフォルトでFilter-Id属性を使用しますが、属性の選択は設定可能です。この属性は、RADIUSサーバー上で、Active Directoryで構成されたユーザーのグループ名として文字列値を設定する必要があります。たとえば、複数のユーザーに同じFilter-Id値文字列(できればADのグループ名と一致する)を送信するようにRADIUSを設定できます。

ローカル/リモートユーザー認証とRBAC

RADIUSを介して認証されたローカルユーザーの場合、認証されたユーザーのADグループ名がユーザーロールと照合され、権限が適用されます。このようなユーザーは、許可された一連のJuniper ATP Appliance機能を使用できます(Juniper ATP Appliance Central Manager Web UI Config>System Profiles>Rolesページで設定)。

Juniper ATP Applianceで設定されていないが、RADIUSで認証されたユーザーの場合、Juniper ATP ApplianceはSAML設定(タイプ3ユーザー)と同様の非表示ユーザー仕様に対応します。このユーザーは、Juniper ATP Appliance製品の管理者レベルの機能にはアクセスできません。ユーザーロールは、Filter-Id値で受け取ったグループ名に基づいて決定されます。

手記：

各ユーザーロールは、RADIUS サーバー上で設定されたとおりに、RBAC の構成済みグループ名にマッピングされます(グループ名は、構成済みの Filter-Id 属性の値として返されます)。

たとえば、RADIUS サーバー上のフィルター ID を Juniper ATP アプライアンス管理者ロールの TestGroup1 として設定し、Juniper ATP アプライアンスの非管理者ロールの TestGroup2 としてフィルター ID を設定した場合、Juniper ATP アプライアンス側の管理者ロールのリモートグループ名は AccessGroup1 になり、Juniper ATP アプライアンス側の非管理者ロールのグループ名は AccessGroup2 になります。RBAC の詳細については、『、、およびも参照してください。

Windows Server 2012 ネットワークポリシーサーバー統合の構成例の例を以下に示します。

次に、フィルター ID を構成し、PAP と MS-CHAP の認証方法を有効にします。

必要に応じて、セカンダリRADIUSサーバーを設定します。フェイルオーバーを目的としたセカンダリサーバー構成はオプションです。

手記：

セカンダリRADIUSサーバへのフェイルオーバーは、プライマリサーバからの応答がない場合、共有秘密鍵がプライマリサーバで設定された秘密鍵と一致しない場合、またはプライマリRADIUSサーバからのRADIUS応答に無効なRADIUSグループ属性が含まれている場合に発生します。

Juniper ATP ApplianceでのRADIUS設定の構成

Juniper ATP Appliance 構成では、次のように設定します。

ホスト名/IP:ポート
RADIUSシークレット
ユーザーグループ属性
タイムアウト値

手記：
「set_radius_config」APIを使用したJuniper ATP Appliance側のRADIUS設定の設定については、『Juniper ATP Appliance HTTP API Guide』を参照してください。

Juniper ATP Appliance Central Manager Web UIからRADIUSサーバー設定を構成するには、以下の手順を使用します。

Central Manager の [Config>System Profiles> RADIUS Settings] ページに移動します。

図7:Juniper ATP Appliance Central Managerの[RADIUS Server Settings]ページ
RADIUS認証を有効にするには、[RADIUS認証を有効にする]チェックボックスをクリックします。チェックボックスをオフにして、RADIUS設定を無効にします。
ドロップダウンから、サーバに設定されているRADIUS認証方法(PAPまたはMS-CHAP)を選択します。デフォルトの方式は PAP です。
ユーザーグループ属性を入力します。Filter-Idは、サーバー側で別の属性が設定されていない限り、デフォルトです。(フィルター ID をグループ名にマッピングする方法については、を参照してください)。

手記：
ユーザーグループ属性は、Juniper ATP ApplianceのConfig>System Profiles>Rolesページを使用して、RBAC用にJuniper ATPアプライアンス側で設定されたリモートグループ名にマッピングされます。リモートグループ名では、大文字と小文字が区別されます。
待機タイムアウトを入力します。デフォルトは3秒です。タイムアウトは 1 秒から 30 秒まで設定できます。

手記：
AD/RADIUS ユーザーによるログイン試行はデフォルトで 3 回許可されています。試行の間隔は、上記の手順で示したように構成できます。タイムアウト値が30秒という高い値に設定されていて、RADIUSサーバーに到達できないと、Juniper ATP Applianceからの応答を待っている間に、ユーザーのブラウザーにタイムアウトメッセージが表示されることがあります。
プライマリサーバー設定を入力します。
- [RADIUS Server Host] フィールドに、プライマリ RADIUS サーバーのホスト名または IP アドレスを入力します。
- RADIUSポートを入力します。既定値は 1812 です。これは、RADIUSアクセス要求の送信に使用されるUDPポートです。
- サーバー側で設定されたRADIUSシークレットを入力します。
(オプション)構成済みのセカンダリサーバー設定を入力します。
- [RADIUS Server Host] フィールドにセカンダリ RADIUS サーバーのホスト名または IP アドレスを入力します。
- RADIUSポートを入力します。既定値は 1812 です。繰り返しになりますが、これはRADIUSアクセス要求の送信に使用されるUDPポートです。
- サーバー側で設定されたRADIUSシークレットを入力します。
- RADIUSログインが設定されている場合、ローカルログインの動作は変更されませんが、ローカルログインの実行には別のURLが使用されます。
  
  https://<JATPDeviceIP>/admin/?local_login

システム設定の構成

システム設定設定ウィンドウを使用して、Juniper ATP Applianceの導入およびソフトウェアの表示と電子メールの設定を構成および/または変更します。

システム設定の構成
表示設定の構成
送信メールの設定
メール通知設定のテスト

[Config>System Profiles>System Settings] ページに移動して、さまざまなセットアップアクションを設定および実行し(後述)、[Submit] をクリックして設定を保存します。

手記：

[>System Profiles] > [System Settings] ページには、ベースラインシステム設定の設定オプション、および [表示設定(Display Settings)]、[自動緩和設定(Auto-Mitigation Settings)]、[発信メール設定(Outgoing )]、および [送信メール設定のテスト(Testing Outgoing Mail Settings)] がすべて同じ設定ページに表示されます。[システム設定] ページをスクロールして、すべてのオプションセットを表示します。

図8:システム設定 |表示設定 |[送信メールの設定]ページの System Settings | Display Settings | Outgoing Mail Settings Page

システム設定の構成
IVP MSIおよび自己解凍型ZIPオプションについて
自己解凍型 Zip ファイル IVP プロセス
管理ネットワークのプロキシ設定の構成
ローカルトラフィックのプロキシ設定なしを構成する
自動ミティゲーションの設定
表示設定の構成
送信メールの設定
メール通知設定のテスト

システム設定の構成

システム設定を構成するには、次の手順を実行します。

[Config>System Profiles] > [System Settings] ページに移動します。
ページ上部の [システム設定(System Settings)] 領域で、表示されたフィールドに設定を入力し(各オプションについては以下で説明します)、[送信(Submit)] をクリックして設定を保存します。

表 9:システム設定オプション
ホスト名	Juniper ATP Applianceまたはソフトウェアの名前を入力します。
サーバー完全修飾ドメイン名	導入した Juniper ATP Appliance の完全修飾ドメイン名を入力します。
IVP フォーマット	環境に合わせて感染検証パッケージ (IVP) 形式を構成します: .ivp 形式の MSI インストーラーまたは.exe形式の自己解凍 Zip ファイル [これは、検出されたマルウェアのダウンロード (DL) 用にカスタマイズされたスクリプトで、MSI インストーラーがエンドポイントにインストールされた後、エンタープライズエンドポイントでの感染をテストします。 MSI インストーラーを今すぐダウンロードするには、[MSI のダウンロード] をクリックします。Download MSI は、Juniper ATP Appliance-ivpsetup をダウンロードします。MSI を .ivp ファイルを実行するエンドポイントに送信します。エンドポイントでJuniper ATP Appliance-ivp-setup.msiを一度実行すると、IVP ファイルを .ivp 形式で実行できるようになります。 Juniper ATP Appliance-ivpsetup を配布して実行できます。ネットワーク内のすべてのシステム上の MSI を使用して、.ivp ファイルをネイティブに実行できるようにします。または、IVPの形式を、すべてのWindowsマシンが変更せずに実行できる自己解凍型zipファイルに設定することもできます。手記：以下のセクションを必ず確認
ソフトウェアアップデートが有効	クリックすると、Juniper ATP Applianceソフトウェアの自動更新を有効または無効にできます。
コンテンツ更新の有効化	クリックすると、セキュリティコンテンツの自動更新を有効または無効にできます。
今すぐサービスを再起動する	[再起動]をクリックして、Juniper ATP Applianceサービスを再起動します。
アプライアンスを今すぐ再起動する	Reboot(再起動)をクリックして、Juniper ATP Appliance を再起動します。
イベントデータベースのクリア	クリアをクリックして、Juniper ATP Applianceまたはソフトウェアのみのイベントデータベースをクリアします。

手記：

「送信」ボタンをクリックして、設定を適用します。

IVP MSIおよび自己解凍型ZIPオプションについて

Juniper ATP ApplianceのInfection Verification Pack(IVP)は、企業内の任意のエンドポイントにダウンロードされたマルウェアが、そのエンドポイントで実行されたかどうかを検証します。Juniper ATP Applianceが検出するダウンロードごとに、エンドポイントデバイス上の侵害の痕跡(IOC)を検索するIVPを作成できます。エンドポイントで感染を確認することで、修復チームは侵害されたマシンとして特定および検証された特定のマシンに作業を集中させることができ、デスクトップの軽減策にかかる時間とコストを節約できます。

管理者は、このガイドの前のページで説明したように、Juniper ATP Appliance Central Manager Web UI の [Config] > [System Settings] > [System Settings] ページから IVP 設定を行います。設定オプションには、次のものがあります。

自己解凍型Zipファイル

IVP 自己解凍 zip ファイルは、IVP プログラム自体と、検出された侵害の痕跡を含む入力ファイルの 2 つのファイルを含む実行可能.exe形式です。
三井住友海上

IVP MSI は、Windows インストーラーパッケージファイル形式です。

自己解凍型 Zip ファイル IVP プロセス

IVP 自己解凍型 Zip .exe ファイルが実行されると、コマンドウィンドウにマルウェアがインストールされたかどうかに関する情報が表示され、ログファイルをローカルに保存するかどうか、およびどこに保存するかを確認するメッセージが表示されます。IVP の結果は、Juniper ATP Appliance Central Manager にも送信されます。

MSI ファイル IVP プロセス

IVP を MSI モードで使用するには、管理者はまず Juniper ATP Appliance-ivp-setup.msiをエンドポイントにダウンロードしてインストールする必要があります。Juniper ATP Appliance-ivp-setup.msi ファイルは、管理者が Juniper ATP Appliance Central Manager から [Config>System Setting] > [System Settings] の IVP 形式選択ボタンの横にある [Download MSI] ハイパーリンクを使用してダウンロードします。Juniper ATP Appliance-ivp-setup.msiをインストールすると、IVPプログラムはターゲットエンドシステムの「C:\Program Files\JATP\IVP\JATP-ivp.exe」にインストールされます。Juniper ATP Appliance Central Manager で IVP モードが MSI に設定されている場合、IVP の生成時に IOC を含むテキストファイルがダウンロードされます。

ファイルの形式は *.ivp です。 JATP-ivp-setup.msi が正しくインストールされている場合、.ivp ファイルを実行するとjuniprtatp-ivp.exeが起動し、マルウェア分析中に検出され、ダウンロードした .ivp ファイルがエンドシステムで実行されている IOC の検索が開始されます。デフォルトでは、コマンドプロンプトに結果が表示され、エンドポイントで感染が発生したかどうかが確認されます。ユーザーは、コマンドプロンプトウィンドウを終了するには、いずれかのキーを押す必要があります。MSIモードのログファイルは「C:\Program Files\JATP\IVP」に保存され、Juniper ATP Appliance Central Managerに感染結果が通知されます。

手記：

ユーザーの操作を必要とせずにエンドポイントで IOC を検索するには、必ず MSI モードで IVP を実行してください。Juniper ATP Appliance IVP プログラムがインストールされていることを確認し、IVP ファイルをダウンロードしてから、「C:\Program Files\JATP\IVP\JATP-ivp.exe -i <ivp-input.ivp>」の構文を使用して IVP を実行します。

...ここで、<ivp-input.ivp>は、Juniper ATP Appliance Central Managerからダウンロードされた.ivpです。IVP の引数を以下に示します。

管理ネットワークのプロキシ設定の構成

お客様の多くは、いまだにプロキシとゲートウェイを利用して、エンドポイントに初歩的なセキュリティを提供しています。このような環境では、CM/コア管理ネットワークは、プロキシされていない環境と同様に機能し、外部サービスと通信できる必要があります。この通信には、GSS のアップロードとダウンロード、ソフトウェア、セキュリティー・コンテンツ、シグニチャーの更新、およびその他すべての必要な通信が含まれます。HTTPおよび/またはHTTPSプロキシ環境に導入されたJuniper ATP Applianceコアが、Juniper ATP Appliance GSSやその他のインターネットサービスと機能および通信するように設定します。

[システム設定]設定ウィンドウの[プロキシ設定]領域を使用して、Juniper ATP Appliance導入のプロキシ統合と詳細設定を定義および構成します。

手記：

Central Manager Web UI からのこのプロキシ設定は、コアまたはオールインワン設定にのみ適用されます。Web Collector を介した SPAN トラフィック監視用のプロキシを設定するには、コレクターモードの Collector CLI からプロキシの内部 IP アドレス/外部 IP アドレスの設定を設定する必要があります。例えば：

Juniper ATP Appliance Collector(コレクター)# set proxy inside add <ip address>

詳細については、Juniper ATP Appliance CLIコマンドリファレンスを参照してください。

プロキシの種類として [プロキシなし] または [手動プロキシ] を選択します。

プロキシ構成により、Juniper ATP Applianceと統合して、悪用、ダウンロード、感染など、キルチェーン内のすべてのリンクを検知できます。
プロキシの種類として [手動プロキシ] を選択すると、[プロキシ設定] ページの表示領域フィールドが、次に示すように構成に合わせて変更されます。
[プロキシ FQDN/IP アドレス(Proxy FQDN / )] フィールドにプロキシ FQDN/IP アドレスを入力します。

管理ネットワークのプロキシ設定では、組み込みホスト名と URL を使用する必要があります。IP アドレスは常にプロキシサーバーを参照します
[プロキシポート(Proxy Port)] フィールドにプロキシポート番号を入力します。
[プロキシなし]フィールドに、プロキシが不要なすべてのIPアドレスを入力します。各アドレスはコンマで区切ります。
[Authentication Required] チェックボックスをクリックして、このプロキシに認証が必要かどうかを指定します。
認証が必要な場合は、[ユーザー名] と [ユーザー名] を入力します。
「送信」をクリックします。

手記：
Juniper ATP Appliance CLIサーバーモードからプロキシを設定する方法については、『Juniper ATP Appliance CLIコマンドリファレンス』を参照してください。プロキシー IP アドレスの設定を参照してください。

ローカルトラフィックのプロキシ設定なしを構成する

プロキシ内にあるローカルサーバーは、プロキシなしルールに追加する必要があります。プロキシなしルールは、プロキシなしルールに含まれる指定されたネットワークアドレスを対象とする発信接続がプロキシを経由しないことを保証します。

構成には、CM/コアアプライアンスまたはオールインワンアプライアンスのみのプロキシ設定が含まれます。接続されたコレクターとセカンダリコアのプロキシ設定は、Web コレクターとセカンダリコア向けの Juniper ATP Appliance Central Manager Web UI 設定ページに表示されます。

手記：

管理者は、プロキシポリシーがJuniper ATP Appliance GSSクラウドサーバーのIPアドレスを除外していないか、またはJuniper ATP Appliance GSSサーバー(アップデート、レポート、およびレピュテーションサーバーを含む)のIPアドレスが、既存のプロキシポリシーでブロックされているホスト名のカテゴリに含まれているかどうかを確認する必要があります。

自動ミティゲーションの設定

自動ミティゲーションにより、ユーザーは、Juniper ATP Applianceのミティゲーションインテリジェンスを、ユーザーの操作なしで企業の統合セキュリティインフラストラクチャに自動的にプッシュするか、または指定したアミティゲーションルールを統合デバイスに手動でプッシュするかを設定できます。

自動緩和が有効になっている場合、Juniper ATP Applianceの管理者は、新たに発見された脅威を軽減するためのアクションを実行する必要はありません。

図 9: [自動ミティゲーション設定] ページ Auto-mitigation Settings page

自動ミティゲーションを設定するには:

Central Manager Web UIの[Config>System Profiles> System Settings]ページに移動し、上に示すように[Auto Mitigation Settings]領域まで下にスクロールします。
クリックして [自動緩和を有効にする(Enable Auto-Mitigation)] を選択すると、設定済みのセキュリティデバイスに対する自動緩和ブロックが有効になります。ファイアウォールの自動緩和の設定も参照してください。

手記：
自動緩和が有効な場合、Juniper ATP ApplianceのAdvanced Threat Analytics(ATA)も有効になり、ATAの結果は、緩和策テーブルの脅威ソース列で(ローカルセキュリティコンテンツではなく)として緩和策タブに表示されます(つまり、脅威がJuniper ATP Appliance GSSではなくローカルで検出されたことを意味します)。

有効にされていない場合、自動ブロックは無効になり、Juniper ATP Appliance管理者が[緩和]タブから脅威を手動でプッシュしない限り、緩和ルールは統合ファイアウォールに送信されません。
[Mitigation Aggressiveness Level] を [Moderate] または [Aggressive] から選択します。

[アグレッシブ] は、[軽減策] タブで報告されたすべての脅威が自動的にプッシュされることを意味します。[中] は、[軽減策] タブに一覧表示されている重大度が [最大] と [高] の脅威のみが自動的にプッシュされることを意味します。
[最大IP アドレス脅威] に、ファイアウォールに送信する IP アドレスの最大数を入力します。指定しない場合、Juniper ATP Applianceはデバイスにプッシュされる脅威の数を制限しません。

この数値は脅威の信頼度に基づくものであり、リスクに基づくものではありません。信頼状態は、ルールの複合状態によって決定されます。
[最大 IP URL 脅威] に、ファイアウォールに送信する URL の最大数を入力します。指定しない場合は、無限の数が許可されます。
[緩和策] タブから脅威と自動ブロックの結果を表示します。

表示設定の構成

[システム設定(System Settings)] 設定ウィンドウの [表示設定(Display Settings)] 領域を使用して、Central Manager Web UI のログインおよび表示設定を設定または変更します。

図10:[表示設定] Display Settings

表示設定を構成するには:

[Config>System Profiles] ページに移動し、左側のパネルメニューから [System Settings] を選択し、下にスクロールして [System Settings] ページの [Display Settings] 設定領域を見つけます。
オプションの表示設定を入力または選択します [オプションについては以下で説明します]。
[送信(Submit)] をクリックして設定を適用します。

表 10: 表示設定オプション
最大脅威数	Central Manager の Web UI テーブルに表示する脅威の最大数を入力します(デフォルトは 500 です)。
デフォルトの表示期間	[先月] \|過去 3 か月間 \|去年
セッションタイムアウト	Web UI セッションタイムアウト値を入力します(デフォルトは 15 分、最小 Web UI タイムアウト設定は 2 分)。
アカウントロックアウトの監視	ユーザーが有効なログインで Juniper ATP Appliance Web UI にログインできない場合、アカウントロックアウト監視設定のデフォルトは 10 分前であり、再試行が許可されます。
アカウントロックアウトしきい値	Juniper ATP Applianceまたはサービスへのログインを試行できる回数[デフォルトは15回]。
アカウントのロックアウト期間	許可されていないユーザーが Juniper ATP Appliance Web UI からロックアウトされる時間を入力します。

送信メールの設定

[送信メール設定]設定ウィンドウを使用して、Juniper ATP Applianceまたはソフトウェア導入の送信メール通知設定を構成または修正します。

送信メールの設定を行うには:

[Config>System Profiles] ページに移動し、左側のパネルメニューから [System Settings] を選択し、下にスクロールして [System Settings] ページの [Outgoing Mail Settings] 設定領域を見つけます。

電子メール設定を入力または選択し[オプションについては後述]、[送信]をクリックして設定を適用します。

表 11: 送信メールの設定オプション
SMTP ホスト	エンタープライズメールホストのIPを入力します
SMTP ポート	SMTPポート番号を入力します(デフォルトは587)。
SSLを使用	既定で有効になっています。チェックを外すと、SSL の使用が無効になります。
SMTPログイン	アプライアンスまたはサービスの SMTP 電子メールログインを入力します。
SMTPパスワード	SMTPパスワード、ログインアカウントを入力します。
差出人アドレス	「差出人」フィールドのメールアドレスを入力します。デフォルトは mailto:noreply@JATP.net です。

メール通知設定のテスト

[設定>システムプロファイル(ConfigSystem Profiles)] > [システム設定(System Settings)] ページの下部にある [送信メール設定のテスト(Test Outgoing Mail Settings)] 領域で、現在の送信メール設定のテストを実行できます。

送信メールの設定をテストするには:

[Config>System Profiles>System Settings] ページに移動し、下にスクロールして [Test Outgoing Mail Settings] 領域を見つけます。
Juniper ATP Appliance からテスト E メールが送信されるメールアドレス(または一連の E メールアドレスをカンマで区切って)を入力します。
[テスト] ボタンをクリックして、メール通知の設定をテストします。構成設定に基づき、Juniper ATP Applianceから入力したメールアドレスにメールが送信されます。

手記：
このテストでは、電子メールアドレスが有効かどうかではなく、電子メールの送信機能を確認します。

証明書の管理

[Config>System Profiles>証明書管理ページを使用して、自己署名証明書または SSL(Secure Socket Layer)証明書署名要求(CSR)を作成するか、ユーザ提供の証明書をインポートしてインストールします。

新しい証明書を作成するときは、サーバーの共通名 (完全修飾ドメイン名 (FQDN)) が必要であることに注意してください。

手記：

Juniper ATP Applianceでは、ユーザーが署名証明書に基づいて許可リストに登録できるようにすることで、許可リスト機能を拡張できます。詳細については、「許可リストルールの設定」を参照してください。

自己署名証明書/CSRの作成
ユーザー提供の証明書のアップロードとインストール
証明書または PKCS#12 バンドルのダウンロード

自己署名証明書/CSRの作成

ユーザーは、次の 2 つのオプションを使用して証明書を作成できます。

新しい自己署名証明書を作成する
証明書署名要求(CRS)の作成

最初のオプション(新しい秘密鍵と自己署名証明書の作成)は、新しい秘密鍵を作成し、アプライアンスのホスト名が変更されるたびに現在行われているように、新しい自己署名証明書を生成します。

2番目のオプション(既存の秘密鍵を使用して証明書署名要求を作成する)では、ユーザーに証明書の詳細の入力を求め、その詳細と現在の秘密鍵を使用してCSRを生成し、ユーザーはそれをダウンロードして信頼できる認証局(CA)によって署名されるようにすることができます。

または、新しい秘密鍵を使用して証明書署名要求を作成することもできます - このオプションは、新しい秘密鍵が作成されるため、未処理の CSR を無効にします。これにより、以前の秘密キーが侵害された場合に、ユーザーは秘密キーを変更できます。ユーザが続行することを選択した場合、システムはユーザに証明書の詳細の入力を求め、その詳細と新しい秘密キーを使用して CSR を生成し、ユーザはそれをダウンロードして信頼できる CA によって署名されるようにすることができます。

自己署名証明書を作成するには、次の手順を実行します。

Juniper ATP Appliance Central Manager Web UI Config>System Profiles>証明書管理ページに移動します。
「自己署名証明書の作成」をクリックします。

[自己署名証明書の作成(Create Self Signed Certificate)] ウィンドウで、各フィールドプロンプトの詳細を入力します

手記：

一部のフィールドはオプションですが、証明書署名要求の作成時に指定されている場合は使用されます。

共通名(サーバーFQDN)	サーバーの完全修飾ドメイン名。
組織 (オプション)	証明書を作成する組織。
組織部門(省略可)	組織単位または部門、ネットワークなど
メールアドレス(任意)	証明書を作成する管理者の電子メールアドレス。
地域 (オプション)	企業の地域。
都道府県 (オプション)	証明書を使用するサーバーが配置されている都道府県。
国コード(オプション)	証明書を使用するサーバーが所在する国。
キーの長さ	2048 ビット鍵または 4096 ビット鍵のいずれかを選択します。通常、2048 ビットは、認証機関が使用するルート鍵ペアなどの非常に価値の高い鍵に使用されます。キーの長さが長いほどブルートフォースが難しくなりますが、キーの長さが長いほど、サーバーとクライアントにより多くの計算リソースが必要になることに注意してください。

自己署名証明書の詳細を入力したら、[Create]をクリックすると、証明書が作成され、実行コンフィギュレーションに適用されます。

証明書署名要求CSRを作成するには、次の手順を実行します。

Juniper ATP Appliance Central Manager Web UI Config>System Profiles>証明書管理ページに移動します。
[Create CSR] をクリックします。

[Create CSR] ウィンドウで、各フィールドプロンプトの詳細を入力します。

手記：

[新しい atp レルムの作成] オプションをクリックすると、以前に作成した CSR が無効になります。

共通名(サーバーFQDN)	サーバーの完全修飾ドメイン名。
組織 (オプション)	証明書を作成する組織。
組織部門(省略可)	組織単位または部門、ネットワークなど
メールアドレス(任意)	証明書を作成する管理者の電子メールアドレス。
地域 (オプション)	企業の地域。
都道府県 (オプション)	証明書を使用するサーバーが配置されている都道府県。
国コード(オプション)	証明書を使用するサーバーが所在する国。
新しい atp レルムの作成秘密キー	クリックすると、証明書署名要求の一部として新しい秘密キーが作成されます。このオプションをクリックすると、以前に作成されたCSRが無効になることに注意してください。既存の秘密キーを使用する場合は、このオプションを選択しないでください。

CSR ファイルをダウンロードし、信頼できる CA に送信します。信頼できる CA は、証明書ファイルと CA バンドルをユーザーに送信します。[Config> System Profiles > 証明書管理に移動し、[Upload and Install Certificate] をクリックして、証明書と CA バンドル PEM ファイルをアップロードします。

アプライアンスは、提供された証明書を検証してインストールします。

ユーザー提供の証明書のアップロードとインストール

信頼できる認証局 (CA) からユーザー提供の証明書をインストールするには、管理者が次のものを提供する必要があります。

秘密キー (オプション) - アップロード済み
クライアント証明書 - アップロード済み
CA バンドル (オプション) - アップロード済み

この情報は、次の 2 つの方法のいずれかで提供されます。

秘密鍵、クライアント証明書、およびCAバンドルを個別のPEMファイルとしてインポートします。PEM エンコーディングは、SSL などの暗号化システムで使用するために RSA 秘密キーを格納する秘密キー形式です。
コンテンツを復号化するためのオプションのパスフレーズを使用して、PKCS#12バンドルとしてデータをインポートします。PKCS#12 は、複数の暗号化オブジェクトを 1 つのファイルとして格納するためのアーカイブファイル形式です。これは、秘密鍵をその X.509 証明書にバンドルしたり、信頼チェーンのすべてのメンバーをバンドルしたりするために使用されます。

証明書の形式を選択します。PEMから始めましょう。[PEM] をクリックします。

「ファイルを選択」をクリックして、秘密鍵をアップロードします(この手順はオプションです)。
[ファイルの選択(Choose File)] をクリックして、証明書ファイルをアップロードします。
[ファイルの選択(Choose File)] をクリックして、CA バンドルファイルをアップロードします(この手順は任意です)。
[Upload and Install Certificate] をクリックします。

または、PKCS#12 形式を選択することもできます。

手記：

PKCS#12 形式では、管理者は現在の証明書のバックアップを作成し、そこから PKCS#12 インポートを使用して復元バックアップ操作を実行できます。そのため、Juniper ATP Appliance で作成された PKCS#12 ファイルのみをアップロードし、個別に作成された PKCS#12 ファイルはアップロードしないように注意してください。

希望する証明書形式として [PKCS#12] をクリックして選択します。

PKCS#12パスフレーズを入力します(これはオプションの手順です)。

手記：
PKCS#12 パスフレーズは、ユーザーが PKCS#12 ファイルを作成したときに定義されたパスフレーズと一致する必要があります。そうしないと、ファイルを復号化できません。
または、「ファイルの選択」をクリックして、PKCS#12バンドル・ファイルをアップロードします。
[Upload and Install Certificate] をクリックします。このアクションにより、既存のSSL証明書が置き換えられます。

証明書または PKCS#12 バンドルのダウンロード

PKCS#12バンドルをダウンロードして、現在の証明書をバックアップします。

[Config>System Profiles >証明書管理に移動し、ページの [Download Certificate] 領域まで下にスクロールします。
証明書の PKCS#12 パスフレーズ(オプション)を入力し、[証明書のダウンロード(Download Certificate)] をクリックして PKCS#12 バンドルをダウンロードして保存します。ダウンロードには、サーバーの秘密鍵が含まれます。PKCS#12パスフレーズは、ユーザーがファイルをダウンロードする際のオプションですが、ファイルが失われた場合に秘密キーが公開されないようにパスフレーズを設定することをお勧めします。

手記：
バックアップから証明書をロードするには、[Config>System Profiles>証明書管理] ページの [Upload and Install Certificate] 領域から [Upload & Install Certificate] ボタンをクリックします。Certificate」を選択し、PKCS#12 バンドルをアップロードします。

先端：
SSL 証明をアップロードし、ページの自動更新を適用した後、SSL 証明ブラウザメッセージが表示される場合があります。ブラウザの証明書情報には、「暗号化されていない要素(画像など)が含まれているため、Webサイトへの接続は完全に保護されていません.....これはJuniper ATP ApplianceのWeb UIの問題ではなく、このメッセージは標準的なブラウザーの注意動作を表しています。

GSS 設定の構成

[Config>System Profiles>GSS Settings] 構成ウィンドウを使用して、グローバルセキュリティサービス設定を構成または表示したり、グローバルマルウェアの集約とレポートのために GSS への検出データ更新を実行したりします。

手記：

SSL傍受を避けるために、Juniper ATP Applianceを必ず許可リストに登録してください。

GSS 設定を構成するには、次の手順に従います。

[Config>System Profiles>GSS Settings] ページに移動します。
GSS 設定を入力または選択します (オプションとフィールドについては後述します)。

[送信(Submit)] をクリックして設定を適用します。

表 12: GSS 設定オプション
GSS(グローバルセキュリティサービス)対応一方向更新オプション双方向更新オプション	チェックボックスをクリックすると、[デフォルトで有効]が無効になります。一方向のGSS通信を有効にするには、[GSS有効]チェックボックスがオフになっていることを確認します。なお、一方向(Juniper ATP Appliance GSSからコアへの)GSS通信を有効にするには、追加のライセンス費用がかかります。双方向 GSS 通信を使用可能にするには、次のようにします。コアは GSS からソフトウェアとコンテンツをプルし、Config> System Profile>SystemSettings> Software/Content Update Enabled によって制御されます。また、コアはログ、マルウェア、およびヘルスデータを GSS にプッシュし、[Config>GSS Settings] > [GSS enabled] を選択することで制御されます。
GSS 文書のアップロードの有効化	チェックボックスをオンにすると、GSSへの検出データのアップロードが有効になります(デフォルトでは無効)。このチェックボックスをオンにすると、GSS が有効になっている場合に、不良の疑いのある Microsoft Office ドキュメントと PDF ファイルを GSS にアップロードできます。
GSS 今すぐ実行	[実行] ボタンをクリックして、検出データとデトネーションデータを GSS にアドホック更新します。お客様サイトのJuniper ATP Applianceへのリモートアクセスを有効にする期間の[Duration](期間)を時間単位で入力し、[Submit](送信)をクリックして適用します。手記：有効なリモートサポートの最大期間は999時間です。

Juniper ATP Applianceが定期的なライセンスチェックを実行するためには、GSS接続が必要です。

Web コレクターの構成

Web Collectors設定ウィンドウを使用して、接続されているJuniper ATP Appliance WebCollectorの設定とステータスを識別、編集、再構成、および/または表示します。

手記：

Web コレクタは Central Manager Web UI から無効にしたり、その設定を変更したりできますが、追加の Web コレクタは Central Manager の設定>システムプロファイル>Web コレクタ Web UI ページから「追加」されません。新しい Web Collector を分散型防御システムに追加するには、Juniper ATP Appliance Traffic Collector クイックスタートガイドの指示に従って Traffic Collector をインストールし、Collector CLI コマンド/設定ウィザードを使用して CM の IP アドレスを設定して Central Manager に接続するように設定します。詳細については、『Juniper ATP Appliance CLIコマンドリファレンス』も参照してください。

詳細情報を表示するには、行矢印をクリックして [Web Collectors] テーブルの行を展開する必要があります。展開された行の追加情報には、コレクター名、IP アドレス、設定されたインターフェイス、このコレクターからのトラフィックが最後に確認された日付、およびコレクターが関連付けられている内部ネットワークとサブネットが含まれます。

[検索(Search)] フィールドを使用して、コレクタの詳細を検索します。

図 11: Web Collector の設定オプション Web Collector Configuration Options

Web Collector およびゾーンの設定を表示、編集、無効化/有効化、または削除するには、次の手順を実行します。

[Config>System Profiles>Web Collectors] ページに移動します。
変更するコレクタまたはゾーン設定の矢印アイコンをクリックして、行を展開し、コレクタの詳細を表示します。

構成情報を編集するには、行を展開する必要があります。
[削除(Delete)] ボタンをクリックして、分散防御システムから Web コレクタ設定を削除します。
「編集」ボタンをクリックして、設定を変更します。たとえば、ゾーン設定を変更するには、[編集]ボタンをクリックし、次に示すように[ゾーン]ドロップダウンメニューから別のゾーンを選択してゾーン設定を変更します。

手記：
ここで選択するMSSPテナントごとのゾーンを設定するには、「 MSSPマルチテナントゾーンの設定」を参照してください。

MSSPテナント固有のゾーンを設定するには、次の手順に従います。

MSSPごとにテナントを設定し、ゾーンを割り当てます。
Juniper ATP Appliance Central Manager Web UI の [Config>System Profiles>Zones] ページで、MSSP ゾーンに名前を付けて説明します。
Juniper ATP Appliance Central Manager Web UIの[Config>System Profiles>Web Collectors]ページで、定義済みのゾーンにCollectorsを割り当てます。
Juniper ATP Appliance Central Manager Web UIインシデントページからゾーンデータを表示します。

手記：
テナント固有のゾーンデータと相関分析を表示するには、Juniper ATP ApplianceのWeb UI運用ダッシュボードとリサーチダッシュボード画面に移動します。Juniper ATP ApplianceのWeb UIレポートタブから、ゾーン分析を含むレポートを生成します。
必要に応じて、[編集]ウィンドウで他の設定も変更します(説明は以下で説明し、[保存]をクリックして変更した構成設定を適用します)。

手記：
Web UI を使用してコレクタを削除すると、Central Manager データベースで設定が無効になっているため、同じコレクタを再度追加することはできません。

編集可能な Web Collector フィールドは、次のように定義されます。

表 13:編集可能な Web Collector 設定オプション
名前	Juniper ATP Appliance トラフィックコレクター名。
形容	構成されたコレクターの説明(場所など)。例:サンフランシスコの建物 - 2階。
IP アドレス	コレクターの IP アドレス。
有効	有効にするにはクリックしてチェックマークを付けます。チェックマークを外してコレクターを無効にします。
インターフェイス	トラフィック検査および管理ネットワーク用にコレクター上に設定されたインターフェイス。
ネットマスク	コレクターの IP アドレスサブネットネットマスク。
最終確認日	コレクターで最後に確認されたアクティビティの日付。
インストール日	Date Collector がインストールされました。
プロキシ内部アドレス	企業ネットワークまたはネットワークセグメント内のプロキシサーバーのIP アドレス。Juniper ATP Appliance CLIコレクターモードコマンドで設定: JuipnerATPHost(コレクター)# "set proxy inside add <proxy ip> " 詳細については、スパントラフィックプロキシデータパスサポートとJuniper ATP Appliance CLIコマンドリファレンスを参照してください。
プロキシ外部アドレス	エンタープライズネットワークまたはネットワークセグメント外のプロキシサーバーのIP アドレス。Juniper ATP Appliance CLIコレクターモードコマンドで設定: JATPHost(コレクター)# set proxy outside add <proxy ip> 詳細は、スパントラフィックプロキシデータパスサポートとJuniper ATP Appliance CLIコマンドリファレンスを参照してください
内部アドレス	コレクタが関連付けられている内部エンタープライズサブネットのIP アドレス。
ゾーン	MSSPごとに定義されたテナント固有のゾーン。

プロキシとデプロイされたコレクターのステータス:オンライン|オフライン

[Web Collector] ページには、Collector のステータスと、Collector が動作していてオンラインかどうかが表示されます。このページを使用して、Web Collector のステータスとプロキシのステータスを確認します。

E メール・コレクターの構成

[Config>System Profiles>Email Collectors設定ウィンドウを使用して、Juniper ATP Appliance Email Collectorsが電子メールトラフィックを収集する電子メールサーバーの設定を追加、編集、再設定、および/または表示します。

手記：

フィッシングの関連付けには Active Directory の構成が必要です。詳細については、「 Active Directory の構成」を参照してください。Juniper ATP Appliance Email Collectorコンポーネントは、Juniper ATP Applianceコアソフトウェアサービスの一部です。物理アプライアンスのインストールや設定は必要ありません。

図 12: E メールコレクターの BCC 設定 Email Collector BCC Settings

図13:Eメールコレクタ設定 - Juniper ATP Appliance MTAレシーバ Email Collector Settings - Juniper ATP Appliance MTA Receiver

手記：

Juniper ATP Appliance - MTA - Cloud コレクターはインターネットと直接通信し、適切なファイアウォールルールを作成する必要があります。

新しいメールサーバーの追加
メールサーバー設定の編集または削除

新しいメールサーバーの追加

新しい Email Collector サーバを分散防御システムに追加するには、次の手順を実行します。

[Config>System Profiles>Email Collectors] ページに移動します。
[Add New Email Collector] ボタンをクリックします。

手記：
高度なJuniper ATPアプライアンス-MTA電子メールコレクター機能には、有効なJuniper ATP Applianceアドバンスドライセンスが必要です。詳細は、「 Juniper ATPアプライアンスライセンスキーの設定」を参照してください。

必要な情報を入力し、構成の選択を行い(詳細は後述)、[保存]をクリックして新しい構成設定を適用します。

表 14: 電子メールサーバー設定
キャプチャ方法	BCC、Juniper ATP Appliance MTA Receiver、または Juniper ATP Appliance Cloud から収集します。
メールサーバー	Juniper ATP Appliance Core Email CollectorがジャーナルまたはBCCの電子メールトラフィックを受信する電子メールサーバーのIP アドレスまたはホスト名を入力します。
議定書	メールプロトコルを選択します。自動車 \|IMAP \|POP3の \|POP2の
SSL	「有効」または「無効」を選択します。
MTA レシーバー IP	メッセージ転送エージェント (MTA) 受信者の IP アドレスオプション:「メールサーバーからのみ受信する」[はい \|いいえ] 回答が『はい』の場合は、使用しているメールゲートウェイを入力してください: Gmail \|Office365 \|ローカル電子メールゲートウェイいずれの場合も、追加のオンプレミス電子メールゲートウェイサブネット(カンマ区切り)を入力します。サブネットの提供は、Gmail または Office 36 では省略可能です。手記：ハイブリッドメール展開でクラウド(Office 365またはGmailなど)とオンプレミスのメールサーバーの両方を使用している場合は、オンプレミスのメールサーバーのサブネットを入力してください。
コレクター IP	Juniper ATP Appliance Cloudから収集しているJuniper ATP Appliance CollectorのIPアドレス。この IP アドレスは、Core-CM の IP アドレス、または個別のスタンドアロン MTA レシーバーサーバーの IP アドレスにすることができます。
受信者のメールアドレス	受信者のメールアドレスを入力します。
パスワード	電子メールサーバーのメールボックスパスワードを入力します。
ポーリング間隔	ポーリング間隔(分単位)を入力します。これは、E メール・コレクターが E メール・トラフィックをポーリングする頻度です。既定値は 5 分です。
メールをサーバーに残す	メールの保持設定を選択します。キープ \|削除
有効	電子メールサーバーを有効または無効にする設定を選択します。

メールサーバー設定の編集または削除

メールサーバーの設定を編集または削除するには:

[Config>System Profiles>Email Collectors] ページに移動します。
[Current Email Collectors] リストの [Edit] または [Delete] ボタンをクリックします。
編集するには、設定と構成の選択(説明は上記を参照)を変更し、[保存]をクリックして新しい構成設定を適用します。

Mac OSX または Windows SecondaryCores の設定

セカンダリコア検出エンジン設定ウィンドウを使用して、接続されているJuniper ATP Appliance Mac OSXまたはWindows(Core+CM)セカンダリコアの設定とステータスを特定、編集、再構成、および/または表示します。

手記：

セカンダリコアは Central Manager Web UI から無効にしたり、その設定を変更したりできますが、追加の Mac OSX または Windows(Core+CM)コアは、Central Manager の [Config>System Profiles>Secondary Cores Web UI ページから「追加」されません。

手記：

クラスタリングするか、新しい Mac OS X または Windows セカンダリコアを Juniper ATP Appliance 分散防御システムに追加するには、Juniper ATP Appliance Mac OSX 検出エンジンクイックスタートガイドまたは Juniper ATP Appliance Core/CM クイックスタートガイドの指示に従い、Mac Mini または Core+CM をセカンダリコアとしてインストールし、を使用して CM の IP アドレスを設定して Central Manager に接続するように設定します。CLIコマンド/構成ウィザード

詳細については、『Juniper ATP Appliance CLIコマンドリファレンス』も参照してください。

手記：

Juniper ATP Appliance 仮想コアインストールのセカンダリコアをアマゾンウェブサービス(AWS)AMI として設定する方法については、『Juniper ATP Appliance Virtual Core for AWS』クイックスタートガイドを参照してください。

詳細情報を表示するには、行矢印をクリックして [Secondary Cores] テーブルの行を展開する必要があります。展開された行の追加情報には、Mac OSXまたはCore+CM(Windows)コア名、IP アドレス、設定済みインターフェイス、およびこのセカンダリコアエンジンでトラフィックが最後に確認された日付が含まれます。

[検索(Search)] フィールドを使用して、セカンダリコアの詳細を検索します。

表 15:セカンダリコア構成の詳細
名前	Juniper ATP Appliance セカンダリコア名
形容	設定されたセカンダリコアの説明。
IP アドレス	P セカンダリコアのアドレス。
有効	有効にするにはクリックしてチェックマークを付けます。チェックマークを外して、セカンダリコアを無効にします。
インターフェイス	セカンダリコアで設定されたインターフェイス。
ネットマスク	セカンダリコア IP アドレスサブネットネットマスク。
最終確認日	セカンダリコアで最後に確認されたアクティビティの日付。
インストール日	セカンダリコアがインストールされた日付。
内部アドレス	コレクタが関連付けられている内部エンタープライズサブネットのIP アドレス。

クラスタ化されたコア機能では、複数のコア検出エンジンを連携して動作させ、大規模なネットワークをサポートすることができます。Juniper ATP Applianceは、(以前のリリースのMac-Miniセカンダリコアに加えて)Windows Core+CMデバイスのセカンダリコアをサポートします。

クラスタリングのインストール手順は、クラスタ化されていないデバイスに対して設定されるインストール手順と同じです。

最初のインストール (おそらく現在展開されている既存のデバイス) は、2 番目のインストールが行われるたびに自動的にプライマリとして登録されます。
2台目(または追加のCore+CMまたはMac-Mini)デバイスをインストールすると、自動的に(その他の)セカンダリコアになります。

手記：
すでに使用されている既存のプライマリデバイスの設定は変更しないでください。すべてのデバイスが新規インストールの場合、任意のデバイスをプライマリデバイスにすることができ、追加のデバイスをセカンダリコアにすることができます。Juniper ATP Applianceは、プライマリのインストールごとに最大6つのクラスター化されたセカンダリインストールをサポートします。

インストール手順(手順は『Juniper ATP Appliance Core-CMクイックスタートガイド』に記載されています)が実行された後、Central Managerサービスが新しいセカンダリコアを検出し、それらのセカンダリコアで検出エンジンプロセスをインスタンス化するまでに約10分かかります。Central Manager Web UI の [Config>System Profiles>Secondary Cores] テーブルに新しいセカンダリコアが表示され、次に説明するように、クラスタ化されたセカンダリコア管理オプションを追加できます。

インストール情報については、『Juniper ATP Appliance Core-CM Quick Start Guide for Juniper ATP Appliance Virtual Core for AWS』クイックスタートガイドを参照してください。

セカンダリコア Web UI 設定オプションの使用
デプロイされたセカンダリコアのステータス: オンライン |オフライン

セカンダリコア Web UI 設定オプションの使用

セカンダリコア設定を表示、編集、無効化/有効化、または削除するには、次の手順に従います。

[Config>System Profiles>SecondaryCores] ページに移動します。
変更する Mac OSX または Windows(Core+CM)セカンダリコアの矢印アイコンをクリックして、行を展開し、設定の詳細を表示します。

構成情報を編集するには、行を展開する必要があります。
[削除(Delete)] ボタンをクリックして、分散型防御システムからセカンダリコア設定を削除します。
「編集」ボタンをクリックして、設定を変更します。
編集ウィンドウで、設定を変更します(説明は以下を参照)、[保存]をクリックして、変更した構成設定を適用します。

編集可能なセカンダリコアフィールドは、次のように定義されます。

表 16: 編集可能な Mac OS X Core 構成オプション
名前	Juniper ATP アプライアンス Mac OSX oe Core+CM(Windows) セカンダリコアエンジン名。
形容	設定済みのセカンダリコアエンジンの説明
IP アドレスとネットマスク	セカンダリコアが関連付けられている内部エンタープライズサブネットの IP アドレス。有効にするにはクリックしてチェックマークを付けます。チェックマークを外して、セカンダリコアを無効にします。
有効	有効にするにはクリックしてチェックマークを付けます。チェックマークを外して、セカンダリコアを無効にします。

デプロイされたセカンダリコアのステータス: オンライン |オフライン

[セカンダリコア(Secondary Core)] ページには、コレクタのステータスと、コレクタが動作していてオンラインかどうかが表示されます。このページを使用して、Mac OS X または Core+CM (Windows) のセカンダリコアの状態を確認します。

図14:Mac OS Xセカンダリコアのステータス表示 A Mac OS X Secondary Core Status Display

ゴールデンイメージ VM の構成

カスタム VM の "ゴールデンイメージ" を構成して、エンタープライズ OS 環境に合わせて明示的に調整された脅威との関連性を絞り込みます。この機能は、Central Managerの[Config>System Profiles>Golden Image VMs]ページから利用でき、ユーザーは独自のカスタムWindows 7 OSイメージを定義して追加することができ、Juniper ATP Applianceのデトネーションチャンバーでマルウェアを分析することができます。

図 15: [Config] タブの [Golden Image VMs Configuration] ページ Config Tab Golden Image VMs Configuration Page

Juniper ATP Applianceは、デフォルトでデトネーションチャンバーで独自のWindowsイメージを使用しますが、これらのデフォルトOSイメージは必ずしもすべてのエンタープライズOS環境に一致するわけではありません。カスタム VM イメージ (Win7、32 ビット、64 ビット) のサポートにより、すべてのお客様は、実際にデプロイされたエンタープライズ Win 7 OS 環境に対してデトネーションを一致させることができます。Juniper ATP Appliance は、分析中にまず検出エンジンの OS イメージに対してマルウェアを実行し、その後、順番に潜在的なマルウェアをカスタムゴールデンイメージ仮想マシンに渡して、さらなる分析とデトネーションを行います。

手記：

仮想コアの場合、64 ビット Windows 7 ゴールデンイメージは、ESXi サーバーとゲスト VM (仮想コアが動作している場所) が仮想化ハードウェア支援仮想化 (VHV) を有効にするように構成されている場合にのみ使用できます。これにより、ゲストVM(仮想コア)は、64ビットゴールデンイメージに必要なKVMを実行できるようになります。外部ゲスト仮想マシンの仮想化 HV を有効にするための ESXi Server とゴールドイメージの構成の詳細については、仮想化 HV を有効にするための ESXi Server の構成を参照してください

脅威との関連性に関して、Juniper ATP ApplianceのOSイメージが悪意のあるオブジェクトを検出したが、カスタムOSイメージでは検出されない場合、脅威の重大度の計算中に関連性が低下し、その環境のリスクが軽減されます。

顧客定義のゴールデンイメージ仮想マシンは、悪意が確認されたオブジェクトのテストにも使用できます。

警告現時点では、ゴールデンイメージは.EXE形式に制限されています。

ゴールデンイメージ VM 構成プロセス
手順 1: カスタム OS ISO をマウントして VM を起動する
ステップ 2: VNC 経由で VM に接続し、Windows OS をインストールする
手順 3: ゴールデンイメージ仮想マシンを再起動する
手順 4: カスタムゴールデンイメージ VM をファイナライズして有効にする
手順5:必要に応じて、VNCに再接続してAdobeAcrobatをインストールします
ステップ6:ゴールデンイメージへの優先AVソフトウェアのインストール
カスタム・イメージ結果の表示
仮想 HV を有効にするための ESXi Server の構成

ゴールデンイメージ VM 構成プロセス

構成するには、Windows 7 カスタムイメージを作成し、構成中に VNC を使用してその "ゴールデンイメージ" を操作します。設定が完了すると、Juniper ATP Applianceは、マルウェアの分析と検出のために、カスタムイメージを自動的にインストゥルメント化して導入します。

手記：

ゴールデンイメージのインストール中に複製された Windows 7 イメージを使用しないでください。クローンイメージは機能しません。必要なワークフローは、正しいISOを挿入し、VNC接続を開いてから、Windows 7 OSイメージのインストールプロンプトに従うことです。

カスタムゴールデンイメージ VM の構成プロセス手順は次のとおりです。

ステップ1:カスタムOS ISOの場所をマウントし、VMを起動します。
ステップ2:VNC経由でカスタムゴールデンイメージVMに接続し、Windows OSをインストールします。

手記：
Windows 7のインストールプロセス中に、Windowsは必要な再起動を実行し、VNC接続が切断されます。これは正常な動作です。Windowsのインストール中にVNCを失った直後に、VMを手動で再起動し、VNCに再接続します。
ステップ 3: VM* を再起動する
手順 4: カスタムゴールデンイメージ VM をファイナライズして有効にします。
ステップ5:必要に応じて、VNCに再接続し、Adobe Acrobatをインストールします。
ステップ6:優先AVソフトウェアをゴールデンイメージにインストールする

先端：

RealVNCは、最初にRealVNC設定を次のように変更しないと、Juniper ATP Applianceゴールデンイメージに接続できません:(1)RealVNCの「オプション」に移動します。(2)「ネットワーク速度に適応する」を無効にします。(3)圧縮スライダーを「最高画質」-「利用可能なすべての色、最小圧縮」に設定します。

手順 1: カスタム OS ISO をマウントして VM を起動する

Central Manager Web UI で [Config>System Profiles>Golden Image VM] ページに移動します。
[New VM Image] ボタンをクリックします。

新しい Windows 7 カスタムゴールデンイメージ仮想マシンの設定を入力します。

入力フィールドについては、以下で説明します。

カスタム VM イメージの構成フィールド	形容
イメージ名	作成するカスタム VM イメージの名前を入力します。
説明	新しいゴールドイメージの説明を入力します。
VNC ID	VNC IDを入力します。ID は一意の整数でなければなりません。
建築	32ビットまたは64ビットのディスクサイズ(GB)を選択しますディスクのサイズを入力します
ディスクサイズ (GB)	カスタム・イメージに使用するディスクのサイズを入力します。既定値は 20 GB です。
リスクの低減	リスク低減設定を yes または no から選択し、"yes" はそれぞれ 0.3 の値を表し、「no」はリスク低減値 0 を示します。デフォルトは [いいえ] (0) です。リスクの低減は、脅威の関連性メトリックに組み込まれます。ゴールデンイメージで、潜在的なマルウェアオブジェクトが無害であると判断された場合、リスクの低減は関連度の低下値として適用されます
ネットワークセグメント	このカスタム仮想マシンイメージを作成するOSを実行しているネットワークセグメントを入力します。分析されたマルウェアがここで設定されたネットワークセグメントと一致しない場合、関連性は計算されません。

カスタムゴールデンイメージ VM 設定を入力したら、[追加] をクリックしてイメージを作成します。
イメージが「現在のゴールデン・イメージVM」表に表示されたら、「コントロール」リンクをクリックして、新しいカスタム・イメージのインストールとマウントの準備をします。
[オプション: この新しい VM イメージの元の設定を編集するには、[編集] をクリックし、カスタムイメージ設定情報を再入力します。
マウンティング

ファイル共有から OS のインストールメディアをマウントする場合:
- [コントロール] ウィンドウの [ISO NFS/SMB マウントパス] フィールドにマウントパスを入力します (開いているファイル共有からマウントしていることを確認してください)。
  
  SMB 構文: //<IP アドレス>/<dir>/<file>
  
  NFS 構文: i<IP アドレス>:<dir>/<file>
  
  手記：
  アクセス許可の設定で、開いているファイル共有へのアクセスが許可されていることを確認します。
- [Mount CD ISO at Boot](起動時にCD ISOをマウントする)をクリックしてチェックマークを付けます。

[Boot VM: boot] ボタンをクリックします。

ステップ 2: VNC 経由で VM に接続し、Windows OS をインストールする

VNCクライアントを使用して、ゴールデンイメージVMに接続し、Juniper ATP Applianceがマルウェア分析に使用するエンタープライズのWindows OSの通常のインストールを実行します。

手記：
Windowsのインストールプロセス中に、Windowsは必要な再起動を実行し、VNC接続が切断されます。これは正常な動作です。Windowsのインストール中にVNCを失った直後に、VMを手動で再起動し、VNCに再接続します。

手順 3: ゴールデンイメージ仮想マシンを再起動する

Central Manager Web UI の [Config>System Profiles>Golden Image VM] ページに戻り、[Current VM Images] テーブルから関連する VM の [Controls] リンクを選択し、もう一度 [Boot VM: boot] ボタンをクリックします。

手順 4: カスタムゴールデンイメージ VM をファイナライズして有効にする

次のステップでは、Juniper ATP Applianceは、構成されたカスタムイメージをJuniper ATP Applianceの分析および検出アーキテクチャに適合させ、新しいOSを確立されたファイアウォール設定に合わせて自動的に調整し、必要なドライバーをインストールする、といった具合です。このプロセスの一環として、Juniper ATP Appliance は VM をシャットダウンするため、VM イメージの設定を完了するには、手順 12 で VM を有効にする必要があります。

[コントロール] ウィンドウから [Finalize Image: finalize] をクリックします。[Finalize]をクリックすると、VNC経由でカスタムイメージVMにログインし、Juniper ATP ApplianceファイナライズスクリプトがゴールデンVMイメージで実行される際のプロンプトに注意深く従うように求められます。スクリプトの最後の手順では、ゴールデンイメージ VM をシャットダウンします。
カスタム VM イメージの構成を完了するには、 [イメージの有効化: 有効] をクリックします。

手順5:必要に応じて、VNCに再接続してAdobeAcrobatをインストールします

必要に応じて、もう一度VNCポートに接続し、Adobe AcrobatをカスタムOS環境にインストールします。

手記：
PDF ReaderとAdobe Acrobat exeがマウント可能である必要があります。

ステップ6:ゴールデンイメージへの優先AVソフトウェアのインストール

手記：

この手順は省略可能です。カスタムOSゴールデンイメージ環境のVNCポートにもう一度接続して、任意のAVソフトウェアをインストールします(まだ接続していない場合)。

ゴールデンイメージで最新の AV 更新プログラムが使用されていることを確認するには、(1) ゴールデンイメージを起動し、(2) ゴールデンイメージに VNC を送信し、(3) Windows および AV 更新プログラムを手動でトリガーします。ゴールデンイメージをファイナライズして、すべての変更が保存されるようにします。このプロセスは、ゴールデンイメージOSにソフトウェアをインストールするために不可欠です。

重要:AV ソフトウェアをインストールした後、AV ソフトウェアが Juniper ATP Appliance ソフトウェアを「許可リスト」に登録できるように、コントロールウィンドウの [ファイナライズ] ボタンをもう一度クリックしてください。ファイナライズプロセスの最後に、Juniper ATP Applianceソフトウェアを許可リストに登録することを確認するポップアップクエリが表示されます。Juniper ATP Applianceソフトウェアのホワイトリスト登録を許可して、ブロックされないようにします。

手記：

ゴールデンイメージが変更または編集された場合は、再度有効にして再ファイナライズする必要があります。

先端：

ゴールデンイメージ VM へのディレクトリのマウント

Samba ドライブユーザーの場合は、ゴールデンイメージ VM 内から [コンピューター] ウィンドウを右クリックし、[ネットワークドライブのマップ] または [ネットワークの場所の追加] を選択してマウントします。この場合、サードパーティのソフトウェアをインストールする必要はありません。その後、SambaサーバーのIPアドレスと共有名を入力して共有を実行し、ゴールデンイメージにインストールするソフトウェアをダウンロードします。

NFSドライブユーザーの場合、ドライブをマウントするには、まず「NFS用クライアント」オプションを有効にします。この機能は、Windows 7 Ultimate Edition および Enterprise Edition でのみ使用できます。

手記：

ゴールデンイメージ仮想マシンの実行中に CD をマウントすることはできません。CD をマウントするには、VM の起動時にのみこの操作を行います。

手記：

実行中の VM 内からリモートの Samba サーバーに接続するには、まず CLI コマンドを使用して Samba サーバーの IP アドレスを許可リストに登録する必要があります。

カスタム・イメージ結果の表示

[インシデント] タブの [概要] テーブルの新しい行に、カスタム VM イメージの結果が "ゴールデンイメージ" として表示されます。

3 つのゴールデンイメージ VM が構成されている場合は、次に示すように、3 つのゴールデンイメージの結果が [操作ダッシュボード] と [インシデント] ページに表示されます。

仮想 HV を有効にするための ESXi Server の構成

仮想 HV を有効にするための ESXi サーバの設定は、VMWare ESXi バージョン 5.1 以降でのみ推奨されます。

手記：

ESXi がハードウェアバージョン 9 以降であることを確認します。

仮想 HV を有効にするように ESXi Server を構成するには、次の手順を実行します。

ESXi ホストに SSH 接続します。
/etc/vmware で、「config」ファイルを編集し、次の設定を追加します
vSphere Web Client を使用して、仮想マシン設定> [オプション] > [CPU/MMU 仮想化] で仮想マシン設定を編集して、ゲスト仮想マシンを構成します。
[Intel EPT] オプションを選択して、構成を完了します。

Juniper ATP Applianceのライセンスキーの設定

有効な製品ライセンスキーがないと、Juniper ATP Appliance システムは動作しません。同様に、プロダクトキーの期限が切れていたり、サポートやコンテンツライセンスの期限が切れていたりすると、完全な動作が妨げられ、コンテンツやソフトウェアの更新が無効になります。

[Config>System Profiles>Licensing]設定ウィンドウを使用して、Juniper ATPアプライアンスまたはソフトウェアサービスにライセンスキーをアップロードします。システムのライセンスを取得するには、この設定ウィンドウを使用してライセンスをアップロードし、CLIを使用してシステムUUIDを取得する必要があります。

手記：

ライセンスキーはジュニパーカスタマーサポートから取得します。

製品ライセンスキーをアップロードするには、次の手順に従います。

[Config>System Profiles>Licensing]ページに移動します。
[Add New Juniper ATP Appliance License]ボタンをクリックして、新しいライセンスキーファイルをアップロードします。
[ファイルの選択(Choose File)] ボタンをクリックしてアップロードするライセンスキーを選択し、[送信(Submit)] をクリックして設定を適用します。

手記：
Juniper ATP Applianceが定期的なライセンスチェックを実行するためには、GSS接続が必要です。ライセンスを手動で追加しても、JATPサポートは有効になりません。

バックアップおよび復元オプションの構成

[設定のバックアップ/復元]ウィンドウを使用して、Juniper ATP Appliance設定のバックアップを実行するか、保存された構成ファイルからシステム設定を復元します。

現在の設定のバックアップ
保存した設定の復元

現在の設定のバックアップ

現在のシステム設定をバックアップするには、次の手順に従います。

[Config>System Profiles>Backup/Restore]ページに移動します。
[バックアップ(Backup)] ボタンをクリックして、アプライアンスまたはソフトウェアサービスデータベースをバックアップします。

保存した設定の復元

保存した構成ファイルを現在実行中の設定として復元するには:

[Config>System Profiles>Backup/Restore]ページに移動します。
[ファイルの選択(Choose File)] ボタンをクリックして、以前に保存した構成ファイルを選択してアップロードし、[復元(Restore)] をクリックして設定をアプライアンスまたはサービスに適用します。

手記：
バックアップおよびリストア機能は、異なるメジャーリリースのCM/Coreインストールでは実行できません。たとえば、以前のバックアップファイル(リリース 3.2.0 アプライアンスから生成された)をリリース 3.2.0 を実行しているアプライアンスに復元しないでください。

マルウェア検出機能のテスト

[Config>System Profiles>Test Malware Detection] 設定ウィンドウを使用して、アプライアンスの検出およびデトネーション機能のテストを実行します。

図16:Eicarテストリンクのダウンロード Download Eicar Test Link

EICAR 不正プログラム対策テストパッケージを実行するには:

[Config>System Profiles>Test Malware Detection] ページに移動します。
[EICAR テストファイルのダウンロード(Download EICAR Test File)] ボタンをクリックして、シグネチャベースの EICAR マルウェア対策テストパッケージをダウンロードします。
EICAR テストを実行して、Juniper ATP Appliance Core の検出機能を確認します。

環境設定の構成

[環境設定(Config>Environmental Settings)] ページを使用して、既存のセキュリティインフラストラクチャや他のセキュリティベンダーおよびサービスとの統合を設定します。

次の構成がサポートされています。

電子メールの緩和設定の構成
ファイアウォールの自動緩和の設定
エンタープライズ・ネットワーク資産価値の設定
アンチウイルス統合の設定
エンドポイント統合の構成: Crowdstrike と Carbon Black Response
BlueCoat ProxySG統合の設定
許可リストルールの設定
YARAルールの設定
Active Directory の構成
カスタム SNORT ルールの構成

電子メールの緩和設定の構成

[構成>環境設定>電子メールの緩和設定] ページを使用して、Gmail または Exchange Server の緩和検疫オプションを構成します。これらの設定を使用すると、Office 365 API または Gmail API を使用して悪意のあるものとして検出されたメールを検疫できます。

Gmail 検疫の緩和設定を行うには:
Exchange Online 検疫の軽減設定を構成するには:

手記：

Juniper ATP Applianceのメールクラウド上のコンテンツはすべて暗号化されます。メール検疫オプションでは、ユーザーから提供されたミティゲーションキーを使用して、ディスクに保存されたメールの添付ファイルを暗号化する必要があります。Juniper ATP Appliance Central Managerには、必要な緩和暗号化キーをユーザーが入力するためのフォームが含まれています。

Gmail 検疫の緩和設定を行うには:
Exchange Online 検疫の軽減設定を構成するには:

Gmail 検疫の緩和設定を行うには:

Central Manager Web UIの設定>環境設定>電子メール緩和設定ページに移動し、電子メールタイプとしてGmailを選択します。
確立した隔離ラベル名を入力します。
電子メールアドレスを入力します (設定をテストするため)。
Gmail の完全な JSON キーを入力します。
[追加] をクリックして構成を完了します。
隔離設定を編集するには、[現在設定されている電子メールの緩和策(Current Email Mitigations Configured)] テーブルで [編集(Edit)] をクリックします。
検疫設定を削除するには、[現在の電子メール緩和策設定済み(Current Email Mitigations Configured)] テーブルの目的の行で [削除(Delete)] をクリックします。

図 17: Gmail の検疫設定ページ Gmail Quarantine Settings Page

Exchange Online 検疫の軽減設定を構成するには:

Central Manager Web UI の設定>環境設定>電子メール緩和設定ページに移動し、電子メールタイプとして [Exchange Online] を選択します。
確立した認証局ホストURLを入力します。
Office リソース URI を入力します。
テナント ID を入力します。
[クライアント ID] を入力します。
隔離フォルダの名前を入力します。
新しい Azure キー資格情報を生成するには、[チェックボックス] をクリックします。
キービットを入力してください。既定値は 4096 です。
証明書の有効期間の日数を入力します。
Azure マニフェストキーの資格情報を入力します。
[追加] をクリックして構成を完了します。
隔離設定を編集するには、[現在設定されている電子メールの緩和策(Current Email Mitigations Configured)] テーブルで [編集(Edit)] をクリックします。
検疫設定を削除するには、[現在の電子メール緩和策設定済み(Current Email Mitigations Configured)] テーブルの目的の行で [削除(Delete)] をクリックします。

ファイアウォールの自動緩和の設定

[ Config>Environmental Settings] > [Firewall Mitigation Settings ] ページを使用して、Cisco ASA ファイアウォール、Check Point Firewall、Forcepoint SMC、Fortinet ファイアウォール、Palo Alto Network(PAN)ファイアウォール、および/またはジュニパー SRX ファイアウォールで Juniper ATP Appliance が検出したマルウェアの自動緩和を設定します。

図 18:Juniper ATP Applianceの[Auto-Mitigation Configuration]ページ Juniper ATP Appliance Auto-Mitigation Configuration Page

手記：

これは、ファイアウォールの自動緩和設定ページです。[軽減策] タブの [ファイアウォールブロックオプション] を使用して、構成済みの自動緩和ルールを適用します。

このセクションには、6 つの異なる構成オプションがあります。

Cisco ASA ファイアウォールの設定:『Cisco ASA ファイアウォールの設定』を参照してください。
Check Point ファイアウォールの設定:「 Check Point ファイアウォールの設定」を参照してください。
Forcepoint SMC の設定 - 「Forcepoint SMC の設定」を参照してください。
集中型 PANORAMA PAN ファイアウォール管理デバイスの設定 - 集中型 PAN FW 緩和管理のための PANORAMA デバイスの設定を参照してください。
PAN ファイアウォールの設定:「 PAN ファイアウォールの設定」を参照してください。
SRXシリーズファイアウォールの設定。「ジュニパーSRXファイアウォールの設定」を参照してください。

PAN ファイアウォールは、PAN OS 動的アドレスグループ (DAG) と関連するタグを使用してファイアウォールポリシーを適用します。DAG は固定 IP アドレスに関連付けられていません。

Juniper ATP Applianceは、ルールをPANにプッシュしません。代わりに、PAN DAG のアドレスを追加または削除します。そこから、DAG 内のアドレスをブロックしたり、他のアクションを実行したりするように PAN に指示することもできます。DAG へのアクセスを提供する API は、ユーザーが PAN デバイスのネットワークを構成できる PAN OS で使用できます。

Juniper ATP Appliance/Juniper SRXファイアウォールの統合は、Junosアドレスセットに依存しています。Juniper ATP Applianceプラットフォームは、SRX上に設定された1つ以上のJunosアドレスセットに悪意のあるIPアドレスを追加することで、悪意のあるIPアドレスをSRXに自動的にプッシュします。

Cisco ASA、Fortinet、および Check Point の設定の概要については、それぞれのセクションを参照してください。

Juniper ATP ApplianceはForcepoint SMC(Security Management Center)と統合されているため、アドレスやURLをForcepointリストに追加したり削除してブロックすることができます。

自動ミティゲーションについて
PAN ファイアウォールの設定
PAN ファイアウォールタグの設定
新しい自動ミティゲーションルールの設定
自動ミティゲーションルールの実装
自動ミティゲーションルールの動作の確認
集中型 PAN FW 緩和管理のための PANORAMA デバイスの設定
一元化されたパノラマ統合の設定
自動ミティゲーションルールの実装
自動ミティゲーションルールの動作の確認
Juniper SRXファイアウォールを設定する
Cisco ASA ファイアウォールの設定
Cisco ASA ファイアウォールの設定
Cisco ASA ファイアウォールの設定例:
Juniper ATP アプライアンスの ASA ファイアウォールの設定
FortiManagerコンソールでの設定
Juniper ATP Appliance Central Managerでの設定
Check Point ファイアウォールを構成する
Check Point ファイアウォールの構成と導入
Juniper ATP ApplianceとCheck Pointの統合の構成
Forcepoint SMCの設定
Forcepoint SMCの新しい緩和ルールの設定

自動ミティゲーションについて

Juniper ATP Applianceは、統合されたエンタープライズブロッキングデバイスで、包括的な自動緩和を提供します。以前のリリースでは、脅威のブロックを実行するために、緩和インテリジェンスは統合されたパートナーデバイスに手動でプッシュされていました(Bluecoatなど、Juniper ATP Applianceをポーリングするパートナーデバイスを除く)。このリリースでは、ユーザーは、ユーザーの操作なしで軽減インテリジェンスをブロックデバイスに自動的にプッシュするか、ブロックインフラストラクチャに配布される各軽減ルールに対して手動プッシュオプションを使用するかどうかを構成します。

自動ミティゲーションの設定と有効化については、自動ミティゲーションの設定を参照してください。自動ミティゲーションを有効にすると、Juniper ATP Appliance ATA も同時に有効になります。

PAN ファイアウォールの設定

自動緩和のためのJuniper ATP Appliance-PANファイアウォール統合の設定は、2段階のプロセスです。

PAN ファイアウォール Web UI を使用して、動的アドレスグループと Juniper ATP Appliance-Tag を設定します。
この [Config>Environmental Settings] > [Firewall Mitigation Settings] ページで設定を完了します。

PAN ファイアウォールタグの設定

PAN OS 6.0 Web UI から [オブジェクト] タブに移動し、左側のパネルメニューから [タグ] ページを選択します。Juniper ATP Appliance タグを入力し、[OK] をクリックします。例:JATPタグ
[オブジェクト(Objects)] タブで、左側のパネルメニューから [アドレスグループ(Address Group)] を選択し、[追加(Add)] をクリックして新しいダイナミックアドレスグループを作成します。表示されたフィールドに、以下に示す条件を入力し、「OK」をクリックします。
- 名前(例:JATP-dag)
- 説明(例:Juniper ATP Applianceの動的アドレスグループ)
- タイプ(例:動的)
- 一致(例:「JATP-tag」)
「ポリシー」タブに移動し、左側のパネル・メニュー・オプションから「セキュリティ」を選択し、「追加」をクリックしてセキュリティポリシー・ルールを追加します。
[Source] サブタブの [Source Address] で、以前に作成したダイナミックアドレスグループを追加します(この例では JATP-dag にチェックマークを付けます)。「OK」をクリックし、ウィンドウの右上隅にある「コミット」をクリックします。

新しい自動ミティゲーションルールの設定

[ Config>Environmental Settings] > [Firewall Mitigation Settings ] ページに移動します。
[ Add New Auto-Mitigation Rule] をクリックします。

手記：
各FW緩和設定フィールドの定義については、以下で詳しく説明します。
PAN FWデバイス統合のホスト名/IP、ホストプロトコル、およびポート番号を入力します。
[Mitigation Type] カテゴリから [ PAN ] を選択し、[Device Type] オプションから [PAN-OS Firewall] を選択します。
ユーザー名とパスワードを入力します。
[Mitigation URL Category] と [TAG] を入力します。

先端：
ユーザーが URL と DAG カテゴリを変更する場合、変更されたルールは自動ルールプッシュにトリガーされません。新しいカテゴリにプッシュするには、既存の設定を削除し、新しい設定を追加します。

「有効期限の日数」を入力し、「追加」をクリックします。

表 17: 定義済みの自動緩和設定
軽減タイプ	[PAN-OS] を選択して、個々の PAN FW を設定します。
ホスト ip/URL	PAN ファイアウォールの IP アドレスまたは FQDN/ホスト名。
ホストプロトコル	[HTTPS] または [HTTP] を選択します。
ポート番号	PAN OS 管理コンソールのポート番号を入力します。
ユーザー名	管理者アカウントのユーザー名を入力します。
パスワード	管理者アカウントのパスワード。
タグ	構成された DAG に関連付けられているタグ (上記の例では "JATP-tag")。
ミティゲーション URL カテゴリ	URLを入力してください。このオプションは、Palo Alto Networks ファイアウォールへの URL に基づくブロックを提供します。URLベースのブロックにより、より正確なブロック制御が可能になります。

自動ミティゲーションルールの実装

Juniper ATP Appliance Central Manager の緩和策ページから、構成された自動緩和ルールを適用します。

[Mitigation] テーブルで脅威の行 (または複数の行) を選択し、[Apply] をクリックします。
[適用] をクリックすると、すべてのルールが PAN ファイアウォールにプッシュされ、10 秒から 20 秒以内に PAN ファイアウォール CLI に表示されます。複数のルールを同時にプッシュでき、すべてが同時に PAN CLI に反映されます。

これは非同期操作であるため、必要に応じて他のルールをプッシュし、他のCM Web UIページを引き続き使用できます。

60 秒後にページを更新すると、選択した行のプッシュ SUCCESSFUL メッセージが表示されます。
[削除] ボタンは、自動軽減ルールを削除する必要がある場合に、自動軽減のためにプッシュされた行ごとに使用できます。

自動ミティゲーションブロックルールを有効または無効にするには:

[Config>Environmental Settings] > [Firewall Mitigation Settings] ページから。
[現在の自動緩和ルール(Current Auto Mitigation Rules)] テーブルで [有効(Enable)] または [無効(Disable)] をクリックして、自動ブロックの転送を有効または停止(無効)にします。

PAN FWルールや設定を削除するには:

[Config>Environmental Settings] > [Firewall Mitigation Settings] ページから。
現在 Pan FW にプッシュされているルールがない場合は、[Delete] オプションをクリックします。
ルールが現在プッシュされている場合、「削除」オプションは無効になります。[Remove all IP Addresses] をクリックします。

手記：

PAN FW設定を削除するには、まず[Remove all IP addresses](すべてのIPアドレスを削除)し、次に[Delete](削除)を選択します。

自動ミティゲーションルールの動作の確認

PAN-OS CLI から、次のように入力します。

集中型 PAN FW 緩和管理のための PANORAMA デバイスの設定

Juniper ATP Applianceプラットフォームは、悪意のあるIPアドレスとマルウェアにリンクするURLを監視および検出します。以前のリリースでは、Juniper ATP ApplianceとPalo Alto Networks(PAN)ファイアウォールとの統合により、Juniper ATP Applianceは、悪意のあるURLやIPアドレスやURLを個々のPAN FWデバイスにプッシュすることで、これらのIPアドレスやIPをブロックすることができました。しかし、企業によっては、さまざまな場所に分散した一連のPANファイアウォールを利用しているところもあります。このため、Juniper ATP Applianceは、PANファイアウォールの分散型ネットワークを中央から制御するネットワークセキュリティ管理デバイスであるPalo Alto NetworkのPanoramaとの統合を提供します。Juniper ATP Applianceは、個々のPAN-OS FWとの統合を通常どおり構成するか、Juniper ATP ApplianceのファイアウォールおよびSecure Gatewayの自動緩和オプションの一部として一元化されたパノラマデバイスとの統合を構成するかの柔軟性を提供します。個々のFW統合については、を参照してください。

Juniper ATP Appliance/Panoramaの統合は、IPアドレスをファイアウォールアドレスグループにプッシュし、設定されたファイアウォールデバイスグループごとにカスタムURLカテゴリにURLをプッシュします。複数のデバイスグループを設定することもできます。

手記：

一元化されたデバイスグループ、アドレスグループ、および関連するポリシーの設定については、Palo Alto Networks Panoramaのドキュメントを参照してください。

一元化されたパノラマ統合の設定

[Config>Environmental Settings] > [Firewall Mitigation Settings] ページに移動します。
[Add New Auto-Mitigation Rule] をクリックします。

手記：
各FW緩和設定フィールドの定義については、以下で詳しく説明します。
[Mitigation Type] カテゴリから [PAN] を選択し、[Device Type] オプションから [Panorama] を選択します。
ホスト名/IPを入力します。
設定済みのデバイスグループを入力します。デバイスグループが複数ある場合は、各デバイスグループ名をスペースで区切って入力します。
集中型PANORAMA FWデバイスのホストプロトコルとポート番号を入力します。
ユーザー名とパスワードを入力します。
[Mitigation URL Category] を入力します。
アドレスグループを入力します。

「有効期限の日数」を入力し、「追加」をクリックします。

表 18: PANORAMA 自動緩和設定の定義
軽減タイプ	Panorama を選択して、一元化された Panorama 管理サーバーデバイスを設定します。
ホスト ip/URL	Panorama デバイスの IP アドレスまたは FQDN/ホスト名。Device Group(デバイスグループ):デバイスグループ名を入力します。複数のデバイスグループを
デバイスグループ	デバイスグループ名を入力します。複数のデバイスグループを(文字スペースで区切って)指定できます。[Manage Devive Groups] ページから Panorama Console でデバイスグループを設定します。これは、パノラマファイアウォールネットワーク内のすべてのファイアウォールがグループ化される場所です。
ホストプロトコル	[HTTPS] または [HTTP] を選択します。
ポート番号	PAN OS 管理コンソールのポート番号を入力します。
ユーザー名	管理者アカウントのユーザー名を入力します。
パスワード	管理者アカウントのパスワード。
ミティゲーション URL カテゴリ	URL を入力します。このオプションは、Palo Alto Networks ファイアウォールへの URL に基づくブロックを提供します。URLベースのブロックにより、より正確なブロック制御が可能になります。Juniper ATP Appliance/Panoramaは、設定されたファイアウォールデバイスグループごとに、カスタムURLカテゴリにURLをプッシュします。プッシュは、緩和セキュアWebゲートウェイを介して、Juniper ATP Applianceから分散PAN FWに行われます。
アドレスグループ	Juniper ATP Appliance が PAN ブロッキングのために IP アドレスをプッシュするグループの場所。パノラマコンソールで作成した、Juniper ATP Appliance に固有の既存のアドレスグループを入力します。アドレスグループが指定されていない場合、PANはプッシュ実行時に新しいアドレスグループを作成します。
有効期限の日	ルールの有効期限が切れるまでの日数を入力します。有効期限の既定値は 0 で、ルールは期限切れになりません。

自動ミティゲーションルールの実装

Juniper ATP Appliance Central Manager の緩和策ページから、構成された自動緩和ルールを適用します。

[Mitigation] テーブルで脅威の行 (または複数の行) を選択し、[Apply] をクリックします。

手記：
[適用] アクションは、特定のデバイスグループ内の分散 PAN-OS ファイアウォールでポリシーが実行されるパノラマデバイスに自動緩和ルールをプッシュします。
[適用] をクリックすると、すべてのルールがパノラマ経由で PAN ファイアウォールにプッシュされ、10 秒から 20 秒以内に PAN ファイアウォール CLI に表示されます。複数のルールを同時にプッシュでき、すべてが同時に PAN CLI に反映されます。

これは非同期操作であるため、必要に応じて他のルールをプッシュし、他のCM Web UIページを引き続き使用できます。

60 秒後にページを更新すると、選択した行のプッシュ SUCCESSFUL メッセージが表示されます。
[削除] ボタンは、自動軽減ルールを削除する必要がある場合に、自動軽減のためにプッシュされた行ごとに使用できます。

パノラマルールや設定を削除するには:

[Config>Environmental Settings] > [Firewall Mitigation Settings] ページから。
現在 Panorama デバイスにプッシュされているルールがない場合は、[削除] オプションをクリックします。
ルールが現在プッシュされている場合、「削除」オプションは無効になります。[Remove all IP/URL Addresses] をクリックします。

手記：

Panorama 設定を削除するには、まず [Remove all IP/URL addresses] を選択し、次に [Delete] を選択します。

自動ミティゲーションルールの動作の確認

Panorama デバイスグループ内の個々の PAN-OS ファイアウォールの CLI から、次のコマンドを入力して動作を確認します。

Juniper SRXファイアウォールを設定する

Juniper SRXファイアウォールの緩和策の概要
SRX CLIでセキュリティポリシーアドレスセットを設定する
Juniper ATP Appliance Web UIでゾーン定義されたSRX設定を定義する
SecIntel ブロックリストフィードの設定
Juniper ATP Applianceの[Mitigation]タブからSRXアクティビティを表示する
SRX SSHパブリック/プライベートキーペアの生成
Juniper ATP Appliance Web UIでゾーン接続SRX設定を定義する

Juniper SRXファイアウォールの緩和策の概要

Juniper ATP Applianceは、Juniper SRXファイアウォールとの緩和統合を提供します。Juniper ATP Applianceプラットフォームが悪意のあるIPアドレスをSRXにプッシュすると、そのIPアドレスはSRX上の1つ以上の設定されたJunosアドレスセットに追加されます。このセクションでは、その設定について説明します。

SRXネットワーク管理者は、SRX上でJunosポリシーを設定し、アクセスを拒否したり、特定のアドレスセットに関連するトラフィックを監視したりします。これらのアドレスセットは、ゾーン定義またはゾーン接続のいずれかで、Juniper ATP Appliance によって検出されたすべての悪意のある IP アドレスが含まれます。

SRX管理者は、緩和のためにJuniper ATP Applianceから報告された悪意のあるIPアドレスを含むように、標準のJunosアドレスセットとポリシーを設定します。緩和されたアドレスからのものはすべてブロックされます(ポリシーごとに信頼できるものから信頼できないものに移動されます)。管理者は、設定された緩和アドレスセット上のトラフィックを適切に処理するポリシーを設定する必要があります。次のセクションでは、SRX緩和アドレスセットを特定するためにJuniper ATP Applianceプラットフォームを設定する方法について説明します。

先端：

JUNOS SRX アドレスブックとアドレスセット

Junosでは、アドレスセットはアドレス帳内にネストされます。アドレスセットとブックの詳細な説明は、Junos のマニュアルでご覧いただけます。一般に、アドレス帳は、セキュリティゾーン内に表示される可能性のあるすべてのアドレスとホスト名のセットです。アドレスセットは、アドレス帳のユーザー設定可能なサブセットです。アドレス帳には複数のアドレスセットを含めることができ、アドレスセットには複数のアドレスを含めることができます。

アドレスセットは、ゾーン接続(グローバル)またはゾーン定義のいずれかとして設定できます。

ゾーン定義アドレスセット(ゾーン固有とも呼ばれる)は、バージョン11.2以前を実行しているSRXシステム上で、特定のゾーンに対して設定されます。ゾーン定義アドレスセットは、ゾーンごとに1つのデフォルトアドレス帳を使用します。ゾーン定義の設定モードでは、各セキュリティゾーンに名前のないアドレス帳が 1 つ含まれます。アドレスセットは、このゾーン固有のアドレス帳内で定義されます。SRXでは、ゾーン定義アドレスセットのデフォルト名として「アドレス帳」という名前を使用しています。信頼ゾーンはユーザーが構成し、信頼されていないゾーンは通常、インターネットと不明なサーバーによって表されます。

グローバルアドレスセット、ゾーン接続アドレスセット、またはゾーン定義アドレスセットは、バージョン 11.2 以降を実行する SRX システムに対して設定できます。Junos バージョン 11.2 以降では、新しいゾーン接続設定モードに加え、従来のゾーン定義設定モードもサポートしています。ゾーンにアタッチされたアドレスセット構成の場合、管理者はアドレス帳またはゾーンとアドレスセットの両方を指定する必要があります。大域ゾーン接続アドレス・セットの構文は、ゾーン定義の構文とは異なります。以下の TIP の例を参照してください。

先端：
SRXアドレス帳モードを[ゾーン接続]として選択する場合は、CM Web UIの[アドレス帳またはゾーン]入力フィールドでアドレス帳名を指定し、[アドレスセット]入力フィールドでアドレスセットを指定します。ダミーIPアドレスを含むアドレスセットは、SRX CLIのアドレス帳の下に作成する必要があります。例えば：

SRXアドレスブックモードをゾーン定義として選択する場合は、「アドレス帳またはゾーン」入力フィールドにゾーン名を指定し、「アドレスセット」入力フィールドにアドレスセットを指定します。ダミーIPアドレスを含むアドレスセットは、SRX CLIでそのゾーンのアドレス帳の下に作成する必要があります。

ゾーンとアドレスセットをスペースで区切ることで、複数のエントリ(ゾーンごとに 1 つ)を作成できます。例: 複数の IP アドレスを、アドレスセットが「asset1」のゾーン「untrust1」と、アドレスセットが「asset2」のゾーン「untrust2」にプッシュする場合は、必ず次のように構成してください。

SRX CLIでセキュリティポリシーアドレスセットを設定する

Juniper ATP Appliance Web UIからSRX統合を設定する前にSRXで完了すべきタスクは、以下の通りです。

必要に応じて、ゾーンベースのアドレス帳とアドレスセットのセキュリティポリシーを設定します。

Zone-Defined Example with Syntax descriptions:

必要に応じて、ゾーンに接続されたアドレス帳とアドレスセットのセキュリティポリシーを設定します。

Zone-attached Global Example:

Zone-attached User Defined Example:

...ここで、<JATP-book>はアドレス帳(Juniper ATP Appliance Web UIの「アドレス帳またはゾーン」で設定>、<JATP-addressSetは「アドレスセット」フィールドで設定したアドレスセットです。

手記：

Juniper ATP Applianceは、SRX CLIで設定されたアドレスセットにのみ悪意のあるIPアドレスをプッシュします。管理者は、SRX上でポリシーを設定して、悪意のあるIPアドレスへの接続をブロックする必要があります。例えば：

Juniper ATP Appliance Web UIに移動して、SRX統合を設定します。
- ゾーン定義アドレス帳設定の設定手順については、次のセクションの Juniper ATP Appliance Web UIでゾーン定義のSRX設定を定義するを参照してください。
- ゾーン接続アドレス帳の構成については、 Juniper ATP Appliance Web UIでゾーン接続SRX構成を定義するを参照してください。
- SSHキーペアの生成については、 SRX SSHパブリック/プライベートキーペアの生成を参照してください。
- SRXファイアウォールアクティビティの監視については、 Juniper ATP Applianceの[Mitigation]タブからSRXアクティビティを表示するを参照してください。

Juniper ATP Appliance Web UIでゾーン定義されたSRX設定を定義する

ゾーン定義SRX緩和策の設定は、2つのプロセスから成ります。

SRX CLIを使用して、セキュリティゾーンとアドレスセットを指定します。
Juniper ATP Appliance Web UIを使用して、SRX緩和統合を設定します。

ゾーン定義SRX統合を設定するには:

SRX CLIでアドレスブック/アドレスセットを定義することで、セキュリティポリシーをゾーン定義またはグローバルゾーン接続のいずれかとして設定します。例えば：

図 19:SRX CLI の設定例
Juniper ATP Appliance Central Manager Web UIで>環境設定>ファイアウォール緩和設定ページに移動し、SRXを選択します。

図 20:Juniper ATP Applianceの[Auto-Mitigation Configuration]ページ
[NETCONF] を選択します。
SRXホスト名またはIPアドレスを入力します。[Host name/IP] フィールドで入力します。
SRXへのログインを許可するNETCONFポート番号を入力します:830。

手記：
NETCONF ポート番号は SRX で設定され、定義されたポート番号は [Juniper ATP Appliance Web UI Config NETCONF Port Number] フィールドに入力されます。
[ユーザー名]フィールドと[パスワード]フィールドに、SRXログイン用のユーザー名とパスワードを入力します。

手記：
SRXへのログインには、ユーザー名とパスワードの設定、またはSSHキーとシークレットパスフレーズの2つのモードがあります(SSHシークレットパスフレーズは、2番目の列の[パスワード]フィールドで定義されたパスワードです)。SSHパブリック/プライベートキーペアを設定するには、「 SRX SSHパブリック/プライベートキーペアの生成」セクションを参照してください。
[有効期限の日数(Expire Days)] フィールドに、軽減された IP アドレスを自動的に削除するまでの日数(0 日はアドレスを削除しないことを示します)を入力します。

有効期限に設定された日数が経過すると、IPアドレスはSRXから自動的に削除されます。
[SRX アドレス帳モード(SRX Address Book Mode)] 領域のアドレスセット設定で、[ゾーン定義済み(Zone Defined)] を選択します。次に示す設定モードの例は、[Zone Defined]です。
[アドレス帳(Address Book)] または [ゾーン(Zone)] フィールドでゾーンを定義します(アドレス帳はゾーン接続セット用で、[ゾーン(Zone)] はゾーン定義セット用です)。上記の例では、ゾーン定義構成のゾーンが「信頼済み」および「信頼できない」として設定されています。
[Address Set] フィールドでアドレスセットを定義します。この例では、SRXポリシーに従って「asset1」と「asset2」を定義しています。
「保存」をクリックします。または、SSH キーを生成する場合は、すぐ下の手順に従います。
[Current Auto-Mitigation Rules]テーブルで、保存したSRX設定を見つけ、[Test]リンクをクリックしてSRX統合を確認します。
「編集」をクリックして構成設定を変更するか、「削除」をクリックして構成を削除します。
以下は、ゾーン定義ファイアウォール緩和のためにJuniper ATP ApplianceがSRXにプッシュする情報の例です。

「trust」という名前のゾーン定義の緩和策の構文の例:

SecIntel ブロックリストフィードの設定

Juniper ATP Applianceは、既存のSecIntelフィード機能を拡張し、ブロックリストフィードを使用して緩和のためのIPアドレスとURLの両方を提供します。Juniper ATP Applianceは現在、コマンド&コントロール(C&C)、GeoIP、感染ホストフィードを登録済みのSRXデバイスに配信しています。ブロックリストの緩和オプションが有効になっている場合、ブロックリストフィードは登録済みのSRXデバイスにも配信されます。

Juniper ATP Applianceが現在サポートしているSRXファイアウォールの緩和方法を表19に示します。

表19:SRXファイアウォールの緩和方法
緩和方法	IP アドレスの軽減	URL の軽減
NETCONF	はい	いいえ
SecIntelブロックリストフィード	はい	はい

手記：

SecIntelブロックリストの緩和方法を使用している場合は、この緩和を適用するSRXデバイスがJuniper ATP Applianceに登録されていることを確認してください。

SRXファイアウォールでSecIntelブロックリストフィードを設定するには、まずNETCONF方式を使用して他のSRX設定を削除する必要があります。そうでなければ、設定がエラーを返します。SecIntel ブロックリストフィードを使用して作成できる SRX 構成は 1 つだけです。SecIntel ブロックリストフィードを使用して SRX 設定を作成した後は、他の SRX 設定を作成することはできません。

手記：

IPv6アドレスの場合、Juniper ATP Applianceは、各SRXシリーズファイアウォールがIPフィード内のIPv6データをサポートできるかどうかを確認し、適切なフィードコンテンツを返します。ブロックリストに登録されているIPv6アドレスの場合、フィードは、IPv6フィードデータを受信できるSRXデバイスにのみ配信されます。

IPアドレスとURLのリストをSRXファイアウォールに送信するには、ATP Applianceで緩和ルールを作成する必要があります。

Juniper ATP Appliance Central Manager Web UI で、[ Config > Environmental Settings] > [Firewall Mitigation Settings ] ページに移動します。
[ Add New Auto Mitigation Rule] をクリックします。
[Mitigation Type]カテゴリから[ SRX ]を選択します。
図 21 に示すように、[Mitigation Method] で [SecIntel Blacklist Feed] オプションを選択します。

図21:SecIntelのブラックリストフィード
緩和策の IP フィード名と URL フィード名を入力します。表 20 のガイドラインを参照してください。
[ 追加] をクリックします。

作成した新しい自動軽減ルールが [現在の自動軽減ルール] セクションに表示されます。新しい緩和ルールを編集、削除、無効化、またはテストできます。

表 20:ブロックリストフィードの緩和設定
SRXファイアウォールの緩和フィールド	定義
IP フィード名	ATP ApplianceからSRXファイアウォールに送信された不審なIPアドレスのリストのフィード名を入力します。名前には、カンマ、ダッシュ、アンダースコアなどの特殊文字を含む英数字のみを含める必要があります。
URL フィード名	ATP ApplianceからSRXファイアウォールに送信された不審なURLのリストのフィード名を入力します。名前には、カンマ、ダッシュ、アンダースコアなどの特殊文字を含む英数字のみを含める必要があります。

Juniper ATP Applianceの[Mitigation]タブからSRXアクティビティを表示する

Juniper ATP Appliance Web UIでSRXの緩和操作を監視するには、[緩和]タブに移動してファイアウォールの緩和アクティビティを表示します。

ポリシーが適用中の場合、管理者は、その操作の [軽減策] ページのメッセージに "Pending Apply" と表示されることがあります。

ブロッキングルールを削除するには、設定で [削除] をクリックしてブロッキング設定を削除します。

SRX SSHパブリック/プライベートキーペアの生成

SSH公開/秘密キーペアを生成するには、SRX設定を作成または編集します。
[有効(Enabled)] をオンにし、[新しい SSH キーペアを生成(Generate New SSH Key Pair)] チェックボックスをオンにします。
「保存」をクリックします。
[Current Auto-Mitigation Rules]テーブルで[Edit]をクリックして、同じSRX設定を開きます。新しいSSHパブリックキーがウィンドウに表示されます。
生成されたSSH公開キーをコピーしてSRX CLIに貼り付け、それに応じてSRXを構成します。例えば：
手記：
キーで使用されるSSHシークレットパスフレーズは、2番目の列の[パスワード]フィールドで定義されたパスワードです。

Juniper ATP Appliance Web UIでゾーン接続SRX設定を定義する

ゾーン定義SRX緩和の設定と同様に、ゾーン接続SRX統合は2つの部分からなるプロセスです。

カスタムアドレス帳を定義し、SRX CLIを使用してアドレス帳を1つ以上のゾーンに添付します。
Juniper ATP Appliance Web UIを使用して、SRX緩和統合を設定します。

SRXからゾーンに接続されたポリシーを設定する(SRX管理者が実行)には、次の手順に従います。

SRX CLIを使用して、アドレス帳「Customer_addressbook」を作成し、削除しないIPでアドレスセット「Customer_addressSet」を設定します。
アドレス帳を 1 つ以上のゾーンにアタッチします。
Juniper ATP Appliance Central Manager Web UIに移行して、SRXゾーンに接続されたアドレス帳およびアドレスセットと統合します。

Juniper ATP Appliance Central Manager Web UIからゾーン接続SRX統合を設定するには:
Juniper ATP Appliance Central Manager Web UIで>環境設定>ファイアウォール緩和設定ページに移動し、SRXを選択します。

手記：
Junosバージョン11.2以降を実行しているSRXファイアウォールでは、ゾーンにアタッチされる方法は、常に定義され、常に(暗黙的に)すべてのセキュリティゾーンにアタッチされる「グローバル」アドレス帳を使用します。システム管理者がこのグローバルアドレス帳のアドレスセットを指定する場合は、アドレス帳名フィールドに「グローバル」という単語を入力するだけで済みます。(これはデフォルトのアドレス帳の実際の名前です)。「グローバル」アドレス帳は、「グローバル」という名前の特別なアドレス帳であり、そのブックが構成で使用される場合は、ゾーン接続構成のJuniper ATP Appliance Web UIでそのように参照する必要があります。この例では、「trust」という名前のアドレス帳を使用します。
SRXホスト名またはIPアドレスを入力します。[Host name/IP] フィールドで入力します。
SRXへのログインを許可するNETCONFポート番号を入力します(例:830)。

手記：
NETCONF ポート番号は SRX で設定され、定義されたポート番号は [Juniper ATP Appliance Web UI Config NETCONF Port Number] フィールドに入力されます。
[ユーザー名]フィールドと[パスワード]フィールドに、SRXログイン用のユーザー名とパスワードを入力します。

手記：
SRXへのログインには、ユーザー名とパスワードの設定、またはSSHキーとシークレットパスフレーズの2つのモードがあります(SSHシークレットパスフレーズは、2番目の列の[パスワード]フィールドで定義されたパスワードです)。SSHキーを設定するには、セクションを参照してください。
[有効期限の日数(Expire Days)] フィールドに、軽減された IP アドレスを自動的に削除するまでの日数(0 日はアドレスを削除しないことを示します)を入力します。
[SRX アドレス帳モード] 領域で、アドレスセットの緩和設定に [ゾーン接続済み] を選択します。次に示す設定モード例は [ゾーン接続(Zone Attached)] です。
アドレス帳名を「アドレス帳」または「ゾーン」フィールドに定義します(アドレス帳はゾーン接続セット用で、「ゾーン」はゾーン定義セット用です)。上記の例では、アドレス帳はゾーン接続の設定例の「信頼」として設定されています。
[Address Set] フィールドでアドレスセットを定義します。この例では、SRXポリシーに従って「asset2」を定義しています。
「保存」をクリックします。または、SSH キーを生成する場合は、セクションの手順に従います。
[Config>Environmental Settings]>[Firewall Mitigationgation Settings]ページの下部にある[Current Auto-Mitigation Rules]テーブルで、保存したばかりのSRX設定を見つけ、[Test]リンクをクリックしてSRX統合を確認します。
「編集」をクリックして構成設定を変更するか、「削除」をクリックして構成を削除します。
次に、ゾーン接続ファイアウォールの緩和のためにJuniper ATP ApplianceがSRXにプッシュする情報の例を示します。

例：

「グローバル」アドレス帳とアドレスセットの構文例ゾーン接続の軽減策:

ユーザー定義のアドレス帳とアドレスセットの構文例ゾーンにアタッチされた軽減策:

Cisco ASA ファイアウォールの設定

統合された Cisco ASA ファイアウォールサポートにより、ASA ファイアウォールを導入している企業は、マルウェアブロックのために Juniper ATP アプライアンス製品から Cisco ASA ファイアウォールプラットフォームに IP アドレスをプッシュできます。Juniper ATP Appliance は、REST インターフェイスを使用して ASA ファイアウォールと通信します。

先端：

Cisco ASA ファイアウォールの統合を実行するには、ASA 管理者が REST API エージェントを http://www.cisco.com からダウンロードして有効にする必要があります--ダウンロードには有効なシスコサービス契約が必要であることに注意してください。『Cisco ASA REST API Quick Start Guide』は、オンラインで入手できます。REST API が特定の ASA ハードウェアプラットフォームでサポートされているかどうかを確認するには、「Cisco ASA の互換性」ドキュメントの「ASA REST API Compatibility」セクションを必ず確認してください。

Cisco ASA ファイアウォールの設定

Cisco ASA 管理者は、ASA で「ネットワークオブジェクトグループ」を設定する必要があります。複数のネットワークオブジェクトグループは、ASA ファイアウォールの「非表示」機能であることに注意してください。

Cisco ASA ファイアウォールの設定例:

次に、ASA の設定例を示します。

手記：

この設定には、ネットワークオブジェクトグループの設定を可能にするための「ダミー」の IP アドレスが必要です。SRX統合戦略にも同様の要件が必要です。

Juniper ATP アプライアンスの ASA ファイアウォールの設定

[Config>Environmental Settings] > [Firewall mitigation Settings] ページに移動して、Cisco ASA ファイアウォールで Juniper ATP Appliance によって検出されたマルウェアの自動緩和を設定します。

ASA ファイアウォールを設定するには、次の手順に従います。

[Mitigation Type] 列から [ASA] を選択します。
ファイアウォールのホスト名または IP アドレスを [ホスト名/IP] フィールドに入力します。
デフォルトの 443 と異なる場合は、ファイアウォールのポート番号を入力します。
管理者のユーザー名とパスワードを入力します。
ASA ファイアウォールで設定されているネットワークオブジェクトグループを入力します。
接続の有効期限の日数を入力します。既定値は 60 日です。

FortiManagerコンソールでの設定

まず、Juniper ATP Applianceデバイスを設定する前に、この必要な設定をFortiManagerに適用します。

FortiManagerコンソールで、以下を作成します。

ADOM (管理ドメイン) も有効にする必要があります。ADOM が作成されると、JSON RPC 要求に ADOM 名が必要になります
アドレスグループは、Juniper ATP ApplianceがIPアドレスを追加する前であっても、少なくとも1つのIPアドレス(ダミー)で作成する必要があります。
Webfilter プロファイル(オプション)を作成し、すぐ下のセクションに示すように URL フィルタリングを有効にする必要があります。

手記：
アドレスグループ名(指定されている場合)は、IPアドレスのブロッキング情報をプッシュするために使用されます。Webfilter プロファイル名(指定されている場合)は、URL のブロッキング情報をプッシュするために使用されます。これら 2 つのパラメータはオプションですが、少なくとも 1 つの ---アドレスグループ名または Webfilter 名--を指定する必要があります。どちらも指定されていない場合は、エラーメッセージが表示されます。
ポリシーパッケージを作成します(オプション)。指定した場合、ポリシーは、ポリシーパッケージにインストールターゲットとしてリストされているすべてのFortiGateにインストール(プッシュ)されます。Juniper ATP Applianceでポリシーパッケージ名が設定されていない場合、これらのポリシーはFortiGatesにプッシュまたはインストールされないため、手動またはその他の手段(スケジュールに従ってカスタムスクリプトを実行するなど)でインストールする必要があります。

FortiManagerでは、IPアドレスを「アドレス」の共通プールに追加する必要があり、これらのアドレスをアドレスグループに追加できます。FortiManagerコンソールでアドレスグループを作成する場合は、そのグループに少なくとも1つのIPアドレスを指定してください。以下のメニューを参照してください。

図22:FortiManagerアドレスグループの設定 FortiManager Address Group Setup

また、FortiManagerコンソールでWeb/フィルタープロファイルを作成する必要があり、その下にブロック用のURLを追加できます。

図23: FortiManager Webフィルタの設定 FortiManager Web Filter Configuration

FortiManager Webfilterプロファイルで、URLフィルターを有効にする必要があります。ブロックされるすべてのURLは、Juniper ATP ApplianceからこのURLフィルターにプッシュされます。

図24:FortiManager Enabling the URL filter at the FortiManager

でのURLフィルターの有効化

また、Fortinet FWとFortiManagerの統合には、統合用に作成されたアドレスグループとWebフィルター名を参照するポリシーを含むポリシーパッケージも必要です。このポリシーパッケージのインストール先となるインストール先(fortigateデバイス)を指定します。

図25:FortiManagerポリシーパッケージ Setting a FortiManager Policy Package

の設定

Juniper ATP Appliance Central Managerでの設定

Fortinet ファイアウォールと管理プラットフォームを設定するには、次の手順を使用します。

[軽減策の種類] 列から [Fortinet] を選択します。
ファイアウォールのホスト名または IP アドレスを [ホスト名/IP] フィールドに入力します。
管理者のユーザー名とパスワードを入力します。
Fortinetファイアウォールで設定されたアドレスグループを入力します。
Fortinet ファイアウォールで設定されている Web/フィルタープロファイル名を入力します。

手記：
アドレスグループ名(指定されている場合)は、IPアドレスのブロッキング情報をプッシュするために使用されます。Webfilter プロファイル名(指定されている場合)は、URL のブロッキング情報をプッシュするために使用されます。これら 2 つのパラメータはオプションですが、少なくとも 1 つの ---アドレスグループ名または Webfilter 名--を指定する必要があります。どちらも指定されていない場合は、エラーメッセージが表示されます。
FortiManagerプラットフォームを設定する場合は、[FortiManager]をクリックすると、追加のフィールドが表示されます。

手記：
Juniper ATP Appliance Fortinetの統合は、FortiManagerバージョン5.4以降をサポートしています。
FortiManagerに設定されている管理ドメイン名(ADOM)を入力します。
FortiManagerでも設定されているポリシーパッケージ名を入力します。
「追加」をクリックして、構成を確定します。

FortiManagerは、FortiGateデバイスのマネージャーであり、構成用のJSON-RPC APIベースのアクセスを提供します。Juniper ATP Applianceは、これらのAPIを使用します。

Check Point ファイアウォールを構成する

設定されたチェック・ポイント・ファイアウォールとの統合により、Juniper ATP Appliance製品は、チェック・ポイント・ファイアウォールと連携して通信し、脅威の軽減を実行することができます。Juniper ATP Applianceの管理者は、Check Point Firewallの統合により、特定の脅威をブロックするか、以前に伝播された緩和策を削除するかを選択できます。

通信は SSH インターフェイスを介して行われ、Check Point ユーザーは Check Point デバイスの CLI にアクセスすることもできます。

ブロック情報は、Check Point API を使用して送信されます。Juniper ATP Applianceで確立されたPANとジュニパーの統合サポートと同様に、悪意のあるIPアドレスを統合されたCheck Pointアプライアンスにプッシュすることで、管理者はファイアウォールまたはセキュアWebゲートウェイで脅威を特定し、選択したオブジェクトをCentral Manager Web UIから構成済みのCheck Pointファイアウォールに送信します。

手記：

Check Point Firewall の統合には、Check Point GAiA オペレーティングシステムリリース R76、R77 以降が必要です。GAiAの前身であるCheck Point IPSOとSecure Platform(SPLAT)には対応していません。

Check Point ファイアウォールの構成と導入

Juniper ATP アプライアンス製品は、チェック・ポイントの不審なアクティビティ監視 (SAM) 機能を使用して、悪意のある IP アドレスをチェック・ポイントのアプライアンスに伝搬します。SAMステータスとコマンドは、Check Pointの「Smart Console」ファミリーのWeb UIアプリケーションの「SmartView Monitor」アプリで利用できます。

Check Point GAiAアプライアンスの導入には、セキュリティ管理サーバーとセキュリティ・ゲートウェイの構成が含まれます。スタンドアロン構成では、Security Management ServerとSecurity Gatewayは同じマシンにインストールされます。分散構成では、1 つの Security Management Server で多数の下位セキュリティゲートウェイを管理できます。

Juniper ATP Applianceは、スタンドアロンと分散型の両方のCheck Pointの導入をサポートします。いずれの場合も、Juniper ATP Appliance は Check Point Security Management Server の IP アドレスで設定する必要があります。

他の統合とは異なり、アドレスグループや類似のオブジェクトを設定する必要はありません。Check Point を使用すると、管理者は軽減された IP への接続をドロップまたは拒否し、既存の接続を閉じるか維持するかを選択できます。これらの選択肢は、Check Point 統合の Juniper ATP Appliance の設定時に選択します。

Juniper ATP Appliance ファイアウォールのブロックは、以下のように Check Point CLI SAM コマンドに対応します。

チェック・ポイントの『FW SAM CLI Reference』ガイドは、オンラインで入手できます。

Juniper ATP ApplianceとCheck Pointの統合の構成

Check Point Firewall の統合を構成するには、次の手順を実行します。

Check Point ファイアウォールでジュニパー ATP アプライアンスが検出したマルウェアの自動緩和を構成するには、[環境設定>>ファイアウォール緩和設定] ページに移動します。

[Mitigation Type] 列から [Check Point] を選択します。
ファイアウォールのホスト名または IP アドレスを [ホスト名/IP] フィールドに入力します。
管理者のユーザー名とパスワードを入力します。

手記：
Juniper ATP Appliance で構成された Check Point のログイン資格情報は、シェルが /bin/bash の Check Point アカウントに対応している必要があります。これは Check Point CLI の「エキスパート」モードに相当します。これはデフォルトのシェルではないことに注意してください。デフォルトは clish です。
接続の有効期限の日数を入力します。既定値は 60 日です。
「禁止モード」オプションを選択します。
- ドロップして閉じる - ファイアウォールでブロッキング要求を受信すると、パケットをドロップし、接続を閉じます
- 拒否して閉じる - パケットを拒否し、接続を閉じます
- ドロップ - パケットをドロップします。ドロップ (ブロック) を指定すると、パケットは破棄され、送信側プログラム/システムには何も返されません。そのため、攻撃者は、宛先やファイアウォールに到達したかどうかを知ることができません。攻撃者には、IPアドレスに何もないように見えます。
- 拒否 - パケットを拒否します。reject の場合、UDP で到達できない TCP RST または ICMP ポートが送信者に返されます。
Check Point ファイアウォールのセキュリティ管理サーバーのセキュアな内部通信 SIC 名を入力します。
「適用ホスト」オプションを選択します。
- すべて - すべての適用ホストとグループまたはオブジェクト
- ゲートウェイ - 優先適用ホストとしてのセキュアゲートウェイ
- グループまたはオブジェクト:設定済みのセキュリティポリシーグループまたはオブジェクト

オブジェクトは、Check Point ファイアウォールによって管理されるホスト、ゲートウェイ、ネットワーク、およびホストを表します。グループには、各ネットワークオブジェクトグループがブランチとして表示される場合があります。セキュリティゲートウェイは、企業のセキュリティポリシーを適用し、セキュリティ強化ポイントとして機能します。

Forcepoint SMCの設定

Forcepoint NGFWセキュリティ管理センター(SMC)は、分散ネットワーク企業全体でForcepoint次世代ファイアウォールの一元管理を提供します。Forcepoint SMCは、監視、ログ、アラート、およびレポートを使用して、ネットワークセキュリティイベントの全体像を管理者に提供します。

Juniper ATP Applianceプラットフォームは、悪意のあるIPアドレスとマルウェアにリンクするURLを監視および検出します。Forcepoint SMCとの統合により、Forcepointファイアウォールの内側のユーザーがこれらのIPまたはURLにアクセスできなくなります。

手記：

ATP Applianceは、Forcepoint SMCバージョン6.3.5でテストおよび検証されています。

この統合には、次のようなForcepoint SMCの設定タスクが含まれます。

Forcepoint SMC API を有効にして、他のアプリケーションが SMC API を使用して接続できるようにします。

Forcepoint SMCで、[ ホーム]を選択します。
[ その他 ] > Management Server に移動します。
[Management Server] を右クリックし、[プロパティ] を選択します。
「SMC API」タブをクリックし、「有効」を選択します。
オプションで、「ホスト名」フィールドに、SMC API サービスが使用する名前を入力します。名前を入力しない場合、任意のホスト名に対する API 要求が許可されます。
管理サーバーでリスニングポートが既定の 8082 に設定されていることを確認します。
Management Server に複数の IP アドレスがあり、アクセスを 1 つに制限する場合は、[ アドレスでのみリッスンする] フィールドに IP アドレスを入力します。
暗号化された接続を使用する場合は、「選択」をクリックしてから、「 TLS認証情報」要素を選択します。TLS認証情報の作成手順については、以下の手順をご参照ください。
[ OK] をクリックします。

SMC APIクライアント用のTLS資格証明を作成します。(使用可能な場合は、既存の秘密キーと証明書をインポートできます。

Management Clientで、構成を選択します。
[ Administration > Certificates > TLS Credentials] に移動します。
「 TLS資格証明」を右クリックし、「新規TLS資格証明」を選択します。
証明書要求の詳細を入力します。
- [ 名前 ]フィールドに、SMCのIPアドレスまたはドメイン名を入力します。
- 必要に応じて、残りのフィールドに入力します。詳細については、Forcepointのドキュメントを参照してください。
- 「次へ」をクリックします。
「自己署名」を選択します。
「終了」をクリックします。

[TLS 資格情報] 要素が [TLS 資格情報] > [Administration > 証明書] に追加されます。 [状態] 列には、証明書が署名されていることが示されます。

API Client 要素を作成します。(外部アプリケーションはAPIクライアントを使用してForcepoint SMCに接続します。開始する前に、管理サーバーで SMC API を有効にする必要があります。これらの手順は上記で提供されました。

[ 構成 ] を選択し、[管理] に移動します。
[アクセス権] に移動します。
「アクセス権」を右クリックし、「新規 > API クライアント」を選択します。
「名前」フィールドに、APIクライアントの一意の名前を入力します。
初期認証キーを使用するか、「認証キーの生成」をクリックして新しい認証キーを生成します。ランダムな認証キーが自動的に生成されます。(このキーは一度しか表示されず、ATP Applianceの自動緩和ルールにより、後の手順で入力する必要があるため、メモしておく必要があります。API クライアントは、認証キーを使用して SMC API にログオンします。
[ アクセス許可 ] タブをクリックします。
SMC APIのアクションの権限を選択します。詳細については、Forcepointのドキュメントを参照してください。
[ OK] をクリックします。

Forcepoint SMCの新しい緩和ルールの設定

IPアドレスとURLのリストをForcepoint SMCに送信するには、ATP Applianceで緩和ルールを作成する必要があります。

[ Config > Environmental Settings ] > [ Firewall Mitigation Settings ] ページに移動します。
[ Add New Auto-Mitigation Rule] をクリックします。
[Mitigation Type]カテゴリから [Forcepoint SMC ]を選択します。
デバイス統合のホスト名/IP、ホストプロトコル、ポート番号を入力します。詳細は以下の表に記載されています。
Forcepoint SMCのAPIキーを入力します。
IP リスト名を入力します。このIPリスト名は、既存または新規のIPリストを参照できます。指定したIPリストが存在しない場合は、Forcepoint SMCに送信する悪意のあるIPアドレスがある場合に作成されます。
URL リストのアプリケーション名を入力します。IPリストと同様に、既存または新規のURLリストを参照できます。指定したURLリストが存在しない場合は、Forcepoint SMCに送信される悪意のあるURLがある場合に作成されます。

手記：
Forcepoint SMCは、URLリストでワイルドカードをサポートしていません。したがって、ワイルドカードURLエントリをForcepoint SMCに送信できません。ATP Appliance の URL 軽減策にワイルドカードを含む URL が含まれている場合、ルールを適用すると、ATP Appliance の UI ステータスは "未サポート" と表示されます。
「保存」をクリックします。

図26:ファイアウォールの緩和設定 - Forcepoint SMC

手記：
ATP Applianceで設定を追加または削除しても、ルールのステータス(成功/失敗)は、ATP Applianceの IPフィルタリング>緩和策および URLフィルタリング>ATP Applianceの緩和策ページにすぐには反映されません。ステータスを表示するには、[ データの更新(Refresh Data )] をクリックする必要があります。

表 21: 定義済みの緩和設定
Forcepoint SMCの緩和フィールド	定義
ホスト名/IP	Forcepoint SMCのホスト名またはIPアドレスを入力します。
ポート番号	ポート番号を入力します。デフォルトでは、API 呼び出しのポート 8082 に設定されます。
ホストプロトコル:HTTPまたはHTTPS	[HTTPS] を選択した場合は、Forcepoint SMC SSL 証明の検証を有効にできます。これは、[ SSL証明書の検証 ]オプションを有効にすることによって行われます。また、Forcepoint SMC 証明書の検証に使用する CA 証明書がある場合は、テキストボックスに貼り付けることができます。それ以外の場合は、一連のパブリック CA 証明が使用されます。
APIキー	Forcepoint SMCで作成した認証キーを入力します。
IP リスト名	これは、ATP ApplianceからForcepoint SMCに送信された不審なIPアドレスのリストです。このIPリスト名は、既存または新規のIPリストを参照できます。指定したIPリストが存在しない場合は、Forcepoint SMCに送信する悪意のあるIPアドレスがある場合に作成されます。
URL リストのアプリケーション名	これは、ATP ApplianceからForcepoint SMCに送信される不審なURLのリストです。IPリストと同様に、既存または新規のURLリストを参照できます。指定したURLリストが存在しない場合は、Forcepoint SMCに送信される悪意のあるURLがある場合に作成されます。

Juniper ATP Applianceの緩和策ページから、設定済みの緩和ルールを適用します。

[Mitigation] テーブルで脅威の行 (または複数の行) を選択し、[ Apply] をクリックします。
[適用]をクリックすると、すべてのルールがForcepoint SMCにプッシュされます。
ルールを追加または削除した後、ページを更新してステータスを表示します。
軽減ルールが設定されると、デフォルトで有効になります。使用可能なボタンを使用して、必要に応じてルールを [無効] から [有効] にすることができます。自動軽減ルールの [テスト] ボタンを使用して、構成の精度をテストできます。自動軽減ルールを削除する必要がある場合には、行ごとに [ 削除 ] ボタンを使用することもできます。
手記：
ForcePoint SMC ページの [ファイアウォール軽減設定] の [テスト] リンクを使用して>Forcepoint SMC 構成をテストします。このリンクは、ForcePoint SMCサーバが到達可能であり、APIキーが機能しているかどうかをテストします。

テストが失敗した場合は、次のことを試してください。
- Forcepoint SMCサーバに到達できることを確認します。Forcepoint SMC のデフォルトの API ポートは 8082 です。
- SMCとATP Applianceで構成されているAPIキーが同じであることを確認してください。
- HTTPS構成の場合は、このセクションの手順に従ってForcePoint SMCでTLS資格情報が構成されていることを確認します。

手記：

IP ルールと URL ルールは、自動ミティゲーションに対して有効にできます。自動ミティゲーションを使用すると、ユーザーの操作なしに、統合されたForcePoint SMCにルールを自動的にプッシュできます。詳細については、「自動ミティゲーションの設定」を参照してください。

ATP ApplianceからForcepoint SMCにプッシュされたIPアドレスとURLのリストを表示および編集するには、Forcepoint SMCで次の操作を行います。

[IP List]で、[ Configuration > Network Elements > IP アドレス List ]に移動します。ATP Applianceで作成した名前付きリストが表示されます。
[URL List] の [Other Elements] で、[ Network Applications (by type)] > [URL List] に移動します。ATP Applianceで作成した名前付きリストが表示されます。

エンタープライズ・ネットワーク資産価値の設定

「資産価値」構成ウィンドウを使用して、ネットワーク・セグメント・リスク値を定義します。貴社のエンタープライズネットワークセグメントのアセット価値を認定することで、Juniper ATP Appliance検知システムによって評価される、コンテキスト内の脅威メトリックにさらなる焦点を当てることになります。資産価値のコンテキストは、コンテキストに依存しない脅威レポートに関連する圧倒的なノイズを排除するのに役立ちます。

たとえば、企業の財務部門またはエンジニアリング部門のセキュリティは、リスクの高い資産または重要な知的財産を表す可能性があるため、これらのネットワークセグメントの IP アドレスを [資産価値] 構成ウィンドウに入力できます。Juniper ATP Appliance検出およびチェーンヒューリスティックエンジンは、設定されたアセット値を使用して、検知されたインシデントの脅威メトリックを確認します。

ネットワークセグメントに資産価値を割り当てるには、次のようにします。

[Config>Environmental Settings] > [Asset Value] ページに移動します。
[Network Segment] フィールドに高資産価値ネットワークセグメントの IP アドレスを入力するか、「default」と入力して [default=高リスク] 設定を設定します。
ネットワーク値を入力: 最大 |高い |医学 |低い
アセットの説明を入力します。たとえば、CEOオフィス。
「送信」をクリックします。

アンチウイルス統合の設定

[設定>環境設定(ConfigEnvironmental Settings)] > [アンチウイルス設定(Anti-Virus Configuration)] ページを使用して、エンタープライズネットワークセグメントごとにアンチウイルスツールの統合を設定します。

図 27: アンチウイルスの構成設定 Anti-Virus Configuration Settings

アンチウイルスの設定を実行するには、次の手順に従います。

[Config>Environmental Settings] > [Anti-Virus Configuration] ページに移動します。
ネットワークセグメントの IP アドレスを入力します。
AV ベンダーリストからそのセグメントに設定されたアンチウイルスパッケージを選択し、[追加] をクリックします。

手記：

必要に応じて複数のネットワークセグメントを追加します。たとえば、次の図に示すように、1 つのネットワークセグメントを 10.0.0.0/8 として追加し、もう 1 つのネットワークセグメントを 172.16/16 として追加して、すべてのセグメントをカバーできます。

図 28: AV 設定 Adding Multiple Network Segments to AV Configuration

への複数のネットワークセグメントの追加

エンドポイント統合の構成: Crowdstrike と Carbon Black Response

Carbon Black Response や Crowdstrike エンドポイントの統合を構成するには、Juniper ATP Appliance Central Manager の Web UI 構成>環境設定>エンドポイント統合設定] 構成ページを参照してください。

Carbon Black Response エンドポイント統合の構成
Crowdstrike Endpoint 統合の構成

Carbon Black Response エンドポイント統合の構成
Carbon Black Response API キーの取得
Juniper ATP アプライアンス CM での Carbon Black Response 統合の構成
Crowdstrike Endpoint 統合の構成

Carbon Black Response エンドポイント統合の構成

Carbon Black Response は、マルウェアのリスクスコアを計算する際の 1 つの情報源を提供します - マルウェアはエンドポイントで実行されますか?質問は、マルウェア md5、エンドポイント IP アドレス、マルウェアのダウンロードタイムスタンプの 3 つの条件に基づいて Carbon Black Response サーバーに尋ねられます。

エンドポイントの監視と軽減のための Carbon Black Response の構成は、次の 2 段階のプロセスです。

Carbon Black Response Web UI から Carbon Black Response Account API キーを取得します。参照: Carbon Black Response API キーの取得。
キーとその他のデバイス設定情報を、以下に示す Juniper ATP Appliance Web UI Carbon Black ページに入力します。

図 29:Central Manager の [Carbon Black Response Configuration] ページ Central Manager Carbon Black Response Configuration Page

Carbon Black Response API キーの取得

Carbon Black Response Web UI で、右上の管理者ユーザードロップダウンをクリックし、[プロファイル情報] を選択します。
左側のパネルの [プロファイル情報] メニューから [API トークン] を選択します。
[API トークン] ボックスから [API トークン] をコピーします。
Carbon Black Response サーバのホスト名を取得します(例: https://JATP.cloud.carbonblack.com)

Juniper ATP アプライアンス CM での Carbon Black Response 統合の構成

[Config>Environmental Settings] > [Endpoint Integration Settings] ページに移動します。
[エンドポイントタイプ] として [CarbonBlack] を選択します。
デバイスのホスト名またはIPアドレスを入力します。
[Host Protocol] に [HTTPS] または [HTTP] を入力します。
デバイスのポート番号を入力します。
Carbon Black Response API キーを入力し、[送信 (Submit)] をクリックします。

Crowdstrike Endpoint 統合の構成

CrowdStrike Endpoint Integrationを設定する前に、次のデータを取得します。

CrowdStrike Falcon APIサーバーのホスト名
CrowdStrike Falcon API ユーザー
CrowdStrike Falcon APIキー

手記：

AD統合は、Crowdstrike Endpoint Integrationの前提条件として有効にする必要があります。

[Config>Environmental Settings] > [Endpoint Integration Settings] ページに移動します。
[エンドポイントタイプ] として [Crowdstrike] を選択します。
デバイスのホスト名またはIPアドレスを入力します。
「Crowdstrike API User」と入力します。
Crowdstrike APIキーを入力します。
[追加] をクリックします。
[Current Endpoint Integration] テーブル行の [Test] をクリックして、Crowdstrike 統合を確認します。このリンクは、CrowdStrike サーバーが到達可能であり、API ユーザーとキーが機能しているかどうかをテストします。

Central Manager の Web UI インシデントでは、エンドポイントがマルウェアを実行した場合、EX フラグが表示されます。

BlueCoat ProxySG統合の設定

Juniper ATP Applianceは、ネットワークフォレンジック統合のためにBlueCoatプロキシデバイスが送信されるURLのリストを含む「Webページ」を公開します。BlueCoat ProxySGは、悪意のあるURLリストを定期的にポーリングして、ブロックの詳細を収集します。

Bluecoatは、必要に応じて、ブロックを含むさまざまなルールをJuniper ATPアプライアンスリストに適用するように設定できます。

SSL傍受を避けるために、Juniper ATP Applianceを必ず許可リストに登録してください。BlueCoat SIEでは、SSLインターセプトレイヤーにポリシールールを追加し、Juniper ATP Appliance GSSホスト名をポリシールールの宛先として設定することで実現されます。アクションを「SSLインターセプトを無効にする」に設定します。

関連項目: 外部イベントコレクションのと Bluecoat オプション。

Juniper ATP Appliance側からBlueCoat統合を設定するには:

Central Manager の [Web UI 設定(Central Manager Web UI Config)] >環境設定>BlueCoat 設定(BlueCoat Configuration)] ページに移動します。
空室状況を確認します。
BlueCoat例外ページの値を入力します。デフォルトはcontent_filter_deniedです。

手記：
既定値をユーザー定義の値に変更する必要がある場合は、まず BlueCat で例外を作成します。例外形式に従う必要があることに注意してください: スペースや感嘆符 (!) を含めることはできません。
キャッシュの経過時間を入力します。既定値は 10 分 (キャッシュがない場合は 0) です。
[許可された IP] を入力します (または、フィールドを空のままにしてすべての IP を許可します)。
URLを入力するか、[URLを更新]または[PEMファイルの取得]ボタンをクリックします。
「送信」をクリックします。

BlueCoat側からBlueCoat統合を設定するには:

BlueCoat ProxySG 管理コンソールの設定>SSL>CA 証明書ページに移動して、CA 証明書を作成およびインポートします。
[Import CA Certificate] ページで、下部にある [Apply] をクリックします。
[SSL>CA 証明書(SSLCA Certificates)] ページで、左側のパネルメニュータブから [CA 証明書リスト(CA Certificate Lists)] を選択します。
リストから [browser-trusted] を強調表示し、[編集] をクリックします。
[Edit CA Certificate](CA証明書の編集)ウィンドウで、Juniper ATP Appliance目的の証明書を選択し、[Add](追加)をクリックして、新しく作成した[CA Certificate]エントリを左から右に移動します。=、[Apply](適用)をクリックします。
[ポリシー>ポリシーファイル(PolicyPolicy Files)] ページに移動して、ポーリングを設定します。
[Automatically Install New Policy When Central File Changes] のチェックボックスをオンにします。
[Install Central File from: REMOTE FILE]オプションの[インストール]ボタンをクリックします。
[Install Central File](中央ファイルのインストール)ウィンドウで、Juniper ATP ApplianceのURL([Config>Environmental Settings]>BlueCoat Configuration>URL)を[Installation URL](インストールURL)フィールドに貼り付け、[Install](インストール)をクリックします。
[File Installed](ファイルが正常にダウンロードされ、インストールされました)というメッセージが表示されます。[OK]をクリックします。

次に、CLIから次のように設定して、BlueCoatがポーリングする頻度を設定します。次の例を参照してください。

この例では、ポーリングの間隔を 5 分に設定します。

許可リストルールの設定

強化された許可リスト機能には、許可リストをフィルタリングできる個別の属性 (セレクターとも呼ばれます) の追加が含まれるようになりました。

フィルタリング属性(セレクター)は、以下に基づいています。

脅威元 IP
脅威のターゲット IP
脅威の送信元ドメイン(Threat Source Domain)
脅威のソースホスト
脅威のターゲットホスト
送信元メールID
宛先メール ID
脅威ソース URI
脅威 SHA1 ハッシュ
証明書署名者

サポートされるセレクターは、イベントの種類によって異なります。さまざまなイベントタイプのサポートマトリックスには、次のものが含まれます。

搾り取る	src_ip、dst_ip、ホスト、ドメイン、uri、sha1sum
クッキング(分析)	src_ip、dst_ip、ホスト、ドメイン、uri、sha1sum
感染症	src_ip、dst_ip
ファイル提出(ファイルアップロード)による解析	sha1sumの

先端：

サポートされていないセレクタをルールに追加すると、イベントがルールに一致しなくなり、除外されない可能性があります。

手記：

許可リストに登録されたイベントは [インシデント] テーブルで抑制され、アラートの生成も抑制されますが、これはマルウェア分析には影響しません。ただし、許可リストセレクターは削除でき、抑制された対応するインシデントが再生成されます。

先端：

許可リストルールのさまざまなセレクターは AND で連結されていることに注意してください。OR 演算を実行するには、OR 演算する必要があるセレクタを使用して個別のルールを作成します。

[ ホワイトリストルール] ページの [設定] タブ> 許可リストフィルタリングルールを設定します。[インシデント] ページの [ ホワイトリストに追加 ] リンクを使用して、許可リストとフィルタリング条件を管理します。

図 30: [Allowlist Rules Configuration] ページ

手記：

SSL傍受を避けるために、Juniper ATP Applianceを必ず許可リストに登録してください。

許可リストのフィルタリングルールを設定するには:

Central Manager Web UI の [Config>Whitelist Rules] ページに移動します。
[追加] をクリックして、新しい許可リストルールの条件を設定します。

図 31: [新しい atp レルムの作成 Whitelist Rule] ウィンドウ

[新しい atp レルムの作成ホワイトリストルール] ウィンドウで、新しいルールの基準を入力し、この時点で含めるチェックマークを付けます (必要に応じて、後で無効にしたり再度有効にすることができます)。

先端：

表示されているすべてのセレクタを使用して特定のイベントに一致するか、一部のセレクタのチェックを外して許可リストの範囲を広げます。

手記：

許可リストに複数の属性を選択した場合、それは AND 条件になります。

フィールドは次のように定義されています。

ルールの基準	形容
名前	ルールの名前を入力します。
脅威元 IP	脅威送信元の IP アドレスを入力します。
脅威のターゲット IP	ターゲットエンドポイントの IP アドレスを入力します。
脅威の送信元ドメイン(Threat Source Domain)	脅威ソースのドメイン名を入力します
脅威のソースホスト	脅威ソースの HTTP プロトコル(サーバー)ホストを入力します。
脅威のターゲットホスト	脅威ターゲットの HTTP プロトコル(サーバー)ホストを入力します。
送信元メールID	ソースメールIDを入力します。
宛先メール ID	宛先の電子メールIDを入力します。
脅威ソース URI	脅威ソースの URI を入力します。
脅威 SHA1 ハッシュ	SHA1 ハッシュを入力します。
証明書署名者	デジタル証明書に記載されている氏名を入力します。そのため、署名者が Google, Inc. の場合、許可リストルールは Google, Inc. が署名したファイルと一致しないため、Google だけを入力することはできません。これはオプションのエントリです。署名者がいない場合は、「証明書署名者」フィールドを空白のままにします。

[送信(Submit)] をクリックして、許可リストルールの設定を完了します。

手記：
Juniper ATP Appliance リリースでは、ユーザーが署名証明書に基づいて許可リストに登録できるようにすることで、許可リスト機能を強化できます。

[インシデント] ページからの許可リストフィルターの更新と再定義

[インシデント] タブで、次に示すように、インシデントに [ ホワイトリストに追加] オプションが含まれている場合は、インシデント許可リストプロセスの一部として、これらの同じ条件を再度編集して適用できます。

インシデントを許可リストに追加する際に許可リストフィルター条件を編集するには、[ ホワイトリストに追加 ]リンクをクリックします。
[ ホワイトリストルールの更新 ]ウィンドウでは、許可リストルール条件を追加したり、現在設定されている条件を選択解除(オフ)したり、ルールセットをそのまま更新したりできます。
[送信(Submit)] をクリックすると、インシデントが [ ホワイトリストルールの更新(Update Whitelist Rule)] ウィンドウで定義およびオンにされた基準に従って許可リストに追加されます。

図 32: [Update Whitelist Rule] ウィンドウ Update Whitelist Rule Window

注意：

許可リストルールに追加/削除/更新(変更を加える)するときは、ゆっくりと進めることが重要です。変更を行った後、許可リストを有効にするまで数分待ちます。ルールが更新されていないと思われる場合は、ダミーのルール更新を実行して、次のテスト実行戦略を使用して状況を修正します。

[ Config>Whitelist Rules ] ページに移動し、[Add Rule] をクリックします。
テストルールのルール名 (DummyRule など) を指定します。
ハッシュ値を :abcd として指定します。
[送信]をクリックします。
数分待ってから、このルールを削除します。

手記：
許可リストルールは、通常のサービスシャットダウンに依存してバックアップされます。VM を直接パワーオフすると、ルールを保存できないため、許可リストの状態は失われます。

YARAルールの設定

YARAルールを構成して有効にし、関連するマルウェアの一致についてオブジェクトファイルとトラフィックファイルを分析します。マルウェアのバイトパターンの一致が特定された場合、アナリストはそのバイトパターンをYARAルールとして指定し、Juniper ATP Appliance Central Managerにアップロードして、Juniper ATP Applianceのマルウェアのデトネーションと分析サイクル中に、関連する悪意のあるファイルの検出に使用することができます。

YARAルールは、特定されたファミリーのサンプルから得られたテキストまたはバイナリパターンに基づいて、マルウェアファミリーとして定義できます。ルールの説明は、一連の文字列と、ルールのロジックを確立するブール式で構成されます。さらに、YARA統合の結果がインシデントページに表示され、オブジェクトを悪意ありとして分類できるかどうかが示されます。YARAルールは、マルウェアサンプルの分類にも使用されます。

YARAルールを作成するには
YARAルールをアップロードして有効にするには:
YARAルールのマルウェア検出の確認

YARAルールを作成するには

一致させるパターン、条件、または文字列を指定する1つ以上のYARAルールを含むテキストファイルを作成します。以下にいくつかの例を挙げます。

手記：

管理者は、特定のファイルタイプ(例:「pdf」、「exe」、「docx」)に対してYARAルールを定義するか、すべてのファイルタイプ(例:「common」)にルールを適用できます。1つのYARAルールファイル内に複数のルールを含めることができます。

YARAルールをアップロードして有効にするには:

Config>Environmental Settings>YARA Rule Uploadに移動します。

ファイルタイプの選択: exe |dllの |PDFファイル |ドキュメント |XLSの |PPTの|ジャワ |APKの
[ファイルを選択] をクリックして、YARA ファイルを参照してアップロードします。
[説明] を入力します。
[Enable] または [Disable] のオプションボタンをクリックします。
有効にすると、[追加] ボタンが表示されます。「追加」をクリックして、YARAルールのコンパイルと構文検証を開始します。構文エラーがない場合、YARAルールが検出システムに追加されます。

手記：

ルールを 1 つずつアップロードします。ただし、1 つのルールファイルに複数のルールを含めることができます。

YARAルールがコンパイルされ、システムに追加されると、ネットワークオブジェクトがスキャンされ、ルールが一致するかどうかが確認されます。ルールの一致は脅威の検出に寄与し、Web UI の [インシデント(Web UI Incidents)] ページでマルウェアとして認識されます。

YARAルールのマルウェア検出の確認

[インシデント] ページには、YARA ルールの一致がマルウェアとして表示される場所がいくつかあります。

図33:Yaraルール一致レポートは、インシデントダウンロードの詳細 Yara Rule Match Reporting also Displays in Incidents Downloads Details

にも表示されます

アイデンティティの設定

ID設定オプションを使用すると、Splunkの取り込みを介してJuniper ATP Applianceに送信されたActive DirectoryのID情報をインポートできます。この機能は、Juniper ATP Applianceの既存のサポートであるJuniper ATP Applianceコアへの直接ログ取り込みを補完するもので、ログとイベントの処理にSplunkの導入を使用する企業向けにSplunk転送オプションを追加します。

「」も参照してください。

以前のリリースでは、ID 情報は Active Directory から直接入手できました。

いくつかの設定を実行する必要があります。

Juniper ATP Appliance Web UI、Juniper ATP Appliance Config>Environmental Settings>Splunk統合からSplunkを設定します。
Juniper ATP Appliance から Carbon Black Response を構成します>環境設定>外部イベントコレクター。
ADとSplunkのIDは、次のセクションの[Juniper ATP Appliance Config>Environmental Settings>Identity Configurations]ページから行います。

SplunkのID構成の設定
Active Directory の ID 構成の設定
Active Directory ログの取り込み
Active DirectoryログのSplunkユニバーサルフォワーダー
Splunk WMIによるActive Directoryログの転送

SplunkのID構成の設定

ATP Appliance Splunk Ingestion を設定するには、以下の手順を実行します。

Juniper ATP Appliance Central Manager Web UI Config>Environmental Settings>Splunk Configurationページに移動します。[Add New Identity Source] をクリックします。

図 34: [Identity Configuration] ページ
[ソースの種類] として [Splunk] を選択します。
[Identity Source] で [Audit Logs] または [LDAP Add-on] を選択します。
イベントログの収集方法として [WMI] または [ユニバーサルフォワーダー] を選択します。
オプションのSplunkインデックスを入力します。
[逆引き DNS を使用する] 設定で [有効] または [無効] を選択します。
「Exclude Hostnames」と入力し、カンマで区切ります。これらのホストの ID マッピングは無視され、イベント処理および表示には含まれません。
「送信」をクリックして、設定を完了します。

Active Directory の ID 構成の設定

Juniper ATP Appliance Central Manager Web UI Config>Environmental Settings>Splunk Configurationページに移動します。[Add New Identity Source] をクリックします。
[ソースの種類] として [Active Directory] を選択します。
ホスト名/IP アドレスを入力します。
ユーザー名とパスワードを入力します。
検索タイプとして「グローバル・カタログ検索」または「ローカル検索」を入力します。
[逆引き DNS を使用する] 設定で [有効] または [無効] を選択します。
ドメインコンポーネント名を入力します。
SSL 設定を [有効] または [無効] から選択します。
LDAP ポート番号を入力します。

手記：
通常使用されるポート番号: グローバルカタログ検索 [SSL 有効 - 3289;SSL無効 - 3268];ローカル検索 [SSL 有効 - 636;SSL 無効 - 389]
[逆引き DNS を使用する] 設定を有効または無効にすることを選択します。
「Exclude Hostnames」と入力し、カンマで区切ります。これらのホストの ID マッピングは無視され、イベント処理および表示には含まれません。
「送信」をクリックして、設定を完了します。

Active Directory ログの取り込み

Juniper ATP Applianceは、Universal Forwarder on DCまたはVMI方式を使用して、Splunk経由でADログの取り込みをサポートします。

Active DirectoryログのSplunkユニバーサルフォワーダー
Splunk WMIによるActive Directoryログの転送

重要: 始める前に、いくつかの注意事項があります。

Active Directory、Splunk、Juniper ATP ApplianceはすべてNTPと同期する必要があります。
AD ログの取り込みは、一度に Direct または Splunk 経由でのみ行うことができます。
Splunk経由のADログでは、UIの「ホスト名を除外する」構成を実際にホスト名を除外するように設定する必要があります。
これまでエンタープライズ環境でAD-Splunkの統合を採用したことがなく、今回初めての導入の場合、Juniper ATP ApplianceはWMI方式とユニバーサルフォワーダー方式の両方をサポートしており、どちらか一方を推奨しません。ただし、Splunkのドキュメントでは、WMIメソッドでパフォーマンスの問題が報告されているため、ドメインコントローラー用のユニバーサルフォワーダーを推奨しています。

Active DirectoryログのSplunkユニバーサルフォワーダー

DCでSplunkアプリを使用してSplunk for ADを設定するには、次の手順に従います。

セキュリティ監査ログを受信するためのアドオンをインストールします。

このリンクを確認して、インストールするインフラストラクチャアドオンを決定します。

http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ Windowsインフラストラクチャ用にSplunkAppを導入する方法

Splunkのデプロイオプションの詳細については、こちらのリンクをご覧ください。

http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentsは

導入オプション:
- Search Head上のWindowsインフラストラクチャ用Splunkアプリ(セキュリティ監査ログの受信用)
- Search HeadのActive Directory用Splunkアドオン(LDAP検索用)
- Splunk Add On for Windows on サーチヘッド、インデクサー、ユニバーサルフォワーダー
以下に示すように、Splunk WebコンソールからActive Directoryアドオンを設定します。

図35:ADセキュリティ監査ログを受信および転送するためのSplunkアドオン構成
[Settings] > [Forward And Receiving (Data)]->[Configure Receiving->New] に移動して、Windows データを受信するように Splunk Indexer を構成します。

図 36: Splunkの[Add New Forwarding & Receiving Data Configuration]ウィンドウ
Windowsインフラストラクチャ用のSplunkアプリを導入します。次のリンク先の手順を使用します。

http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentsは

http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/InstallaSplunkIndexer

手記：
次のリンクからの情報を使用して、ドメインコントローラーにユニバーサルフォワーダーをダウンロードしてインストールします。

Universal Forwarder は、イベントログを Splunk Indexer に送信する方法の 1 つです。もう 1 つの方法は、次のセクション ) に示す WMI メソッドを使用したエージェントレス転送です。
- Universal Forwarder のダウンロード: https://www.splunk.com/en_us/download/universal-forwarder.html
- MSIをダウンロードして、インストールを開始します。ユニバーサルフォワーダーを、このリンクの指示に従って構成します。
  
  http://docs.splunk.com/Documentation/Forwarder/6.5.3/Forwarder/ InstallaWindowsユニバーサルフォワーダーフロムaninstaller#Install_the_universal_forwarder_for_use_with_onpremises_ Splunk_instances
- 下の画像に示すように、適切なチェックボックスを選択した後、[カスタマイズ]オプションをクリックします。
- [次へ] をクリックし、WMI を使用して他のドメインコントローラーをポーリングする場合を除き、[ローカルアカウント] を選択します。もう一度 [次へ] をクリックします。
- 以下に示す次の設定ウィンドウで、[セキュリティログ転送]オプションを選択します。「次へ」をクリックします。
- 展開サーバーのホスト名とポート(デフォルトは8089)を入力し、[次へ]をクリックします。
- 次の例のように、[Receiver Index] と [Port] (既定値は 9997) を入力し、[Next] をクリックします。
指示に従って、次のリンクから Active Directory データを取得します: http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/DownloadandconfiguretheSplunkAddonsforActiveDirectory
- AD と Powershell の GPO を構成します。
- Splunk Add On For Microsoft Active Directory をダウンロードしてください。
- Splunk Add On for Microsoft Powershellをダウンロードしてください。
- Un-TARは、7zipまたは別のアーカイブユーティリティを使用してTARファイルをダウンロードしました。
- 結果の SA-ModularInput-PowerShell と Splunk_TA_microsoft_ad をユニバーサルフォワーダーのインストールパスにコピーします。
- Universal Forwarder コンポーネントを再起動します。
  - services.msc
  - SplunkForwarderサービスを見つけて再起動します。
- Splunk Search Headがデータを受信していることを確認するには、次のいずれかの手順を実行します。
  - [App & Reporting > Data Summary] で UI を検索して、ドメインコントローラーホストが構成されていることを確認します。
  - または、"source="wineventlog:security" AND EventCode=4769 AND Service_Name != krbtgt |テーブル _time Account_Name Client_Address Service_Name |_timeの名前をUserName Logon_Time Account_Name IPAddressとしてClient_Addressホスト名としてService_Name名前を変更します」
Splunk Web IndexerでSplunk App for Windowsインフラストラクチャを設定する。前提条件に注意してください。
- 以下に示すように、管理者ユーザーのロールを変更して、管理者ユーザーに winfra-admin ロールを付与します。

Splunk WMIによるActive Directoryログの転送

WMIメソッドを使用してSplunkとのAD統合を設定するには、次の手順を使用します。

手記：

Splunkサーバーのセットアップ要件は、次のリンクからも入手できます http://docs.splunk.com/Documentation/Splunk/6.6.0/Data/MonitorWMIdata

Splunk EnterpriseとWindowsネットワークの両方が、WMIデータアクセス用に正しく設定されている必要があります。Splunk Enterprise を使用して WMI データを取得する前に、以下の前提条件を確認してください。

Splunk EnterpriseがWMIベースのデータを取得する前に、次のことを行います。
- Splunk Enterprise は、リモートネットワーク接続を実行する権限を持つユーザーとともにインストールする必要があります。Splunkのインストール中に、ローカルアカウントまたはドメインアカウントの入力を求められます。ドメインアカウントを選択します。
- Splunk Enterprise を実行するユーザーは、Active Directory (AD) ドメインまたはフォレストのメンバーであり、WMI プロバイダーを照会するための適切な権限を持っている必要があります。
- Splunkユーザーは、Splunk Enterpriseを実行するコンピューターのローカル管理者グループのメンバーでもある必要があります。
- Splunk Enterpriseを実行するコンピューターは、リモートマシン(AD)に接続でき、接続後にリモートマシンから目的のデータを取得する権限を持っている必要があります。
Splunkをインストールしたら、Splunkにログオンし、[Settings]-[> Data Inputs]に移動します。
2番目のオプションである[リモートイベントログ収集]をクリックし、[新規]をクリックします。
ログ収集の名前を選択し、AD サーバーの IP アドレスを入力します。
SplunkがADサーバーへのWMIクエリを実行できる場合は、次に示すように[Select イベントログ]オプションが表示されます。「セキュリティ」を選択し、「次へ」をクリックします。
次のページでホストの詳細を入力します。インデクサーを選択する場合は、それを選択するか、既定値のままにします。

設定を確認して送信します。

Splunkサーバーから、C:\Program Files\Splunk\etc\system\localに移動し、次の設定を追加します。

Splunkを再起動し、SplunkですべてのActive Directoryセキュリティログが利用できることを確認します。

Active Directory の構成

Endpoint Identity統合は、電子メールとHTTPインシデントの関連付けをサポートします。また、電子メールの相関関係は、Juniper ATP Applianceの東西エンタープライズ全体の水平方向検出フレームワークと統合されています。Juniper ATP Applianceは、お客様のネットワーク内のAD(Active Directory)サーバーへのリモート認証をサポートします。ADとエンドポイントIDの統合により、横方向の拡散検知では、エンドポイントのホスト名が利用可能な場合、(ホストIPアドレスではなく)ノード名として表示されます。

手記：

ID 機能を動作させるには、Active Directory の構成が必要です。

「 ID の構成」も参照してください。

「 AD ドメインコントローラの構成要件とヒント」および「Active Directory のトラブルシューティング」も参照してください。

Active Directory の構成は、次の連続したセクションで説明されています。

パート 1 - ドメインコントローラーのドメインコンポーネント名の取得
パート 2 - Web UI からの Active Directory ドメインコントローラーの構成

パート 1 - ドメインコントローラーのドメインコンポーネント名の取得

このパート 1 セクションでは、Active Directory ドメインコントローラーから AD を構成するために必要なドメインコンポーネント名を取得する方法について説明します。パート 2 で説明した Juniper ATP Appliance Central Manager Web UI から AD ドメインコントローラー統合を構成する前に、これらの手順を実行してください。

Active Directory 統合の前提条件
ドメインユーザーまたはグループの作成

Active Directory 統合の前提条件

AD 統合を構成する前に、次の要件に従ってください。

Windows Management Instrumentation(WMI)検索とLDAP検索の両方に管理者資格情報が必要なため、AD用に構成されたユーザーには管理者権限が必要です。ADユーザーは「読み取り専用」の管理者ユーザーにすることができますが、次の権限が必要です。
- ユーザーアカウントは、"分散 COM ユーザー" Active Directory グループに属している必要があります。
- ユーザーアカウントには、ドメインコントローラーコンピューター上の WMI 名前空間 (CIMV2 名前空間) にアクセスするためのアクセス許可が必要です。
- ユーザーアカウントには、ドメインコントローラーコンピューター上のセキュリティイベントログを読み取るためのアクセス許可が必要です。
Juniper ATP Applianceは、指定された時間内(現在の時刻から5分の範囲)に基づいてADにクエリを実行するため、Active DirectoryドメインコントローラとJuniper ATP Appliance Core/CMをNTPサーバーに同期する必要があります。
ADドメインコントローラがファイアウォールの内側にある場合は、ファイアウォールを開いて、Juniper ATP Appliance Core/CMデバイスがADに到達できるようにしてください。
- LDAP 検索と WMI クエリに必要なポート番号のファイアウォールを開きます。
- LDAP 検索のデフォルトポート番号
  - ローカル検索の場合:ポート389(非SSL)、ポート636(SSL)。
  - グローバルカタログ検索の場合:ポート 3268 (SSL 以外)、ポート 3269 (SSL)。
    
    手記：
    SSL モードの場合、お客様は Active Directory 証明書サービスをインストールし、証明書をインストールする必要があります。LDAPS は再起動しないと機能しないため、この後、ドメインコントローラーサーバーを再起動する必要があります。
- WMI は、初期接続に TCPポート 135 を使用します。コアがファイアウォールの内側にある場合、お客様はポート135のファイアウォールを開く必要があり、さらに次のことを行う必要があります。
  - WMI を固定ポートに結び付け、固定ポートのファイアウォールも開きます。この固定ポートは、WMI データ交換に使用されます。
    
    手記：
    WMI を固定ポートに結び付ける手順については、https://msdn.microsoft.com/en-us/library/bb219447(VS.85) を参照してください.aspx
    
    また、Windowsファイアウォールが固定ポート用に開かれているかどうかも確認してください。
  - またはファイアウォールでは、DCOM がこの範囲内のポートのいずれかを使用する可能性があるため、ポート範囲 49152 から 65535 を開きます。
AD の監査ポリシーで、ログオンが成功したときに必要なイベント (特にイベントコード 4769 の Kerberos イベントの種類) が生成されることを確認します。
Juniper ATP Applianceは、これらのログをID用にスクレイピングするため(Juniper ATP ApplianceがID情報を取得するためには、セキュリティログがログを実行している必要があります)、最大ログファイルサイズになるように、Windowsセキュリティログプロパティの[必要に応じてイベントを上書きする(最も古いイベントが最初に)]オプションを必ず設定してください。

また、Windows 2008 および Windows 2012 のドメインコントローラーイベントログを照会するために、管理者以外のユーザーを設定します。

Juniper ATP Appliance Coreは、ドメインコントローラのイベントログを照会して、ホストツーIPマッピングを取得します。必ず、Juniper ATP Appliance Core/CM を設定して、ドメイン管理者グループの一部であるユーザーを含むドメインコントローラーにクエリーを実行してください。これは制限的であり、管理者にとって潜在的に危険です。

Juniper ATP Appliance Coreで実行されているADエージェントは、WMIを使用してActive Directoryドメインコントローラにセキュリティイベントログを照会するため、管理者ユーザーは必要ありません。また、Juniper ATP Applianceは、DCOM(Distributed COM)技術を使用して、ドメインコントローラへのリモートコールを処理します。管理者以外のユーザーの場合は、DC のクエリを許可するために、次のアクセス許可を必ず設定してください。

DCOM アクセス許可 (これは、分散 COM ユーザー AD グループに属している必要があります)。
ドメインコントローラーデバイス上の WMI 名前空間 (CIMV2 名前空間) にアクセスするための WMI アクセス許可。
ドメインコントローラーデバイスのセキュリティイベントログを読み取るためのアクセス許可。

ドメインユーザーまたはグループの作成

ドメインユーザーまたはグループを作成するには、次に示すように、[Active Directory ユーザーとコンピューター] ウィンドウオプションを使用して、新しいユーザー/グループをドメインの組み込みグループ ("分散 COM ユーザー" と "イベントログリーダー" ) に追加します。

図 37: [Active Directory Users and Computers] ウィンドウの [Member Of] 設定

Active Directory Users and Computers Window “Member Of” Settings

次に、ユーザー/グループ WMI アクセス許可を設定します。

Windows Management Instrumentation (WMI) コンソールを実行します。
[スタート] を選択し、[ファイル名を指定して実行] をクリックして、次のように入力します。 wmimgmt.msc
[OK] をクリックし、Enter キーを押します。
「WMIコントロール」を右クリックし、「プロパティ」を選択します。
[セキュリティ]タブを選択し、[ルート]を展開します。
「CIMV2」を選択し、「セキュリティ」をクリックします。

図 38: Windows Management Instrumentation (WMI) コンソール設定
AD ドメインコントローラーを操作するために作成したドメインユーザーを追加します。ユーザーに「アカウントの有効化」と「リモート有効化」の権限を設定します。

図 39: ROOT\CIMV2 $WMI Console Settings for Security for ROOT\CIMV2$ のセキュリティに関する WMI コンソール設定
「詳細」をクリックします。ドメインユーザーを選択し、「適用先」が「この名前空間とサブ名前空間」に設定されていることを確認します。

図 40: CIMV2 の WMI コンソールの高度なセキュリティ設定
[OK] を選択して変更を保存します。

図 41: WMI コンソールの [セキュリティの詳細設定] のファイナライズ

次に、ドメインコントローラーのドメインコンポーネント名を取得します。

ADサーバーに移動します。
「管理ツール」を実行します。
「Active Directoryユーザーとコンピュータ」を実行します
「Active Directoryユーザーとコンピューター」をクリックし、右側で名前を見つけます(例:pod001.eng.JATP.com は、下のサンプルスクリーンショットのドメインコンポーネント名として表示されています)。
手順 4 とまったく同じドメインコンポーネント名を使用します。Juniper ATP Applianceの[Active Directory Configuration](アクティブディレクトリ設定)ページの[Domain Component](ドメインコンポーネント)フィールドに追加できるようにメモしておいてください(パート 2 - Web UIからActive Directoryドメインコントローラを設定するで説明)。

図 42: [AD Users and Computers] ウィンドウ Domain Component Name in the Name Column of the AD Users and Computers Window

の [Name] 列のドメインコンポーネント名

次に、ローカル WMI サービスをテストします。

[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「 wmimgmt.msc」と入力して、[OK] をクリックします。
[WMI コントロール (ローカル)] を右クリックし、[プロパティ] をクリックします。
WMI サービスが正しく構成されている場合、WMI コントロールは WMI に接続し、[プロパティ] ダイアログボックスを表示します。[全般] タブに、オペレーティングシステムと WMI のバージョンに関する情報が表示されます。

図 43: [WMI コントロール (ローカル)] のプロパティページ WMI Control (Local) Properties Page

次に、WMI アクセス許可を確認します。

AD コンピューターで、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「 wmimgmt.msc」と入力して、[OK] をクリックします。
[WMI コントロール] を右クリックし、[プロパティ] をクリックします。
[セキュリティ] タブで、[ルート] を展開し、[WMI] をクリックします。
結果ウィンドウの [セキュリティ] をクリックして、アクセス許可を表示します。ユーザーに権限がない場合は、権限を設定します。

図 44: WMI コンソールのセキュリティ設定 WMI Console Security Settings

次に、LDAP SSL 接続を確認します。証明書をインストールしたら、次の手順に従って LDAP が有効になっていることを確認します。

Active Directory 管理ツール (Ldp.exe) を起動します。

手記：
Active Directory 管理ツールプログラムは、Windows 2000 サポートツール領域にインストールされます。
[接続] メニューの [接続] をクリックします。
接続するドメインコントローラーの名前を入力します。
ポート番号として「636」と入力します。
[OK] をクリックします。
「パート 2 - Web UI からの Active Directory ドメインコントローラーの構成」に進みます。

パート 2 - Web UI からの Active Directory ドメインコントローラーの構成

Active Directory ドメインコントローラーを構成するには、次の手順を実行します。

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>Active Directory 設定ページに移動します。
[Add New AD Domain Controller] ボタンをクリックします。AD ドメインコントローラーの構成要件とヒント。
AD ドメインコントローラのホスト名/IP を入力します。
AD サーバーユーザーのユーザー名とパスワードを入力します。
「検索タイプ」オプションとして「グローバルカタログ検索」または「ローカル検索」を選択します。

グローバル検索は、AD データベース全体の検索です。ローカル検索は、財務部門など、特定のドメインコンポーネントに固有に構成された検索です。
「ローカル検索」オプションが選択されている場合は、「ADドメイン・コントローラ・ドメイン・コンポーネント名」を入力します。ローカル検索とグローバル検索の両方で、AD ドメインコントローラーのドメインコンポーネント名は必須です (オプションではありません)。
SSL ステータスを [有効] または [無効] から選択します。
LDAP ポート番号を入力します。
「送信」をクリックします。[Current AD Domain Controller] テーブルには、新しい AD Controller が一覧表示されます。
AD コントローラの設定を編集するには、[現在の AD ドメインコントローラ(Current AD Domain Controller)] テーブルで [編集(Edit)] をクリックします。AD コントローラの設定を削除するには、[現在の AD ドメインコントローラ(Current AD Domain Controller)] テーブルで [削除(Delete)] をクリックします。

手記：
グローバルカタログ検索に通常使用される AD ドメインコントローラーの LDAP ポート番号は SSL 対応 3269 です。SSL 無効 3268。ローカル検索に通常使用される AD ドメインコントローラーの LDAP ポート番号は SSL 対応 636 です。SSL 無効 389。

接続をテストするには、[Current AD Domain Controller] テーブルの [Test] リンクをクリックします。

システムメッセージに、AD ドメインコントローラーへの WMI および LDAP 接続の結果が表示されます。

AD ドメインコントローラーの構成要件とヒント
構成要件とヒント
Active Directory のトラブルシューティング

AD ドメインコントローラーの構成要件とヒント

Juniper ATP Applianceは、5分ごとにADドメインコントローラをポーリングして、ADからIDデータを取得します。IDデータは、LDAP検索を使用してイベントコード4769とADデータストアのログをクエリすることにより、WMIを使用してADのセキュリティイベントログから取得されます。ID データには、各認証イベントのマッピング、エンドポイントのホスト名、エンドポイントの IP アドレス、エンドポイントへのログインに使用されたユーザー名、およびユーザーのメールアドレスが含まれます。複数の AD ドメインコントローラーを 5 分間隔で構成してポーリングできます。

構成要件とヒント

AD ドメインコントローラーの要件と推奨される構成設定の次の一覧を確認します。

設定された AD ユーザーには、管理者権限が必要です。AD アカウント管理者は、(1) 分散 COM ユーザー AD グループに属している必要があり、(2) アカウントには、ドメインコントローラーデバイス上の WMI 名前空間 (CIMV2 名前空間) にアクセスするアクセス許可が必要であり、(3) アカウントには、ドメインコントローラーデバイスのセキュリティイベントログを読み取るためのアクセス許可が必要です。
ADポーリングを5分間隔で最適化するには、Active DirectoryドメインコントローラーとJuniper ATP Appliance Core+CMの両方をNTPサーバーに同期する必要があります。
Active Directoryドメインコントローラがファイアウォールの内側にある場合、管理者はファイアウォールを開いて、Juniper ATP Appliance Core+CMがADコントローラに到達できるようにする必要があります。LDAP 検索と WMI クエリに必要なポート番号のファイアウォールを開きます。

LDAP 検索のデフォルトポート番号:
- (指定されたドメインコンポーネントの)ローカル検索では、非SSLの場合はポート番号389、SSLの場合は636を使用します。
- (指定されたドメインコンポーネントの)グローバル検索では、非SSLの場合はポート番号3268、SSLの場合は3269を使用します。
  
  手記：
  SSLモードの場合は、必ず「Active Directory証明書サービス」をインストールし、証明書をインストールしてください。LDAP は再起動しないと機能しないため、証明書のインストール後に AD ドメインコントローラーサーバーを再起動する必要があります。
WMI では、初期接続に TCPポート 135 が使用されます。Core+CM がファイアウォールの内側にある場合、管理者はポート 135 のファイアウォールを開いてから、次の操作を行う必要があります。
- また、WMIを固定ポートに結び付け、ファイアウォールも固定ポートに開きます。ポート 135 は、初期接続ハンドシェイクに使用されます。固定ポートは WMI データ交換に使用されます。
  - WMI を固定ポートに接続する手順については、 https://msdn.microsoft.com/en-us/library/bb219447(VS.85) を参照してください.aspx
  - また、Windowsファイアウォールが固定ポート用に開かれていることを確認してください。
- または、ファイアウォールで、ポート範囲 49152 から 65535 を開きます (DCOM はこの範囲のポートのいずれかを使用する可能性があるため)。
AD ドメインコントローラーの監査ポリシーで、ログオンの成功 (特にイベントコード 4769 の Kerberos イベントの種類) が許可されていることを確認します。
Windows セキュリティログプロパティの設定を構成します: "必要に応じてイベントを上書きする (最も古いイベントから順に)"。[最大ファイルサイズ] を選択して、ID ポーリングカバレッジをフルにします。

Windows 2008 および Windows 2012 のドメインコントローラーイベントログを照会するための管理者以外のユーザーの設定については、「 Active Directory 統合の前提条件」も参照してください。

Active Directory のトラブルシューティング

このセクションでは、Active Directory ドメインコントローラーの統合が機能しているかどうかを判断する方法について説明します。

Juniper ATP Appliance CLI から「setupcheck all」コマンドを実行するか、[Config>Environmental Settings] > [Active Directory Configuration] ページにある [Current AD Domain Controller] ウィンドウで [Test] ボタンオプションをクリックして、Active Directory 統合が機能しているかどうかを確認します。
Active Directoryドメインコントローラーの統合が機能していない場合:
- AD エージェントは、引き続き 1 時間ごとに正常性アラートを送信します。
- また、AD エージェントは、何らかの理由で AD に到達できない場合にも GSS にアラートを送信します。

AD エージェントは、次の理由で ID 情報を取得できない場合があります。

Active Directory ドメインコントローラーに到達できません (接続の問題またはダウンしています)
アクティブドメインコントローラーのクエリは、完了するまでに時間がかかります (メモリまたは CPU の問題により、コントローラーが遅くなる可能性があります)。
ネットワーク遅延が長すぎる可能性があります。

カスタム SNORT ルールの構成

Juniper ATP Applianceユーザーは、Central ManagerのWeb UI設定タブからSNORTルールをアップロードして、Juniper ATP Applianceコレクターが監視するネットワークトラフィックと照合し、一致結果をCentral Managerのカスタムルールタブに表示させることができます。Juniper ATP Applianceは、トリガーされたルールをトリガー時にアクティブだったインシデントと関連付け、その結果が[インシデント]タブに表示されます。

Snort ルールの例

SNORTルールファイルをアップロードするには:

Juniper ATP Appliance Central Manager Web UI の [Config] > [Environmental Settings] > [Snort Rule Upload] ページに移動します。

図 45: Juniper ATP Appliance Central Manager の SNORT ルールのアップロードページ
[Add SNORT Rules](SNORTルールの追加)ボタンをクリックします。
[ファイルの選択]をクリックし、Juniper ATP ApplianceシステムにアップロードするカスタムSNORTファイルを参照して選択します。
SNORT ルールの説明を [説明] フィールドに入力し、[追加] をクリックします。
カスタム SNORT ルールを編集または削除するには、[現在の SNORT ルール(Current SNORT Rules)] テーブルの [アクション(Actions)] 列で [削除(Delete)] または [編集(Edit)] リンクをクリックします。

ATP アプライアンス ID の設定

ID設定オプションを使用すると、Splunkの取り込みを介してJuniper ATP Applianceに送信されたActive DirectoryのID情報をインポートできます。この機能は、Juniper ATP Applianceの既存のサポートであるJuniper ATP Applianceコアへの直接ログ取り込みを補完するもので、ログとイベントの処理にSplunkの導入を使用する企業向けにSplunk転送オプションを追加します。

いくつかの設定を実行する必要があります。

Juniper ATP Appliance Web UI、Juniper ATP Appliance Config>Environmental Settings>Splunk統合からSplunkを設定します。
Juniper ATP Appliance から Carbon Black Response を構成します>環境設定>外部イベントコレクター。
ADとSplunkのIDは、次のセクションの[Juniper ATP Appliance Config>Environmental Settings>Identity Configurations]ページから行います。

SplunkのID構成の設定
Active Directory の ID 構成の設定
Active Directory ログの取り込み
Active DirectoryログのSplunkユニバーサルフォワーダー
Splunk WMIによるActive Directoryログの転送

SplunkのID構成の設定

ATP Appliance Splunk Ingestion を設定するには、以下の手順を実行します。

Juniper ATP Appliance Central Manager Web UI Config>Environmental Settings>Splunk Configurationページに移動します。[Add New Identity Source] をクリックします。
[ソースの種類] として [Splunk] を選択します。
[Identity Source] で [Audit Logs] または [LDAP Add-on] を選択します。
イベントログの収集方法として [WMI] または [ユニバーサルフォワーダー] を選択します。
オプションのSplunkインデックスを入力します。
[逆引き DNS を使用する] 設定で [有効] または [無効] を選択します。
「Exclude Hostnames」と入力し、カンマで区切ります。これらのホストの ID マッピングは無視され、イベント処理および表示には含まれません。
「送信」をクリックして、設定を完了します。

Active Directory の ID 構成の設定

Juniper ATP Appliance Central Manager Web UI Config>Environmental Settings>Splunk Configurationページに移動します。[Add New Identity Source] をクリックします。
[ソースの種類] として [Active Directory] を選択します。
ホスト名/IP アドレスを入力します。
ユーザー名とパスワードを入力します。
検索タイプとして「グローバル・カタログ検索」または「ローカル検索」を入力します。
[逆引き DNS を使用する] 設定で [有効] または [無効] を選択します。
ドメインコンポーネント名を入力します。
SSL 設定を [有効] または [無効] から選択します。
LDAP ポート番号を入力します。

手記：
通常使用されるポート番号: グローバルカタログ検索 [SSL 有効 - 3289;SSL無効 - 3268];ローカル検索 [SSL 有効 - 636;SSL 無効 - 389]
[逆引き DNS を使用する] 設定を有効または無効にすることを選択します。
「Exclude Hostnames」と入力し、カンマで区切ります。これらのホストの ID マッピングは無視され、イベント処理および表示には含まれません。
「送信」をクリックして、設定を完了します。

Active Directory ログの取り込み

Juniper ATP ApplianceにおけるActive Directory(AD)ログの直接取り込みのサポートは、新しい機能ではなく、Juniper ATP Appliance製品の多くのリリースバージョンで利用可能です。Juniper ATP Applianceは、DC上のユニバーサルフォワーダーまたはWMIメソッドを使用して、Splunk経由のADログの取り込みもサポートします。

Active DirectoryログのSplunkユニバーサルフォワーダー
Splunk WMIによるActive Directoryログの転送

重要: 始める前に、いくつかの注意事項があります。

Active Directory、Splunk、Juniper ATP ApplianceはすべてNTPと同期する必要があります。
AD ログの取り込みは、一度に Direct または Splunk 経由でのみ行うことができます。
Splunk経由のADログでは、UIの「ホスト名を除外する」構成でADのホスト名を除外するように設定する必要があります。
これまでエンタープライズ環境でAD-Splunkの統合を採用したことがなく、今回初めての導入の場合、Juniper ATP ApplianceはWMI方式とユニバーサルフォワーダー方式の両方をサポートしており、どちらか一方を推奨しません。ただし、Splunkのドキュメントでは、WMIメソッドでパフォーマンスの問題が報告されているため、ドメインコントローラー用のユニバーサルフォワーダーを推奨しています。

Active DirectoryログのSplunkユニバーサルフォワーダー

DCでSplunkアプリを使用してSplunk for ADを設定するには、次の手順に従います。

セキュリティ監査ログを受信するためのアドオンをインストールします。

このリンクを確認して、インストールするインフラストラクチャアドオンを決定します。

http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ Windowsインフラストラクチャ用にSplunkAppを導入する方法

Splunkのデプロイオプションの詳細については、こちらのリンクをご覧ください。

http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentsは

導入オプション:
- Search Head上のWindowsインフラストラクチャ用Splunkアプリ(セキュリティ監査ログの受信用)
- Search HeadのActive Directory用Splunkアドオン(LDAP検索用)
- Splunk Add On for Windows on サーチヘッド、インデクサー、ユニバーサルフォワーダー
以下に示すように、Splunk WebコンソールからActive Directoryアドオンを設定します。

図46:ADセキュリティ監査ログを受信および転送するためのSplunkアドオン構成
[Settings] > [Forward And Receiving (Data)]->[Configure Receiving->New] に移動して、Windows データを受信するように Splunk Indexer を構成します。

図 47: Splunk の [Add New Forwarding & Receiving Data Configuration] ウィンドウ
Windowsインフラストラクチャ用のSplunkアプリを導入します。次のリンク先の手順を使用します。

http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentsは

http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/InstallaSplunkIndexer

手記：
次のリンクからの情報を使用して、ドメインコントローラーにユニバーサルフォワーダーをダウンロードしてインストールします。

Universal Forwarder は、イベントログを Splunk Indexer に送信する方法の 1 つです。もう1つの方法は、WMI方式を使用したエージェントレス転送で、次のセクション「 Splunk WMIによるActive Directoryログの転送」で説明します)。
- Universal Forwarder のダウンロード: https://www.splunk.com/en_us/download/universal-forwarder.html
- MSIをダウンロードして、インストールを開始します。ユニバーサルフォワーダーを、このリンクの指示に従って構成します。
  
  http://docs.splunk.com/Documentation/Forwarder/6.5.3/Forwarder/ InstallaWindowsユニバーサルフォワーダーフロムaninstaller#Install_the_universal_forwarder_for_use_with_onpremises_ Splunk_instances
- 下の画像に示すように、適切なチェックボックスを選択した後、[カスタマイズ]オプションをクリックします。
- [次へ] をクリックし、WMI を使用して他のドメインコントローラーをポーリングする場合を除き、[ローカルアカウント] を選択します。もう一度 [次へ] をクリックします。
- 以下に示す次の設定ウィンドウで、[セキュリティログ転送]オプションを選択します。「次へ」をクリックします。
- 展開サーバーのホスト名とポート(デフォルトは8089)を入力し、[次へ]をクリックします。
- 次の例のように [Receiver Index] と [Port] (デフォルトは 9997) を入力し、[Next] をクリックします。
指示に従って、次のリンクから Active Directory データを取得します。

https://docs.splunk.com/Documentation/MSApp/2.0.4/MSInfra/DownloadandconfiguretheSplunkAdd-onsforActiveDirectory
- AD と Powershell の GPO を構成します。
- Splunk Add On For Microsoft Active Directory をダウンロードしてください。
- Splunk Add On for Microsoft Powershellをダウンロードしてください。
- Un-TARは、7zipまたは別のアーカイブユーティリティを使用してTARファイルをダウンロードしました。
- 結果の SA-ModularInput-PowerShell と Splunk_TA_microsoft_ad をユニバーサルフォワーダーのインストールパスにコピーします。
- Universal Forwarder コンポーネントを再起動します。
  - services.msc
  - SplunkForwarderサービスを見つけて再起動します。
- Splunk Search Headがデータを受信していることを確認するには、次のいずれかの手順を実行します。
  - [App & Reporting > Data Summary] で UI を検索して、ドメインコントローラーホストが構成されていることを確認します。
  - または、"source="wineventlog:security" AND EventCode=4769 AND Service_Name != krbtgt |テーブル _time Account_Name Client_Address Service_Name |_timeの名前をUserName Logon_Time Account_Name IPAddressとしてClient_Addressホスト名としてService_Name名前を変更します」
Splunk Web IndexerでSplunk App for Windowsインフラストラクチャを設定する。前提条件に注意してください。
- 以下に示すように、管理者ユーザーのロールを変更して、管理者ユーザーに winfra-admin ロールを付与します。

Splunk WMIによるActive Directoryログの転送

WMIメソッドを使用してSplunkとのAD統合を設定するには、次の手順を使用します。

手記：

Splunkサーバーのセットアップ要件は、次のリンクからも確認できます。

http://docs.splunk.com/Documentation/Splunk/6.6.0/Data/MonitorWMIdata

Splunk EnterpriseとWindowsネットワークの両方が、WMIデータアクセス用に正しく設定されている必要があります。Splunk Enterprise を使用して WMI データを取得する前に、以下の前提条件を確認してください。

Splunk EnterpriseがWMIベースのデータを取得する前に、次のことを行います。
- Splunk Enterprise は、リモートネットワーク接続を実行する権限を持つユーザーとともにインストールする必要があります。Splunkのインストール中に、ローカルアカウントまたはドメインアカウントの入力を求められます。ドメインアカウントを選択します。
- Splunk Enterprise を実行するユーザーは、Active Directory (AD) ドメインまたはフォレストのメンバーであり、WMI プロバイダーを照会するための適切な権限を持っている必要があります。
- Splunkユーザーは、Splunk Enterpriseを実行するコンピューターのローカル管理者グループのメンバーでもある必要があります。
- Splunk Enterpriseを実行するコンピューターは、リモートマシン(AD)に接続でき、接続後にリモートマシンから目的のデータを取得する権限を持っている必要があります。
Splunkをインストールしたら、Splunkにログオンし、[Settings]-[> Data Inputs]に移動します。
2番目のオプションである[リモートイベントログ収集]をクリックし、[新規]をクリックします。
ログ収集の名前を選択し、AD サーバーの IP アドレスを入力します。
SplunkがADサーバーへのWMIクエリを実行できる場合は、次に示すように[Select イベントログ]オプションが表示されます。「セキュリティ」を選択し、「次へ」をクリックします。
次のページでホストの詳細を入力します。インデクサーを選択する場合は、それを選択するか、既定値のままにします。

設定を確認して送信します。

Splunkサーバーから、C:\Program Files\Splunk\etc\system\localに移動し、次の設定を追加します。

Splunkを再起動し、SplunkですべてのActive Directoryセキュリティログが利用できることを確認します。

Carbon Black Response - Splunkとの統合

次の情報を使用して、次のいずれかを使用して Carbon Black Response と Splunk の統合を実行します。

Carbon Black Response Direct Log Ingestion: JSON ログのイベントフォワーダー
SplunkフォワーダによるCarbon Black Responseの統合
Juniper ATP ApplianceでのCarbon Blackレスポンス取り込みレポート

手記：

「 Splunk を使用した Carbon Black レスポンスログイベントの構成」も参照してください。カーボンブラック応答のためのSplunkサイド構成。直接ログの取り込みによる Carbon Black Response の構成。

重要: Carbon Black Response と Splunk の統合に関する注意事項:

Juniper ATP Appliance では、Carbon Black ログとの関連付けのために Active Directory(AD)データが必要です。
AD、Splunk、Juniper ATP ApplianceはNTP同期である必要があります。
現在、Carbon Black からは、ウォッチリストアラートイベントのみが Juniper ATP Appliance によって消費されます。
- alert.watchlist.hit.ingress.host
- alert.watchlist.hit.ingress.binary
- alert.watchlist.hit.ingress.process
- alert.watchlist.hit.query.binary
- alert.watchlist.hit.query.process
Juniper ATP ApplianceとCarbon Black Responseの相関関係は5分以内です。
エンドポイントホスト名は、Carbon Black Response イベントと Juniper ATP Appliance イベントの関連付けに一致する唯一の一致です。
Carbon Black Response Event Forwarder には、ログを JSON または LEEF 形式で転送するオプションがあります。Juniper ATP Applianceは、現時点ではSplunkとDirect Logの両方の取り込みでJSON形式のみをサポートしています。
ダイレクトログ取り込みの場合、ログは任意のランダムなJuniper ATP Applianceポートに送信できます。
Carbon Black Response 統合と Carbon Black Direct Log Ingestion の違い:
- Carbon Black Response の統合中、Juniper ATP Appliance は Juniper ATP Appliance によって検出されたイベントのみを照会して、エンドポイントの実行に関する確認を取得します。
- CBログの取り込みでは、Juniper ATP Applianceが認識したかどうかに関係なく、すべてのイベントがプルされます。
- CB イベントが CB ログの取り込みで関連付けられている場合、EX の進行状況はマークされません。

Carbon Black Response Direct Log Ingestion: JSON ログのイベントフォワーダー
SplunkフォワーダによるCarbon Black Responseの統合
Juniper ATP ApplianceでのCarbon Blackレスポンス取り込みレポート

Carbon Black Response Direct Log Ingestion: JSON ログのイベントフォワーダー

Carbon Black Response イベントフォワーダのインストール: https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/
Carbon Black Response イベントログを TCP または UDP 経由で任意のサーバーに送信するには、次の例のように Event Forwarder CONF ファイルを編集します。

で /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

/etc/cb/cb.conf から上記のユーザ名とパスワードを取得し、RabbitMQUser と RabbitMQPassword を検索し、上記のファイルから値をコピーします。

で /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

以下に示す値を検索して入力します。

[TCP] オプションを選択した場合は、タップサーバーとリスニングポートを構成します。現在、リッスンする任意のランダムポートを選択できます。

上記でudpオプションが選択されている場合は、タップサーバーとリスニングポートを設定します。現在、リッスンする任意のランダムポートを選択できます。

次に、次のコマンドを実行して、イベントフォワーダーが接続したサーバーを示す出力を受信します。

イベントフォワーダーを起動します。

SplunkフォワーダによるCarbon Black Responseの統合

Carbon Black Response Server から、Carbon Black Response Event Forwarder をインストールします。

https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/
このリンクから関連するバイナリをダウンロードします。

https://www.splunk.com/en_us/download/universal-forwarder.html
Bit9 Carbon Black の Splunk アドオンを Splunk インスタンスにインストールします。Splunk Common Information Model を設定します。

https://splunkbase.splunk.com/app/2790/
Carbon Black Response イベントフォワーダを設定します。これは、Carbon Black Response イベントログをファイルに保存し、そのコンテンツを使用して Splunk にデータを転送するために必要です。

で /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf
上記のユーザー名とパスワードを /etc/cb/cb.conf から適用し、RabbitMQUser と RabbitMQPassword を検索して、上記の CONF ファイルに値をコピーします。

で /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

以下の値を検索 & 入力してください。
上記の出力ファイルは何でもかまいません。この例では、リンクにイベントログが保存されています。

以下のコマンドを実行して、以下に示す出力を取得します。
イベントフォワーダーを起動します。
ビット 9 カーボンブラックの応答に Splunk アドオンを設定します。
Splunk Common Information Model を次のように設定します。
Splunkインスタンスのレシーバーを設定して、Splunkフォワーダーがデータを転送するように設定します。[Splunk > Settings] > [Forwarding & Receiving] に移動します。
[Configure Receiving] をクリックします。
リッスンするポートを設定します。この例では、ポート 6666 です。

Carbon Black Response サーバーに Universal Forwarder RPM をダウンロードしてインストールし、Carbon Black Response データを Splunk に転送するように Splunk Universal Forwarder を設定します。

https://www.splunk.com/en_us/download/universal-forwarder.html

上記のコマンドでは、10.2.14.219はSplunkサーバーであり、6666はSplunkが受信しているステップ3で設定したポートです。

入力ホストファイルを追加します。この例では、Splunkで検索できるcbtestが使用されています。

モニターは、ステップ1で設定したdata.jsonのディレクトリです。

sourcetype は、送信する必要があるデータ(Carbon Black Response からのデータ)を示します。
Splunkを起動します。

転送サーバーを確認します。

Juniper ATP ApplianceでのCarbon Blackレスポンス取り込みレポート

Carbon Black Response のログ取り込みは、Juniper ATP Appliance Central Manager の Web UI インシデントページとイベントタイムラインダッシュボードから確認できます。

ATP Appliance Splunk 取り込みの設定

Splunk統合は、Juniper ATP Appliance Web UIおよびSplunk UIから設定します。

Juniper ATP Appliance Side - Splunk統合設定
Splunk側 - Splunkの設定

Juniper ATP Appliance Side - Splunk統合設定
Splunk側 - Splunkの設定

Juniper ATP Appliance Side - Splunk統合設定

ATP Appliance Splunk Ingestion を設定するには、以下の手順を実行します。

Juniper ATP Appliance Central Manager Web UI Config>Environmental Settings>Splunk Configurationページに移動します。

図 48: [Splunk Ingestion Configuration] ページ
Splunkホスト ipアドレスとSplunk管理ポート番号を入力します。

手記：
Splunkのポート番号は、8080ではなく8089を必ず入力してください。
Splunkのログインとパスワードを入力します。
[Enable] をクリックして、設定をアクティブにします。選択を解除すると、設定が無効になります。
[Submit]をクリックして、有効なSplunk設定をアクティブ化します。
[Test] ボタンをクリックして、Splunk Configuration Ingestion Settings をテストします。

手記：
Splunk環境では、すべてユーザーが設定可能な複数のポートを実装できます。Splunkへの接続に問題がある場合は、必ずこのページでSplunk管理ポートを設定してください。管理者がデフォルトを使用していない場合は、Splunkサイトで設定を確認してください。

Splunk側 - Splunkの設定

Splunkコンソールで、Juniper ATP Applianceとの統合に関する以下の設定を行います。この例では、PAN アドオンが設定されています。

図49:Splunk Palo Alto Networks Add-on for Splunk

用のPalo Alto Networksアドオン

図 50: Splunk Common Information Model の設定

Splunk Common Information Model Settings

手記：

Splunkコンソールで、Juniper ATP ApplianceがSplunkと通信するようにPANアドオンとSplunk Common Information Modelが設定されていることを確認します。

外部イベントコレクターの統合

ATP Appliance External Event Collectors を設定するには、ベンダーオプションごとに以下の設定を実行します。

ファイアウォール

PAN ログコレクターの設定 - Juniper ATP アプライアンス側
Webゲートウェイ

ATP Appliance Web Gateway [Bluecoat: ログコレクター |Splunkの取り込み]
エンドポイント AV

ATP Appliance Endpoint AV [ESET |マカフィー ePO |Symantec: ログコレクタ |Splunkの取り込み]
エンドポイントレスポンス

Carbon Black ResponseのためのSplunk側の構成

ATP Appliance ファイアウォール [PAN: ログコレクター |Splunkの取り込み]
PAN ログコレクターの設定 - Juniper ATP アプライアンス側
PAN 側の直接取り込み設定
直接インジェスト PAN イベントフィルタリング
PANとSplunkの統合設定
Splunk側のPAN用構成
Splunk統合イベントフィルタリング
PAN Syslog 取り込みのインシデントレポート
ATP Appliance Web Gateway [Bluecoat: ログコレクター |Splunkの取り込み]
Bluecoat Secure Web Gateway ログコレクターの構成
SplunkとBluecoatの統合の設定
Juniper ATP Appliance側の設定
Bluecoat サイド構成
Splunk側の設定
Bluecoat と Juniper ATP Appliance の統合の設定
Juniper ATP Appliance側のセットアップ
Bluecoatサイドセットアップ
Bluecoat Secure Web Gateway Splunk 取り込みの設定
ATP Appliance Endpoint AV [ESET |マカフィー ePO |Symantec: ログコレクタ |Splunkの取り込み]
ESET Endpoint AVログ収集の設定
McAfee ePO Endpoint AV ログ収集の設定
Symantec EP Endpoint AV ログ収集の設定
McAfee ePO Endpoint AV Splunk 取り込みの設定
McAfee ePO Splunk の統合: Splunk側の設定
McAfee ePO の直接ログイン取り込み: McAfee ePO 側の設定
ATP アプライアンスエンドポイントレスポンス [Carbon Black Response: ログコレクター |Splunkの取り込み]
Splunkを使用したCarbon Black Responseログイベントの構成
Carbon Black ResponseのためのSplunk側の構成
直接ログ取り込みによる Carbon Black Response の構成
Carbon Black Response - Splunkとの統合
Carbon Black Response Direct Log Ingestion: JSON ログのイベントフォワーダー
SplunkフォワーダによるCarbon Black Responseの統合
Juniper ATP ApplianceでのCarbon Blackレスポンス取り込みレポート

ATP Appliance ファイアウォール [PAN: ログコレクター |Splunkの取り込み]

PAN 次世代ファイアウォールの ATP アプライアンス外部イベントコレクター設定を構成するには、直接ログ収集または Splunk 取り込みオプションについて、次の構成を実行します。

PAN ログコレクターの設定 - Juniper ATP アプライアンス側

以下の手順を使用して、PAN からのイベントデータの直接取り込みを設定します。ここで、Juniper ATP Appliance は基本的に syslog サーバーとして機能しますが、関連するマルウェアイベントのみを識別するサーバーです。

Juniper ATP Appliance Central Manager Web UI の [Config] > [Environmental Settings] > External Event Collectors 設定ページに移動します。
ソースの種類として [ファイアウォール] を選択し、ベンダー名として [PAN 次世代ファイアウォール] を選択します。
[トランスポート] で、 [ログコレクター] オプションを選択します。
ログソース識別子を入力します。たとえば、PA-200 です。これは、Juniper ATP Appliance が受信するベンダーを識別し、Juniper ATP Appliance がログに記録されたイベントを解析する方法を識別するために使用する、syslog メッセージのホスト名部分です。[次のスクリーンショットのPAN UIでは、設定されているデバイス名がJuniper ATP Applianceのログソース識別子と同じであることに注意してください]
[SSL 有効] を選択します |無効。
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。PAN の直接取り込みから Juniper ATP Appliance によって作成されたすべてのインシデントは、手順 6 で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
[追加] をクリックして、ログコレクターの構成を実行します。

PAN 側の直接取り込み設定

PAN UI で、Juniper ATP Appliance Core を syslog サーバーとして設定します。PANデバイスは独自のsyslogサーバーにエクスポートする場合、PANは複数のsyslog宛先に同時にエクスポートできるため、Juniper ATP Applianceを別のsyslogサーバーとして追加するだけで済みます。

PAN コンソールの [Device>Syslog>+Add configuration] ページに移動します。

図 51: ファイアウォール [PAN: Direct Ingestion Configuration]
syslog ドロップダウンの [Objects>Log Forwarding>+Add] ページで、ログ転送用に同じ syslog サーバを選択します。

図 52:PAN サイドからの直接取り込み設定の例

PAN からの syslog 転送中に、イベントがサポートされている 1500 個を超える場合、Juniper ATP Appliance は、PAN コンソールの [ログ転送プロファイル] ページの設定を調整することによってのみ、PAN からのエクスポートを重要なイベントに制限することを推奨します。

図 53:PAN サイドからの直接取り込み設定の例

必ず [Syslog Log forwarding Profile] に移動し、ログの送信先 (直接取り込みによる Juniper ATP Appliance Core、Splunk、またはその両方) を選択してから、[Commit] を選択します。

図 54:ログ転送プロファイルをコミットして、PAN側の直接インジェスト構成を完了します

直接インジェスト PAN イベントフィルタリング

直接取り込み中に生成される syslog/秒の数は 1500 です。1 日あたりの syslog 数(平均 10 時間)は 5,400 万です。このため、Juniper ATP Applianceでは、イベントの取り込み、処理、レポート作成を効率的に行うためにイベントフィルタリングを使用し、情報や無害なイベントは保存しません。

Juniper ATP アプライアンスイベントタイムラインダッシュボードに表示するために、直接取り込みによって作成されたPANイベントは、次のフィルターを使用します。

情報イベントを無視する
アクションが「wildfire-upload-success」、「wildfire-upload-skip」、および「forward」のイベントは、マルウェアイベントを示すものではないため無視してください。

図 55: 直接インジェストログ Sample Direct Ingestion Log

のサンプル

PANとSplunkの統合設定

Juniper ATP Appliance側でPAN次世代ファイアウォールのSplunk統合を設定するには、次の手順を使用します。Splunk側からの統合の設定については、を参照してください。

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。

図 56: ファイアウォール [PAN: Splunk 取り込み設定]
ソースの種類として [ファイアウォール] を選択し、ベンダー名として [PAN 次世代ファイアウォール] を選択します。
[トランスポート] で [Splunk] オプションを選択します。
オプションのSplunkインデックスを入力します。SplunkへのPANログに使用するインデックスを入力します。

例:パン
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。Splunkの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
[Add] をクリックして、Splunk統合を実行します。

手記：

Splunk統合の詳細については、「 ATP ApplianceのSplunk取り込みの設定」を参照してください。SplunkコンソールからのSplunk構成に固有のガイドラインについては、次のセクションを参照してください。

Splunk側のPAN用構成

このセクションでは、Splunkの設定については説明しません。ただし、Juniper ATP Applianceと統合するためにSplunkコンソールからSplunkを設定する場合、PAN用に設定されていることを確認する必要がある項目がいくつかあります。

[Splunk>Apps>Manage Apps] に移動し、[Palo Alto Add-on for Splunk] の設定が確立され、[ステータス] が [有効] と表示されていることを確認します。
Splunk>Apps>Manage Appsで、セットアップが完了し、Common Information Modelで有効になっていることを確認します。
[設定>データ>データ入力>UDP/TCP] で、リンクをクリックしてインデックスを確認します。このリンクをクリックすると、PAN に設定されたインデックスを確認できます。ATP アプライアンスファイアウォールの [Juniper ATP Appliance Configuration] ページでも同じ操作を行ってください [PAN: Log Collector |Splunk Ingestion] を選択します。
Splunk>Settings>Data Inputs>Port>PortNumberページの[More Settings](チェックボックスをオンにすると展開します)で、[Source type]が[pan:log]であることを確認し、現在設定されているインデックスを確認して、ATP Appliance FirewallのJuniper ATP Appliance設定[ PAN: Log Collector |Splunk Ingestion] を選択します。

手記：
Juniper ATP Applianceと統合するには、ソースタイプを「pan:log」、インデックスを「pan」に設定する必要があります。

図 57: PAN側からのSplunk設定の例

必ず [Syslog Log forwarding Profile] に移動し、ログの送信先を選択してください (直接取り込みによる Juniper ATP Appliance Core への送信、Splunk、またはその両方にしてから [Commit])。

図 58: ログ転送プロファイルをコミットして PAN 側の Splunk 設定を完了する Commit the Log Forwarding Profile to Complete PAN-Side Splunk Configuration

Splunk統合イベントフィルタリング

Splunk統合を介して作成されたPANイベントは、Splunk PANアドオンを介して、次のSplunk「共通情報モデル」(CIM)に従ってイベントを分類します。

ウェブ
侵入検知
マルウェア攻撃

手記：

Juniper ATP Applianceイベントタイムラインダッシュボードに関連情報を表示するために、Juniper ATP Applianceは情報イベントを無視します。無害で許可されたイベントも、Juniper ATP Appliance によって無視されます。

図 59: Splunk取り込みログ Splunk Ingestion Log

図60:PAN

によるSplunkログのサンプル

PAN Syslog 取り込みのインシデントレポート

PAN syslog 取り込みの Juniper ATP Appliance の検出とレポートを表示するには、次のサンプルインシデント表示を参照してください。

この例では、PANがダウンロードの通過を許可し、Juniper ATP Applianceがイベントを検出しました。

Juniper ATP Applianceがダウンロードと外部ソースログ収集を検出し、悪意のあるイベントとしてマークしたことに注意してください。

これと同じインシデントが、Juniper ATP Appliance Events Timelineのホストビューで次のように報告されます。PANダウンロードイベントとJuniper ATP Applianceマルウェア検出イベントの両方が報告されることに注意してください。

別の別の例では、Juniper ATP Applianceが悪意のあるイベントを検出し、PANがDENYを実行したことをイベントタイムラインダッシュボードで確認できます。

先端：

タイムラインビューを展開して、エンドユーザーが悪意のあるダウンロードをいつ、どのように実行したかを確認してください。

ATP Appliance Web Gateway [Bluecoat: ログコレクター |Splunkの取り込み]

Juniper ATP Applianceは、Bluecoat Proxy Secure Gatewayと統合することで、緩和を容易にします。Bluecoat は、Juniper ATP Appliance から不正な Web URL を定期的に取得し、ブロックします。(不正なURLのリストは、Juniper ATP Applianceの[Mitigation]タブ>Secure Web Gatewaysに示されているものと同じで、緩和すべきURLがリストされています。基本的に、Bluecoatには、HTTP/HTTPSを介してJuniper ATP Applianceから悪意のあるURLリストを取得する機能があります。そのため、Juniper ATP Applianceは、Bluecoatがポーリングする悪意のあるURLリストを提供します。

Juniper ATP Applianceは、Bluecoatなどの既存のサードパーティセキュリティデバイスを活用して、悪意のあるWeb URLを自動的にブロックします。他のベンダーは悪意のあるWebダウンロードをブロックしないため、これは非常に重要です。感染をブロックするだけです。

次の手順を使用して、Bluecoat Secure Web Gateway Log Collector Ingestion または Splunk Ingestion を構成します。

Bluecoat Secure Web Gateway ログコレクターの構成
SplunkとBluecoatの統合の設定
Bluecoat と Juniper ATP Appliance の統合の設定
Bluecoat Secure Web Gateway Splunk 取り込みの設定

Bluecoat Secure Web Gateway ログコレクターの構成

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。

図 61:Web ゲートウェイ [Bluecoat: Log Collector Configuration]
[ソースの種類] として [Web ゲートウェイ] を選択します。
ベンダー名として [Bluecoat Secure Web Gateway] を選択します。
[トランスポート] で、 [ログコレクター] オプションを選択します。
入力ポートを入力します。
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。Splunkの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ6で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
[追加] をクリックして、Bluecoat Secure Web Gateway Log Collector の構成を実行します。

SplunkとBluecoatの統合の設定

Splunk for BluecoatとJuniper ATP Applianceの統合を検討する前に、以下の前提条件を考慮してください。

Splunkエンタープライズ版をインストールして実行している
Splunk for Bluecoat アプリをインストールして実行している
Blue Coat ProxySG用のSplunkアドオンを実行している
Bluecoat CLI へのアクセス権を持ち、有効モードと設定モードにアクセスできる
Juniper ATP Applianceは現在、bcreportermain_v1ログタイプのみをサポートしているため、他のログタイプは動作しません
SplunkサーバーでNTPサービスを使用して、SplunkとBluecoatの時刻が同期するようにしてください
統合後、「bcoat_logs」の下にあるSplunkログを観察し、時刻がSplunkの時刻と一致することを確認します。たとえば、SplunkがPSTの場合、「bcoat_logs」インデックスの下にあるBluecoatからのデータもPSTに設定する必要があります。時刻が一致しない場合、統合が正しく機能しない可能性があります

Juniper ATP Appliance側の設定

Juniper ATP Appliance Central Manager コンソールで、[Config > Environmental Settings] > [Splunk Configuration] に移動します。
Splunk設定のユーザー名、パスワード、ポートを追加し、[有効]に設定し、[テスト設定]をクリックして確認します。接続が正常に確立されると、成功メッセージが表示されます。
Bluecoat を外部イベントコレクターとして追加します。 ATP Appliance Web Gateway [Bluecoat: Log Collector |Splunkの取り込み]をクリックします。

必ず transport "log collector / Splunk を選択してください。ログコレクターを選択する場合はポート番号を指定し、splunk オプションを選択する場合はオプションのインデックスを指定し、設定を追加します。

Bluecoat サイド構成

Bluecoat CLI にログインし、有効モードに入ってから、設定モードに入ります。
アクセスログ設定の入力:「edit log main」コマンドを入力します。
クライアントの種類として [カスタムクライアント] を選択します。
[アクセスログの有効化]を選択します。
アップロードタイプのテキストを選択します。
統合>に使用するカスタムクライアントプライマリ<Juniper ATP Appliance Core IPまたはSplunkサーバーIP> <任意のポート番号を選択し、[Enter]をクリックします。
継続的なアップロードを有効にすると、統合はJuniper ATP Appliance側で行われます

Splunk側の設定

Splunkコンソールで、[Settings]-[> Data Inputs]に移動します。
[Local Input] メニューの [TCP Port] メニューの [Add New] をクリックします。新しいページが開き、4つのフィールドが表示されます。
「ポート」フィールドにポート番号(Bluecoatカスタム・クライアントで構成されたポート番号)を入力し、「次へ」をクリックします。タイプが TCP のままであることを確認します。
次のウィンドウで、ソースタイプとして「bluecoat:proxysg:access:syslog」を選択します。
同じページで、インデックスの種類として [bcoat_logs] を選択し、[確認] をクリックします。
データを確認し、「次へ」をクリックします。これでブルーコートの設定は完了です。

数分以内に、BluecoatのログがSplunk側に表示され始めます。ログのフィルタリングには、必ず index="bcoat_logs" を使用してください。

Bluecoat と Juniper ATP Appliance の統合の設定

BluecoatがHTTPSでJuniper ATP Applianceの自己署名SSL apacheサーバーに接続できるようにするには、Juniper ATP ApplianceサーバーのPEMファイルにアクセスする必要があります。次に、PEM ファイルを Bluecoat SSL 証明リストにインポートします。

手記：

PEMの共通名(CN)は、Bluecoatがポーリングに使用しているURLのホスト名と一致する必要があります。これが、PEMの再生成が、生成されたURLに追加するためのPEMファイルから取得した共通名の解析に結びついている理由です。

Juniper ATP Appliance側のセットアップ

[Config] > [System Settings] > [System Settings] に移動します。
「サーバーの完全修飾ドメイン名」を適切に変更します。これは PEM の共通名であり、Bluecoat が要求を送信するホスト名でもあります。したがって、Bluecoat が指定された名前を使用してこのホストにアクセスできることを確認する必要があります。
「送信」ボタンをクリックします。新しいPEMファイルがサーバー上に生成され、変更を適用するにはApacheを再起動する必要があります。"サイトのセキュリティ証明書は信頼されていません" という新しい警告が表示されるまで F5 キーを押して UI を更新します。(たとえば、Chrome経由)。この警告は、PEM が変更されたことを示します。
Bluecoat 構成コンソールに移動します。

Bluecoatサイドセットアップ

以下の説明に従って、必要な情報を入力します。

図 62: Bluecoat の構成設定
- 可用性: この設定は、Juniper ATP アプライアンスの URL を Bluecoat でポーリングできるかどうかを制御します。
- 例外ページ: これは URL リストに含まれる文字列で、悪意のある URL が要求された場合に Bluecoat が事前定義された例外ページを表示できるようにします。
- キャッシュの経過時間:この値は、悪意のあるURLリストをキャッシュする期間を決定するために使用され、繰り返し攻撃を回避し、Juniper ATP Applianceサーバーの負荷を軽減します。
- 許可された IP: 空白のままにすると、Juniper ATP Applianceは誰がリストをポーリングしたかを確認しません。それ以外の場合は、指定された IP のみがポーリングを許可されます。
[Get PEM File]ボタン。このボタンをクリックすると、サーバーPEMキーの内容が表示されます。このキーを Bluecoat にコピー&ペーストすると、Bluecoat は Juniper ATP Appliance の自己署名証明書を受け入れることができます。

図 63: PEM キーコンテンツの表示
URLの更新ボタン: このボタンをクリックすると、ポーリングURLが(再)生成されます。
Bluecoat 側から CA 証明書をインポートするには、[設定] タブの [SSL > CA 証明書] セクションに移動し、[インポート] ボタンをクリックします。
一意の名前を入力し、PEMキーをシステム設定からここにコピーして貼り付けます。

図64:BluecoatにコピーされたPEM
[適用] をクリックします。
[SSL > CA 証明書(SSL CA Certificates)] で、タブを [CA 証明書リスト(CA Certificate Lists)] に切り替えます。
「browser-trusted」を強調表示し、[編集]をクリックします。
新しく作成した CA 証明書エントリを左から右に追加し、[適用] をクリックします。

図 65: Bluecoat 設定への CA 証明書の追加
ポーリングを設定するには、[Policy > Policy Files] に移動します。
「中央ファイルのインストール元」セクションの「インストール」をクリックします。
Juniper ATP ApplianceサーバーからのURLを以下の場所に貼り付けます:

図 66: Bluecoat 設定への Juniper ATP Appliance URL の追加
「ファイルは正常にダウンロードされ、インストールされました」というメッセージが表示されます。「中央ファイルの変更時に新しいポリシーを自動的にインストールする」にチェックを入れます。
最後のステップは、Bluecoatがポーリングする頻度を設定することです。
これにより、ポーリングの間隔が 5 分に設定されます。

Bluecoat Secure Web Gateway Splunk 取り込みの設定

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。
[ソースの種類] として [Web ゲートウェイ] を選択します。
ベンダー名として [Bluecoat Secure Web Gateway] を選択します。
[トランスポート] で [Splunk] オプションを選択します。
オプションのSplunkインデックスを入力します。例: パン
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。Splunkの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ6で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
[追加]をクリックして、Splunk統合を実行します

ATP Appliance Endpoint AV [ESET |マカフィー ePO |Symantec: ログコレクタ |Splunkの取り込み]

Endpoint AV ベンダーの ESET、McAfee ePO、Symantec AV のログ収集または Splunk 取り込みを設定するには、次の手順に従います。

ESET Endpoint AVログ収集の設定
Symantec EP Endpoint AV ログ収集の設定
McAfee ePO Endpoint AV Splunk 取り込みの設定
Symantec EP Endpoint AV ログ収集の設定

ESET Endpoint AVログ収集の設定

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。
[Source Type] として [Endpoint AV] を選択します。
ベンダー名としてESETを選択します。
[トランスポート] で、 [ログコレクター] オプションを選択します。
ログソース識別子を入力します。
SSL 設定を選択します: [有効] または [無効] 。「有効」をお勧めします。
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。Splunkの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。

追加をクリックして、ESET Log Collector設定を実行します。

McAfee ePO Endpoint AV ログ収集の設定

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。
[Source Type] として [Endpoint AV] を選択します。
ベンダー名として McAfee ePO を選択します。
[トランスポート] で、 [ログコレクター] オプションを選択します。
ログソース識別子を入力します。たとえば、MCAFEE-EPO です。
SSL 設定を選択します: [有効] または [無効] 。「有効」をお勧めします。
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。Splunkの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
追加をクリックして、McAfee ePO Log Collector 設定を実行します。

Symantec EP Endpoint AV ログ収集の設定

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。

図67:エンドポイントAV [ESET:Log Collector設定]
[Source Type] として [Endpoint AV] を選択します。
[ベンダー名] として [Symantec EP] を選択します。
[トランスポート] で、 [ログコレクター] オプションを選択します。
ログソース識別子を入力します。
SSL 設定を [有効] または [無効] から選択します。
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。Splunkの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
[追加] をクリックして、Symantec EP Log Collector の設定を実行します。

McAfee ePO Endpoint AV Splunk 取り込みの設定

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。
[Source Type] として [Endpoint AV] を選択します。
ベンダー名として McAfee ePO を選択します。
[トランスポート] で [Splunk] オプションを選択します。
オプションのSplunkインデックスを入力します。例: パン
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。Splunkの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
[Add] をクリックして、Splunk統合を実行します。

McAfee ePO Splunk の統合: Splunk側の設定

最新のパッチを適用した McAfee ePO バージョン 5.2 をインストールします。
最新バージョンのSplunkエンタープライズをインストールする
Splunk Add-on for McAfeeをインストールします。 https://splunkbase.splunk.com/app/1819/
DB Connect for Splunkをインストールして構成します。
- DB Connect Version2.4.0 Add-onをダウンロードしてインストールします。これは、McAfee ePO データベースに接続して McAfeen ePO サーバーデータベースから ePO イベントを取得するために必要です。 https://splunkbase.splunk.com/ アプリ/2686/
  
  手記：
  このアプリはJAVA 1.8バージョンで動作します。ubuntu/windowsのバージョンを更新して、JAVA 1.8でSplunkを実行してください
  
  ステップス：
- データベース用のJDBCドライバをインストールします。「Microsoft SQL Server」セクションを参照してください。 http:// docs.splunk.com/Documentation/DBX/2.4.0/DeployDBX/Installdatabasedrivers
  
  手記：
  jdbc driver(sqljdbc4.jar)をパス/opt/splunk/etc/apps/splunk_app_db_connect/bin/libにコピーします。
- DB Connectをインストールし、Splunk Enterpriseを再起動した後、DB Connectを起動し、Singleserverdeployment#http://docs.splunk.com/Documentation/DBX/2.4.0/DeployDBX/ 初期設定を完了しますSet_up_Splunk_DB_Connect
- データベース ID を作成し、データベース接続を設定して、Splunk Add-on for McAfee 用の新しいデータベース入力を作成します。
  
  手記：db_connections.confファイルを変更して接続を作成する代わりに、Splunk DB Connect GUIメソッドを使用してデータベース接続を作成します。[実行頻度] 設定で、3600 秒から 1 秒に変更して、1 秒ごとに epo db からデータを取得するようにします。 http://docs.splunk.com/Documentation/AddOns/released/McAfeeEPO/ ConfigureDBConnectv2inputs
ePO サーバーで脅威イベントを生成し、そのイベントログを検索して、攻撃されたエンドポイント IP アドレスまたはマルウェア名を見つけます。次の例に示すように:
Juniper ATP Appliance Web UIにログインし、[Config>Environmental Settings>External Event Collectors]に移動し、Splunkオプションを使用して新しい外部コレクタを追加します。詳細については、Juniper ATP Appliance-Side Configuring McAfee ePO Endpoint AV Splunk Ingestion を参照してください。
エンドポイントの「IP アドレス」でタイムラインをフィルタリングして、Juniper ATP アプライアンスイベントタイムラインダッシュボードで McAfee ePO 脅威イベントを表示します。

McAfee ePO の直接ログイン取り込み: McAfee ePO 側の設定

最新のパッチ (ホットパッチ ePolicy Orchestrator (EPO) 5.3.2 HF1185471) が適用された McAfee ePO バージョン 5.2 がインストールされていることを確認します。
ePO 5.2 UI にログインし、設定>登録済みサーバータブから syslog 登録済みサーバーを作成します。
上の図に示すように、必要な詳細をすべて入力して、新しいサーバーを作成します。サーバー名としてJuniper ATP Appliance Coreのホスト名/IPを入力し、TCPポート番号として10514を入力します。
接続テストボタンをクリックして、設定が正しく、ePO が syslog イベントを Juniper ATP Appliance に送信する準備ができていることを確認します。「Syslog 接続に成功しました」というメッセージは、ePO が脅威イベントを Juniper ATP Appliance Core にプッシュする準備ができており、Juniper ATP Appliance Core がイベントを受け入れる準備ができていることを示します。
以下のスクリーンショットに示すように、エンドポイントの IP アドレスでタイムラインをフィルタリングして、Juniper ATP アプライアンスイベントタイムラインダッシュボードで McAfee ePO 脅威イベントを表示します。

ATP アプライアンスエンドポイントレスポンス [Carbon Black Response: ログコレクター |Splunkの取り込み]

直接ログ取り込みまたは Splunk 取り込みによるエンドポイントアラートイベント処理用に Carbon Black Response を構成するには、次の手順を使用します。

Splunkを使用したCarbon Black Responseログイベントの構成
Carbon Black ResponseのためのSplunk側の構成
直接ログ取り込みによる Carbon Black Response の構成
Carbon Black Response - Splunkとの統合
Juniper ATP ApplianceでのCarbon Blackレスポンス取り込みレポート

Splunkを使用したCarbon Black Responseログイベントの構成

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。
ベンダー名として [Carbon Black Response] を選択します。
[トランスポート] で [Splunk] オプションを選択します。
オプションのSplunkインデックスを入力します。例: パン
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。Splunkの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
[Add] をクリックして、Splunk統合を実行します。

手記：

Splunk統合の詳細については、「 ATP ApplianceのSplunk取り込みの設定」を参照してください。

Carbon Black ResponseのためのSplunk側の構成

このセクションでは、Splunkの設定については説明しません。ただし、Juniper ATP Applianceと統合するためにSplunkコンソールからSplunkを設定する場合、PAN用に設定されていることを確認する必要がある項目がいくつかあります。

Splunkに移動します。

直接ログ取り込みによる Carbon Black Response の構成

Juniper ATP Appliance Central Manager Web UI 設定>環境設定>外部イベントコレクター設定ページに移動します。

図 68: エンドポイントの応答 [Carbon Black 応答:ログコレクタの設定]
ベンダー名として [Carbon Black Response] を選択します。
[トランスポート] で、 [ログコレクター] オプションを選択します。
入力ポートを入力します。
[Default Severity] 設定として [Max |高い |医学 |低 |良性
[有効] または [無効] オプションを選択して、[インシデントの作成] を構成します。ログの取り込みからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、Juniper ATP Applianceが検知したイベントとの相関関係がない場合でも、サードパーティイベントのインシデントを直接作成し、電子メールアラート通知を送信します。
[追加] をクリックして、ログコレクターの構成を保存します。

Carbon Black Response - Splunkとの統合

次の情報を使用して、次のいずれかを使用して Carbon Black Response と Splunk の統合を実行します。

Carbon Black Response Direct Log Ingestion: JSON ログのイベントフォワーダー
SplunkフォワーダによるCarbon Black Responseの統合
Juniper ATP ApplianceでのCarbon Blackレスポンス取り込みレポート

手記：

Splunkを使用したCarbon Black Response ログイベントの構成も参照してください。カーボンブラック応答のためのSplunkサイド構成。直接ログの取り込みによる Carbon Black Response の構成。

重要: Carbon Black Response と Splunk の統合に関する注意事項:

Juniper ATP Appliance では、Carbon Black ログとの関連付けのために Active Directory(AD)データが必要です。
AD、Splunk、Juniper ATP ApplianceはNTP同期である必要があります。
現在、Carbon Black からは、ウォッチリストアラートイベントのみが Juniper ATP Appliance によって消費されます。
- alert.watchlist.hit.ingress.host
- alert.watchlist.hit.ingress.binary
- alert.watchlist.hit.ingress.process
- alert.watchlist.hit.query.binary
- alert.watchlist.hit.query.process
Juniper ATP ApplianceとCarbon Black Responseの相関関係は5分以内です。
エンドポイントホスト名は、Carbon Black Response イベントと Juniper ATP Appliance イベントの関連付けに一致する唯一の一致です。
Carbon Black Response Event Forwarder には、ログを JSON または LEEF 形式で転送するオプションがあります。Juniper ATP Applianceは、現時点ではSplunkとDirect Logの両方の取り込みでJSON形式のみをサポートしています。
ダイレクトログ取り込みの場合、ログは任意のランダムなJuniper ATP Applianceポートに送信できます。
Carbon Black Response 統合と Carbon Black Direct Log Ingestion の違い:
- Carbon Black Response の統合中、Juniper ATP Appliance は Juniper ATP Appliance によって検出されたイベントのみを照会して、エンドポイントの実行に関する確認を取得します。
- CBログの取り込みでは、Juniper ATP Applianceが認識したかどうかに関係なく、すべてのイベントがプルされます。
- CB イベントが CB ログの取り込みで関連付けられている場合、EX の進行状況はマークされません。

Carbon Black Response Direct Log Ingestion: JSON ログのイベントフォワーダー

Carbon Black Response イベントフォワーダをインストールします。

https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/
Carbon Black Response イベントログを TCP または UDP 経由で任意のサーバーに送信するには、次の例のように Event Forwarder CONF ファイルを編集します。

で /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf
/etc/cb/cb.conf から上記のユーザ名とパスワードを取得し、RabbitMQUser と RabbitMQPassword を検索し、上記のファイルから値をコピーします。

で /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

以下に示す値を検索して入力します。
[TCP] オプションを選択した場合は、タップサーバーとリスニングポートを構成します。現在、リッスンする任意のランダムポートを選択できます。
上記でudpオプションが選択されている場合は、タップサーバーとリスニングポートを設定します。現在、リッスンする任意のランダムポートを選択できます。
次に、次のコマンドを実行して、イベントフォワーダーが接続したサーバーを示す出力を受信します。
イベントフォワーダーを起動します。

SplunkフォワーダによるCarbon Black Responseの統合

Carbon Black Response Server から、Carbon Black Response Event Forwarder をインストールします。

https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/
このリンクから関連するバイナリをダウンロードします。

https://www.splunk.com/en_us/download/universal-forwarder.html
Bit9 Carbon Black の Splunk アドオンを Splunk インスタンスにインストールします。Splunk Common Information Model を設定します。

https://splunkbase.splunk.com/app/2790/
Carbon Black Response イベントフォワーダを設定します。これは、Carbon Black Response イベントログをファイルに保存し、そのコンテンツを使用して Splunk にデータを転送するために必要です。

で /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf
上記のユーザー名とパスワードを /etc/cb/cb.conf から適用し、RabbitMQUser と RabbitMQPassword を検索して、上記の CONF ファイルに値をコピーします。

で /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

以下の値を検索 & 入力してください。
上記の出力ファイルは何でもかまいません。この例では、リンクにイベントログが保存されています。

以下のコマンドを実行して、以下に示す出力を取得します。
イベントフォワーダーを起動します。
ビット 9 カーボンブラックの応答に Splunk アドオンを設定します。
Splunk Common Information Model を次のように設定します。
Splunkインスタンスのレシーバーを設定して、Splunkフォワーダーがデータを転送するように設定します。[Splunk > Settings] > [Forwarding & Receiving] に移動します。
[Configure Receiving] をクリックします。
リッスンするポートを設定します。この例では、ポート 6666 です。

Carbon Black Response サーバーに Universal Forwarder RPM をダウンロードしてインストールすることで、Carbon Black Response データを Splunk に転送するように Splunk Universal Forwarder を設定します。

https://www.splunk.com/en_us/download/universal-forwarder.html

上記のコマンドでは、10.2.14.219はSplunkサーバーであり、6666はSplunkが受信しているステップ3で設定したポートです。

入力ホストファイルを追加します。この例では、Splunkで検索できるcbtestが使用されています。

モニターは、ステップ1で設定したdata.jsonのディレクトリです。

sourcetype は、送信する必要があるデータ(Carbon Black Response からのデータ)を示します。
Splunkを起動します。

転送サーバーを確認します。

Juniper ATP ApplianceでのCarbon Blackレスポンス取り込みレポート

Carbon Black Response のログ取り込みは、Juniper ATP Appliance Central Manager の Web UI インシデントページとイベントタイムラインダッシュボードから確認できます。

項目一覧

分散防御の設定

通知の設定

アラート設定の構成

新しいアラート通知を作成するには、次の手順を実行します。

既存のアラート設定を表示、削除、または編集するには:

アラート通知の構成オプション

SIEM 設定の構成

新しい SIEM 通知を作成するには、次の手順を実行します。

CEFアラートevent_idまたはincident_idを使用したWeb UIでの詳細の表示

Active SIEM コネクタ構成を表示、削除、または編集するには:

アラート通知の構成オプション

システム プロファイルの設定

Central Manager パスワードのリセット

管理者パスワードのリカバリー

ロールベースのアクセス制御の設定

デフォルトロール

リモート認証とロール

MSSP マルチテナント ゾーンの設定

ユーザー アカウントの設定

新しいユーザー設定の追加

ユーザーアカウントの更新とAPI認証キーの設定

SAML 設定の構成

SAML認証を使用したJuniper ATP Applianceへのログイン

PingFederate サーバーの SAML の設定

RADIUS サーバーの設定

RADIUS グループについて

ローカル/リモートユーザー認証とRBAC

Juniper ATP ApplianceでのRADIUS設定の構成

システム設定の構成

システム設定の構成

IVP MSIおよび自己解凍型ZIPオプションについて

自己解凍型 Zip ファイル IVP プロセス

管理ネットワークのプロキシ設定の構成

ローカルトラフィックのプロキシ設定なしを構成する

自動ミティゲーションの設定

表示設定の構成

送信メールの設定

メール通知設定のテスト

証明書の管理

自己署名証明書/CSRの作成

ユーザー提供の証明書のアップロードとインストール

証明書または PKCS#12 バンドルのダウンロード

GSS 設定の構成

Web コレクターの構成

プロキシとデプロイされたコレクターのステータス:オンライン|オフライン

E メール・コレクターの構成

新しいメールサーバーの追加

メールサーバー設定の編集または削除

Mac OSX または Windows SecondaryCores の設定

セカンダリ コア Web UI 設定オプションの使用

デプロイされたセカンダリ コアのステータス: オンライン |オフライン

ゴールデン イメージ VM の構成

ゴールデン イメージ VM 構成プロセス

手順 1: カスタム OS ISO をマウントして VM を起動する

ステップ 2: VNC 経由で VM に接続し、Windows OS をインストールする

手順 3: ゴールデン イメージ仮想マシンを再起動する

手順 4: カスタム ゴールデン イメージ VM をファイナライズして有効にする

手順5:必要に応じて、VNCに再接続してAdobeAcrobatをインストールします

ステップ6:ゴールデンイメージへの優先AVソフトウェアのインストール

カスタム・イメージ結果の表示

仮想 HV を有効にするための ESXi Server の構成

Juniper ATP Applianceのライセンスキーの設定

バックアップおよび復元オプションの構成

現在の設定のバックアップ

保存した設定の復元

マルウェア検出機能のテスト

環境設定の構成

電子メールの緩和設定の構成

Gmail 検疫の緩和設定を行うには:

Exchange Online 検疫の軽減設定を構成するには:

ファイアウォールの自動緩和の設定

自動ミティゲーションについて

PAN ファイアウォールの設定

PAN ファイアウォール タグの設定

新しい自動ミティゲーションルールの設定

自動ミティゲーションルールの実装

自動ミティゲーションルールの動作の確認

集中型 PAN FW 緩和管理のための PANORAMA デバイスの設定

一元化されたパノラマ統合の設定

システムプロファイルの設定

MSSP マルチテナントゾーンの設定

ユーザーアカウントの設定

セカンダリコア Web UI 設定オプションの使用

デプロイされたセカンダリコアのステータス: オンライン |オフライン

ゴールデンイメージ VM の構成

ゴールデンイメージ VM 構成プロセス

手順 3: ゴールデンイメージ仮想マシンを再起動する

手順 4: カスタムゴールデンイメージ VM をファイナライズして有効にする

PAN ファイアウォールタグの設定

SecIntel ブロックリストフィードの設定

[インシデント] ページからの許可リストフィルターの更新と再定義

パート 1 - ドメインコントローラーのドメインコンポーネント名の取得

ドメインユーザーまたはグループの作成

パート 2 - Web UI からの Active Directory ドメインコントローラーの構成

AD ドメインコントローラーの構成要件とヒント

Carbon Black Response Direct Log Ingestion: JSON ログのイベントフォワーダー

PAN ログコレクターの設定 - Juniper ATP アプライアンス側

直接インジェスト PAN イベントフィルタリング