分散型防御の設定

1. [構成>通知]ページに移動し、左側のパネルメニューから[アラート設定]を選択します。

2. [ 新しい通知の作成 ] をクリックして、新しいイベント、システム監査、またはシステム正常性アラートを設定します。

3. 使用可能なオプションから選択し (後述を参照)、[追加] をクリックして構成を完了し、新しいアラート構成を [現在の通知] リストに追加します。

1. 既存のアラート通知設定を表示、削除、または編集するには、選択したアラートの「現在の通知」テーブルで「表示」、「削除」、または「編集」をクリックします。

2. 必要に応じて現在の設定とフィールドを編集、変更、または削除し、[ 保存] をクリックします。

• アラートレポート表示のサンプルを以下に示します。

次の表に、イベント、システム監査、およびシステム正常性アラートの設定を示します。

• メール通知設定をテストするには、を参照してください。

イベントまたはシステム監査通知をCEF、LEEF、または Syslog 形式のログとして指定されたホストに送信するために、SIEM 設定を構成します。

図2:SIEM通知 の設定

システム正常性アラートの構成時に SIEM 設定として Syslog を選択した場合は、Juniper ATP アプライアンスから送信される Syslog メッセージにホスト名またはプロセス名を含めることができます。 ホスト名を表示 と プロセス名を表示:

1. [構成>通知] ページに移動し、左側のパネル メニューから [SIEM 設定] を選択します。

2. [新しい SIEM コネクタの追加] をクリックして、CEF または Syslog 形式で新しいイベント、システム監査、またはシステム正常性ログ通知を設定します。

3. 使用可能なオプションから選択し (後述を参照)、[追加] をクリックして構成を完了し、新しい SIEM コネクタ構成を [アクティブな SIEMS] リストに追加します。

incident_idまたはevent_idを指定すると、以下のURLを使用して、Juniper ATP Appliance Web UIに相対的な詳細を表示できます。

「JUNIPERATPAPPLIANCE_HOSTNAME_HERE」をJuniper ATP Applianceのホスト名に置き換え、「0000000」をevent_idまたはincident_idに置き換えます。

• https://JATPAPPLIANCE_HOSTNAME_HERE/admin/index.html?incident_id=0000000

• https://JATPAPPLIANCE_HOSTNAME_HERE/admin/index.html?event_id=0000000

1. 最新のレポートを表示したり、既存の SIEM 構成を削除または編集するには、選択した構成行の Active SIEM テーブルで、それぞれ [表示]、[削除]、または [編集] をクリックします。

2. 必要に応じて現在の設定とフィールドを編集、変更、または削除し、[ 保存] をクリックします。

SIEM イベントまたはシステム監査のアラート通知は、[構成>システム設定] メニューから送信メール設定が構成されている場合にのみ使用できます。

イベント アラート設定の説明を次の表に示します。

[パスワードのリセット]設定ウィンドウを使用して、Juniper ATP Appliance Central Manager Web UIへのアクセスに使用する管理者パスワードをリセットします。

図3:パスワードリセットの構成

中央マネージャーのパスワードをリセットするには、次のようにします。

1. 構成>システム プロファイル>パスワードのリセット ページに移動します。

2. [古いパスワード] フィールドに現在のパスワードを入力します。

3. 「新規パスワード」フィールドに新規パスワードを入力し、「パスワードの再入力」フィールドにそのパスワードを再入力します。

4. [送信] をクリックします。

管理者パスワードを回復するには、アプライアンスに物理的にアクセスできる必要があります。パスワード回復コマンドはリモートでは実行できません。「recovery」という名前のユーザーは、パスワードなしでログインし、限られた量のコマンドを入力できます。

管理者パスワードを回復するには、次の手順を実行します。

1. ログインを求められたら、アプライアンスでユーザー名 recovery を直接入力します。

2. reset-admin-passwordを入力してパスワードをリセットします。

   回復ユーザーがexit使用できるその他のコマンドは、 helphistoryのみです。

[Web UI の レポート ] で、監査ログの UI ユーザーを表示するだけでなく、監査ログで管理者および回復管理者の CLI ユーザーも表示できるようになりました。

Juniper ATP Applianceは、企業がJuniper ATP Appliance製品のユーザーを、職務遂行に必要なデータに固有の役割と権限に制限するオプションを提供します。さらに、リモート認証および RADIUS / SAML 構成は、ジュニパー ATP アプライアンスのロールベースのアクセス制御(RBAC)オプションをサポートします。

ロールを設定すると、システム内のすべての新規ユーザーをロールに関連付けることができ、ジュニパーATP Appliance製品のさまざまな機能へのアクセスは、定義されたユーザー権限によって制御されます。いくつかの既定のロールを使用できますが、必要に応じてさらに多くのロールを作成できます。既存のユーザーは、新しい RBAC システムに自動的に移行されます。

ロールの設定に従って、ユーザーがジュニパーATP Appliance製品に正常にログインすると、機能へのユーザーアクセスは、そのユーザーに割り当てられたマッピングされた権限に従って(ユーザー設定時にユーザーに関連付けられたロールを介して)制御されます。

確立されたユーザーの新しいロールを設定するには:

1. 構成>システム プロファイル>ロール ページに移動します。

   メモ：

   [構成>システム プロファイル>ユーザー] ページに移動して、新しいユーザーを作成してから、そのユーザーのアクセス ロールを定義します。

   図 4: ユーザー ロールベースのアクセス制御を構成するための [ロール] ページ

2. [新しいロールの追加] をクリックして、新しいロールを定義します。

3. 「新規ロールの追加」ウィンドウで、「ロール」名を入力します。

   メモ：

   デフォルトの管理者ロールとデフォルトの非管理者ロールの 2 つのデフォルト ロールを使用できます

4. リモートグループ名を入力します(オプション)。

   メモ：

   リモートグループ名は、SAMLまたはRADIUS構成を介してリモート認証用に定義された名前に固有です。

5. [はい] または [いいえ] をクリックして、管理者ステータスを新しいロールに割り当てます。

   メモ：

   管理者ステータスが「いいえ」の場合、「権限」オプションが表示されます。管理者にはデフォルトですべての権限が割り当てられるため、管理者ステータスが「はい」に設定されている場合、このリストは表示されません。

6. 管理者ステータスが「いいえ」の場合は、新しい役割に割り当てる権限のセットをクリックして選択します。

7. [追加] をクリックして、ロールの構成を完了します。新しいロールが「現在のロール設定済み」テーブルに追加されます。

   メモ：

   に移動して 、設定されたロールをユーザーアカウントに追加します。

8. 「削除」ボタンをクリックして、「現在のロール構成済み」テーブルから役割構成を削除します。

   メモ：

   ユーザーがアクティブにマップされているロールは削除できません。

9. [編集] ボタンをクリックして、構成を変更します。

以下のデフォルトロールは、ローカルおよびリモートで認証されたJuniper ATP Applianceユーザーが使用できます。

ジュニパーATPアプライアンスのリモート認証機能は、ロールベースのアクセス制御(RBAC)をサポートします。

• リモート認証でSAML設定を有効にするには、「」を参照してください 。リモートグループ名は、Juniper ATP Applianceシステム用に設定した有効なロールにマッピングされている必要があります。

• リモート認証とRBAC用にRADIUSを設定するには、「」を参照してください 。

  メモ：

  Juniper ATP Applianceで使用できるリモート認証のタイプは一度に1つだけです(SAMLまたはRADIUS)。また、リモートグループ名は、Juniper ATP Appliance用に設定した有効なロールにマッピングする必要があることにも注意してください。リモートグループ名は、SAMLまたはRADIUS構成を介してリモート認証用に定義された名前に固有です。

• 「アクティブディレクトリの設定」も参照してください。

Juniper ATP Applianceアクセス用のユーザーアカウントを作成するには、Config>Userページを開きます。各アカウントに割り当てられたロールによって、ユーザーがアプライアンスを管理できるか、単にデバッグ タスクを実行できるかが決まります。

次の既定のロールが定義されています。

• Default Administrator- すべての監視および管理機能へのフル アクセスを可能にします。定義済みの Admin アカウントには、このロールがあります。

• Debugging- デバッグ機能へのアクセスのみを許可します。デバッグ ロールを持つユーザーは、CLI または構成オプションを表示またはアクセスできません。デバッグ ロールを持つユーザーはシステムに含まれますが、既定では無効になっています。

• Default Non-Administrator- [構成>システム プロファイル>ロール] 設定ページで定義された選択可能な権限のセットを、次のすべてまたは一部へのユーザー アクセスに許可します。

  • ジュニパーATP ApplianceのWeb UIダッシュボードとインシデントへのアクセス

  • マルウェア分析へのアクセス ファイルのアップロード

  • 緩和オプションへのアクセス

Juniper ATP Appliance Users設定ウィンドウを使用して、Juniper ATP Applianceおよびソフトウェアの管理者およびユーザーの設定とステータスの追加、識別、編集、再設定、および/または表示を行います。

ユーザーアカウントを追加するには

1. [構成>システム プロファイル] の下の [ユーザー] をクリックして、[ユーザー] ページを開きます。

   図 6: 新しいユーザー アカウントの設定と、設定済みまたは既定のロール の割り当て

2. [新しいユーザーの追加] ボタンをクリックして、新しいユーザーを構成します。

新しいJuniper ATP Applianceユーザーを設定するには、[後述]フィールドに設定を入力し、追加 をクリックして適用するか、キャンセル をクリックして設定を終了します。

[削除] ボタンをクリックして、ユーザー構成を削除します。

ユーザ アカウントを変更するには、[設定>システム プロファイル] > [ユーザ] ページ リストで既存のアカウントをクリックします。[ユーザー] ページャー テーブルの各ユーザー名は、そのユーザー アカウントの詳細へのリンクです。ユーザー名のリンクをクリックすると、[ユーザーの更新] ウィンドウが表示されます。

[ユーザーの更新] ページでは、ユーザーの名前、パスワード、およびロールを編集したり、そのユーザーの API キー (API 認証キー) を作成または再作成したりできます。

新しいAPIキーを生成して、Juniper ATP Appliance REST APIへのプログラムによるアクセスを承認済みにします。そのユーザーに対して構成された認証キーは、そのユーザーが API 要求を行うたびに適用されます。

ユーザー設定を編集し、特定のユーザーの API キーを生成するには、この 2 段階の手順を使用します。

1. 構成>システム プロファイル>ユーザー ページで、既存のユーザー アカウントをクリックします。

2. このユーザーに SAML または RADIUS 認証を使用している場合は、[SAML ID] [RADIUS] を使用して認証する] (構成されている場合) をクリックしてオンにします。

   このオプションをオンにすると、このダイアログでパスワードを定義する必要がなくなります。ユーザー認証は、ログイン画面の「<IdP 名>を使用して認証」オプションを介して行われます。リモート認証と RBAC の設定については、 『SAML 設定の構成 』または『 RADIUS サーバーの設定の構成 』を参照してください。

3. [ユーザーの更新]ウィンドウで、ユーザーロールまたはパスワードに必要な変更を加え、[新しいAPIキーの生成]オプションをクリックしてオンにします。次回この「ユーザーの更新」ウィンドウを開いたときに、新しいAPIキーが表示されます。

   [ユーザーの API キーを無効にするには、[API キーを無効にする] オプションをクリックします。

4. [ユーザーの更新] ボタンをクリックします。

5. [ユーザーの更新] ウィンドウをもう一度開いて、新しい API キーを表示してコピーします。

6. Juniper ATP Appliance APIにアクセスし、各APIコールの一環として、次の例に示すように認証キーを入力します。

例

詳細については、『Juniper ATP Appliance HTTP API Guide』を必ずお読みください。

Juniper ATP Applianceは、ユーザーがユーザー名とパスワードを使用してログインできる環境で、Webブラウザのシングルサインオン(SSO)操作のセキュリティアサーションマークアップ言語(SAML)認証をサポートしています。

SAML の詳細については、 https://en.wikipedia.org/wiki/SAML_2.0 を参照してください。

SAML 認証の一環として、ID アサーションをサービス プロバイダー (SP) に配信する前に、SSO ID プロバイダー (IdP) は、そのプリンシパルを認証するためにユーザー (プリンシパル) にユーザー名やパスワードなどの情報を要求します。SAML 構成では、対話する当事者間のアサーションが指定され、ID をアサートするメッセージが IdP から SP に渡されます。

SAML では、1 つの ID プロバイダーが多数のサービス プロバイダーに SAML アサーションを提供できます。同様に、1 つの SP が、多数の独立した SSO ID プロバイダー (IdP) からのアサーションに依存して信頼する場合があります。LDAP、RADIUS、またはアクティブディレクトリを使用すると、ユーザーはユーザー名とパスワードを使用してログインできます。これらは、ID プロバイダーの認証トークンの一般的なソースとして機能します。

Juniper ATP Appliance Central Manager Web UIでSAML設定を構成するには、SPとIdPの設定情報を入力します。

1. 構成>システム プロファイル>SAML 設定 ページに移動します。

   

2. [SP 設定] で、フィールドごとに定義を入力するか、[SP メタデータのダウンロード] のリンクをクリックします。

   SPエンティティID	エンティティ ID は、SAML エンティティのグローバルに一意の名前です。IdP に登録されているアプライアンス エンティティ ID の名前。通常、SP エンティティ ID は絶対 URL ですが、場所ではなく名前です (実際の Web 場所に解決される必要はありません)。 メモ： URL のホスト部分は、組織のプライマリ DNS ドメインをルートとする名前である必要があり、URL にはポート番号、クエリ文字列、またはフラグメント識別子を含めることはできません。 例: "https://sp_name.JATPappliance.net/sp">
   メタデータファイルのダウンロード	IdPにアップロードするSPのXML(Juniper ATP Appliance)をダウンロードするためのリンク。
   ユーザー名属性	Juniper ATP Applianceのユーザー名を含むSAMLアサーション内の属性。デフォルトでは、このフィールドが未定義の場合、ジュニパーATPアプライアンスはSAMLレスポンスのNameIDフィールドを使用します。
   グループ属性	グループ名を含む SAML アサーション内の属性。
   管理者ユーザーグループ	管理者権限を受け取るグループ(属性で指定)。 例: jatp_admin
   認証要求に署名する	ジュニパーATPアプライアンスでSAML認証リクエストに署名させるかどうかをチェックします。
   IdP にメッセージに署名させたい	IdP がメッセージに署名するかどうかをチェックします。

3. 次に、IdP 設定を定義します。

   IdP エンティティ ID	IdP のグローバルに一意の名前 (SP エンティティ ID と同じ一般的な名前付け基準) 例： 「https://webauthentication.JATP.net/idp」
   ログインURL	SSO URL(このフィールドは、SPがSSOを開始できるようにするために必要です)。 例： 「https://app.onelogin.com/trust/saml2/http-post/ sso/local_login/440761」
   IdP認定	IdP 証明書の詳細。 上記のスクリーンショットの例を参照してください。

   メモ：

   SAML で認証されたユーザーが「ログアウト」リンクを使用して Juniper ATP Appliance からログアウトすると、Juniper ATP Appliance からはサインアウトしますが、IdP からはサインアウトしません。

ジュニパーATP Applianceのユーザーと認証方法には、3つのタイプがあります。

[構成>システムプロファイル>SAML 設定] ページで SAML SP と IdP の詳細を設定した後、(構成>システムプロファイル>ユーザーページから)SAML 認証にチェックマークが付いているユーザーが Juniper ATP アプライアンスにアクセスしようとしたときに、自動的に IdP のログインページにリダイレクトされます。ローカル ログインを実行するには、パラメータ "local_login" が IdP URL に存在することを確認します。例: https://10.2.20.100/admin/ ?local_login

一部の企業では、AD 認証に PingFederate (PF) サーバーを使用して SML を構成しています。管理者は、Juniper ATP Applianceデバイスへの確定的なアクセスを許可するJuniper ATP Applianceの拡張RBACに加えて、優先順位ベースの認証を設定してアクセス動作を制御することができます。前のセクションで示した SAML 構成に加えて、いくつかの追加設定を初期デプロイ用に構成する必要があります。

1. 管理者は、Juniper ATP Appliance Central マネージャーの [構成>システム プロファイル>ユーザー>新しいユーザーの追加] ウィンドウで、管理者以外のロール ユーザーの認証コントロールを追加する必要があります。この制御では、SAML アサーションにグループ名を使用します (これにより、優先順位固有の問題が削除されます)。

   [次の使用を使用して認証]が有効になっている場合、Juniper ATP Applianceは設定されたロールのリモートグループを使用します。RadiusまたはSAMLレスポンスにロールが設定されていない場合、認証は失敗します。

   [次の使用を使用して承認] が無効 (オフ) の場合、選択したロールが適用されます。

2. 「中央マネージャーの構成」>システム・プロファイル>「SAML 設定」>「SP 設定」ウィンドウに移動して、ローカルで構成されたユーザーに対してのみ許可を許可します。「ローカルで構成されたユーザーのみを承認する」にチェックを入れます。

   「ローカルで設定したユーザーのみ許可する」を選択すると、ローカルユーザーが存在する場合のみ許可が許可されます。

   「ローカルで設定されたユーザーのみを承認する」が選択されていて、ユーザーが存在する場合、ユーザーアカウントウィンドウの認証チェックボックスが権限の承認に使用されます。

   メモ：

   「ローカルで構成されたユーザーのみを承認する」のデフォルト値は、SP設定でオフ(または無効)になっています。既定値の "SAML/Radius を使用して承認する" は True (オン) です。

「ローカルで構成されたユーザーのみを承認する」のオプション

• シンプルローカルユーザー(RadiusとSAMLが構成されていない)の場合、「ローカルで構成されたユーザーのみを承認する」は関係ありません。Juniper ATP Applianceデバイスへのアクセスは、一致するロール名ごとに付与されます。ロールの「リモートグループ」が設定されている場合、それは無視されます。

• SAML への認証または Radius をオンにして設定されたジュニパー ATP アプライアンスに存在するユーザーの場合は、SAML SP 設定の [ローカルで設定されたユーザーのみを認証する] オプションを設定する必要があります。

• 「ローカルに設定されたユーザーのみを承認する」が選択されていない場合のリモート認証および許可では、タイプ3のユーザーが許可されます。SAML グループ・アサーションが、構成されたロールのいずれかのリモート・グループ設定と一致する場合、タイプ 3 ユーザーの認証の成功に基づいて一時ユーザーが作成されます。

• 構成>システムプロファイル>SAML設定>RADIUSサーバー設定]ウィンドウに移動し、これらの構成済みユーザーに対して[ローカルで構成されたユーザーのみを承認する]を選択します。

RADIUS構成では、認証と許可が結合されます。Active Directory ユーザー名が見つかり、パスワードが正しい場合、RADIUS サーバーは、セッションに使用するパラメーターを記述する属性と値のペアの一覧を含む Access-Accept 応答を返します。ADで指定されたグループ名はAccess-Accept応答属性の一部として含まれないため、Juniper ATP ApplianceはデフォルトでFilter-Id属性を使用しますが、属性の選択は構成可能です。この属性は、Active Directoryで構成されたユーザーのグループ名として文字列値を使用して、RADIUSサーバー上で構成する必要があります。たとえば、RADIUS は、複数のユーザーに対して同じ Filter-Id 値の文字列 (できれば AD のグループ名と一致する) を送信するように構成できます。

RADIUS を介して認証されたローカル ユーザーの場合、認証されたユーザーの AD グループ名が、特権を適用するためのユーザー ロールと照合されます。このようなユーザーは、許可されたジュニパーATP Appliance機能のセットを使用できます(Juniper ATP Appliance Central Manager Web UIのConfig>システムプロファイル>ロールページで設定)。

Juniper ATP Applianceで設定されていないが、RADIUSで認証されたユーザーの場合、Juniper ATP ApplianceはSAML設定(タイプ3ユーザー)と同様の非表示ユーザー仕様に対応します。このユーザーは、ジュニパーATPアプライアンス製品の管理者レベルの機能にアクセスできません。ユーザーロールは、Filter-Id値を介して受信したグループ名に基づいて決定されます。

例えば、RADIUSサーバー上のフィルターIDをJuniper ATP Appliance管理者ロールの場合はTestGroup1として設定し、Juniper ATP Applianceの非管理者ロールの場合はフィルターIDをTestGroup2として設定した場合、Juniper ATP Appliance側の管理者ロールのリモートグループ名はAccessGroup1となり、Juniper ATP Appliance側の非管理者ロールのグループ名はAccessGroup2となります。RBAC の詳細については、「 」 および 「」も参照してください。

Windows Server 2012 ネットワーク ポリシー サーバー統合の構成例のサンプルを以下に示します。

次に、フィルター ID を構成し、PAP および MS-CHAP 認証方法を有効にしてください。

必要に応じて、セカンダリ RADIUS サーバーを設定します。フェイルオーバーを目的としたセカンダリ サーバ設定はオプションです。

Juniper ATP Applianceの構成では、次のように設定します。

• ホスト名/IP:ポート

• RADIUS シークレット

• ユーザーグループ属性

• タイムアウト値

  メモ：

  「set_radius_config」APIを使用してジュニパーATPアプライアンス側のRADIUSを設定する方法については、『Juniper ATP Appliance HTTP APIガイド』を参照してください。

Juniper ATP Appliance Central Manager Web UIからRADIUSサーバーを設定するには、次の手順に従います。

1. 中央マネージャーの構成>システム プロファイル>RADIUS 設定] ページに移動します。

   図 7: Juniper ATP Appliance Central Manager RADIUS サーバー設定ページ

2. RADIUS認証を有効にするには、RADIUS認証を有効にするチェックボックスをクリックします。チェックボックスを外して、RADIUS設定を無効にします。

3. サーバーに設定されている RADIUS 認証方法をドロップダウンから選択します: PAP または MS-CHAP;デフォルトの方法は PAP です。

4. ユーザーグループ属性を入力します。Filter-Id は、サーバー側で別の属性が構成されていない限り、既定値です。(フィルターIDをグループ名にマッピングする方法については、「」を参照してください )。

   メモ：

   ユーザーグループ属性は、Juniper ATP ApplianceのConfig>System Profiles>Rolesページを使用して、RBAC用にJuniper ATPアプライアンス側で設定したリモートグループ名にマッピングされます。リモートグループ名では、大文字と小文字が区別されます。

5. 待機タイムアウトを入力します。デフォルトは 3 秒です。タイムアウトは1〜30秒に設定できます。

   メモ：

   デフォルトでは、AD/RADIUS ユーザーによる 3 回のログイン試行が許可されています。試行間のタイムアウトは、上記の手順で示したように構成可能です。タイムアウト値が30秒という高い値に設定されていて、RADIUSサーバーに到達できない場合、Juniper ATP Applianceからの応答を待つ間、ユーザーのブラウザーにタイムアウトメッセージが表示されることがあります。

6. プライマリサーバー設定を入力します。

   • RADIUS サーバ ホスト フィールドでプライマリ RADIUS サーバのホスト名か IP アドレスを入力して下さい。

   • RADIUSポートを入力します。デフォルトは 1812 です。これは、RADIUS アクセス要求の送信に使用される UDP ポートです。

   • サーバー側で構成されたRADIUSシークレットを入力します。

7. (オプション)構成済みのセカンダリ サーバー設定を入力します。

   • RADIUS サーバ ホスト フィールドでセカンダリ RADIUS サーバのホスト名か IP アドレスを入力して下さい。

   • RADIUSポートを入力します。デフォルトは 1812 です。繰り返しますが、これはRADIUSアクセス要求の送信に使用されるUDPポートです。

   • サーバー側で構成されたRADIUSシークレットを入力します。

   • RADIUSログインが設定されている場合、ローカルログインの実行には別のURLが使用されますが、ローカルログインの動作は変わりません。

     https://<JATPDeviceIP>/admin/?local_login

システム設定を構成するには:

1. 構成>システム プロファイル>システム設定] ページに移動します。

2. ページ上部の [システム設定] 領域で、表示されたフィールドに設定を入力し (各オプションについては以下で説明します)、[送信] をクリックして構成設定を保存します。

ジュニパーATPアプライアンスの感染検証パック(IVP)は、企業内のエンドポイントにダウンロードされたマルウェアが、指定されたエンドポイントで実行されたかどうかを検証します。Juniper ATP Applianceが検出したダウンロードごとに、エンドポイントデバイス上の侵害インジケータ(IOC)を検索するIVPを作成できます。エンドポイントで感染を検証することで、修復チームは、侵害されたマシンとして識別および検証された特定のマシンに作業を集中できるため、デスクトップの軽減に時間とコストを節約できます。

管理者は、このガイドの前のページで説明したように、Juniper ATP Appliance Central Manager Web UI の [config>システム設定>システム設定] ページから IVP 設定を構成します。設定オプションは次のとおりです。

• 自己解凍型 zip ファイル

  IVP 自己解凍 zip ファイルは、IVP プログラム自体と、検出された侵害の兆候を含む入力ファイルの 2 つのファイルを 1 つの .exe ファイルにパッケージ化した実行可能形式です。

• Msi

  IVP MSI は、Windows インストーラ パッケージのファイル形式です。

IVP 自己解凍 Zip .exe ファイルが実行されると、コマンド ウィンドウにマルウェアがインストールされたかどうかに関する情報が表示され、ログ ファイルをローカルに保存するかどうか、どこに保存するかを確認するメッセージが表示されます。IVP の結果は、Juniper ATP Appliance Central Manager にも送信されます。

MSI ファイル IVP プロセス

MSI モードで IVP を使用するには、管理者がまずエンドポイントに Juniper ATP Appliance-ivp-setup.msi をダウンロードしてインストールする必要があります。Juniper ATP Appliance-ivp-setup.msiファイルは、管理者が 設定>システム>設定 の IVP フォーマット選択ボタンの横にある MSIをダウンロード ハイパーリンクを使用して、Juniper ATP Appliance Central Managerからダウンロードします。Juniper ATP Appliance-ivp-setup.msiをインストールすると、ターゲットエンドシステムの「C:\Program Files\JATP\IVP\JATP-ivp.exe」の下に IVP プログラムがインストールされます。Juniper ATP Appliance Central Manager で IVP モードが MSI に設定されている場合、IVP の生成時に IOC を含むテキスト ファイルがダウンロードされます。

ファイルの形式は *.ivp です。-ivp-setup.msi が正しくインストールされている場合JATP、.ivp ファイルを実行するとjuniprtatp-ivp.exeが起動し、マルウェア分析中に検出され、現在エンド システムで実行されているダウンロード済みの .ivp ファイルに記述されている IOC の検索が開始されます。デフォルトでは、エンドポイントで感染が発生したかどうかを確認するコマンドプロンプトに結果が表示されます。ユーザーは、コマンド プロンプト ウィンドウを終了するために任意のキーを押す必要があります。MSIモードのログファイルは「C:\Program Files\JATP\IVP」に保存され、感染結果がJuniper ATP Appliance Central Managerに通知されます。

...ここで、<ivp-input.ivp>はJuniper ATP Appliance Central Managerからダウンロードした.ivpです。IVP の引数を以下に示します。

多くのお客様は、エンドポイントに基本的なセキュリティを提供するために、依然としてプロキシとゲートウェイに依存しています。このような環境では、CM/Core管理ネットワークは、プロキシされていない環境と同様に機能し、外部サービスと通信できる必要があります。この通信には、GSS のアップロードとダウンロード、ソフトウェア、セキュリティ コンテンツと署名の更新、およびその他の必要なすべての通信が含まれます。HTTPまたはHTTPSプロキシ環境に導入されたJuniper ATP Appliance コアが機能し、Juniper ATP Appliance GSSおよびその他のインターネットサービスと通信するように設定します。

[システム設定]構成ウィンドウの[プロキシ設定]領域を使用して、Juniper ATP Appliance導入のプロキシ統合と詳細設定を定義および構成します。

詳細については、『Juniper ATP Appliance CLIコマンドリファレンス』を参照してください。

1. プロキシの種類として、[プロキシなし] または [手動プロキシ] を選択します。

   プロキシ構成は、悪用、ダウンロード、感染を含むキルチェーン内のすべてのリンクのJuniper ATP Appliance検出との統合を提供します。

2. プロキシの種類として [手動プロキシ] を選択すると、次に示すように、[プロキシ設定] ページの表示領域のフィールドが構成に合わせて変更されます。

   

3. プロキシ FQDN/IP アドレス フィールドでプロキシ FQDN/IP アドレスを入力して下さい。

   管理ネットワークのプロキシ設定では、埋め込みホスト名と URL を使用する必要があります -- IP アドレスは常にプロキシサーバーを参照します

4. [プロキシ ポート] フィールドにプロキシ ポート番号を入力します。

5. プロキシが不要なすべてのIPアドレスを[プロキシなし]フィールドに入力します。各アドレスはコンマで区切ります。

6. このプロキシに認証が必要かどうかを示すには、[認証が必要] チェックボックスをクリックします。

7. 認証が必要な場合は、[ユーザー名] と [ユーザー名] を入力します。

8. [送信] をクリックします。

   メモ：

   Juniper ATP Appliance CLIサーバーモードからプロキシを設定する方法については、 Juniper ATP Appliance CLIコマンドリファレンスを参照してください。プロキシ IP アドレスの設定を参照してください。

プロキシ内にあるローカルサーバーは、プロキシなしルールに追加する必要があります。プロキシなしルールは、プロキシなしルールに含まれる指定されたネットワークアドレスをターゲットとする送信接続がプロキシを経由しないようにします。

構成には、CM/コアアプライアンスまたはオールインワンアプライアンスのプロキシ設定のみが含まれます。接続されているコレクターとセカンダリ コアのプロキシ設定は、Juniper ATP Appliance Central Manager Web UI Config ページの Web コレクターとセカンダリ コア用に表示されます。

自動ミティゲーションにより、ユーザーは、ユーザーの操作なしでJuniper ATP Applianceのミティゲーションインテリジェンスをエンタープライズの統合セキュリティインフラストラクチャに自動的にプッシュするか、指定されたミティゲーションルールを統合デバイスに手動でプッシュするかを設定できます。

自動緩和が有効になっている場合、Juniper ATP Appliance管理者は、新たに発見された脅威を軽減するためのアクションを実行する必要はありません。

図 9: [自動軽減策の設定] ページ

自動緩和を構成するには:

1. 中央マネージャー Web UI の [構成>システム プロファイル>システム設定] ページに移動し、上記のように [自動軽減策の設定] 領域まで下にスクロールします。

2. クリックして自動緩和を有効にし、構成済みのセキュリティデバイスに対する自動緩和のブロックを有効にします。 ファイアウォール自動緩和の設定も参照してください。

   メモ：

   自動ミティゲーションを有効にすると、ジュニパーATPアプライアンスの高度な脅威分析(ATA)も有効になり、ATAの結果は[緩和]タブで、ミティゲーションテーブルの[脅威ソース]列の下に(ローカルセキュリティコンテンツではなく)「Juniper ATP Appliance ATA」と表示されます(つまり、脅威はジュニパーATPアプライアンスGSSではなくローカルで検知されました)。

   有効にしない場合、自動ブロックは無効になり、Juniper ATP Appliance管理者が[緩和]タブから脅威を手動でプッシュしない限り、緩和ルールは統合ファイアウォールに送信されません。

3. 軽減の積極性レベル (中または積極的) を選択します。

   [アグレッシブ] は、[緩和] タブで報告されたすべての脅威が自動的にプッシュされることを意味します。[中] は、[軽減策] タブに一覧表示されている重大度の [最大] と [高] の脅威のみが自動的にプッシュされることを意味します。

4. [IP アドレスの最大脅威] に、ファイアウォールに送信する IP アドレスの最大数を入力します。指定しない場合、Juniper ATP Applianceはデバイスにプッシュされる脅威の数を制限しません。

   この数値は脅威の信頼度に基づくものであり、リスクベースではありません。信頼状態は、ルール複合状態によって決定されます。

5. [IP URL の最大脅威数] に、ファイアウォールに送信する URL の最大数を入力します。指定しない場合、無制限の数が許可されます。

6. [緩和策] タブから脅威と自動ブロックの結果を表示します。

「システム設定」構成ウィンドウの「表示設定」領域を使用して、Central Manager Web UI のログインおよび表示設定を構成または変更します。

図10:ディスプレイ設定

表示設定を構成するには:

1. [構成>システム プロファイル] ページに移動し、左側のパネル メニューから [システム設定] を選択し、下にスクロールして [システム設定] ページで [表示設定] 構成領域を見つけます。

2. オプションの表示設定を入力または選択します(オプションについては後述)。

3. [送信] をクリックして設定を適用します。

送信メール設定構成ウィンドウを使用して、Juniper ATP Applianceまたはソフトウェア導入時の送信メール通知設定を構成および/または変更します。

送信メールの設定を行うには:

1. [構成>システム プロファイル] ページに移動し、左側のパネル メニューから [システム設定] を選択し、下にスクロールして [システム設定] ページの [送信メール設定] 構成領域を見つけます。

2. 電子メール設定を入力または選択します(オプションについては後述)。次に、[送信(Submit)] をクリックして設定を適用します。

   表 11: 送信メール設定オプション

   SMTP ホスト	エンタープライズメールホストのIPを入力します
   SMTP ポート	SMTP ポート番号を入力します (デフォルトは 587)。
   SSL を使用する	デフォルトで有効になっています。チェックを外すと、SSLの使用が無効になります。
   SMTPログイン	アプライアンスまたはサービスの SMTP 電子メール ログインを入力します。
   SMTP パスワード	ログインアカウントにSMTPパスワードを入力します。
   差出人アドレス	「差出人」フィールドのメールアドレスを入力します。デフォルトは mailto:noreply@JATP.net です。

[構成>システム プロファイル>システム設定] ページの下部にある [送信メール設定のテスト] 領域で、現在の送信メール構成のテストを実行できます。

送信メールの設定をテストするには:

1. 構成>システム プロファイル>システム設定] ページに移動し、下にスクロールして [送信メール設定のテスト] 領域を見つけます。

2. Juniper ATP Appliance からテストメールが送信されるメールアドレス(またはカンマで区切った一連のメールアドレス)を入力します。

3. [テスト] ボタンをクリックして、電子メール通知の構成をテストします。構成設定に基づいて、入力したメールアドレスにJuniper ATP Applianceからメールが送信されます。

   メモ：

   このテストでは、E メールアドレスが有効かどうかではなく、E メールを送信できるかどうかを検証します。

ユーザーは、次の 2 つの使用可能なオプションを使用して証明書を作成できます。

• 新しい自己署名証明書を作成する

• 証明書署名要求 (CRS) を作成する

最初のオプション(新しい秘密鍵と自己署名証明書を作成する)は、アプライアンスのホスト名が変更されるたびに現在行われているように、新しい秘密鍵を作成し、新しい自己署名証明書を生成します。

2番目のオプション(既存の秘密鍵を使用して証明書署名要求を作成する)は、ユーザーに証明書の詳細の入力を求め、それらの詳細を現在の秘密鍵とともに使用してCSRを生成し、ユーザーはこれをダウンロードして信頼できる認証局(CA)によって署名することができます。

または、新しい秘密キーを使用して証明書署名要求を作成することもできます - このオプションは、新しい秘密キーが作成されるため、未処理の CSR を無効にします。これにより、以前の秘密キーが侵害された場合に、ユーザーは秘密キーを変更できます。ユーザが続行を選択すると、システムはユーザに証明書の詳細の入力を求め、それらの詳細と新しい秘密キーを使用して CSR を生成し、ユーザはこれをダウンロードして信頼できる CA によって署名を受けることができます。

自己署名証明書を作成するには:

1. Juniper ATP Appliance Central Manager Web UI Config>System Profiles>Certificate Management]ページに移動します。

2. 「自己署名証明書の作成」をクリックします。

   

3. 「自己署名証明書の作成」ウィンドウで、各フィールド・プロンプトの詳細を入力します

   メモ：

   一部のフィールドはオプションですが、指定されている場合は証明書署名要求の作成時に使用されます。

   共通名(サーバーFQDN)	サーバーの完全修飾ドメイン名。
   組織 (オプション)	証明書を作成する組織。
   組織単位 (オプション)	組織単位または部門、ネットワークなど
   メールアドレス(オプション)	証明書を作成した管理者の電子メール アドレス。
   地域 (オプション)	企業の地域。
   都道府県 (オプション)	証明書を使用するサーバーが配置されている都道府県。
   国コード(オプション)	証明書を使用するサーバーが所在する国。
   キーの長さ	2048 ビット キーまたは 4096 ビット キーのいずれかを選択します。通常、2048 ビットは、証明機関が使用するルート キー ペアなど、非常に貴重なキーに使用されます。キーの長さを長くするとブルートフォースが難しくなりますが、キーの長さを長くすると、サーバーとクライアントでより多くの計算リソースが必要になることに注意してください。

4. 自己署名証明書の詳細を入力したら、[作成(Create)] をクリックすると、証明書が作成され、実行コンフィギュレーションに適用されます。

証明書署名要求 CSR を作成するには:

1. Juniper ATP Appliance Central Manager Web UI Config>System Profiles>Certificate Management]ページに移動します。

2. [CSR の作成] をクリックします。

3. [CSR の作成] ウィンドウで、各フィールド プロンプトの詳細を入力します。

   メモ：

   [新しい秘密キーの作成] オプションをクリックすると、以前に作成した CSR が無効になります。

   共通名(サーバーFQDN)	サーバーの完全修飾ドメイン名。
   組織 (オプション)	証明書を作成する組織。
   組織単位 (オプション)	組織単位または部門、ネットワークなど
   メールアドレス(オプション)	証明書を作成した管理者の電子メール アドレス。
   地域 (オプション)	企業の地域。
   都道府県 (オプション)	証明書を使用するサーバーが配置されている都道府県。
   国コード(オプション)	証明書を使用するサーバーが所在する国。
   新しい秘密キーの作成	クリックすると、証明書署名要求の一部として新しい秘密キーが作成されます。このオプションをクリックすると、以前に作成したCSRが無効になることに注意してください。既存の秘密キーを使用する場合は、このを選択しないでください。

4. CSRファイルをダウンロードし、信頼できるCAに送信します。信頼された CA は、証明書ファイルと CA バンドルをユーザーに送信します。[設定>システム プロファイル] > [証明書管理] に移動し、[証明書のアップロードとインストール] をクリックして、証明書と CA バンドル PEM ファイルをアップロードします。

   アプライアンスは、提供された証明書を検証してインストールします。

信頼できる認証局 (CA) からユーザー提供の証明書をインストールするには、管理者が以下を提供します。

• 秘密キー (オプション) - アップロード済み

• クライアント証明書 - アップロード済み

• CA バンドル (オプション) - アップロード済み

この情報は、次の 2 つの方法のいずれかで提供されます。

• 秘密キー、クライアント証明書、および CA バンドルを個別の PEM ファイルとしてインポートします。PEM エンコーディングは、SSL などの暗号化システムで使用する RSA 秘密キーを格納する秘密キー形式です。

• 内容を復号化するためのオプションのパスフレーズとともに、データをPKCS#12バンドルとしてインポートします。PKCS#12は、複数の暗号化オブジェクトを単一のファイルとして保存するためのアーカイブファイル形式です。秘密キーを X.509 証明書にバンドルしたり、信頼チェーンのすべてのメンバーをバンドルしたりするために使用されます。

  証明書の形式を選択します。PEMから始めましょう。[PEM] をクリックします。

1. [ファイルの選択] をクリックして秘密キーをアップロードします (この手順は省略可能です)。

2. [ファイルの選択] をクリックして、証明書ファイルをアップロードします。

3. [ファイルの選択(Choose File)] をクリックして、CA バンドル ファイルをアップロードします(この手順はオプションです)。

4. [証明書のアップロードとインストール] をクリックします。

または、PKCS#12 形式を選択することもできます。

1. 優先する証明書形式として PKCS#12 をクリックして選択します。

   PKCS#12 パスフレーズを入力します (これはオプションの手順です)。

   メモ：

   PKCS#12 パスフレーズは、ユーザーが PKCS#12 ファイルを作成したときに定義されたパスフレーズと一致する必要があります。そうしないと、ファイルを復号化できません。

2. または、[ファイルの選択] をクリックして PKCS#12 バンドル ファイルをアップロードします。

3. [証明書のアップロードとインストール] をクリックします。このアクションにより、既存のSSL証明書が置き換えられます。

現在の証明書をバックアップするには、PKCS#12 バンドルをダウンロードします。

1. [構成>システム プロファイル] >証明書管理] に移動し、ページの [証明書のダウンロード] 領域まで下にスクロールします。

2. 証明書 PKCS#12 パスフレーズ (オプション) を入力し、[証明書のダウンロード] をクリックして PKCS#12 バンドルをダウンロードして保存します。ダウンロードには、サーバーの秘密キーが含まれます。PKCS#12 パスフレーズは、ユーザーがファイルをダウンロードするときには省略可能ですが、ファイルが失われた場合に秘密キーが公開されないようにパスフレーズを設定することをお勧めします。

   メモ：

   バックアップから証明書をロードするには、Config>System Profiles>Certificate ManagementページのUpload and Install Certificate(証明書のアップロードとインストール)領域にある[Upload & Install Certificate](証明書のアップロードとインストール)ボタンをクリックします。証明書」と入力し、PKCS#12 バンドルをアップロードします。

   ヒント：

   SSL証明書をアップロードし、ページの自動更新を適用すると、SSL証明書のブラウザメッセージが表示される場合があります。ブラウザの証明書情報には、「暗号化されていない要素(画像など)が含まれているため、Webサイトへの接続は完全に保護されていません.....」と記載されています。これはJuniper ATP Appliance Web UIの問題ではなく、メッセージは標準的な注意ブラウザの動作を表しています。

[Webコレクタ]ページには、コレクタのステータスと、コレクタが動作可能でオンラインかどうかが表示されます。このページを使用して、Web コレクタのステータスとプロキシのステータスを確認します。

分散防御システムに新しい電子メール コレクター サーバーを追加するには、次の手順を実行します。

1. 構成>システム プロファイル>電子メール コレクター ページに移動します。

2. 「新規メールコレクターの追加」ボタンをクリックします。

   メモ：

   高度なジュニパーATPアプライアンス-MTA電子メールコレクター機能を使用するには、有効なジュニパーATPアプライアンスアドバンスドライセンスが必要です。詳細については 、 Juniper ATP Applianceライセンスキーの設定 を参照してください。

3. 必要な情報を入力して構成を選択し(その説明については後述を参照)、[保存(Save)] をクリックして新しい構成設定を適用します。

   表 14: 電子メール サーバーの設定

   キャプチャ方法	BCC、Juniper ATP Appliance MTA Receiver、またはJuniper ATP Appliance Cloudから収集します。
   電子メール サーバー	Juniper ATP Applianceコア電子メールコレクターがジャーナリングされた電子メールトラフィックまたはBCC電子メールトラフィックを受信する電子メールサーバーのIPアドレスまたはホスト名を入力します。
   プロトコル	電子メール プロトコルを選択します。 オート |IMAP |POP3 |POP2
   Ssl	[有効] または [無効] を選択します。
   MTA レシーバー IP	メッセージ転送エージェント (MTA) 受信オプションの IP アドレス: "電子メール サーバーからのみ受信" [はい |いいえ] 応答が「はい」の場合は、使用している電子メール ゲートウェイを指定します。Office365 |ローカル電子メールゲートウェイ いずれの場合も、追加のオンプレミス電子メールゲートウェイサブネット(カンマ区切り)を入力します。サブネットの提供は、GmailまたはOffice 36ではオプションです。 メモ： ハイブリッド電子メール展開でクラウド (Office 365 または Gmail) とオンプレミスの電子メール サーバーの両方を使用している場合は、オンプレミスの電子メール サーバー サブネットを入力してください。
   コレクター IP	Juniper ATP Appliance クラウドから収集する Juniper ATP Appliance Collector の IP アドレス。この IP アドレスは、Core-CM の IP アドレス、または別のスタンドアロン MTA 受信側サーバーの IP アドレスにすることができます。
   受信者のメールアドレス	受信者のメールアドレスを入力します。
   パスワード	電子メール サーバー メールボックスのパスワードを入力します。
   ポーリング間隔	ポーリング間隔(分単位)を入力します。これは、電子メールコレクターが電子メールトラフィックをポーリングする頻度です。デフォルトは 5 分です。
   メールをサーバに保持	メール保持設定を選択します。 キープ |削除
   有効	メールサーバーを有効または無効にする設定を選択します。

電子メール サーバーの設定を編集または削除するには:

• 構成>システム プロファイル>電子メール コレクター ページに移動します。

• [現在の電子メール コレクター] リストの [編集] または [削除] ボタンをクリックします。

• 設定と構成の選択を編集、変更するには(上記の説明を参照)、[保存] をクリックして新しい構成設定を適用します。

セカンダリコア設定を表示、無効化/有効化、または削除するには:

1. 構成>システム プロファイル>セカンダリ コア ページに移動します。

2. 行を展開して設定の詳細を表示するには、変更する Mac OSX または Windows(コア + CM)セカンダリ コアの矢印アイコンをクリックします。

   構成情報を編集するには、行を展開する必要があります。

3. [削除]ボタンをクリックして、分散型防御システムからセカンダリコア設定を削除します。

4. [編集] ボタンをクリックして、構成を変更します。

5. 編集ウィンドウで、設定を変更し(その説明については以下を参照)、[保存]をクリックして変更した構成設定を適用します。

編集可能なセカンダリコアフィールドは次のように定義されます。

[セカンダリ コア]ページには、コレクタのステータスと、コレクタが動作状態およびオンラインかどうかが表示されます。このページを使用して、Mac OS X または Core+CM (Windows) のセカンダリ コアの状態を確認します。

図 14: Mac OS X セカンダリ コアのステータス表示

構成するには、Windows 7 カスタム イメージを作成し、構成中に VNC を使用してその "ゴールデン イメージ" を操作します。設定が完了すると、Juniper ATP Applianceはマルウェアの分析と検出のためにカスタムイメージを自動的にインスツルメントして展開します。

カスタム ゴールデン イメージ VM の構成プロセスの手順は次のとおりです。

1. 手順 1: カスタム OS ISO の場所をマウントし、VM を起動します。

2. ステップ2:VNC経由でカスタムゴールデンイメージVMに接続し、Windows OSをインストールします。

   メモ：

   Windows 7のインストールプロセス中に、Windowsは必要な再起動を実行し、VNC接続が切断されます。これは予期される動作です。VMを手動で再起動し、Windowsのインストール中にVNCを失った直後にVNCに再接続します。

3. ステップ3:VMを再起動する*

4. 手順 4: カスタム ゴールデン イメージ VM をファイナライズして有効にします。

5. ステップ5:VNCに再接続し、必要に応じてアドビアクロバットをインストールします。

6. ステップ6:ゴールデンイメージに優先AVソフトウェアをインストールする

1. 中央マネージャー Web UI の [構成>システム プロファイル>ゴールデン イメージ VM] ページに移動します。

2. [新しい VM イメージ] ボタンをクリックします。

3. 新しい Windows 7 カスタム ゴールデン イメージ VM の設定を入力します。

   入力フィールドについては、以下で説明します。

   カスタム VM イメージ構成フィールド	説明
   イメージ名	作成するカスタム VM イメージの名前を入力します。
   説明	新しいゴールデン イメージの説明を入力します。
   VNC ID	VNC IDを入力します。ID は一意の整数である必要があります。
   アーキテクチャ	32 ビットまたは 64 ビットを選択します。 ディスク サイズ (GB) を入力します。
   ディスク サイズ (GB)	カスタム イメージに使用するディスクのサイズを入力します。デフォルトは 20 GB です。
   リスクの低減	リスク削減設定として [はい] または [いいえ] を選択します。ここで、"yes" はそれぞれ値 0.3 を表し、"no" はリスク削減値 0 を示します。デフォルトは [いいえ] (0) です。 リスクの低減は、脅威の関連性メトリックに組み込まれます。ゴールデンイメージが潜在的なマルウェアオブジェクトが無害であると判断した場合、リスクの低減は関連性の低い値として適用されます
   ネットワークセグメント	このカスタム VM イメージを作成する対象の OS を実行しているネットワーク セグメントを入力します。 分析されたマルウェアがここで設定されたネットワークセグメントと一致しない場合、関連性は計算されません。

4. カスタム ゴールデン イメージ VM 設定を入力したら、[追加] をクリックしてイメージを作成します。

5. イメージが [現在のゴールデン イメージ VM] テーブルに表示されたら、[コントロール] リンクをクリックして、新しいカスタム イメージのインストールとマウントの準備をします。

6. [オプション: この新しい VM イメージの元の設定を編集するには、[編集(Edit)] をクリックし、カスタム イメージ設定情報を再入力します。

7. マウント

   ファイル共有から OS のインストール メディアをマウントする場合:

   • [コントロール] ウィンドウの [ISO NFS/SMB マウント パス] フィールドにマウント パスを入力します (開いているファイル共有からマウントしていることを確認してください)。

     SMB 構文: //<IP アドレス>/<dir>/<file>

     NFS 構文: i<IP アドレス>:<dir>/<file>

     メモ：

     アクセス許可設定で、開いているファイル共有へのアクセスが許可されていることを確認します。

   • クリックしてチェックマークを付けます 起動時にCD ISOをマウントする

[ブート VM: ブート] ボタンをクリックします。

1. VNCクライアントを使用してゴールデンイメージVMに接続し、マルウェア分析のためにジュニパーATPアプライアンスで使用されるエンタープライズのWindows OSの標準インストールを実行します。

   メモ：

   Windowsのインストールプロセス中に、Windowsは必要な再起動を実行し、VNC接続が切断されます。これは予期される動作です。VMを手動で再起動し、Windowsのインストール中にVNCを失った直後にVNCに再接続します。

1. セントラル マネージャー Web UI の [構成] > [システム プロファイル] > [ゴールデン イメージ VM] ページに戻り、[現在の VM イメージ] テーブルから関連する VM の [コントロール] リンクを選択して、[VM のブート: ブート] ボタンをもう一度クリックします。

次のステップとして、Juniper ATP Applianceは、設定したカスタムイメージをJuniper ATP Applianceの分析および検出アーキテクチャに適合させ、新しいOSを確立されたファイアウォール設定に合わせて自動的に調整して、必要なドライバをインストールします。このプロセスの一環として、Juniper ATP ApplianceによってVMがシャットダウンされるため、VMイメージの設定を完了するには、ステップ12でVMを有効にする必要があります。

1. 「コントロール」ウィンドウで、「イメージのファイナライズ: ファイナライズ」をクリックします。[ファイナライズ]をクリックすると、VNC経由でカスタムイメージVMにログインし、Juniper ATPアプライアンスのファイナライズスクリプトがゴールデンVMイメージ上で実行されるため、プロンプトに注意深く従うように求められます。スクリプトの最後の手順は、ゴールデン イメージ VM をシャットダウンすることです。

2. カスタム VM イメージの構成を完了するには、[イメージの有効化: 有効化] をクリックします。

1. もう一度VNCポートに接続し、必要に応じてAdobe AcrobatをカスタムOS環境にインストールします。

   メモ：

   PDF ReaderとAdobe Acrobat exeはマウント可能である必要があります。

[インシデント] タブの [概要] テーブルの新しい行に、カスタム VM イメージの結果が "ゴールデン イメージ" として表示されます。

3 つのゴールデン イメージ VM が構成されている場合、次に示すように、3 つのゴールデン イメージの結果が操作ダッシュボードと [インシデント] ページに表示されます。

仮想化 HV を有効にするために ESXi サーバを設定することは、VMWare ESXi バージョン 5.1 以降でのみ推奨されます。

仮想 HV を有効にするように ESXi サーバーを構成するには:

1. ESXi ホストに SSH 接続します。

2. /etc/vmware で 'config' ファイルを編集し、次の設定を追加します

3. vSphere Web クライアントを使用して、VM 設定>> CPU/MMU 仮想化のオプションから VM 設定を編集して、ゲスト VM を構成します。

4. [インテル EPT] オプションを選択して、構成を完了します。

現在のシステム構成をバックアップするには、次の手順に従います。

1. 構成>システム プロファイル>バックアップ/復元 ページに移動します。

2. [バックアップ(Backup)] ボタンをクリックして、アプライアンスまたはソフトウェア サービス データベースをバックアップします。

保存したコンフィギュレーション ファイルを現在の実行コンフィギュレーションとして復元するには、次の手順に従います。

1. 構成>システム プロファイル>バックアップ/復元 ページに移動します。

2. [ファイルの選択(Choose File)] ボタンをクリックして、以前に保存した設定ファイルを選択してアップロードし、[復元(Restore)] をクリックしてアプライアンスまたはサービスに構成設定を適用します。

   メモ：

   バックアップおよび復元機能は、異なるメジャーリリースのCM/Coreインストールでは実行できません。たとえば、以前のバックアップ ファイル(リリース 3.2.0 アプライアンスから生成)をリリース 3.2.0 を実行しているアプライアンスに復元しないでください。

1. セントラル マネージャー Web UI の構成>環境設定>電子メールの軽減策の設定] ページに移動し、[電子メールの種類] として Gmail を選択します。

2. 確立済みの隔離ラベル名を入力します。

3. 電子メール アドレスを入力します(構成をテストするため)。

4. 完全な Gmail JSON キーを入力します。

5. [追加] をクリックして構成を完了します。

6. 検疫設定を編集するには、[構成されている現在の電子メールの軽減策] 表の [編集] をクリックします。

7. 検疫設定を削除するには、[現在の電子メールの軽減策が構成されている] 表の目的の行にある [削除] をクリックします。

図 17: Gmail の検疫設定ページ

1. セントラル マネージャー Web UI の構成>環境設定>電子メールの軽減策の設定] ページに移動し、[電子メールの種類] として [Exchange Online] を選択します。

2. 確立された機関ホスト URL を入力します。

3. Office リソースの URI を入力します。

4. テナント ID を入力します。

5. クライアント ID を入力します。

6. 隔離フォルダの名前を入力します。

7. 新しい Azure キー資格情報を生成するには、 チェック ボックスをオンにします。

8. キービットを入力します。デフォルトは 4096 です。

9. 証明書の有効期間の日数を入力します。

10. Azure マニフェスト キーの資格情報を入力します。

11. [追加] をクリックして構成を完了します。

12. 検疫設定を編集するには、[構成されている現在の電子メールの軽減策] 表の [編集] をクリックします。

13. 検疫設定を削除するには、[現在の電子メールの軽減策が構成されている] 表の目的の行にある [削除] をクリックします。

Juniper ATP Appliance は、統合されたエンタープライズ ブロック デバイスで包括的な自動攻撃緩和を提供します。以前のリリースでは、脅威のブロックを実行するために、緩和インテリジェンスが統合パートナーデバイスに手動でプッシュされていました(Bluecoatなど、Juniper ATP Applianceをポーリングするパートナーデバイスを除く)。このリリースでは、ユーザーは、ユーザーの操作なしで脅威緩和インテリジェンスをブロックしているデバイスに自動的にプッシュするか、ブロックしているインフラストラクチャに配布される緩和ルールごとに手動プッシュ オプションを使用するかを構成します。

自動緩和の設定と有効化については、 自動緩和の設定 を参照してください。自動緩和を有効にすると、Juniper ATP Appliance ATA も同時に有効になります。

自動緩和のためのJuniper ATP ApplianceとPANファイアウォールの統合の構成は、2段階のプロセスで行われます。

1. PANファイアウォールWeb UIを使用して、動的アドレスグループとJuniper ATP Appliance-Tagを設定します。

2. この構成>環境設定>ファイアウォールの緩和策の設定ページで構成を完了します。

1. PAN OS 6.0 Web UIから、[オブジェクト]タブに移動し、左側のパネルメニューから[タグ]ページを選択します。ジュニパーATPアプライアンスタグを入力し、[OK]をクリックします。例: JATP タグ

2. [オブジェクト]タブで、左側のパネルメニューから[アドレスグループ]を選択し、[追加]をクリックして新しい動的アドレスグループを作成します。表示されたフィールドに、以下に示す条件を入力し、[OK] をクリックします。

   • 名前 (例: JATP-dag)

   • 説明(例:Juniper ATP Appliance動的アドレスグループ)

   • タイプ (例: 動的)

   • 一致(例: 'JATP-tag')

3. [ポリシー]タブに移動し、左側のパネルメニューオプションから[セキュリティ]を選択し、[追加]をクリックしてセキュリティポリシールールを追加します。

4. [送信元] サブタブの [送信元アドレス] の下に、以前に作成した動的アドレス グループ (この例ではチェックマーク JATP-dag) を追加します。「OK」をクリックし、ウィンドウの右上隅にある「コミット」をクリックします。

1. 構成>環境設定>ファイアウォールの緩和策の設定] ページに移動します。

2. [ 新しい自動軽減ルールの追加] をクリックします。

   メモ：

   各FW緩和設定フィールドの定義については、以下で詳しく説明します。

3. PAN FWデバイス統合用のホスト名/IP、ホストプロトコル、ポート番号を入力します。

4. [緩和の種類] カテゴリから [PAN ] を選択し、[デバイスの種類] オプションから [PAN-OS ファイアウォール] を選択します。

5. ユーザー名とパスワードを入力します。

6. [軽減 URL] カテゴリと [タグ] を入力します。

   ヒント：

   ユーザーが URL と DAG カテゴリを変更する場合、変更されたルールは自動ルール プッシュにトリガーされません。新しいカテゴリにプッシュするには、既存の設定を削除して新しい設定を追加します。

7. 有効期限を入力し、[追加] をクリックします。

   表 17: 定義された自動緩和設定

   軽減タイプ	個々の PAN FW を設定するには、PAN-OS を選択します。
   ホスト IP/URL	PANファイアウォールのIPアドレスまたはまたはFQDN/ホスト名。
   ホストプロトコル	HTTPS または HTTP を選択します。
   ポート番号	PAN OS 管理コンソールのポート番号を入力します。
   ユーザー名	管理者アカウントのユーザー名を入力します。
   パスワード	管理者アカウントのパスワード。
   タグ	構成された DAG に関連付けられているタグ (上記の例では "JATP タグ")。
   軽減策 URL カテゴリ	URLを入力します。このオプションは、パロアルトネットワークスのファイアウォールへのURLに基づいてブロックを提供します。URL ベースのブロックにより、より正確なブロック制御が可能になります。

Juniper ATP Appliance Central Manager の [緩和] ページから、設定した自動緩和ルールを適用します。

1. 「緩和策」テーブルで脅威の行(または複数の行)を選択し、「適用」をクリックします。

2. [適用(Apply)] をクリックすると、すべてのルールが PAN ファイアウォールにプッシュされ、10 秒から 20 秒以内に PAN ファイアウォール CLI に表示されます。複数のルールを同時にプッシュでき、すべてが同時に PAN CLI に反映されます。

   これは非同期操作であるため、引き続き他のルールをプッシュし、必要に応じて他の CM Web UI ページを使用できます。

   60 秒後にページを更新すると、選択した行のプッシュ SUCCESS メッセージが表示されます。

3. [削除] ボタンは、自動軽減ルールを削除する必要がある場合に、自動軽減のためにプッシュされた行ごとに使用できます。

自動緩和ブロックルールを有効または無効にするには:

1. 構成>環境設定>ファイアウォールの緩和策の設定] ページから。

2. [現在の自動緩和ルール] テーブルで [有効] または [無効] をクリックして、自動ブロックの転送を有効または停止 (無効) にします。

PAN FWルールや設定を削除するには:

1. 構成>環境設定>ファイアウォールの緩和策の設定] ページから。

2. 現在パンFWにプッシュされているルールがない場合は、[削除]オプションをクリックします。

3. ルールが現在プッシュされている場合、[削除] オプションは無効になります。[すべての IP アドレスの削除] をクリックします。

• PAN-OS CLI から、次のように入力します。

ジュニパーATPアプライアンスプラットフォームは、悪意のあるIPアドレスやマルウェアにリンクするURLを監視して検出します。以前のリリースでは、ジュニパーATPアプライアンスがパロアルトネットワークス(PAN)ファイアウォールと統合されていたため、悪意のあるURLやIPを個々のPAN FWデバイスにプッシュすることで、これらのIPアドレスやIPをブロックできました。ただし、企業によっては、さまざまな場所に導入された一連のPANファイアウォールを利用しています。このため、ジュニパーATPアプライアンスでは、PANファイアウォールの分散ネットワークを一元的に制御するネットワークセキュリティ管理デバイスであるパロアルトネットワークのパノラマとの統合を提供しています。Juniper ATP Applianceは、個々のPAN-OS FWとの統合を通常通り構成することも、Juniper ATP ApplianceのファイアウォールおよびSecure Gatewayの自動緩和オプションの一部として集中型パノラマデバイスとの統合を構成することもできます。個々のFW統合については、を参照してください 。

Juniper ATP Appliance/Panoramaの統合は、IPアドレスをファイアウォールのアドレスグループにプッシュし、設定された各ファイアウォールデバイスグループのカスタムURLカテゴリにURLをプッシュします。複数のデバイス グループを構成することもできます。

1. 構成>環境設定>ファイアウォールの緩和策の設定] ページに移動します。

2. [新しい自動軽減ルールの追加] をクリックします。

   メモ：

   各FW緩和設定フィールドの定義については、以下で詳しく説明します。

3. [緩和タイプ] カテゴリから [PAN] を選択し、[デバイスの種類] オプションから [パノラマ] を選択します。

4. ホスト名/IPを入力します。

5. 構成済みのデバイス グループを入力します。複数のデバイス グループがある場合は、各デバイス グループ名をスペースで区切って入力します。

6. 集中型PANORAMA FWデバイスのホストプロトコルとポート番号を入力します。

7. ユーザー名とパスワードを入力します。

8. [軽減 URL] カテゴリを入力します。

9. アドレスグループを入力します。

10. 有効期限を入力し、[追加] をクリックします。

    表 18: PANORAMA 自動緩和設定の定義

    軽減タイプ	[パノラマ]を選択して、一元化されたパノラマ管理サーバーデバイスを設定します。
    ホスト IP/URL	パノラマデバイスのIPアドレスまたはまたはFQDN/ホスト名。[デバイス グループ] デバイス グループ名を入力します。複数のデバイスグループは、
    デバイスグループ	デバイス グループ名を入力します。複数の装置グループを (文字スペースで区切って) 指定できます。パノラマコンソールで開発グループの管理ページからデバイスグループを設定します。これは、パノラマファイアウォールネットワーク内のすべてのファイアウォールがグループ化されている場所です。
    ホストプロトコル	HTTPS または HTTP を選択します。
    ポート番号	PAN OS 管理コンソールのポート番号を入力します。
    ユーザー名	管理者アカウントのユーザー名を入力します。
    パスワード	管理者アカウントのパスワード。
    軽減策 URL カテゴリ	URL を入力します。このオプションは、パロアルトネットワークスのファイアウォールへのURLに基づいてブロックを提供します。URL ベースのブロックにより、より正確なブロック制御が可能になります。ジュニパーATPアプライアンス/パノラマは、設定された各ファイアウォールデバイスグループのカスタムURLカテゴリにURLをプッシュします。プッシュは、Juniper ATP Applianceから分散型PAN FWへの緩和セキュアWebゲートウェイを介して行われます。
    アドレス グループ	ジュニパーATPアプライアンスがPANブロッキングのためにIPアドレスをプッシュするグループの場所。パノラマコンソールで作成した、Juniper ATP Applianceに固有の既存のアドレスグループを入力します。アドレス グループが指定されていない場合、PAN はプッシュの実行時に新しいアドレス グループを作成します。
    有効期限	ルールの有効期限が切れるまでの日数を入力します。有効期限の既定値は 0 で、ルールは期限切れになりません。

Juniper ATP Appliance Central Manager の [緩和] ページから、設定した自動緩和ルールを適用します。

1. 「緩和策」テーブルで脅威の行(または複数の行)を選択し、「適用」をクリックします。

   メモ：

   [適用] アクションは、自動緩和ルールをパノラマ デバイスにプッシュし、そこから特定のデバイス グループ内の分散型 PAN-OS ファイアウォールでポリシーが実行されます。

2. [適用] をクリックすると、すべてのルールがパノラマ経由で PAN ファイアウォールにプッシュされ、10 秒から 20 秒以内に PAN ファイアウォール CLI に表示されます。複数のルールを同時にプッシュでき、すべてが同時に PAN CLI に反映されます。

   これは非同期操作であるため、引き続き他のルールをプッシュし、必要に応じて他の CM Web UI ページを使用できます。

   60 秒後にページを更新すると、選択した行のプッシュ SUCCESS メッセージが表示されます。

3. [削除] ボタンは、自動軽減ルールを削除する必要がある場合に、自動軽減のためにプッシュされた行ごとに使用できます。

パノラマルールや設定を削除するには:

1. 構成>環境設定>ファイアウォールの緩和策の設定] ページから。

2. 現在Panoramaデバイスにプッシュされているルールがない場合は、[削除]オプションをクリックします。

3. ルールが現在プッシュされている場合、[削除] オプションは無効になります。[すべての IP/URL アドレスを削除] をクリックします。

1. パノラマデバイスグループ内の個々のPAN-OSファイアウォールのCLIから、次のコマンドを入力して動作を確認します。

統合された Cisco ASA ファイアウォール サポートにより、ASA ファイアウォールを導入している企業は、マルウェアをブロックするために、ジュニパー ATP アプライアンス製品から Cisco ASA ファイアウォール プラットフォームに IP アドレスをプッシュできます。Juniper ATP Appliance は、REST インターフェイスを使用して ASA ファイアウォールと通信します。

Cisco ASA 管理者は、ASA で「ネットワーク オブジェクト グループ」を設定する必要があります。複数のネットワーク オブジェクト グループは、ASA ファイアウォールの「非表示」機能であることに注意してください。

ASA 設定の例を次に示します。

[設定] > [環境設定] > [ファイアウォールの緩和設定] ページに移動して、Cisco ASA ファイアウォールで Juniper ATP アプライアンスで検出されたマルウェアの自動緩和を設定します。

ASA ファイアウォールを設定するには、次の手順を実行します。

1. [緩和タイプ] 列から [ASA] を選択します。

2. [ホスト名/IP] フィールドにファイアウォールのホスト名または IP アドレスを入力します。

3. ファイアウォールのポート番号を入力します(デフォルトの 443 と異なる場合)。

4. 管理者の [ユーザー名] と [パスワード] を入力します。

5. ASA ファイアウォールで設定されたネットワーク オブジェクト グループを入力します。

6. 接続の有効期限の日数を入力します。デフォルトは 60 日です。

Juniper ATP Applianceデバイスを設定する前に、FortiManagerでこの必要な設定を適用することから始めます。

FortiManager コンソールで、以下を作成します。

• また、有効にする必要がある ADOM (管理ドメイン)。ADOM が作成されたら、JSON RPC 要求に ADOM 名が必要になります

• ジュニパーATPアプライアンスがIPアドレスを追加する前でも、少なくとも1つのIPアドレス(ダミー)を使用してアドレスグループを作成する必要があります。

• Webfilterプロファイル(オプション)を作成し、以下のセクションに示すようにURLフィルタリングを有効にする必要があります。

  メモ：

  アドレスグループ名(指定されている場合)は、IPアドレスのブロック情報をプッシュするために使用されます。Webfilter プロファイル名 (指定されている場合) は、URL のブロック情報をプッシュするために使用されます。これら 2 つのパラメーターは省略可能ですが、少なくとも 1 つの -(アドレス グループまたは Webfilter 名) を指定する必要があります。どちらも指定されていない場合は、エラーメッセージが表示されます。

• ポリシー パッケージを作成します (オプション)。指定した場合、ポリシー パッケージにインストール ターゲットとしてリストされているすべての FortiGate にポリシーがインストール (プッシュ) されます。ポリシーパッケージ名がJuniper ATP Applianceで設定されていない場合、FortiGatesはこれらのポリシーをFortiGatesにプッシュまたはインストールしません。そのようなインストールは、手動または他の手段(たとえば、スケジュールに従ってカスタムスクリプトを実行する)で実行する必要があります。

FortiManagerでは、IPアドレスを「アドレス」の共通プールに追加する必要があり、これらのアドレスをアドレスグループに追加できます。FortiManager コンソールでアドレス グループを作成する場合は、そのグループに少なくとも 1 つの IP アドレスを指定してください。以下のメニューを参照してください。

図 22: FortiManager アドレス グループの設定

また、FortiManager コンソールで Web/フィルター プロファイルを作成し、その下にブロック用の URL を追加する必要があります。

図 23: FortiManager Web フィルタの構成

FortiManager ウェブフィルタ プロファイルで、URL フィルタを有効にする必要があります。ブロックされるすべてのURLは、Juniper ATP ApplianceからこのURLフィルターにプッシュされます。

図 24: FortiManager での URL フィルターの有効化

また、Fortinet FWとFortiManagerの統合には、統合用に作成されたアドレスグループとWebフィルター名を参照するポリシーを含むポリシーパッケージも必要です。このポリシーパッケージをインストールするインストールターゲット(デバイス枠)を指定します。

図 25: FortiManager ポリシー パッケージ の設定

Fortinet ファイアウォールと管理プラットフォームを構成するには、次の手順を使用します。

1. [軽減策の種類] 列から [Fortinet] を選択します。

2. [ホスト名/IP] フィールドにファイアウォールのホスト名または IP アドレスを入力します。

3. 管理者の [ユーザー名] と [パスワード] を入力します。

4. Fortinetファイアウォールで構成されたアドレスグループを入力します。

5. Fortinetファイアウォールで構成されたWeb/フィルタープロファイル名を入力します。

   メモ：

   アドレスグループ名(指定されている場合)は、IPアドレスのブロック情報をプッシュするために使用されます。Webfilter プロファイル名 (指定されている場合) は、URL のブロック情報をプッシュするために使用されます。これら 2 つのパラメーターは省略可能ですが、少なくとも 1 つの -(アドレス グループまたは Webfilter 名) を指定する必要があります。どちらも指定されていない場合は、エラーメッセージが表示されます。

6. FortiManagerプラットフォームを設定する場合は、[FortiManager]をクリックすると、追加のフィールドが表示されます。

   メモ：

   Juniper ATP Appliance Fortinet統合は、FortiManagerバージョン5.4以降をサポートしています。

7. FortiManager 用に構成された管理ドメイン名 (ADOM) を入力します。

8. FortiManagerで設定されたポリシーパッケージ名を入力します。

9. [追加] をクリックして構成を完了します。

FortiManagerはFortiGateデバイスのマネージャーであり、設定のためのJSON-RPC APIベースのアクセスを提供します。Juniper ATP Appliance は、以下の API を使用します。

構成されたチェック・ポイント・ファイアウォールの統合により、ジュニパーATPアプライアンス製品は、チェック・ポイントのファイアウォールと連携して通信し、脅威の緩和を実行することができます。Juniper ATP Appliance管理者は、特定の脅威をブロックするか、チェック・ポイント・ファイアウォールの統合を介して以前に伝播された緩和策を削除するかを選択できます。

通信はSSHインターフェイスを介して行われ、チェック・ポイントのユーザーはチェックポイントデバイスのCLIにもアクセスできます。

ブロック情報は、チェックポイントAPIを使用して送信されます。管理者は、ジュニパーATPアプライアンスの確立されたPANとジュニパーの統合サポートと同様に、悪意のあるIPアドレスを統合チェックポイントアプライアンスにプッシュすることにより、ファイアウォールまたはセキュアWebゲートウェイで脅威を特定し、選択したオブジェクトを中央マネージャーWeb UIから構成済みのチェックポイントファイアウォールに送信します。

ジュニパーATPアプライアンス製品は、チェック・ポイントの不審なアクティビティモニター(SAM)機能を使用して、悪意のあるIPアドレスをチェック・ポイントのアプライアンスに伝播します。SAMのステータスとコマンドは、Web UIアプリケーションのチェックポイント「スマートコンソール」ファミリーの「スマートビューモニター」アプリで利用できます。

Check Point GAiA アプライアンスの導入には、セキュリティ管理サーバーとセキュリティ ゲートウェイの設定が含まれます。スタンドアロン構成では、セキュリティー管理サーバーとセキュリティー・ゲートウェイは同じマシンにインストールされます。分散構成では、単一のセキュリティ管理サーバーで複数の下位セキュリティゲートウェイを管理できます。

Juniper ATP Applianceは、スタンドアロンと分散型の両方のCheck Pointデプロイメントをサポートしています。いずれの場合も、ジュニパーATPアプライアンスは、チェック・ポイント・セキュリティ管理サーバーのIPアドレスを使用して設定する必要があります。

他の統合とは異なり、アドレスグループや同様のオブジェクトを設定する必要はありません。チェックポイントを使用すると、管理者は軽減されたIPへの接続をドロップまたは拒否し、既存の接続を閉じるか維持するかを選択できます。これらの選択肢は、ジュニパーATP Applianceのチェック・ポイント統合の設定時に選択されます。

ジュニパーATPアプライアンスのファイアウォールブロッキングは、以下のチェック・ポイントCLI SAMコマンドに対応します。

チェックポイントの「FW SAM CLI リファレンス」ガイドはオンラインで入手できます。

チェック・ポイント・ファイアウォール統合を構成するには:

構成>環境設定>ファイアウォール緩和設定 ページに移動して、ジュニパー ATP アプライアンスで検出されたマルウェアのチェック・ポイント・ファイアウォールの自動緩和を設定します。

1. [軽減策の種類] 列から [チェックポイント] を選択します。

2. [ホスト名/IP] フィールドにファイアウォールのホスト名または IP アドレスを入力します。

3. 管理者の [ユーザー名] と [パスワード] を入力します。

   メモ：

   Juniper ATP Applianceで設定されたチェック・ポイントのログイン認証情報は、シェルとして/bin/bashを持つチェック・ポイント・アカウントに対応している必要があります。これは、チェックポイントCLIの「エキスパート」モードに相当します。これはデフォルトのシェルではないことに注意してください。デフォルトはクリッシュです。

4. 接続の有効期限の日数を入力します。デフォルトは 60 日です。

5. [禁止モード] オプションを選択します。

   • ドロップして閉じる - ファイアウォールでブロック要求を受信したときにパケットをドロップし、接続を閉じます

   • 拒否して閉じる - パケットを拒否し、接続を閉じます

   • ドロップ - パケットをドロップします。ドロップ(ブロック)を使用すると、パケットはドロップされ、送信側プログラム/システムに何も送り返されません。したがって、攻撃者は、宛先またはファイアウォールに到達したかどうかを知ることができません。攻撃者には、IPアドレスに何もないように見えます。

   • 拒否 - パケットを拒否します。拒否すると、UDP に到達できない TCP RST または ICMP ポートが送信者に返されます。

6. チェック・ポイント・ファイアウォールのセキュリティ管理サーバーのセキュア内部通信SIC名を入力します。

7. [適用ホスト] オプションを選択します。

   • すべて - すべての適用ホストとグループまたはオブジェクト

   • ゲートウェイ - 優先実施ホストとしてのセキュアゲートウェイ

   • グループまたはオブジェクト:設定済みのセキュリティ ポリシー グループまたはオブジェクト

オブジェクトは、チェックポイントファイアウォールによって管理されるホスト、ゲートウェイ、ネットワーク、およびホストを表します。グループは、各ネットワーク オブジェクト グループをブランチとして表示する場合があります。セキュリティ ゲートウェイは、企業のセキュリティ ポリシーを実施し、セキュリティ実施ポイントとして機能します。

Forcepoint NGFWセキュリティ管理センター(SMC)は、分散型ネットワーク企業全体でForcepoint次世代ファイアウォールの一元管理を提供します。監視、ロギング、アラート、およびレポートを備えたForcepoint SMCは、ネットワークセキュリティイベントの完全なビューを管理者に提供します。

ジュニパーATPアプライアンスプラットフォームは、悪意のあるIPアドレスやマルウェアにリンクするURLを監視して検出します。フォースポイントSMCとの統合により、フォースポイントファイアウォールの背後にいるユーザーがこれらのIPまたはURLにアクセスすることができなくなります。

この統合には、次のようなフォースポイントSMCの構成タスクが含まれます。

フォースポイントSMC APIを有効にして、他のアプリケーションがSMC APIを使用して接続できるようにします。

1. フォースポイントSMCで、 ホームを選択します。

2. [その他] > [管理サーバー] に移動します。

3. [管理サーバー] を右クリックし、[プロパティ] を選択します。

4. [SMC API] タブをクリックし、[有効にする] を選択します。

5. オプションで、[ホスト名]フィールドに、SMC APIサービスが使用する名前を入力します。名前を入力しない場合、任意のホスト名に対する API 要求が許可されます。

6. 管理サーバーでリッスン ポートが既定の 8082 に設定されていることを確認します。

7. 管理サーバーに複数の IP アドレスがあり、アクセスを 1 つに制限する場合は、[ アドレスのみをリッスンする] フィールドに IP アドレスを入力します。

8. 暗号化された接続を使用する場合は、[ 選択] をクリックし、[ TLS 資格情報] 要素を選択します。TLS 資格情報を作成する手順については、次の手順を参照してください。

9. OK をクリックします。

SMC APIクライアントのTLS資格情報を作成します。(既存の秘密キーと証明書が使用可能な場合は、インポートできることに注意してください)。

1. 管理クライアントで、「 構成」を選択します。

2. [ 管理 ] > [証明書 ] > [TLS 資格情報] に移動します。

3. [ TLS 資格情報] を右クリックし、[ 新しい TLS 資格情報] を選択します。

4. 証明書要求の詳細を入力します。

   • [ 名前 ]フィールドに、SMCのIPアドレスまたはドメイン名を入力します。

   • 必要に応じて、残りのフィールドに入力します。詳細については、フォースポイントのドキュメントを参照してください。

   • [ 次へ] をクリックします。

5. [自己署名] を選択します。

6. [ 完了] をクリックします。

   TLS 資格情報要素が [ 管理 > 証明書 ] > [TLS 資格情報] に追加されます。[状態] 列には、証明書が署名されていることが表示されます。

API クライアント要素を作成します。(外部アプリケーションは、APIクライアントを使用してフォースポイントSMCに接続します。開始する前に、管理サーバでSMC APIを有効にする必要があります。それらの指示は上で提供されました。

1. [構成] を選択し、[管理] に移動します。

2. [ アクセス権] に移動します。

3. 「 アクセス権 」を右クリックし、「 新規 > API クライアント」を選択します。

4. [名前] フィールドに、API クライアントの一意の名前を入力します。

5. 初期認証キーを使用するか、[ 認証キーの生成] をクリックして新しい認証キーを生成します。ランダムな認証キーが自動的に生成されます。(このキーは一度だけ表示されます。ATP Appliance自動緩和ルールでは後のステップで入力する必要があるため、メモしておいてください。APIクライアントは、認証キーを使用してSMC APIにログオンします。)

6. [ アクセス許可] タブをクリックします。

7. SMC APIのアクションの権限を選択します。詳細については、フォースポイントのドキュメントを参照してください。

8. OK をクリックします。

IPアドレスとURLリストをフォースポイントSMCに送信するには、ATPアプライアンスで緩和ルールを作成する必要があります。

1. [構成] > [環境設定] > [ファイアウォールの緩和設定] ページに移動します。

2. [ 新しい自動軽減ルールの追加] をクリックします。

3. 軽減タイプカテゴリから フォースポイントSMC を選択します。

4. デバイス統合のホスト名/IP、ホストプロトコル、ポート番号を入力します。詳細は以下の表に記載されています。

5. フォースポイントSMCのAPIキーを入力します。

6. IPリスト名を入力します。このIPリスト名は、既存または新しいIPリストを参照できます。指定したIPリストが存在しない場合は、フォースポイントSMCに送信される悪意のあるIPアドレスがある場合に作成されます。

7. URL リストのアプリケーション名を入力します。IP リストと同様に、既存または新規の URL リストを参照できます。指定したURLリストが存在しない場合、フォースポイントSMCに送信される悪意のあるURLがある場合に作成されます。

   メモ：

   フォースポイントSMCは、URLリストのワイルドカードをサポートしていません。したがって、ワイルドカードURLエントリをフォースポイントSMCに送信することはできません。ATP アプライアンス URL の緩和にワイルドカードを含む URL が含まれている場合、ルールを適用すると、ATP アプライアンスの UI ステータスは「サポートされていません」と表示されます。

8. 「保存」をクリックします。

   図 26: ファイアウォールの緩和設定 - フォースポイント SMC
   メモ：

   ATP Applianceで設定を追加または削除しても、ルールのステータス(成功/失敗)は、ATPアプライアンスのIPフィルタリング>緩和およびATPアプライアンスの緩和>URLフィルタリングページにすぐには反映されません。状態を表示するには、[ データの更新] をクリックする必要があります。

Juniper ATP Appliance Mitigation ページから、設定した緩和ルールを適用します。

1. 「緩和策」テーブルで脅威の行(または複数の行)を選択し、「 適用」をクリックします。

2. [適用]をクリックすると、すべてのルールがフォースポイントSMCにプッシュされます。

3. ルールを追加または削除した後、ページを更新して状態を表示します。

4. 軽減ルールを構成すると、既定で有効になります。使用可能なボタンを使用して、必要に応じてルールを無効にしてから有効にすることができます。自動軽減ルールで [テスト] ボタンを使用して、構成の精度をテストできます。自動軽減ルールを削除する必要がある場合は、行ごとに [削除] ボタンも使用できます。

   メモ：

   ForcePoint SMCのファイアウォール緩和設定ページのテストリンクを使用して>フォースポイントSMC構成をテストします。このリンクは、ForcePoint SMCサーバーが到達可能で、APIキーが機能しているかどうかをテストします。

   テストが失敗した場合は、次の操作を試してください。

   • フォースポイントSMCサーバーが到達可能であることを確認してください。フォースポイントSMCのデフォルトのAPIポートは8082です。

   • SMCとATPアプライアンスで設定されているAPIキーが同じであることを確認します。

   • HTTPS構成の場合は、このセクションの指示に従って、TLS資格情報がフォースポイントSMCで構成されていることを確認してください。

ATPアプライアンスからフォースポイントSMCにプッシュされたIPアドレスとURLリストを表示および編集するには、フォースポイントSMCで次の手順を実行します。

• [IP リスト] で、[ 設定 ] > [ネットワーク要素 ] > [IP アドレス リスト] に移動します。 ATP Applianceで作成した名前付きリストが表示されます。

  

• [URL リスト] の [その他の要素] で、[ ネットワーク アプリケーション (種類別)] > [URL リスト] に移動します。ATP Applianceで作成した名前付きリストが表示されます。

  

Carbon Black Responseは、マルウェアのリスクスコアを計算する際の1つの情報源を提供しています-マルウェアはエンドポイントで実行されていますか?質問は、マルウェアmd5、エンドポイントIPアドレス、およびマルウェアダウンロードタイムスタンプの3つの基準に基づいてカーボンブラックレスポンスサーバーに尋ねられます。

エンドポイントの監視と緩和のためのカーボンブラックレスポンスの構成は、2段階のプロセスです。

1. カーボンブラックレスポンス Web UI からカーボンブラックレスポンスアカウント API キーを取得します。 「カーボン ブラック応答 API キーの取得」も参照してください。

2. キーとその他のデバイス設定情報を、以下に示すJuniper ATP Appliance Web UIカーボンブラックページに入力します。

図 29: 中央マネージャーのカーボン ブラック応答構成ページ

1. カーボンブラックレスポンスWeb UIで、右上の管理者ユーザーのドロップダウンをクリックし、[プロフィール情報]を選択します。

2. 左側のパネルの [プロファイル情報] メニューから [API トークン] を選択します。

3. [API トークン] ボックスから API トークンをコピーします。

4. カーボンブラックレスポンスサーバーのホスト名を取得します(例: https://JATP.cloud.carbonblack.com)

1. 構成>環境設定>エンドポイント統合設定] ページに移動します。

2. エンドポイントの種類として [カーボンブラック] を選択します。

3. デバイスのホスト名またはIPアドレスを入力します。

4. ホスト プロトコル (HTTPS または HTTP) を入力します。

5. デバイスのポート番号を入力します。

6. カーボン ブラック応答 API キーを入力し、[送信] をクリックします。

CrowdStrikeエンドポイント統合を設定する前に、以下のデータを取得してください。

• CrowdStrike Falcon API サーバーのホスト名

• CrowdStrike Falcon APIユーザー

• CrowdStrike Falcon APIキー

1. 構成>環境設定>エンドポイント統合設定] ページに移動します。

2. エンドポイントの種類として [クラウドストライク] を選択します。

3. デバイスのホスト名またはIPアドレスを入力します。

4. Crowdstrike API Userを入力します。

5. クラウドストライクAPIキーを入力します。

6. [追加] をクリックします。

7. [現在のエンドポイント統合] テーブル行の [テスト] をクリックして、Crowdstrike 統合を確認します。このリンクは、CrowdStrike サーバーが到達可能で、API ユーザーとキーが機能しているかどうかをテストします。

中央マネージャーの Web UI インシデントでは、エンドポイントがマルウェアを実行した場合、EX フラグが表示されます。

[インシデント] タブで、次に示すように、インシデントに [ホワイトリストに追加] オプションが含まれている場合、これらの同じ条件を再度編集して、インシデント許可リスト登録プロセスの一部として適用できます。

1. インシデントを許可リストに追加しているときに許可リストフィルター条件を編集するには、[ ホワイトリストに追加(Add to Whitelist )] リンクをクリックします。

2. [ ホワイトリストルールの更新] ウィンドウでは、許可リストルールの条件を追加したり、現在確立されている条件の選択を解除(チェックを外し)したり、ルールセットをそのまま更新したりできます。

3. [送信(Submit)] をクリックすると、[ ホワイトリスト ルールの更新(Update Whitelist Rule)] ウィンドウで定義およびチェックされた基準に従ってインシデントが許可リストに追加されます。

図 32: [ホワイトリスト ルールの更新] ウィンドウ

一致させるパターン、条件、または文字列を指定する1つ以上のYARAルールを含むテキストファイルを作成します。次にいくつかの例を示します。

構成>環境設定>YARAルールのアップロードに移動します。

1. ファイルの種類を選択: exe |DLL |PDF |ドキュメント |ティッカー |PPT |ジャワ |Apk

2. クリック ファイルを選択 YARAファイルを参照してアップロードします。

3. 説明を入力します。

4. ラジオボタンをクリックして、[有効]または[無効]にします。

5. 有効にすると、[追加]ボタンが表示されます。[追加] をクリックして、YARA ルールのコンパイルと構文の検証を開始します。構文エラーがない場合は、YARAルールが検出システムに追加されます。

YARAルールがコンパイルされてシステムに追加されると、ネットワークオブジェクトがスキャンされ、ルールの一致が確認されます。ルールの一致は脅威の検出に寄与し、[Web UI インシデント] ページでマルウェアとして認識されます。

[インシデント] ページには、YARAルールの一致がマルウェアとして表示される場所がいくつかあります。

図 33: Yara ルール一致レポートがインシデントのダウンロードの詳細 にも表示される

ATP Appliance Splunk インジェストを設定するには、次の手順を実行します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>Splunk 設定] ページに移動します。「新規アイデンティティ・ソースの追加」をクリックします。

   図 34: [ID の構成] ページ

2. ソースの種類として Splunk を選択します。

3. アイデンティティ・ソース(監査ログまたはLDAPアドオン)を選択します。

4. イベント ログの収集方法 (WMI またはユニバーサル フォワーダー) を選択します。

5. オプションの Splunk インデックスを入力します。

6. [逆引き DNS を使用する] 設定で [有効] または [無効] を選択します。

7. 「ホスト名の除外」をカンマで区切って入力します。これらのホストの ID マッピングは無視され、イベント処理および表示には含まれません。

8. [送信] をクリックして構成を完了します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>Splunk 設定] ページに移動します。「新規アイデンティティ・ソースの追加」をクリックします。

2. ソースの種類として [アクティブ ディレクトリ] を選択します。

3. ホスト名/IP アドレスを入力します。

4. ユーザー名とパスワードを入力します。

5. 検索の種類として [グローバル カタログ検索] または [ローカル検索] を入力します。

6. [逆引き DNS を使用する] 設定で [有効] または [無効] を選択します。

7. ドメイン コンポーネント名を入力します。

8. SSL 設定 ([有効] または [無効] ) を選択します。

9. LDAP ポート番号を入力します。

   メモ：

   通常使用されるポート番号: グローバル カタログ検索 [SSL 対応 - 3289;SSL 無効 - 3268];ローカル検索 [SSL 対応 - 636;SSL無効 - 389]

10. [逆引き DNS を使用する] 設定を有効または無効にすることを選択します。

11. 「ホスト名の除外」をカンマで区切って入力します。これらのホストの ID マッピングは無視され、イベント処理および表示には含まれません。

12. [送信] をクリックして構成を完了します。

Juniper ATP Applianceは、DC上のユニバーサルフォワーダーまたはVMI方式のいずれかを使用して、Splunk経由でADログの取り込みをサポートします。

• Active DirectoryログのSplunkユニバーサルフォワーダー

• Splunk WMI Forwarding of Active Directory ログ

重要: 開始する前に、いくつかの注意事項があります。

• Active Directory、Splunk、Juniper ATP ApplianceはすべてNTP同期が必要です。

• AD ログの取り込みは、直接または Splunk 経由でのみ一度に行うことができます。

• Splunk経由のADログでは、UIの「ホスト名を除外する」構成を実際にホスト名を除外するように設定する必要があります。

• エンタープライズ環境で AD-Splunk 統合を使用したことがなく、初めての導入を行う場合、Juniper ATP Appliance は WMI 方式とユニバーサルフォワーダー方式の両方をサポートしており、どちらか一方を推奨することはありません。ただし、Splunk のドキュメントでは、WMI メソッドのパフォーマンスの問題が報告されているため、ドメイン コントローラーのユニバーサル フォワーダーを推奨しています。

DC で Splunk アプリを使用して Splunk for AD を構成するには、以下の手順に従います。

1. セキュリティ監査ログを受信するためのアドオンをインストールします。

   このリンクを確認して、インストールするインフラストラクチャ アドオンを決定します。

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ SplunkAppforWindowsInfrastructure

   Splunkの展開オプションの詳細については、次のリンクを確認してください。

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentslookslike

   展開オプション:

   • 検索ヘッドでの Splunk アプリ for Windows インフラストラクチャ (セキュリティ監査ログの受信用)

   • 検索ヘッドでの Splunk アドオン for Active Directory (LDAP 検索用)

   • 検索ヘッド、インデクサー、ユニバーサルフォワーダーでのWindows向けSplunkアドオン

2. 以下に示すように、Splunk Web コンソールから Active Directory アドオンを設定します。

   図 35: AD セキュリティ監査ログの受信と転送のための Splunk アドオンの構成

3. 設定>転送と受信(データ)->受信の構成->新規に移動して、Windowsデータを受信するようにSplunkインデクサーを構成します

   図 36: Splunk Add New Forwarding & Receive Data Configuration ウィンドウ

4. Windowsインフラストラクチャ用のSplunkアプリを展開する。次のリンクされた手順を使用します。

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentslookslike

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/InstallaSplunkIndexer

   メモ：

   次のリンクからの情報を使用して、ドメイン コントローラーにユニバーサル フォワーダーをダウンロードしてインストールします。

   ユニバーサルフォワーダーは、イベントログをSplunkインデクサーに送信する方法の1つです。もう 1 つの方法は、次のセクション に示すように、WMI メソッドを使用したエージェントレス転送です。

   • ユニバーサルフォワーダーのダウンロード: https://www.splunk.com/en_us/download/universal-forwarder.html

   • MSIをダウンロードし、インストールを開始します。このリンクからの指示でユニバーサルフォワーダーを設定します。

     http://docs.splunk.com/Documentation/Forwarder/6.5.3/Forwarder/ インストールWindowsユニバーサルフォワーダーフロマンインストーラ#Install_the_universal_forwarder_for_use_with_onpremises_ Splunk_instances

   • 下の画像に示すように、適切なチェックボックスを選択した後、[カスタマイズ]オプションをクリックします。

     

   • [次へ] をクリックし、WMI を使用して他のドメイン コントローラーをポーリングする場合を除き、[ローカル アカウント] を選択します。もう一度 [次へ] をクリックします。

     

   • 以下に示す次の構成ウィンドウで、[セキュリティログ転送]オプションを選択します。[次へ] をクリックします。

     

   • 展開サーバーのホスト名とポート (デフォルトは 8089) を入力し、[次へ] をクリックします。

     

   • 次の例のように、レシーバ インデックスとポート (既定値は 9997) を入力し、[次へ] をクリックします。

     

5. このリンクからアクティブディレクトリデータを取得する手順に従います: http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/DownloadandconfiguretheSplunkAddonsforActiveDirectory

   • AD と PowerShell の GPO を構成します。

   • Microsoft Active Directory用のSplunkアドオンをダウンロードしてください。

   • Microsoft Powershell向けSplunkアドオンをダウンロードしてください。

   • TARを解除すると、両方のTARファイルが7zipまたは別のアーカイブユーティリティを使用してダウンロードされました。

   • 結果の SA-ModularInput-PowerShell とSplunk_TA_microsoft_adをユニバーサル フォワーダーのインストール済みパスにコピーします。

   • ユニバーサルフォワーダーコンポーネントを再起動します。

     • Services.msc

     • SplunkForwarderサービスを見つけて再起動します。

   • Splunk 検索ヘッドがデータを受信していることを確認するには、次のいずれかの手順を実行します。

     • アプリ&レポート>データの概要で UI を検索し、ドメイン コントローラー ホストが構成されていることを確認します。

     • または、"source="wineventlog:security" AND EventCode=4769 AND Service_Name != krbtgt |テーブル_time Account_Name Client_Address Service_Name |ユーザー名としてLogon_Time Account_Name_time名前を変更Client_Address IPアドレスService_Nameホスト名として」

6. Splunk Web インデクサーで Windows インフラストラクチャ用 Splunk アプリを構成します。前提条件に注意してください。

   

   • 以下に示すように、管理者ユーザーのロールを変更して、winfra-adminロールを管理者ユーザーに付与します。

     

WMI メソッドを使用して Splunk との AD 統合を設定するには、次の手順を使用します。

1. Splunk Enterprise と Windows ネットワークの両方が、WMI データ アクセス用に正しく構成されている必要があります。Splunk Enterprise を使用して WMI データを取得する前に、次の前提条件を確認してください。

   Splunk Enterprise が WMI ベースのデータを取得する前に、次のようになります。

   • Splunk Enterprise は、リモート ネットワーク接続を実行する権限を持つユーザーと共にインストールする必要があります。Splunkのインストール中に、ローカルアカウントまたはドメインアカウントを要求されます。ドメイン アカウントを選択します。

   • Splunk Enterprise を実行するユーザーは、Active Directory (AD) ドメインまたはフォレストのメンバーである必要があり、WMI プロバイダーにクエリを実行するための適切な特権を持っている必要があります。

   • Splunk ユーザーは、Splunk Enterprise を実行するコンピューターのローカル管理者グループのメンバーでもある必要があります。

   • Splunk Enterprise を実行するコンピューターは、リモートマシン (AD) に接続できる必要があり、接続後にリモートマシンから目的のデータを取得する権限を持っている必要があります。

2. Splunkをインストールした後、Splunkにログオンし、[設定]-[>データ入力]に移動します。

3. 2番目のオプションである[リモートイベントログの収集]をクリックし、[新規]をクリックします。

   

4. ログ収集の名前を選択し、AD サーバの IP アドレスを入力します。

5. Splunk が AD サーバーに対して WMI クエリを実行できる場合は、次に示すように [イベント ログの選択] オプションが表示されます。[セキュリティ] を選択し、[次へ] をクリックします。

   

6. 次のページでホストの詳細を入力します。インデクサーを選択する場合は、インデクサーを選択するか、既定値のままにします。

   構成を確認し、送信します。

7. Splunk サーバーから C:\Program Files\Splunk\etc\system\local に移動し、次の構成を追加します。

Splunkを再起動し、すべてのActive DirectoryセキュリティログがSplunkで使用できることを確認します。

AD 統合を構成する前に、次の要件に従ってください。

• Windows 管理インストルメンテーション (WMI) と LDAP 検索の両方に管理者資格情報が必要なため、AD 用に構成されたユーザーには管理者特権が必要です。AD ユーザーは "読み取り専用" 管理者ユーザーにできますが、次のアクセス許可が必要です。

  • ユーザー アカウントは、"分散 COM ユーザー" アクティブ ディレクトリ グループに属している必要があります。

  • ユーザー アカウントには、ドメイン コントローラー コンピューター上の WMI 名前空間 (CIMV2 名前空間) にアクセスするためのアクセス許可が必要です。

  • ユーザー アカウントには、ドメイン コントローラー コンピューター上のセキュリティ イベント ログを読み取るためのアクセス許可が必要です。

• ジュニパーATPアプライアンスは、指定された期間内(現在の時刻から5分の範囲)に基づいてADにクエリを実行するため、アクティブディレクトリドメインコントローラとJuniper ATP Appliance Core/CMはNTPサーバーに同期する必要があります。

• ADドメインコントローラがファイアウォールの背後にある場合は、必ずファイアウォールを開いて、Juniper ATP Appliance Core/CMデバイスがADに到達できるようにしてください。

  • LDAP 検索と WMI クエリに必要なポート番号のファイアウォールを開きます。

  • LDAP 検索のデフォルトポート番号

    • ローカル検索の場合:ポート389(非SSL)、ポート636(SSL)。

    • グローバル カタログ検索の場合: ポート 3268 (非 SSL)、ポート 3269 (SSL)。

      メモ：

      SSL モードの場合、お客様は Active Directory 証明書サービスをインストールし、証明書をインストールする必要があります。この後、ドメインコントローラーサーバーは再起動しないとLDAPSが機能しないため、再起動する必要があります。

  • WMI は、初期接続に TCP ポート 135 を使用します。コアがファイアウォールの背後にある場合、お客様はポート 135 のファイアウォールを開く必要があります。

    • WMI を固定ポートに関連付け、固定ポートのファイアウォールも開きます。この固定ポートは、WMI データ交換に使用されます。

      メモ：

      WMI を固定ポートに関連付ける手順については、次の URL を参照してください: https://msdn.microsoft.com/en-us/library/bb219447(VS.85).aspx

      また、Windowsファイアウォールが固定ポート用に開かれているかどうかも確認してください。

    • または ファイアウォールで、DCOM がこの範囲内のポートのいずれかを使用する可能性があるため、ポート範囲 49152 から 65535 を開きます。

• AD の監査ポリシーで、ログオンの成功で必要なイベント (具体的には、イベント コード 4769 の Kerberos イベントの種類) を生成できることを確認します。

• ジュニパーATPアプライアンスは、IDのためにこれらのログをスクレイピングするため、Windowsセキュリティログプロパティの[必要に応じてイベントを上書きする(最も古いイベントから)]オプションを必ず設定してください(Juniper ATP ApplianceがID情報を取得するには、セキュリティログでログが実行されている必要があります)。

また、Windows 2008 および Windows 2012 のドメイン コントローラー イベント ログを照会するために、管理者以外のユーザーを設定します。

Juniper ATP Appliance コアは、ドメインコントローラーのイベントログをクエリーして、ホストからIPへのマッピングを取得します。必ず、ドメイン管理者グループに属するユーザーでドメインコントローラーに問い合わせるように、Juniper ATP Appliance Core/CMを設定してください。これは制限的であり、管理者にとって潜在的に危険です。

Juniper ATP Appliance Coreで実行されているADエージェントは、WMIを使用してアクティブディレクトリドメインコントローラにセキュリティイベントログを照会するため、管理者ユーザーは必要ありません。また、ジュニパーATPアプライアンスは、ドメインコントローラへのリモート通話を処理するために、分散COM(DCOM)テクノロジーを使用しています。管理者以外のユーザーの場合は、DC へのクエリを許可するために、次のアクセス許可を設定してください。

• DCOM アクセス許可 (これは、分散 COM ユーザー AD グループに属している必要があります)。

• ドメイン コントローラー デバイス上の WMI 名前空間 (CIMV2 名前空間) にアクセスするための WMI アクセス許可。

• ドメイン コントローラー デバイスのセキュリティ イベント ログを読み取るためのアクセス許可。

ドメイン ユーザーまたはグループを作成するには、次に示すように、[Active Directory ユーザーとコンピューター] ウィンドウ オプションを使用して、新しいユーザー/グループをドメインの組み込みグループである "分散 COM ユーザー" と "イベント ログ リーダー" に追加します。

図 37: [Active Directory ユーザーとコンピュータ] ウィンドウの [所属するグループ] の設定

次に、ユーザー/グループの WMI アクセス許可を設定します。

1. Windows 管理インストルメンテーション (WMI) コンソールを実行します。

2. [スタート] を 選択し、[ファイル名を指定して実行] をクリックして、次のように入力します。 wmimgmt.msc

3. [OK] をクリックし、Enter キーを押します。

4. 「WMIコントロール」を右クリックし、「プロパティ」を選択します。

5. [セキュリティ] タブを選択し、[ルート] を展開します。

6. 「CIMV2」を選択し、「セキュリティ」をクリックします。

   図 38: Windows 管理インストルメンテーション (WMI) コンソールの設定

7. AD ドメイン コントローラーを操作するために作成したドメイン ユーザーを追加します。ユーザーに「アカウントを有効にする」権限と「リモートを有効にする」権限を設定します。

   図 39: ROOT\CIMV2 のセキュリティのための WMI コンソール設定

8. 「詳細」をクリックします。ドメインユーザーを選択し、「適用先」が「この名前空間とサブ名前空間」に設定されていることを確認します。

   図 40: WMI コンソールの CIMV2 のセキュリティの詳細設定

9. [OK] を選択して変更を保存します。

   図 41: WMI コンソールのセキュリティの詳細設定 の完了

次に、ドメイン コントローラーのドメイン コンポーネント名を取得します。

1. AD サーバーに移動します。

2. 「管理ツール」を実行します。

3. 「アクティブディレクトリユーザーとコンピュータ」を実行する

4. 「アクティブディレクトリユーザーとコンピューター」をクリックし、右側で名前を見つけます(たとえば、pod001.eng.JATP.com 以下のサンプルスクリーンショットではドメインコンポーネント名として表示されます)。

5. 手順 4 とまったく同じドメイン コンポーネント名を使用します。Juniper ATP ApplianceのActive Directory設定ページの[ドメインコンポーネント]フィールドに追加できるようにメモしておいてください(パート 2 - Web UIからActive Directoryドメインコントローラを設定する後述のパート2で説明)。

図 42: [AD ユーザーとコンピュータ] ウィンドウ の [名前] 列のドメイン コンポーネント名

次に、ローカル WMI サービスをテストします。

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックして「OK」と wmimgmt.msc入力します。

2. [WMI コントロール (ローカル)] を右クリックし、[プロパティ] をクリックします。

3. WMI サービスが正しく構成されている場合、WMI コントロールは WMI に接続し、[プロパティ] ダイアログ ボックスを表示します。[全般] タブに、オペレーティング システムと WMI のバージョンに関する情報が表示されます。

図 43: WMI コントロール (ローカル) のプロパティ ページ

次に、WMI アクセス許可を確認します。

1. AD コンピューターで、[スタート] ボタン、[ファイル名を指定して実行] の順にクリック wmimgmt.mscし、「OK」と入力して、[OK] をクリックします。

2. [WMI コントロール] を右クリックし、[プロパティ] をクリックします。

3. [セキュリティ] タブで、[ルート] を展開し、[WMI] をクリックします。

4. 結果ウィンドウで [セキュリティ] をクリックして、アクセス許可を確認します。ユーザーに権限がない場合は、権限を設定します。

図 44: WMI コンソールのセキュリティ設定

次に、LDAP SSL 接続を確認します。証明書がインストールされたら、次の手順に従って LDAP が有効になっていることを確認します。

1. アクティブディレクトリ管理ツール (Ldp.exe) を起動します。

   メモ：

   Active Directory 管理ツール プログラムは、[Windows 2000 サポート ツール] 領域にインストールされます。

2. [接続] メニューの [接続] をクリックします。

3. 接続先のドメイン コントローラーの名前を入力します。

4. ポート番号として「636」と入力します。

5. OK をクリックします。

6. パート 2 - Web UI からの Active Directory ドメイン コントローラーの構成に進みます。

ジュニパーATPアプライアンスは、5分ごとにADドメインコントローラをポーリングして、ADからIDデータを取得します。IDデータは、イベントコード4769のログを照会し、LDAP検索を使用してADデータストアを照会することにより、WMIを使用してADのセキュリティイベントログから取得されます。ID データには、各認証イベントのマッピング、エンドポイント ホスト名、エンドポイント IP アドレス、エンドポイントへのログインに使用されるユーザー名、およびユーザーの電子メール アドレスが含まれます。複数の AD ドメイン コントローラーを 5 分間隔で構成およびポーリングできます。

AD ドメイン コントローラーの要件と推奨される構成設定の次の一覧を確認します。

• 設定された AD ユーザには、管理者権限が必要です。AD アカウント管理者は、(1) 分散 COM ユーザー AD グループに属している、(2) アカウントにはドメイン コントローラー デバイス上の WMI 名前空間 (CIMV2 名前空間) にアクセスするためのアクセス許可が必要であり、(3) アカウントにはドメイン コントローラー デバイスのセキュリティ イベント ログを読み取るアクセス許可が必要です。

• 5分間隔でADポーリングを最適化するには、アクティブディレクトリドメインコントローラとJuniper ATP Appliance Core+CMの両方をNTPサーバーに同期する必要があります。

• アクティブディレクトリドメインコントローラがファイアウォールの内側にある場合、管理者はファイアウォールを開いて、Juniper ATP Appliance Core+CMがADコントローラに到達できるようにする必要があります。LDAP 検索と WMI クエリに必要なポート番号のファイアウォールを開きます。

  LDAP 検索のデフォルト ポート番号:

  • (指定されたドメイン・コンポーネントの) ローカル検索では、非 SSL の場合はポート番号 389、SSL の場合は 636 を使用します。

  • (指定されたドメイン・コンポーネントの) グローバル検索の場合、非 SSL の場合はポート番号 3268、SSL の場合はポート番号 3269 を使用します。

    メモ：

    SSL モードの場合は、必ず "Active Directory 証明書サービス" をインストールし、証明書をインストールしてください。LDAP は再起動しないと動作しないため、証明書のインストール後に AD ドメイン コントローラー サーバーを再起動する必要があります。

• WMI は、初期接続に TCP ポート 135 を使用します。Core+CM がファイアウォールの背後にある場合、管理者はポート 135 のファイアウォールを開いてから、次の操作を行う必要があります。

  • また、WMI を固定ポートに接続し、ファイアウォールも固定ポートに開きます。ポート 135 は、初期接続ハンドシェイクに使用されます。固定ポートは、WMI データ交換に使用されます。

    • WMI を固定ポートに関連付ける手順については、 https://msdn.microsoft.com/en-us/library/bb219447(VS.85)を参照してください.aspx

    • また、Windowsファイアウォールが固定ポート用に開かれていることを確認してください。

  • または、ファイアウォールで、ポート範囲 49152 から 65535 を開きます (DCOM はこの範囲のポートのいずれかを使用する可能性があるため)。

• AD ドメイン コントローラーの監査ポリシーで、ログオンの成功 (特にイベント コード 4769 の Kerberos イベントの種類) が許可されていることを確認します。

• [Windows セキュリティ ログのプロパティ] 設定を構成します: [必要に応じてイベントを上書きする (最も古いイベントから優先する)] 。[完全な ID ポーリング カバレッジ] の [ファイル サイズの最大化] を選択します。

Windows 2008 および Windows 2012 のドメイン コントローラー イベント ログを照会するように管理者以外のユーザーを設定する方法については、「 Active Directory 統合の前提条件 」も参照してください。

このセクションでは、Active Directory ドメイン コントローラーの統合が機能しているかどうかを判断する方法について説明します。

• Juniper ATP Appliance CLI から [setupcheck all] コマンドを実行するか、[構成] >環境設定> [Active Directory 構成] ページにある [現在の AD ドメイン コントローラー] ウィンドウで [テスト ボタン] オプションをクリックして、Active Directory 統合が機能しているかどうかを確認します。

• アクティブディレクトリドメインコントローラの統合が機能していない場合:

  • AD エージェントは引き続き 1 時間ごとに正常性アラートを送信します。

  • AD エージェントは、何らかの理由で AD に到達できない場合にも GSS にアラートを送信します。

AD エージェントは、次の理由により ID 情報を取得できない場合があります。

• Active Directory ドメイン コントローラーに到達できません (接続の問題またはダウンしています)

• アクティブなドメイン コントローラーでのクエリの完了に時間がかかります (メモリまたは CPU の問題により、コントローラーが遅くなる可能性があります)。

• ネットワーク遅延が長すぎる可能性があります。

SNORTルールファイルをアップロードするには:

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>Snort Rule Upload]ページに移動します。

   図 45: Juniper ATP Appliance Central Manager SNORT ルールのアップロード ページ

2. [SNORT ルールの追加] ボタンをクリックします。

3. [ファイルの選択]をクリックし、ジュニパーATPアプライアンスシステムにアップロードするカスタムSNORTファイルを参照して選択します。

4. [説明] フィールドに SNORT ルールの説明を入力し、[追加] をクリックします。

5. カスタム SNORT ルールを編集または削除するには、[現在の SNORT ルール] テーブルの [アクション] 列にある [削除] または [編集] リンクをクリックします。

ATP Appliance Splunk インジェストを設定するには、次の手順を実行します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>Splunk 設定] ページに移動します。「新規アイデンティティ・ソースの追加」をクリックします。

2. ソースの種類として Splunk を選択します。

3. アイデンティティ・ソース(監査ログまたはLDAPアドオン)を選択します。

4. イベント ログの収集方法 (WMI またはユニバーサル フォワーダー) を選択します。

5. オプションの Splunk インデックスを入力します。

6. [逆引き DNS を使用する] 設定で [有効] または [無効] を選択します。

7. 「ホスト名の除外」をカンマで区切って入力します。これらのホストの ID マッピングは無視され、イベント処理および表示には含まれません。

8. [送信] をクリックして構成を完了します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>Splunk 設定] ページに移動します。「新規アイデンティティ・ソースの追加」をクリックします。

2. ソースの種類として [アクティブ ディレクトリ] を選択します。

3. ホスト名/IP アドレスを入力します。

4. ユーザー名とパスワードを入力します。

5. 検索の種類として [グローバル カタログ検索] または [ローカル検索] を入力します。

6. [逆引き DNS を使用する] 設定で [有効] または [無効] を選択します。

7. ドメイン コンポーネント名を入力します。

8. SSL 設定 ([有効] または [無効] ) を選択します。

9. LDAP ポート番号を入力します。

   メモ：

   通常使用されるポート番号: グローバル カタログ検索 [SSL 対応 - 3289;SSL 無効 - 3268];ローカル検索 [SSL 対応 - 636;SSL無効 - 389]

10. [逆引き DNS を使用する] 設定を有効または無効にすることを選択します。

11. 「ホスト名の除外」をカンマで区切って入力します。これらのホストの ID マッピングは無視され、イベント処理および表示には含まれません。

12. [送信] をクリックして構成を完了します。

ジュニパーATP Applianceによるアクティブディレクトリ(AD)ログの直接取り込みのサポートは新機能ではなく、多くのJuniper ATP Appliance製品リリースバージョンで利用可能です。Juniper ATP Applianceは、DC上のユニバーサルフォワーダーまたはWMI方式のいずれかを使用したSplunkを介したADログの取り込みもサポートしています。

• Active DirectoryログのSplunkユニバーサルフォワーダー

• Splunk WMI Forwarding of Active Directory ログ

重要: 開始する前に、いくつかの注意事項があります。

• Active Directory、Splunk、Juniper ATP ApplianceはすべてNTP同期が必要です。

• AD ログの取り込みは、直接または Splunk 経由でのみ一度に行うことができます。

• Splunk 経由の AD ログでは、UI の [ホスト名を除外する] 構成を AD のホスト名を除外するように設定する必要があります。

• エンタープライズ環境で AD-Splunk 統合を使用したことがなく、初めての導入を行う場合、Juniper ATP Appliance は WMI 方式とユニバーサルフォワーダー方式の両方をサポートしており、どちらか一方を推奨することはありません。ただし、Splunk のドキュメントでは、WMI メソッドのパフォーマンスの問題が報告されているため、ドメイン コントローラーのユニバーサル フォワーダーを推奨しています。

DC で Splunk アプリを使用して Splunk for AD を構成するには、以下の手順に従います。

1. セキュリティ監査ログを受信するためのアドオンをインストールします。

   このリンクを確認して、インストールするインフラストラクチャ アドオンを決定します。

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ SplunkAppforWindowsInfrastructure

   Splunkの展開オプションの詳細については、次のリンクを確認してください。

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentslookslike

   展開オプション:

   • 検索ヘッドでの Splunk アプリ for Windows インフラストラクチャ (セキュリティ監査ログの受信用)

   • 検索ヘッドでの Splunk アドオン for Active Directory (LDAP 検索用)

   • 検索ヘッド、インデクサー、ユニバーサルフォワーダーでのWindows向けSplunkアドオン

2. 以下に示すように、Splunk Web コンソールから Active Directory アドオンを設定します。

   図 46: AD セキュリティ監査ログの受信と転送のための Splunk アドオンの構成

3. 設定>転送と受信(データ)->受信の構成->新規に移動して、Windowsデータを受信するようにSplunkインデクサーを構成します

   図 47: Splunk Add New Forwarding & Receive Data Configuration ウィンドウ

4. Windowsインフラストラクチャ用のSplunkアプリを展開する。次のリンクされた手順を使用します。

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentslookslike

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/InstallaSplunkIndexer

   メモ：

   次のリンクからの情報を使用して、ドメイン コントローラーにユニバーサル フォワーダーをダウンロードしてインストールします。

   ユニバーサルフォワーダーは、イベントログをSplunkインデクサーに送信する方法の1つです。もう 1 つの方法は、次のセクション「 Active Directory ログの Splunk WMI 転送」に示す WMI メソッドを使用したエージェントレス転送です。

   • ユニバーサルフォワーダーのダウンロード: https://www.splunk.com/en_us/download/universal-forwarder.html

   • MSIをダウンロードし、インストールを開始します。このリンクからの指示でユニバーサルフォワーダーを設定します。

     http://docs.splunk.com/Documentation/Forwarder/6.5.3/Forwarder/ インストールWindowsユニバーサルフォワーダーフロマンインストーラ#Install_the_universal_forwarder_for_use_with_onpremises_ Splunk_instances

   • 下の画像に示すように、適切なチェックボックスを選択した後、[カスタマイズ]オプションをクリックします。

     

   • [次へ] をクリックし、WMI を使用して他のドメイン コントローラーをポーリングする場合を除き、[ローカル アカウント] を選択します。もう一度 [次へ] をクリックします。

     

   • 以下に示す次の構成ウィンドウで、[セキュリティログ転送]オプションを選択します。[次へ] をクリックします。

     

   • 展開サーバーのホスト名とポート (デフォルトは 8089) を入力し、[次へ] をクリックします。

     

   • 次の例のように、レシーバ インデックスとポート (既定値は 9997) を入力し、[次へ] をクリックします。

     

5. このリンクからアクティブディレクトリデータを取得する手順に従います。

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/DownloadandconfiguretheSplunkAddonsforActiveDirectory

   • AD と PowerShell の GPO を構成します。

   • Microsoft Active Directory用のSplunkアドオンをダウンロードしてください。

   • Microsoft Powershell向けSplunkアドオンをダウンロードしてください。

   • TARを解除すると、両方のTARファイルが7zipまたは別のアーカイブユーティリティを使用してダウンロードされました。

   • 結果の SA-ModularInput-PowerShell とSplunk_TA_microsoft_adをユニバーサル フォワーダーのインストール済みパスにコピーします。

   • ユニバーサルフォワーダーコンポーネントを再起動します。

     • Services.msc

     • SplunkForwarderサービスを見つけて再起動します。

   • Splunk 検索ヘッドがデータを受信していることを確認するには、次のいずれかの手順を実行します。

     • アプリ&レポート>データの概要で UI を検索し、ドメイン コントローラー ホストが構成されていることを確認します。

     • または、"source="wineventlog:security" AND EventCode=4769 AND Service_Name != krbtgt |テーブル_time Account_Name Client_Address Service_Name |ユーザー名としてLogon_Time Account_Name_time名前を変更Client_Address IPアドレスService_Nameホスト名として」

6. Splunk Web インデクサーで Windows インフラストラクチャ用 Splunk アプリを構成します。前提条件に注意してください。

   • 以下に示すように、管理者ユーザーのロールを変更して、winfra-adminロールを管理者ユーザーに付与します。

WMI メソッドを使用して Splunk との AD 統合を設定するには、次の手順を使用します。

1. Splunk Enterprise と Windows ネットワークの両方が、WMI データ アクセス用に正しく構成されている必要があります。Splunk Enterprise を使用して WMI データを取得する前に、次の前提条件を確認してください。

   Splunk Enterprise が WMI ベースのデータを取得する前に、次のようになります。

   • Splunk Enterprise は、リモート ネットワーク接続を実行する権限を持つユーザーと共にインストールする必要があります。Splunkのインストール中に、ローカルアカウントまたはドメインアカウントを要求されます。ドメイン アカウントを選択します。

   • Splunk Enterprise を実行するユーザーは、Active Directory (AD) ドメインまたはフォレストのメンバーである必要があり、WMI プロバイダーにクエリを実行するための適切な特権を持っている必要があります。

   • Splunk ユーザーは、Splunk Enterprise を実行するコンピューターのローカル管理者グループのメンバーでもある必要があります。

   • Splunk Enterprise を実行するコンピューターは、リモートマシン (AD) に接続できる必要があり、接続後にリモートマシンから目的のデータを取得する権限を持っている必要があります。

2. Splunkをインストールした後、Splunkにログオンし、[設定]-[>データ入力]に移動します。

3. 2番目のオプションである[リモートイベントログの収集]をクリックし、[新規]をクリックします。

4. ログ収集の名前を選択し、AD サーバの IP アドレスを入力します。

5. Splunk が AD サーバーに対して WMI クエリを実行できる場合は、次に示すように [イベント ログの選択] オプションが表示されます。[セキュリティ] を選択し、[次へ] をクリックします。

6. 次のページでホストの詳細を入力します。インデクサーを選択する場合は、インデクサーを選択するか、既定値のままにします。

   構成を確認し、送信します。

7. Splunk サーバーから C:\Program Files\Splunk\etc\system\local に移動し、次の構成を追加します。

8. Splunkを再起動し、すべてのActive DirectoryセキュリティログがSplunkで使用できることを確認します。

• カーボンブラック応答イベントフォワーダーのインストール: https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/

• カーボン ブラック応答イベント ログを TCP または UDP 経由で任意のサーバーに送信するには、次の例のようにイベント フォワーダー CONF ファイルを編集します。

  インチ /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

/etc/cb/cb.conf から上記のユーザー名とパスワードを取得し、RabbitMQUser & RabbitMQPassword を検索し、上記のファイルから値をコピーします。

インチ /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

以下に示す値を検索して入力します。

TCPオプションを選択した場合は、タップサーバーとリスニングポートを設定します。現在、任意のランダムなポートを選択して聞くことができます。

上記でudpオプションを選択した場合は、タップサーバーとリスニングポートを設定します。現在、任意のランダムなポートを選択してリッスンできます。

次に、次のコマンドを実行して、イベントフォワーダーが接続したサーバーを示す出力を受信します。

イベントフォワーダーを起動します。

1. カーボン ブラック応答サーバーから、カーボン ブラック応答イベント フォワーダーをインストールします。

   https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/

2. このリンクから関連するバイナリをダウンロードします。

   https://www.splunk.com/en_us/download/universal-forwarder.html

3. Splunk インスタンスに Bit9 カーボンブラックの Splunk アドオンをインストールします。Splunk 共通情報モデルを設定します。

   https://splunkbase.splunk.com/app/2790/

4. カーボンブラック応答イベントフォワーダーを設定します。これは、カーボンブラックレスポンスイベントログをファイルに保存し、その内容を使用してSplunkにデータを転送するために必要です。

   インチ /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   上記のユーザー名とパスワードを /etc/cb/cb.conf から適用し、RabbitMQUser と RabbitMQPassword を検索し、その値を上記の CONF ファイルにコピーします。

   インチ /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   以下の値を検索して入力します。

   上記の出力ファイルは何でもかまいません。この例では、リンクにイベント ログが格納されます。

   以下のコマンドを実行して、以下に示す出力を取得します。

   イベントフォワーダーを起動します。

5. ビット 9 のカーボンブラック応答用に Splunk アドオンを設定します。

6. Splunk 共通情報モデルを次のように設定します。

   

7. Splunk インスタンスのレシーバーを設定して、Splunk フォワーダーがデータを転送するように設定します。Splunk > [設定] > [転送と受信] に移動します。

   

8. [受信の構成] をクリックします。

   

9. リッスンするポートを設定します。この例では、ポート 6666 です。

   

10. カーボンブラックレスポンスサーバーにユニバーサルフォワーダーRPMをダウンロードしてインストールすることで、SplunkユニバーサルフォワーダーがカーボンブラックレスポンスデータをSplunkに転送するように設定します。

    https://www.splunk.com/en_us/download/universal-forwarder.html

    上記のコマンドでは、10.2.14.219はsplunkサーバーであり、6666はSplunkが受信しているステップ3で構成したポートです。

11. 入力ホスト・ファイルを追加します。この例では、Splunk で検索できる cbtest を使用しています。

    モニターは、ステップ 1 で設定した data.json のディレクトリーです。

    ソースタイプは、カーボンブラックレスポンスからのデータを送信する必要があるデータを示します。

12. Splunkを起動します。

13. 転送サーバーを確認します。

カーボンブラック 応答ログの取り込みは、Juniper ATP Appliance Central Manager Web UIインシデントページとイベントタイムラインダッシュボードで確認できます。

ATP Appliance Splunk インジェストを設定するには、次の手順を実行します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>Splunk Configuration]ページに移動します。

   図 48: Splunk インジェスト設定ページ

2. Splunk ホスト IP アドレスと Splunk 管理ポート番号を入力します。

   メモ：

   Splunkポート番号は8080ではなく8089を入力してください。

3. Splunk のログイン情報とパスワードを入力します。

4. [有効] をクリックして、構成をアクティブにします。選択を解除すると、設定が無効になります。

5. [送信] をクリックして、有効な Splunk 構成をアクティブにします。

6. Splunk 構成取り込み設定をテストするには、[テスト] ボタンをクリックします。

   メモ：

   Splunk環境では、すべてユーザーが設定可能な複数のポートを実装できます。Splunk への接続に問題がある場合は、このページで Splunk 管理ポートを設定してください。管理者がデフォルトを使用していない場合は、Splunk サイトで設定を確認してください。

Splunkコンソールで、Juniper ATP Applianceと統合するための以下の設定を含めます。この例では、PAN アドオンが設定されています。

図 49: Splunk 向け Palo Alto Networks アドオン

図 50: Splunk 共通情報モデルの設定

PAN 次世代ファイアウォールの ATP アプライアンス外部イベント コレクター設定を構成するには、直接ログ収集または Splunk インジェスト オプションに対して次の構成を実行します。

PANからのイベントデータの直接取り込みを設定するには、次の手順を使用します。この場合、Juniper ATP Applianceは基本的にsyslogサーバーとして機能しますが、関連するマルウェアイベントのみを識別するサーバーとして機能します。

1. Juniper ATP Appliance Central Manager Web UIのConfig>環境設定>外部イベントコレクターの設定ページに移動します。

2. ソースの種類として [ファイアウォール] を選択し、ベンダー名として [PAN 次世代ファイアウォール] を選択します。

3. [トランスポート] で、[ログ コレクター] オプションを選択します。

4. ログ・ソース ID を入力します。たとえば、PA-200 などです。これは、Juniper ATP Applianceが、どのベンダーが受信しているか、およびJuniper ATPアプライアンスがログに記録されたイベントを解析する方法を識別するために使用する、syslogメッセージのホスト名部分です。[次のスクリーンショットのPAN UIでは、設定されたデバイス名がJuniper ATP Applianceログソース識別子と同じであることに注意してください。

5. SSL対応を選択 |無効。

6. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

7. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。PANダイレクトインジェストからJuniper ATP Applianceによって作成されたすべてのインシデントは、ステップ6で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

8. [追加] をクリックして、ログ コレクターの構成を実行します。

PAN UIで、Juniper ATP Appliance Coreをsyslogサーバーとして設定します。PANデバイスが独自のsyslogサーバーにエクスポートする場合は、ジュニパーATPアプライアンスを別のsyslogサーバーとして追加するだけです。PANは複数のsyslog宛先に同時にエクスポートできるためです。

1. PAN コンソールのデバイス>Syslog>+設定の追加ページに移動します。

   図 51: ファイアウォール [PAN: ダイレクト インジェスト構成]

2. syslogドロップダウンから、オブジェクト>ログ転送>+追加ページで、ログ転送用に同じsyslogサーバーを選択します。

   図 52: PAN 側 からの直接取り込み設定の例

   イベントがサポートされている 1500 の制限を超えた場合、PAN からの syslog の転送中に、PAN コンソールの [ログ転送プロファイル] ページで設定を調整することによってのみ、PAN からのエクスポートをクリティカルなイベントに制限することをお勧めします。

   図 53: PAN 側 からの直接取り込み設定の例

   必ずSyslogログ転送プロファイルに移動し、ログの送信先(直接取り込みによるJuniper ATP Appliance Core、Splunk、またはその両方)を選択し、コミットしてください。

   図 54: ログ転送プロファイルをコミットして PAN 側の直接取り込み構成 を完了する

直接取り込み中に生成される syslog/秒の数は 1500 です。syslog/日(平均10時間)の数は5400万です。このため、Juniper ATP Applianceでは、イベントの取り込み、処理、報告を効率的に行うためにイベントフィルタリングを使用し、情報や無害なイベントは保存しません。

Juniper ATP Applianceイベントタイムラインダッシュボードに表示するために、直接取り込みによって作成されたPANイベントでは、以下のフィルターを使用します。

• 情報イベントを無視する

• これらのログはマルウェア イベントを示すものではないため、アクション "wildfire-upload-success"、"wildfire-upload-skip"、および "forward" を持つイベントは無視してください。

図 55: 直接インジェスト ログ のサンプル

Juniper ATP Appliance側で PAN 次世代ファイアウォール向けの Splunk インテグレーションを設定するには、次の手順に従います。Splunk 側からのインテグレーションの設定については、「」を参照してください。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

   図 56: ファイアウォール [PAN: Splunk インジェストの構成]

2. ソースの種類として [ファイアウォール] を選択し、ベンダー名として [PAN 次世代ファイアウォール] を選択します。

3. [トランスポート] で [Splunk] オプションを選択します。

4. オプションの Splunk インデックスを入力します。Splunk への PAN ログインに使用するインデックスを入力します。

   例: パン

5. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

6. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP ApplianceがSplunkインジェストから作成したすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

7. [追加] をクリックして Splunk 統合を実行します。

このセクションでは、Splunk の設定については説明しません。ただし、Juniper ATP Appliance と統合するために Splunk コンソールから Splunk を設定する場合、いくつかの項目が PAN に設定されていることを確認する必要があります。

1. Splunk>Apps>Manage Apps に移動し、Splunk 向け Palo Alto Add-on の構成が確立されていること、および [状態] が [有効] になっていることを確認します。

   

2. Splunk>Apps>Manage アプリで、セットアップが完了し、共通情報モデルが有効になっていることを確認して確認します。

   

3. 設定>データ>データ入力>UDP/TCPで、リンクをクリックしてインデックスを確認します。このリンクをクリックすると、PANに設定されたインデックスを確認できます。ジュニパーのATP Applianceの設定ページで、 ATPアプライアンスファイアウォール [PAN: Log Collector |Splunk Ingestion] を Splunk 設定用に使用します。

   

4. Splunk>設定>データ入力>ポート>ポート番号]ページの[詳細設定](展開するチェックボックスにチェックを入れます)で、ソースタイプが「pan:log」であることを確認し、ATPアプライアンスファイアウォール用ジュニパーATPアプライアンス設定[ PAN:ログコレクター|Splunk Ingestion] を Splunk 設定用に使用します。

   
   メモ：

   Juniper ATP Applianceと統合するには、ソースタイプを「pan:log」、インデックスを「pan」に設定する必要があります。

   図 57: PAN 側 からの Splunk 設定例

   必ずSyslogログ転送プロファイルに移動し、ログの送信先を選択します(直接取り込みによるJuniper ATP Appliance Core、Splunkへの送信、またはその両方)してからコミットしてください。

図 58: ログ転送プロファイルをコミットして PAN-SIDE Splunk の設定 を完了する

Splunk の統合によって作成された PAN イベントは、Splunk PAN アドオンを介して、以下の Splunk の「共通情報モデル」(CIM)に従ってイベントを分類します。

• Web

• 侵入検知

• マルウェア攻撃

図 59: Splunk インジェスト ログ

図 60: PAN 経由の Splunk ログのサンプル

JUNIPER ATP Applianceによる検出とPAN syslogの取り込みのレポートを表示するには、次のインシデント表示例を参照してください。

この例では、PANがダウンロードの通過を許可しており、Juniper ATP Applianceがイベントを検知しています。

なお、Juniper ATP Applianceは、ダウンロードと外部ソースのログ収集も検出し、悪意のあるイベントとしてマークしました。

これと同じインシデントが、ジュニパーATPアプライアンスイベントタイムラインのホストビューにも以下のように報告されます。PAN ダウンロード イベントと Juniper ATP アプライアンス マルウェア検知イベントの両方が報告されることに注意してください。

別の別の例では、イベントタイムラインダッシュボードで、Juniper ATP Applianceが悪意のあるイベントを検出し、PANが拒否を実行したことを確認できます。

Juniper ATP Applianceは、Bluecoat Proxy Secure Gatewayと統合することで、緩和を容易にします。Bluecoatは、Juniper ATP Applianceから不正なWebURLを定期的に取得してブロックします。(不正なURLのリストは、Juniper ATP ApplianceのSecure Web Gateways>「緩和」タブに説明されているものと同じです。このタブには緩和すべきURLがリストされています。基本的に、BluecoatにはHTTP/HTTPSを介してJuniper ATP Applianceから悪意のあるURLリストを取得する機能があります。そのため、Juniper ATP Applianceは、Bluecoatがポーリングする悪意のあるURLリストを提供します。

ジュニパーATPアプライアンスは、Bluecoatなどの既存のサードパーティ製セキュリティデバイスを活用して、悪意のあるWebURLを自動的にブロックします。他のベンダーは悪意のあるWebダウンロードをブロックしないため、これは非常に重要です。それらは感染をブロックするだけです。

次の手順を使用して、Bluecoat Secure Web Gateway ログコレクターインジェストまたは Splunk インジェストを設定します。

• Bluecoat Secure Web Gateway ログ コレクターの設定

• Splunk からブルーコートへの統合の設定

• ジュニパーATP Appliance統合へのBluecoatの設定

• Bluecoat Secure Web Gateway Splunk Ingestの設定

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

   図 61: Web ゲートウェイ [ブルーコート: ログ コレクターの構成]

2. ソースの種類として [Web ゲートウェイ] を選択します。

3. ベンダー名として [Bluecoat Secure Web Gateway] を選択します。

4. [トランスポート] で、[ログ コレクター] オプションを選択します。

5. 入力ポートを入力します。

6. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

7. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP ApplianceがSplunkインジェストから作成したすべてのインシデントは、ステップ6で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

8. [追加] をクリックして、Bluecoat Secure Web Gateway Log Collector の設定を実行します。

Splunk for BluecoatとJuniper ATP Applianceの統合を検討する前に、以下の前提条件を考慮してください。

• Splunkエンタープライズバージョンをインストールして実行している

• Splunk for Bluecoatアプリをインストールして実行している

• Blue Coat ProxySG 用の Splunk アドオンを実行している

• 有効化モードと構成モードへのアクセス権を持つBluecoat CLIアクセス権を持つ

• Juniper ATP Applianceは現在、bcreportermain_v1ログタイプのみをサポートしているため、他のログタイプは機能しません

• Splunk サーバーとブルーコートの時刻が同期するように、必ず Splunk サーバーで NTP サービスを使用してください

• 統合後、「bcoat_logs」の下にあるSplunkログを観察し、時刻がSplunkの時刻と一致することを確認します。たとえば、Splunk が PST にある場合、Bluecoat からの "bcoat_logs" インデックスのデータも PST に設定する必要があります。一致する時間がない場合、統合が正しく機能しない可能性があります

1. Juniper ATP Appliance Central Manager コンソールで、[構成] >> [環境設定] [Splunk 構成] に移動します。

2. Splunk 構成のユーザー名、パスワード、ポートを追加し、[有効] に設定し、[構成のテスト] をクリックして確認します。接続が正常に確立されると、成功メッセージが表示されます。

3. ブルーコートを外部イベントコレクターとして追加します。 ATP Appliance Web Gateway [Bluecoat: Log Collector |Splunk Ingestion].

   必ずトランスポート「ログコレクター/ Splunk」を選択してください。ログ コレクターを選択する場合はポート番号を指定し、splunk オプションを選択する場合はオプションのインデックスを指定して、設定を追加します。

1. Bluecoat CLI にログインし、有効化モードになってから、設定モードに入ります。

2. アクセスログ設定の入力:コマンド「ログメインの編集」を入力します。

3. クライアントの種類として [カスタム クライアント] を選択します。

4. アクセスログの有効化を選択します。

5. アップロードタイプのテキストを選択します。

6. カスタム クライアント プライマリ<Juniper ATP Appliance Core IP] または [Splunk Server IP]> <統合>に使用する任意のポート番号を選択し、Enter をクリックします。

7. 継続的アップロードを有効にすると、統合はJuniper ATP Appliance側で実行されます

1. Splunk コンソールで、[設定] -> [データ入力] に移動します。

2. [ローカル入力] メニューで、[TCP ポート] メニューの [新規追加] をクリックします。新しいページが開き、次の 4 つのフィールドが表示されます。

3. [ポート] フィールドにポート番号 (Bluecoat カスタム クライアントで構成されているポート番号) を入力し、[次へ] をクリックします。タイプが TCP のままであることを確認します。

4. 次のウィンドウで、ソースタイプを「bluecoat:proxysg:access:syslog」として選択します。

5. 同じページで、インデックスの種類として "bcoat_logs] を選択し、[レビュー] をクリックします。

6. データを確認し、[次へ] をクリックします。これでブルーコートの構成は完了です。

数分以内に、ブルーコートログがSplunk側に表示され始めます。ログのフィルタリングには、必ず index="bcoat_logs" を使用してください。

BluecoatがHTTPSでJuniper ATP Applianceの自己署名SSL Apacheサーバーに接続できるようにするには、Juniper ATP ApplianceサーバーからPEMファイルにアクセスする必要があります。次に、PEM ファイルをブルーコート SSL 証明書リストにインポートします。

1. [構成] > [システム設定] > [システム設定] に移動します。

2. 「サーバー完全修飾ドメイン名」を適切に変更してください。これはPEMの共通名になり、Bluecoatがリクエストを送信するホスト名にもなります。したがって、Bluecoatが指定された名前を使用してこのホストにアクセスできることを確認する必要があります。

3. [送信] ボタンをクリックします。新しいPEMファイルがサーバー上で生成され、Apacheは変更を適用するために再起動を必要とします。"サイトのセキュリティ証明書は信頼されていません" という新しい警告が表示されるまで F5 キーを押して UI を更新します。(たとえば、Chrome経由)。この警告は、PEM が変更されたことを示します。

4. Bluecoat 設定コンソールに移動します。

1. 以下の説明に従って、必要な情報を入力します。

   図 62: ブルーコート構成設定

   • 可用性:この設定は、BluecoatがジュニパーATPアプライアンスURLをポーリングできるかどうかを制御します。

   • 例外ページ:これはURLリストに含まれる文字列で、悪意のあるURLがリクエストされた場合にBluecoatが事前定義された例外ページを表示できるようにします。

   • キャッシュ経過時間: この値は、悪意のあるURLリストがキャッシュされる期間を決定し、繰り返し攻撃を回避し、Juniper ATP Applianceサーバーの負荷を軽減するために使用されます。

   • 許可されたIP: 空白のままにすると、Juniper ATP Applianceはリストをポーリングしたユーザーを確認しません。それ以外の場合は、指定された IP のみがポーリングを許可されます。

2. [PEMファイルの取得]ボタン。このボタンをクリックすると、サーバーのPEMキーコンテンツが表示されます。このキーをBluecoatにコピー&ペーストして、BluecoatがJuniper ATP Applianceの自己署名証明書を受け取れるようにします。

   図 63: PEM キーコンテンツの表示

3. [URL の更新] ボタン: このボタンをクリックすると、ポーリング URL が (再) 生成されます。

4. ブルーコート側から CA 証明書をインポートするには: [構成] タブの [SSL > CA 証明書] セクションに移動し、[インポート] ボタンをクリックします。

5. 一意の名前を入力し、システム設定からここにPEMキーをコピーして貼り付けます。

   図 64: ブルーコート にコピーされた PEM

6. [適用] をクリックします。

7. [SSL > CA 証明書] で、タブを [CA 証明書リスト] に切り替えます。

8. 「ブラウザ信頼」を強調表示し、[編集]をクリックします。

9. 新しく作成した CA 証明書エントリを左から右に追加し、[適用] をクリックします。

   図 65: ブルーコート設定 への CA 証明書の追加

10. ポーリングを設定するには、[ポリシー] > [ポリシー ファイル] に移動します。

11. 「中央ファイルのインストール元:」セクションの「インストール」をクリックします。

12. Juniper ATP Applianceサーバーから次の場所にURLを貼り付けます。

    図 66: Bluecoat 設定への Juniper ATP Appliance URL の追加

13. 「ファイルが正常にダウンロードおよびインストールされました」というメッセージが表示されます。「中央ファイルが変更されたときに新しいポリシーを自動的にインストールする」チェックボックスをオンにします。

14. 最後のステップは、Bluecoatがポーリングする頻度を設定することです。

    これにより、ポーリング間の間隔が 5 分に設定されます。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

2. ソースの種類として [Web ゲートウェイ] を選択します。

3. ベンダー名として [Bluecoat Secure Web Gateway] を選択します。

4. [トランスポート] で [Splunk] オプションを選択します。

5. オプションの Splunk インデックスを入力します。例: パン

6. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

7. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP ApplianceがSplunkインジェストから作成したすべてのインシデントは、ステップ6で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

8. [追加] をクリックして Splunk 統合を実行します

エンドポイント AV ベンダー、ESET、McAfee ePO、Symantec AV 向けのログ収集または Splunk インジェストを設定するには、次の手順に従います。

• ESETエンドポイントAVログ収集の設定

• シマンテック社 EP エンドポイント AV ログ収集の設定

• McAfee ePO エンドポイント AV Splunk インジェストの設定

• シマンテック社 EP エンドポイント AV ログ収集の設定

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

2. ソースの種類として [エンドポイント AV] を選択します。

3. ベンダー名としてESETを選択します。

4. [トランスポート] で、[ログ コレクター] オプションを選択します。

5. ログ・ソース ID を入力します。

6. SSL設定を選択します:有効または無効。「有効」をお勧めします。

7. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

8. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP ApplianceがSplunkインジェストから作成したすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

追加をクリックして、ESETログコレクターの設定を実行します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

2. ソースの種類として [エンドポイント AV] を選択します。

3. ベンダー名として McAfee ePO を選択します。

4. [トランスポート] で、[ログ コレクター] オプションを選択します。

5. ログ・ソース ID を入力します。たとえば、MCAFEE-EPO などです。

6. SSL設定を選択します:有効または無効。「有効」をお勧めします。

7. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

8. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP ApplianceがSplunkインジェストから作成したすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

9. [追加] をクリックして、McAfee ePO ログ コレクターの構成を実行します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

   図 67: エンドポイントAV [ESET:ログ コレクターの構成]

2. ソースの種類として [エンドポイント AV] を選択します。

3. ベンダー名として [シマンテック EP] を選択します。

4. [トランスポート] で、[ログ コレクター] オプションを選択します。

5. ログ・ソース ID を入力します。

6. SSL 設定 ([有効] または [無効] ) を選択します。

7. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

8. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP ApplianceがSplunkインジェストから作成したすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

9. [追加] をクリックして、Symantec EP ログ コレクターの設定を実行します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

2. ソースの種類として [エンドポイント AV] を選択します。

3. ベンダー名として McAfee ePO を選択します。

4. [トランスポート] で [Splunk] オプションを選択します。

5. オプションの Splunk インデックスを入力します。例: パン

6. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

7. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP ApplianceがSplunkインジェストから作成したすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

8. [追加] をクリックして Splunk 統合を実行します。

1. 最新のパッチが適用された McAfee ePO バージョン 5.2 をインストールします。

2. 最新のSplunkエンタープライズバージョンをインストールする

3. マカフィー用 Splunk アドオンをインストールします。 https://splunkbase.splunk.com/app/1819/

4. Splunk 用の DB Connect をインストールして設定します。

   • DB コネクト バージョン 2.4.0 アドオンをダウンロードしてインストールします。これは、McAfee ePO データベースに接続して、McAfeen ePO サーバー データベースから ePO イベントを取得するために必要です。 https://splunkbase.splunk.com/ アプリ/2686/

     メモ：

     このアプリはJAVA 1.8バージョンで動作します。JAVA 1.8でSplunkを実行するために、ubuntu / Windowsのバージョンを必ず更新してください

     手順：

   • ご使用のデータベース用の JDBC ドライバーをインストールします。「Microsoft SQL Server」セクションを参照してください。 http:// docs.splunk.com/Documentation/DBX/2.4.0/DeployDBX/Installdatabasedrivers

     メモ：

     jdbc driver(sqljdbc4.jar) を /opt/splunk/etc/apps/splunk_app_db_connect/bin/lib のパスの下にコピーします。

   • DB Connect をインストールして Splunk Enterprise を再起動したら、DB Connect を起動し、シングルサーバーデプロイメント#http://docs.splunk.com/Documentation/DBX/2.4.0/DeployDBX/ 初期設定を完了しますSet_up_Splunk_DB_Connect

   • データベース ID を作成し、データベース接続をセットアップして、McAfee 用 Splunk アドオン用の新しいデータベース入力を作成します。

     メモ：

     • db_connections.conf ファイルを変更して接続を作成する代わりに、Splunk DB Connect GUI メソッドを使用してデータベース接続を作成します。

     • [実行頻度] 設定で、3600 秒から 1 秒に変更して、1 秒ごとに epo db からデータを取得するようにします。http://docs.splunk.com/Documentation/AddOns/released/McAfeeEPO/ ConfigureDBConnectv2 inputs

5. ePO サーバーで脅威イベントを生成し、そのイベント ログを検索して、攻撃されたエンドポイント IP アドレスまたはマルウェア名を見つけます。次の例に示すように:

   

6. Juniper ATP Appliance Web UIにログインし、[構成]>[環境設定]>[外部イベントコレクター]に移動し、Splunkオプションを使用して新しい外部コレクターを追加します。詳細については、 ジュニパー ATP アプライアンス側の設定 McAfee ePO エンドポイント AV Splunk インジェストを参照してください 。

7. エンドポイントの「IP アドレス」でタイムラインをフィルタリングすることにより、ジュニパー ATP アプライアンス イベント タイムライン ダッシュボードで McAfee ePO 脅威イベントを表示します。

1. McAfee ePO バージョン 5.2 バージョンに最新のパッチ (ホットパッチ ePolicy オーケストレーター (EPO) 5.3.2 HF1185471) がインストールされていることを確認します。

2. ePO 5.2 UI にログインし、構成 > 登録済みサーバー タブから syslog 登録済みサーバーを作成します。

   

3. 上の図に示すように、必要なすべての詳細を入力して、新しいサーバーを作成します。サーバー名としてJuniper ATP Applianceコアホスト名/IPを入力し、TCPポート番号として10514を入力します。

4. テスト接続 ボタンをクリックして、設定が正しく、ePO が Juniper ATP アプライアンスに syslog イベントを送信する準備ができていることを確認します。「Syslog 接続成功」というメッセージは、ePO が脅威イベントを Juniper ATP アプライアンス コアにプッシュする準備ができており、Juniper ATP アプライアンス コアがイベントを受け入れる準備ができていることを示します。

5. 以下のスクリーンショットに示すように、エンドポイントの IP アドレスでタイムラインをフィルタリングして、Juniper ATP アプライアンス イベント タイムライン ダッシュボードで McAfee ePO 脅威イベントを表示します。

直接ログ取り込みまたは Splunk 取り込みによるエンドポイントアラートイベント処理のためのCarbon Black Responseを設定するには、次の手順を使用します。

• Splunkによるカーボンブラック応答ログイベントの設定

• カーボンブラック応答のためのSplunk側構成

• 直接ログ取り込みによるカーボンブラック応答の設定

• カーボンブラックの反応 - Splunkの統合

• ジュニパーATP Applianceでのカーボンブラック反応取り込みレポート

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

2. 仕入先名として [カーボン ブラック応答] を選択します。

3. [トランスポート] で [Splunk] オプションを選択します。

4. オプションの Splunk インデックスを入力します。例: パン

5. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

6. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP ApplianceがSplunkインジェストから作成したすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

7. [追加] をクリックして Splunk 統合を実行します。

このセクションでは、Splunk の設定については説明しません。ただし、Juniper ATP Appliance と統合するために Splunk コンソールから Splunk を設定する場合、いくつかの項目が PAN に設定されていることを確認する必要があります。

Splunk に移動します。

1. Juniper ATP Appliance Central Manager Web UI Config>環境設定>外部イベントコレクターの設定ページに移動します。

   図 68: エンドポイントの応答 [カーボン ブラックの応答:ログ コレクターの構成]

2. 仕入先名として [カーボン ブラック応答] を選択します。

3. [トランスポート] で、[ログ コレクター] オプションを選択します。

4. 入力ポートを入力します。

5. 既定の重大度設定を選択します: 最大 |高い |メッド |低 |良性

6. [インシデントの作成] を構成するには、[有効] または [無効] オプションを選択します。Juniper ATP Applianceがログ取り込みから作成したすべてのインシデントは、ステップ5で選択した重大度設定に従って作成されます。[インシデントの作成]設定を有効にすると、ジュニパーATP Applianceで検出されたイベントとの相関がない場合でも、サードパーティイベントのインシデントが直接作成され、電子メールアラート通知が送信されます。

7. [追加] をクリックして、ログ コレクターの構成を保存します。

次のいずれかの方法でカーボンブラックレスポンスとSplunkの統合を実行するには、次の情報を使用します。

• カーボンブラック応答の直接ログ インジェスト: JSON ログのイベント フォワーダー

• Splunkフォワーダーによるカーボンブラック応答の統合

• ジュニパーATP Applianceでのカーボンブラック反応取り込みレポート

重要: カーボンブラックの反応と Splunk の統合に関する注意事項:

• ジュニパーATPアプライアンスでは、カーボンブラックログを関連付けるためにアクティブディレクトリ(AD)データが必要です。

• AD、Splunk、Juniper ATP ApplianceはNTP同期されている必要があります。

• 現在、Carbon Blackでは、ウォッチリストのアラートイベントのみがジュニパーATP Applianceによって消費されています。

  • alert.watchlist.hit.ingress.host

  • alert.watchlist.hit.ingress.binary

  • alert.watchlist.hit.ingress.process

  • alert.watchlist.hit.query.binary

  • alert.watchlist.hit.query.process

• ジュニパーATPアプライアンスとカーボンブラックの相関関係 応答は5分以内です。

• エンドポイントのホスト名は、Carbon Black ResponseとJuniper ATP Applianceのイベントの関連付けに一致する唯一のホスト名です。

• カーボンブラックレスポンスイベントフォワーダーには、JSONまたはLEEF形式でログを転送するオプションがあります。Juniper ATP Appliance は、現時点では Splunk とダイレクトログの両方の取り込みで JSON 形式のみをサポートしています。

• ダイレクトログ取り込みでは、任意のJuniper ATP Applianceポートにログを送信できます。

• カーボン ブラック応答の統合とカーボン ブラックの直接ログ インジェストの違い:

  • Carbon Black Responseの統合中、Juniper ATP Applianceは、Juniper ATP Applianceによって検出されたイベントのみを問い合わせて、エンドポイントの実行に関する確認を取得します。

  • CBログの取り込みでは、Juniper ATP Applianceが認識したかどうかに関係なく、すべてのイベントが取得されます。

  • CB ログの取り込みで CB イベントが関連付けられている場合、EX の進行状況はマークされません。

1. カーボンブラック応答イベントフォワーダーをインストールします。

   https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/

2. カーボン ブラック応答イベント ログを TCP または UDP 経由で任意のサーバーに送信するには、次の例のようにイベント フォワーダー CONF ファイルを編集します。

   インチ /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   /etc/cb/cb.conf から上記のユーザー名とパスワードを取得し、RabbitMQUser & RabbitMQPassword を検索し、上記のファイルから値をコピーします。

   インチ /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   以下に示す値を検索して入力します。

   TCPオプションを選択した場合は、タップサーバーとリスニングポートを設定します。現在、任意のランダムなポートを選択して聞くことができます。

   上記でudpオプションを選択した場合は、タップサーバーとリスニングポートを設定します。現在、任意のランダムなポートを選択してリッスンできます。

   次に、次のコマンドを実行して、イベントフォワーダーが接続したサーバーを示す出力を受信します。

   イベントフォワーダーを起動します。

1. カーボン ブラック応答サーバーから、カーボン ブラック応答イベント フォワーダーをインストールします。

   https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/

2. このリンクから関連するバイナリをダウンロードします。

   https://www.splunk.com/en_us/download/universal-forwarder.html

3. Splunk インスタンスに Bit9 カーボンブラックの Splunk アドオンをインストールします。Splunk 共通情報モデルを設定します。

   https://splunkbase.splunk.com/app/2790/

4. カーボンブラック応答イベントフォワーダーを設定します。これは、カーボンブラックレスポンスイベントログをファイルに保存し、その内容を使用してSplunkにデータを転送するために必要です。

   インチ /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   上記のユーザー名とパスワードを /etc/cb/cb.conf から適用し、RabbitMQUser と RabbitMQPassword を検索し、その値を上記の CONF ファイルにコピーします。

   インチ /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   以下の値を検索して入力します。

   上記の出力ファイルは何でもかまいません。この例では、リンクにイベント ログが格納されます。

   以下のコマンドを実行して、以下に示す出力を取得します。

   イベントフォワーダーを起動します。

5. ビット 9 のカーボンブラック応答用に Splunk アドオンを設定します。

6. Splunk 共通情報モデルを次のように設定します。

   

7. Splunk インスタンスのレシーバーを設定して、Splunk フォワーダーがデータを転送するように設定します。Splunk > [設定] > [転送と受信] に移動します。

   

8. [受信の構成] をクリックします。

   

9. リッスンするポートを設定します。この例では、ポート 6666 です。

   

10. カーボンブラックレスポンスサーバーにユニバーサルフォワーダーRPMをダウンロードしてインストールすることで、SplunkユニバーサルフォワーダーがカーボンブラックレスポンスデータをSplunkに転送するように設定します。

    https://www.splunk.com/en_us/download/universal-forwarder.html

    上記のコマンドでは、10.2.14.219はsplunkサーバーであり、6666はSplunkが受信しているステップ3で構成したポートです。

11. 入力ホスト・ファイルを追加します。この例では、Splunk で検索できる cbtest を使用しています。

    モニターは、ステップ 1 で設定した data.json のディレクトリーです。

    ソースタイプは、カーボンブラックレスポンスからのデータを送信する必要があるデータを示します。

12. Splunkを起動します。

13. 転送サーバーを確認します。

Carbon Black Responseログの取り込みは、Juniper ATP Appliance Central ManagerのWeb UIインシデントページとイベントタイムラインダッシュボードで確認できます。