このページの目次
はじめ
始める前に
ジュニパーATPアプライアンス製品をインストールする前に、次のインストール、セットアップ、安全性、および設置場所の要件を満たしていることを確認してください。
最新リリースのJuniper ATP Applianceリリースノートをお読みください。
アプライアンス、AWS、SaaS、またはVM OVAについては、お使いの製品に固有のJuniper ATPアプライアンスクイックスタートガイドをお読みください。
ジュニパーATPアプライアンスネットワーク情報に記載されている、以下の項目を含む情報と機器を収集します。
ジュニパーATPアプライアンス情報
ネットワーク情報
クライアント情報。
Juniper ATP Applianceデバイスインターフェイスへのアクセスに記載されているガイドラインに従います。
ジュニパーATPアプライアンスネットワーク情報
ハードウェアの仕様とセットアップ手順については、「」を参照してください JATP700 Appliance Hardware Guide。
アプライアンスに接続して設定する前に、以下の表 2-1 で説明されているネットワークに関する情報を収集します。
ネットワーク項目 |
必要な情報 |
|---|---|
ジュニパーATPアプライアンス |
|
DNS (ドメイン ネーム サービス) サービス (オプション) |
1 つ以上の DNS サーバーの IP アドレス |
NTP(ネットワークタイムプロトコル)サービス(オプション) |
1 つ以上の NTP サーバーの IP アドレス |
リモート管理(オプション) |
Juniper ATP Appliance CLIにリモートでアクセスする場合は、リモートシステムに次のいずれかが必要です。
メモ:
Putty を SSH クライアントとして使用する場合は、SSH 操作には常に最新バージョンの Putty を使用してください。 |
CM (セントラル マネージャー) |
|
管理ネットワーク
次の表は、Juniper ATP ApplianceとCM接続のすべてのポートとプロトコルの構成をまとめたものです。すべてのアプライアンスの管理インターフェイスはデフォルトでeth0であることに注意してください。GSS のすべての自動更新は、コア/CM またはオールインワン システムによって排他的に処理されます。
通信ポートとプロトコルは、インストール中に内部と外部の両方のサーバーとサービスに対して開く必要があります。
重要: プライマリ コア/CM コアとセカンダリ コア/Mac コアは同じネットワーク上にあり、ポート アドレス(PAT)またはネットワーク アドレス変換(NAT)を使用せずにすべてのポートを許可する必要があります。
表 2 に、すべての内部および外部ポートとプロトコルを示します。
内部サーバー
説明 |
プロトコル |
ソース |
先 |
ポート |
|---|---|---|---|---|
CLI管理 |
Tcp |
管理ワークステーション |
コア/コレクター/セカンダリコア管理インターフェイス |
22 |
CM Web UI管理 |
Tcp |
管理ワークステーション |
CM 管理インターフェイス |
443 |
DNS クエリ |
TCP/UDP |
コア/コレクター/セカンダリコア管理インターフェイス |
内部 DNS サーバー |
53 |
Ntp |
Udp |
アプライアンス管理インターフェイス |
NTP サーバー |
123 |
Syslog |
Udp |
アプライアンス管理インターフェイス |
SIEM/Syslog CEFサーバー |
514 |
CMコネクション |
Tcp |
コレクターおよびセカンダリ コアの管理インターフェイス |
CM 管理インターフェイス |
443 |
管理ポート eth0
分散型ジュニパーATPアプライアンスを管理および使用するには、管理ポートeth0インターフェイスを使用します。これは、Juniper ATP Applianceがセキュリティコンテンツを交換し、CMとの統合を管理するポートです。管理インターフェイスは、以下のポート経由でJuniper ATP Appliance IP/ホスト名アクセスを使用して、ネットワークルーティング可能である必要があります。
DNS(UDP/53)
HTTPS(TCP/443)
SSL/TLSポート443は、トラフィック検査とマルウェア動作分析のためにコレクターとコア/CMの間で開く必要があります。
Putty を SSH クライアントとして使用する場合は、SSH 操作には常に最新バージョンの Putty を使用してください。
管理インターフェイスの IP アドレスと DNS を設定するには、(eth0 の代わりに) 名前管理インターフェイスが使用されます。
ポート eth1 の監視
ネットワークタップを使用して、ネットワークセグメントからJuniper ATP Appliance Collectorのeth1ネットワーク監視ポートにネットワークトラフィックのコピーを送信します。タップは交通に干渉せず、シャットダウンされた場合、トラフィックが妨げられることなく通過できるようにします。詳細については、「」および「」を参照してください。
eth1 は、トラフィック監視でサポートされている唯一のポートです。
分析エンジン排気ポート eth2
このオプションを使用すると、検出、デトネーション プロセス中に分析、エンジン トラフィック、排気、CnC 通信を管理ネットワーク eth0 から別のインターフェイス eth2 に移動させる代替インターフェイスを設定できます。
eth2 インターフェイスは、プライマリ コア + CM、オールインワン コア、および Mac ミニ セカンダリ コア用に構成できます。Mac Mini では、代替インターフェイスをセットアップするために USB-NIC アダプタが必要です。
ポートスキャン検出器とSSHハニーポットポートeth3
すべてのアウトバウンドコレクタトラフィックに対してeth3ポートを設定するオプションもあります。
SSHハニーポット横方向検出の設定には、ジュニパーATPアプライアンスアドバンスドライセンスが必要です。ハニーポットインターフェイスは常にeth3として列挙されます。
外部サーバー
表3は、Juniper ATP Applianceシステムが発信接続を必要とするポートとプロトコルを外部サーバーごとに示しています。詳細については、以下の警告と注意事項を参照してください。
ATP Applianceリリース5.0.7から、GSSサービスドメインが*.cloud.cyphort.com から*.gss.junipersecurity.net に変更されました。既存のファイアウォール規則を変更して、新しい *.gss.junipersecurity.net ドメインへの送信トラフィックを許可する必要があります。両方のドメインは、新しいドメインへの移行中に有効になります。*.cloud.cyphort.com は今後段階的に廃止される予定です。できるだけ早く新しいドメインに移行することをお勧めします。
ファイアウォールがドメインのワイルドカードをサポートしていない場合は、次のサービスに対してポート 443 を開く必要があります。
gss.gss.junipersecurity.net
filestore.gss.junipersecurity.net
rep.gss.junipersecurity.net
update.gss.junipersecurity.net
rs.gss.junipersecurity.net
ファイアウォールを開いて新しいドメイン (*.gss.junipersecurity.net) に到達した後、ATP アプライアンス コアが新しいドメインに接続できるように、ATP アプライアンス UI の サービスの 再起動 をクリックして、すべてのサービスを再起動する必要があります。ATP Applianceサービスの再起動を回避するには、新しいリリースにアップグレードする前に、古いドメインと新しいドメインの両方でファイアウォールを開きます。アップグレードが成功したら、ファイアウォールを閉じて古いドメイン(*.cloud.cyphort.com)にすることができます。アップグレード中に新しいドメインに到達できない場合は、古いドメイン (*.cloud.cyphort.com) へのファイアウォールを閉じた後、ATP Appliance コアが新しいドメイン (*.gss.junipersecurity.net) に接続できるように、ATP Appliance UI の [ サービスの再起動 ] をクリックしてすべてのサービスを再起動する必要があります。
ATP Applianceコアは、アップグレード後に*.gss.junipersecurity.net に到達できない場合、自動的に古いドメイン(*.cloud.cyphort.com)にフォールバックします。これは、新しいドメインへの移行を支援するために行われます。
ATP Applianceコアが*.gss.junipersecurity.netドメインに到達できない場合、ATPアプライアンスは12時間ごとにヘルス通知アラートを送信します(システムヘルスアラート通知を設定している場合)。これらのアラートを停止するには、ファイアウォールを開いて、ATP アプライアンス コアから新しいドメイン (*.gss.junipersecurity.net) への 443 を許可する必要があります。
Juniper ATP Appliance コアまたは仮想コアに関連する外部サーバーの説明 |
ソース |
宛先ホスト名/IPアドレス |
宛先ポート |
プロトコル |
|---|---|---|---|---|
SIEM/Syslogサーバー |
|
SIEM/SyslogサーバーのIPアドレス |
514 |
Udp |
DNS サーバー |
|
お客様のDNSサーバーのIPアドレス |
53 |
TCP/UDP |
Pingテスト |
|
8.8.8.8 |
Icmp |
|
ジュニパーATPアプライアンスソフトウェアとコンテンツ |
|
gss.gss.junipersecurity.net update.gss.junipersecurity.net |
443 |
Tcp |
ジュニパーATPアプライアンスGSSレポートサーバー |
|
gss.gss.junipersecurity.net filestore.gss.junipersecurity.net |
443 |
Tcp |
レピュテーションサーバージュニパーATPアプライアンス |
|
rep.gss.junipersecurity.net |
443 |
Tcp |
Juniper SRXファイアウォール
メモ:
SRXファイアウォールによる緩和 |
|
お客様が設定済みのSRXアプライアンスおよびセキュリティポリシー |
443 |
Tcp |
Palo Alto Networks PAN Appliance or Panorama, Cisco ASA, Checkpoint, FortinetまたはFortiManager
メモ:
統合ファイアウォールによる緩和 |
|
お客様が設定したPANアプライアンス |
830 |
Tcp |
クラウドストライクおよび/またはカーボンブラック応答サーバー
メモ:
カーボンブラック対応による緩和・検証に |
|
お客様が設定したカーボンブラックサーバー |
443 |
Tcp |
ブルーコートプロキシSG
メモ:
ブルーコートプロキシによる緩和用 |
|
お客様が設定したBlueCoatプロキシ |
443 |
Tcp |
要約すると、Core/CM 発信インターネット接続を次のように構成してください。
ジュニパーATPアプライアンス管理インターフェイスeth0からエンタープライズSMTPサーバー、DNSサーバー、ロギング/SIEMサーバーへの送信アクセスを構成します。
コアエンジンは、TCPポート22を使用して別のMac Mini OSXまたは他のセカンダリコアに接続します。分散型Mac OS Xエンジンをインストールするときは、必ずこのポートを開いてください。すべての通信はeth0で行われます。このリリースでは、他のポートも予約されています( 分析エンジン排気ポート eth2 および 代替分析エンジン インターフェイスの設定も参照)。
Juniper ATP Appliance E メールコレクターを設定する場合、E メールサーバーへのアクセスに使用するポートも開く必要があります。すべての通信は、eth0を介してジュニパーATP Appliance管理ネットワークを介して行われます。このリリースでは、他のポートも予約されています(「 分析エンジン排気ポート eth2 」および 「 代替分析エンジン インターフェイスの設定」を参照)。
プライマリ コア/CM コアとセカンダリ コア/Mac コアは同じネットワーク上にあり、ポート アドレス (PAT) またはネットワーク アドレス変換 (NAT) を使用せずにすべてのポートを許可する必要があります。
管理インターフェイス eth0 には、静的 IP アドレスまたは予約済み DHCP アドレスとネットマスクが必要です。ただし、CM接続アプライアンスの場合は、静的IPアドレスとネットマスクのみを使用してください。以下の追加の中央マネージャー (CM) 通信情報を参照してください。
プライマリインターフェイスでZeroConfを使用しないでください。
Putty を SSH クライアントとして使用する場合は、SSH 操作には常に最新バージョンの Putty を使用してください。
Juniper ATP Appliance Web UIサポート
Juniper ATP Appliance Web UIでサポートされているブラウザーは以下のとおりです。
Windows Users
Internet Explorer 11.0以上
FireFox® 31 以降
グーグルクローム36以上
Mac Users
サファリ7.0.2
グーグルクローム36以上
FireFox® 31 以降
画面解像度のサポート
Juniper ATP Appliance Web UIは、以下の画面解像度の使用をサポートしています。
|
|
|
|
|
|
|
|
|
|
|
ジュニパーATPアプライアンスデバイスインターフェイスへのアクセス
以下のインターフェイスを使用して、情報を収集し、ジュニパーATPアプライアンスと対話することができます。
コマンドライン インターフェイス(CLI)
Juniper ATP Appliance Central Manager Web UI
CLIおよびCLIコマンドの構文と使用方法の詳細については、 Juniper ATP Appliance CLIコマンドリファレンスを参照してください。
構成ウィザードの起動
設定ウィザードを起動するには、CLIコマンドウィザードを起動します。
JATP# wizard
CLI プロンプトで、ユーザー名とパスワードを入力します。デフォルトでは、管理者ユーザー名は admin で、パスワードは 1JATP234 です。
初期セットアップ後に、必ず管理者アカウントのデフォルトのパスワードを変更してください。パスワードの長さは 8 文字以上にする必要があります。
プロンプトが表示されたら yes と入力して構成ウィザードを使用し、次に示すように応答します。
構成ウィザード
構成ウィザードのプロンプト |
お客様からの反応 All-in-One |
またはからの Core 顧客の応答 Mac Mini |
お客様からの反応 Collector |
|---|---|---|---|
DHCPを使用して管理インターフェイスのIPアドレスとDNSサーバーアドレスを取得しますか(はい/いいえ)?
メモ:
DHCPの応答が「いいえ」の場合にのみ、プロンプトが表示されたら次の情報を入力します。
管理インターフェイスを再起動しますか(はい/いいえ)? |
DHCP アドレッシングは動的に変化するため、使用しないことを強くお勧めします。静的 IP アドレスが優先されます。 推奨: 「いいえ」で応答します。
を入力して yes 、新しい構成設定を適用して再起動します。 |
DHCP アドレッシングは動的に変化するため、使用しないことを強くお勧めします。静的 IP アドレスが優先されます。 推奨: 「いいえ」で応答します。
を入力して yes 、新しい構成設定を適用して再起動します。 |
DHCP アドレッシングは動的に変化するため、使用しないことを強くお勧めします。静的 IP アドレスが優先されます。 推奨: 「いいえ」で応答します。
を入力して yes 、新しい構成設定を適用して再起動します。 |
有効なホスト名を入力してください(一意の名前を入力します) |
プロンプトが表示されたらホスト名を入力します。ドメインを含めないでください。例えば: juniperatp1 |
プロンプトが表示されたらホスト名を入力します。ドメインを含めないでください。例えば: juniperatp1 |
プロンプトが表示されたらホスト名を入力します。ドメインを含めないでください。例えば: juniperatp1 |
[オプション] システムが eth2 ポートを備えたセカンダリコアを検出すると、代替のCnC排気オプションが表示されます。 分析エンジンの排気トラフィックに代替排気を使用しますか(はい/いいえ)? 交互排気(eth2)インターフェイスのIPアドレスを入力します。 交互排気(eth2)インターフェイスのネットマスクを入力します(例:255.255.0.0) 代替排気(eth2)インターフェイスのゲートウェイIPアドレスを入力します(例:10.6.0.1) 代替排気(eth2)インターフェイスのプライマリDNSサーバーのIPアドレスを入力します(例:8.8.8.8) 代替排気(eth2)インターフェイス用のセカンダリDNSサーバーはありますか? 代替排気(eth2)インターフェイスの検索ドメインを入力しますか?
メモ:
ネットワーク インターフェイスの完全な再起動には、60 秒以上かかる場合があります |
詳細については、 『代替分析エンジン インターフェイスの設定 』を参照してください。 yes と入力して、代替 eth2 インターフェイスを設定します。 eth2 インターフェイスの IP アドレスを入力します。 eth2 ネットマスクを入力します。 ゲートウェイの IP アドレスを入力します。 代替排気(eth2)インターフェイスのプライマリ DNS サーバーの IP アドレスを入力します。 yes または no を入力して、eth2 セカンダリ DNS サーバーを確認または拒否します。 yes または no を入力して、検索ドメインを入力するかどうかを指定します。 |
詳細については、 『代替分析エンジン インターフェイスの設定 』を参照してください。 yes と入力して、代替 eth2 インターフェイスを設定します。 eth2 インターフェイスの IP アドレスを入力します。 eth2 ネットマスクを入力します。 ゲートウェイの IP アドレスを入力します。 代替排気(eth2)インターフェイスのプライマリ DNS サーバーの IP アドレスを入力します。 yes または no を入力して、eth2 セカンダリ DNS サーバーを確認または拒否します。 yes または no を入力して、検索ドメインを入力するかどうかを指定します。 |
[トラフィック コレクターは、コア分析エンジンの CnC ネットワーク トラフィックを送受信しないため、eth2 インターフェイスは必要ありません。 |
SSL自己署名証明書を再生成しますか(はい/いいえ)? |
を入力して yes 、Juniper ATP Appliance Server Web UI用の新しいSSL証明書を作成します。 を入力して no自己署名証明書を拒否する場合は、認証局(CA)証明書をインストールする準備をしてください。 |
を入力して yes 、Juniper ATP Appliance Server Web UI用の新しいSSL証明書を作成します。 を入力して no自己署名証明書を拒否する場合は、認証局(CA)証明書をインストールする準備をしてください。 |
コレクターには適用されません。 |
次のサーバー属性を入力します。 これは中央マネージャー・デバイスですか? デバイス名:(一意である必要があります) デバイスの説明 デバイスキーパスフレーズ
メモ:
このパスフレーズを覚えて、すべての分散デバイスで使用してください。 |
「はい」と入力します。システムは、IP 127.0.0.1をオールインワンIPアドレスとして自動設定します。 Juniper ATP Applianceコレクターのホスト名を入力します。これにより、Web UIでコレクターが識別されます。 デバイスを入力します 詳細 中央マネージャーに対するコアの認証に使用するユーザー定義のパスフレーズを入力します。 |
「はい」と入力します。システムは、IP 127.0.0.1をオールインワンIPアドレスとして自動設定します。 Juniper ATP Appliance Mac Mini または Core/CM ホスト名を入力します。これにより、Web UI で Mac OS X またはコア エンジンを識別します。 デバイスを入力します 詳細 コアまたはMac Miniをセントラルマネージャーに認証するために使用したのと同じパスフレーズを入力します。 |
いいえと入力します。システムは、ここでCM IPアドレスを入力するように要求します。 Juniper ATP Applianceコレクターのホスト名を入力します。これにより、Web UIでコレクターが識別されます。 デバイスを入力します 詳細 中央マネージャーに対するコレクターの認証に使用したのと同じパスフレーズを入力します。 |
[オプション] システムがeth2ポートを備えたセカンダリコアを検出すると、代替のCnC排気オプションが表示されます。 分析エンジンの排気トラフィックに代替排気を使用しますか(はい/いいえ)? 交互排気(eth2)インターフェイスのIPアドレスを入力します。 交互排気(eth2)インターフェイスのネットマスクを入力します(例:255.255.0.0) 代替排気(eth2)インターフェイスのゲートウェイIPアドレスを入力します(例:10.6.0.1) 代替排気(eth2)インターフェイスのプライマリDNSサーバーのIPアドレスを入力します(例:8.8.8.8) 代替排気(eth2)インターフェイス用のセカンダリDNSサーバーはありますか? 代替排気(eth2)インターフェイスの検索ドメインを入力しますか?
メモ:
注: ネットワーク・インターフェースの完全な再始動には、60 秒以上かかる場合があります ...代替排気(eth2)インターフェースの再起動 ...ネットワーク インターフェイスの完全な再起動には、60 秒以上かかる場合があります ...インターフェイスos_engine_eth2再起動 os_engine_eth2が準備を整えるのを待っています(MAXWAITは32秒です)。 |
詳細については、 『代替分析エンジン インターフェイスの設定 』を参照してください。 yes と入力して、代替 eth2 インターフェイスを設定します。 eth2 インターフェイスの IP アドレスを入力します。 eth2 ネットマスクを入力します。 ゲートウェイの IP アドレスを入力します。 代替排気(eth2)インターフェイスのプライマリ DNS サーバーの IP アドレスを入力します。 eth2 セカンダリ DNS サーバーを確認または拒否するには yes 、入力または no 拒否します。 またはnoを入力してyes、検索ドメインを入力するかどうかを指定します。 |
詳細については、 『代替分析エンジン インターフェイスの設定 』を参照してください。 yes と入力して、代替 eth2 インターフェイスを設定します。 eth2 インターフェイスの IP アドレスを入力します。 eth2 ネットマスクを入力します。 ゲートウェイの IP アドレスを入力します。 代替排気(eth2)インターフェイスのプライマリ DNS サーバーの IP アドレスを入力します。 eth2 セカンダリ DNS サーバーを確認または拒否するには yes 、入力または no 拒否します。 またはnoを入力してyes、検索ドメインを入力するかどうかを指定します。 |
トラフィック コレクターは、コア分析エンジンの CnC ネットワーク トラフィックを送受信しません。 |
すべての質問に回答すると、ウィザードによって回答が要約されます。回答を変更するには、ステップ番号を入力します。変更を保存して終了するには、<実行>を押します。
設定ウィザードに戻って設定を変更するには、次の CLI コマンドを使用します。
JATP# wizard
CLI パラメーターには、必ず特殊文字を使用する二重引用符を使用してください。
コマンドの構文と使用法については、『Juniper ATP Appliance CLIコマンドリファレンス』を参照してください。
Juniper ATP Appliance Web UIアクセス
Juniper ATP Appliance Web UIは、セキュアなWebベースの防御システム設定とマルウェア分析管理インターフェイスです。HTTPSを使用してアプライアンスの設定済みIPアドレスをWebブラウザでポイントすることでアクセスできます。例えば、アプライアンスの構成済みIPアドレスが10.8.20.2の場合、ブラウザーで https://10.8.20.2 を指定してアプライアンスGUIにアクセスします。
次の図に示すログイン画面で、デフォルトのユーザー名とパスワードを入力します。
デフォルトのユーザー名はadminで、パスワードはjuniperです。このデフォルトのパスワードは、最初のログイン後に必ずリセットしてください。
CM Web UI では、最大 32 文字および 8 文字以上のパスワードがサポートされています。パスワードの文字(大文字/小文字)、数字、特殊文字を使用できますが、二重引用符(")、スペース、またはバックスラッシュ(\)は除きます。
Juniper ATP Appliance Web UIのログインユーザー名とパスワードは、CLI管理者のユーザー名とパスワードとは別のものです。
SAML認証を使用してJuniper ATPアプライアンスにログインします。
SAML設定が構成されている場合、SAML認証が割り当てられているユーザーは、Juniper ATP Applianceにアクセスしようとしたときに、企業のIdPログインページに自動的にリダイレクトされます。SAML認証の詳細については、 SAML設定の構成 および ユーザーアカウントの構成を参照してください。
Juniper ATP Appliance Central Manager Web UIの詳細については、 Juniper ATP Appliance Web UIの操作を参照してください。
AD認証を使用してJuniper ATPアプライアンスシステムにログインします。
AD 認証が設定されている場合、ユーザーは顧客ネットワークの RADIUS プロトコルを使用して、アクティブ ディレクトリ(AD)サーバーを介して認証されます。
AD 認証の詳細については、 『RADIUS サーバ設定の構成 』および 『アクティブ ディレクトリの構成』を参照してください。
Juniper ATP Appliance Web UIとの連携
このセクションでは、アプライアンス Web UI をナビゲートする方法とそのタブについて説明します。
CM Web UI のナビゲーション
タブの概要
CM Web UI のナビゲーション
アプライアンス Web UI 内を移動するには:
タブを使用して、Web UI のメイン ページにアクセスします。
タブの下のパスリンクや[設定]タブの下の左側のパネルリンクなどのリンクを使用して、他のリンクされたページに移動します。
のナビゲーション
初期ビューを設定するには、ドロップダウンから、Juniper ATP Applianceダッシュボードまたは[インシデント]タブに検出結果とマルウェア分析の詳細を表示する期間を選択します。すべてのグラフと表形式表示は、期間選択コントロールによって同期されます。使用可能な期間オプションは次のとおりです。
24時間(毎時)
1週間(毎週)
1ヶ月(毎月)
3ヶ月(四半期ごと)
1年間(年間)
[インシデント] テーブルに表示する結果の種類を選択します。 脅威を表示 |疑わしい表示 |良性を示します。
[インシデント] テーブルの検索を実行し、[検索] フィールドに検索条件を入力します。SHA1、MD5 合計、コレクター名、脅威名、脅威ソースなどを検索できます。
たとえば、[インシデント] タブのテーブル列の上部にあるヘッダーをクリックすると、その列でテーブルが並べ替えられます。並べ替え順序を降順から昇順に変更するには、もう一度クリックします。
[インシデント]テーブルの行をクリックすると、左側のパネルの[サマリー]テーブルに脅威に関する一般化された情報が表示されます。[概要] タブの下にあるタブのサブセットをクリックして、イベントの詳細を表示します。矢印をクリックして詳細を表示するには、行を展開します。
[設定]ページの左側のパネルメニューオプションを使用して、[通知]、[システム設定]、および[環境設定]の構成ウィンドウを開きます。
構成ページで、表示されたフィールドに情報を入力します。
Juniper ATP Appliance Web UIのタブの概要
The Juniper ATP Appliance Central Manager Web UI
各 Web UI タブの目的は次のとおりです。
Dashboard- アプライアンスのステータス情報に加えて、検出された脅威とインシデントの傾向も表示します。運用ダッシュボードと調査ダッシュボードのコンテキスト固有の脅威ビューは、設定に応じて、企業に最も影響を与える脅威に優先順位を付けます。システムダッシュボードとコレクターダッシュボード(Webおよび電子メール)には、システムとコレクターのヘルスステータスと傾向に関する情報が表示されます。イベントタイムラインダッシュボードには、特定のベンダーのイベントごとの高度な脅威分析(ATA)データと、エンドポイントIP、ホスト名、ユーザー名、または電子メールが表示されます。
Incidents- ネットワーク内のさまざまなキルチェーン段階における、悪意のある、または疑わしいダウンロードや感染に関する詳細情報のレベルを表示します。詳細については 、「インシデント ページのナビゲーション 」も参照してください。
File Uploads- 悪意のあるものか無害なものかを問わず、すべてのファイル アップロード マルウェア分析結果に関する詳細な情報を 1 つの Web UI の場所で提供します。Central Manager Web UI のファイル・アップロード処理機能には、新しい「ファイル・アップロード」タブからのアップロードが含まれます。強化されたファイルアップロードAPIは、カーボンブラックレスポンスなどのサードパーティ統合用の追加のメタデータを受け入れて、インシデントとのシームレスな統合を提供します。詳細については、 『分析のためのマルウェア ファイルの送信』を参照してください。
Mitigation—自動緩和、ゲートウェイまたはIPS/次世代ファイアウォールからのコールバックのブロック、または標的エンドポイントでの感染を確認するためのJuniper ATP Appliance感染検証パッケージ(IVP)またはCarbon Black Response統合の導入など、検知された特定の脅威に対する緩和オプションを提供します。詳細については、 ファイアウォール自動緩和の設定を参照してください。
Reports- 統合された詳細なエグゼクティブサマリーレポート、またはシステム監査レポートを生成またはスケジュールできます。詳細については、 レポートの生成 を参照してください。
Custom Rules- カスタム Snort ルール一致を Juniper ATP Appliance Central Manager Web UI の [カスタム ルール] タブに表示します。相関 Snort ルールの一致は、[インシデント(Incidents)] タブで確認できます。システムへのルールの追加については、『 カスタム SNORT ルールの設定 』を参照してください。
Config- アプライアンスとソフトウェアのシステム設定に加え、分析、通知、緩和策の設定を行うことができます。
[更新(Refresh)]:CM ブラウザの表示の更新を実行します。ソフトウェアまたはセキュリティ コンテンツの更新後は、必ず更新を実行してください。
System Health—Juniper ATP Applianceの静的および動的デトネーションエンジンと分析システムのヘルスインジケーターチェックを表示します。すべてのインジケータには、システムが正常であることを示す緑色のチェックマークが表示されます。赤いインジケータが表示された場合は、トラブルシューティングが必要です。
ビヘイビアエンジン |
 |
コアデトネーションエンジン |
スタティックエンジン |
|
静的分析 |
相関 |
|
イベント相関エンジン |
ウェブコレクター |
|
有効な Web コレクターの接続ステータス |
二次コア |
|
設定済みのセカンダリコアの接続状態(Mac OSX) |
Log Out- 現在の中央マネージャー Web UI ユーザーからのログアウトを実行します。
分散型ジュニパーATPアプライアンスシステムの導入
Juniper ATP Appliance Advanced Threat Protectionシステムの導入は、以下のセクションで説明されています。
Juniper ATP Applianceの導入状況の検証方法については、『Juniper ATP Appliance CLIコマンドリファレンス』を参照してください。
- 導入シナリオ
- 企業本社におけるジュニパーATPアプライアンスの防御
- 分散型エンタープライズ環境におけるジュニパーATPアプライアンス防御
- Juniper ATP Appliance 分散型SaaS/OVA導入
導入シナリオ
このセクションでは、Juniper ATP Appliance Advanced Threat Protectionの3つの導入シナリオについて説明します。
本社におけるJuniper ATP Applianceの導入
分散型またはクラスター化されたエンタープライズ環境におけるJuniper ATP Applianceの防御
Juniper ATP Appliance 分散型SaaS/OVAまたは仮想導入
企業本社におけるジュニパーATPアプライアンスの防御
このシナリオでは(下の図5を参照)、Core|CMシステムは、広いトラフィックカバレッジとサービス統合のために3台の物理トラフィックコレクターが展開された本社に設置されます。
コレクター1は、データセンターをカバーするために配置されています
コレクター 2 は Web トラフィック カバレッジ用に配置
コレクター3は、カバレッジと緩和/ブロックのためにファイアウォールに配置されています
この導入シナリオでは、トラフィックコレクタがネットワークカバレッジを提供し、既存のインフラストラクチャ、およびCore|CMは、リスク認識の緩和とファイアウォールでのブロックを実行しながら、Webおよび電子メールのインシデント検出を提供します。
分散型エンタープライズ環境におけるジュニパーATPアプライアンス防御
分散型企業には、分散型の脅威防御シナリオが必要です(下記の図を参照)。このシナリオでは、さまざまな物理および仮想コレクターがリモートで支社に導入され、継続的な検査とネットワークの可視性の拡大を実現します。
トラフィック分析は分散コレクタで行われ、オブジェクトはCore|CM、企業の本社に導入され、最終的な脅威の評価と緩和のために、ネットワークオブジェクトがマルチOSデトネーションチャンバーの実行を受けます。
あるいは、コア|この分散展開の CM は、OVA VM または SaaS 展開として設定することもできます。さらに、補足的なJuniper ATP Appliance Coreをパブリックまたはプライベートのエンタープライズクラウドに導入することも可能です。
Juniper ATP Appliance 分散型SaaS/OVA導入
分散型SaaS/OVA展開では、トラフィックコレクタは、Core|本社のCM、クラウドにVM OVAとしてインストールされたコレクターを使用して、すべてのコンテンツを検査および分析し、構成された実施サーバー(PANやSRXファイアウォールなど)で緩和アクションをトリガーします。
Juniper ATP Appliance Coreは、パブリッククラウド、ハイブリッドクラウド、プライベートクラウドのいずれにも導入できます。
展開のガイドライン
次のセクションでは、分散コアを正常にデプロイするために確認する必要がある詳細の概要について説明します。CMまたはオールインワンのジュニパーATPアプライアンスシステム。デバイスや仮想(ソフトウェアのみまたは OVA)デバイスを展開する前に、これらのガイドラインを確認して、展開後のトラブルシューティングを回避します。
Juniper ATP Appliance Advanced Threat Protectionソリューションの最適なサイジングのための平均/ピーク情報を含む、推定帯域幅トラフィックを取得します。帯域幅は、ネットワーク パス内のアップストリーム ルーターまたはファイアウォールから取得できます。エンタープライズネットワークの帯域幅とトポロジーの要件については、ジュニパーATPアプライアンスカスタマーサポートにお問い合わせください。
Webトラフィックコレクタは、任意の本社または遠隔地に導入できます。
スイッチミラー(SPAN)またはTAPポートを備えたネットワークスイッチが、トラフィックコレクタに接続できる必要があります。SPAN/TAPフィードは、HTTPおよびHTTP以外のエンドユーザーのライブネットワークトラフィックを伝送する必要があります。
環境内で発信元 IP アドレスを不明瞭にする NAT (ネットワーク アドレス変換) または Web プロキシが使用されている場合、トラフィック コレクターは NAT またはプロキシ トラフィックの内部側を認識できる必要があります。
Juniper ATP Appliance CoreまたはAll-in-Oneは、エンタープライズネットワーク内の任意の場所に導入できますが、多くの場合、管理VLANに導入されます。
リモート管理システム上のSSHクライアントを用意し、ジュニパーATPアプライアンストラフィックコレクターとコアまたはオールインワンシステムにリモートCLIアクセスできるようにします。
メモ:Putty を SSH クライアントとして使用する場合は、SSH 操作には常に最新バージョンの Putty を使用してください。
Juniper ATP Appliance Core とリモート管理システムの間の管理パスにネットワーク プロキシがあるかどうかを確認し、プロキシを適切に構成します。Juniper ATP Appliance Web UIからのプロキシ設定の構成と管理については「 管理ネットワークのプロキシ設定の構成 」を、Juniper ATP Appliance CLIからのプロキシ設定については「Juniper ATP Appliance CLIコマンドリファレンス」を参照してください。
メモ:マルウェアはさまざまな方法で拡散し、ボットネットのコマンド&コントロール(C)チャネルは事実上あらゆるポートを使用する可能性があるため、Juniper ATP Applianceデバイスに送信されるトラフィックに特別な制限やACLを設ける必要はありません。
Juniper ATP Applianceメールコレクターには、メールジャーナリングまたはGmail BCC処理を設定してください。
メモ:製品のので Juniper ATP Appliance Quick Start Guide すべての展開の前提条件を確認します。
2 つのディスクが設定された仮想コア (AMI または OVA) の最初の起動時に、アプライアンスは使用する 2 番目のディスクのセットアップに時間がかかります。このプロセス中、システムはまだ使用する準備ができていません。このプロセスには最大 10 分かかる場合があります。
Juniper ATP Applianceは、ファイアウォール、セキュアWebゲートウェイ、その他多くのセキュリティデバイスとの統合を提供します。分散型防御の大きな利点は、Juniper ATP Applianceが緩和と監視に既存のセキュリティインフラストラクチャを活用していることです。次の統合要件に注意してください。
電子メール コレクターには Microsoft Exchange 2010+ が必要です。
ジュニパーファイアウォール用Junosバージョン12.1-X47.x
パロアルト用パロアルトファイアウォールバージョンx
Cisco ASA ファイアウォール - 『Cisco ASA の互換性』ドキュメントの「ASA REST API の互換性」セクションを確認して、REST API が特定の ASA ハードウェア プラットフォームでサポートされているかどうかを確認してください。
チェック・ポイント・ファイアウォールの統合には、チェック・ポイントGAiAオペレーティングシステムリリースR76、R77以降が必要です。GAiAの前身であるチェック・ポイントIPSOおよびセキュアプラットフォーム(SPLAT)はサポートされていません。
フォーティネットファイアウォールの統合 - 最新リリース。
カーボンブラックレスポンス - 最新リリース
McAfee ePO および Symantec - 最新リリース
ネットワークタッピング
タップとは、トラフィックの流れを妨げることなく、同時に全二重リンクからすべてのトラフィックをコピーし、その情報をオブジェクト分析のためにジュニパーATPアプライアンスコレクターに送信するデバイスです。タップモードでは、外部ファイバータップ(GBICポート用)または内蔵内部タップ(10/100/1000監視ポート用)を使用します。タップモードでは、Juniper ATP Appliance Collectorが全二重ネットワークセグメントを通過する際にパケット情報を監視します。SPANモードと同様に、タップモードはパッシブです。
ネットワークタップを使用して、ネットワークセグメントからJuniper ATP Appliance Collectorのeth1ネットワーク監視ポートにネットワークトラフィックのコピーを送信します。タップは交通に干渉せず、シャットダウンされた場合、トラフィックが妨げられることなく通過できるようにします。
SPANポートミラーリング
スイッチのスイッチ ポート アナライザ(SPAN)ポートは、セキュリティ モニタリング用に設計されています。これにより、接続されたJuniper ATP Applianceは、スイッチを通過するすべての着信および送信トラフィックからすべてのパケットのコピーを受信できます。これはポートフォワーディングまたはポートミラーリングです。パッシブで非侵入型のパケットキャプチャ方法。
ポートミラーリング機能を持つスイッチを設定し、選択したポート間を通過する着信および発信トラフィックのコピーをスイッチの SPAN ポートに転送するようにします。次に、SPANポートをJuniper ATP Appliance(eth1というラベル)に接続します。
Juniper ATP Appliance を SPAN モードで設定するには、選択したポート間を通過する着信および送信トラフィックのコピーをスイッチ上の SPAN ポートに転送するポートミラーリング機能を持つスイッチを設定します。次に、SPAN ポートをコレクタ(ポート eth1)に接続します。
Web プロキシを使用する環境のガイドライン
次の追加のガイドラインは、Web プロキシを使用する環境に適用されます。
Juniper ATP Appliance Web UIからの管理ネットワークのプロキシ設定の構成と管理については「 管理ネットワークのプロキシ設定の構成 」を、Juniper ATP Appliance CLIからのプロキシの設定については「Juniper ATP Appliance CLIコマンドリファレンス」を参照してください。
SPAN-Traffic プロキシ設定の詳細については、『 スパントラフィック プロキシ データ パスのサポート 』を参照してください。
環境に、発信元IPアドレスを不明瞭にするWebプロキシやその他のNATデバイスが含まれている場合、プロキシの内部(またはLAN)側からのWebトラフィックを認識するようにJuniper ATP Applianceを展開する必要があります。設定が間違っている場合、アプライアンスは悪意のあるサイトをプロキシのLAN IPとして報告します。また、エンドポイントのLAN IPアドレスがJuniper ATP Applianceに表示されない場合、設定ミスによって侵害されたエンドポイントが不明瞭になる可能性があります。ご利用の Web プロキシが X-Forwarded-For(XFF)ヘッダーをサポートしている場合、Juniper ATP Appliance Collector をプロキシの前または後ろに配置できます。CLIを使用して、コレクターでX-Forwarded-Forのサポートが有効になっていることを確認する必要があります。X-Forwarded-For ヘッダーのサポートは、デフォルトで有効になっています。
アプライアンスは、Web(HTTP)トラフィックと他のネットワークプロトコルのトラフィックを認識できる必要があります。
ボットネットのリモートコマンドアンドコントロールトラフィック、および一部の種類のエクスプロイトは、HTTP以外のプロトコルを使用する可能性があるため、Web以外のトラフィックを可視化することが不可欠です。この種類のプロキシのサポートは保留中です。
Juniper ATP Appliance Collector は SOCKS トンネリングされたトラフィックを復号化できないため、お客様の環境で SOCKS プロキシを使用している場合、Juniper ATP Appliance Traffic Collector は、非 HTTP トラフィックを監視するために、SOCKS プロキシの外側にあるネットワーク セグメントを SPAN する必要があります。
コレクター電子メールジャーナリングの設定
コアコンポーネントにメールトラフィックコレクターを含むJuniper ATP Applianceコアまたはオールインワンシステムをインストールした後、コレクターがポーリングするための交換サーバージャーナルアカウントを設定し、デフォルトの転送メカニズムとして、すべてのメールトラフィックのGmail BCC(ブラインドカーボンコピー)をコレクターに転送するようにPostfixを設定する必要があります。
E メール・コレクターのジャーナリングの構成
- メールジャーナリング
- Exchange サーバー上でのジャーナリング メールボックスの作成
- メールボックス データベースの構成
- Microsoft Exchange Server 2013 ジャーナリングの構成
- Web UI からの Exchange Server ジャーナルのポーリングの構成
- Office 365 ジャーナリングの構成
- Gmail ジャーナリングの設定
- Gmail の脅威緩和を設定する
- Gmail サービス アカウントへのドメイン全体の権限の委任
メールジャーナリング
ジュニパーATPアプライアンストラフィックコレクターは、マルウェアオブジェクトがないか、すべてのネットワークトラフィックを継続的に監視および検査します。Windows または Mac 検出エンジンに配布するために、オブジェクトを抽出してコアに送信します。
Windows トラフィックの場合、エンタープライズ電子メール メッセージのコピー (ジャーナル) を記録し、Exchange サーバー上のジャーナル メールボックスに定期的に送信するように Microsoft Exchange Server ジャーナリングを構成できます。
電子メールまたは電子メールデータはトラフィックコレクタに保存されません。Juniper ATP Appliance Coreには、抽出されたオブジェクトと一部のメタデータ(送信元と送信先の電子メールアドレス、タイムスタンプデータなど)が保存され、Juniper ATP Applianceはメールのヘッダー情報をログファイルに記録します。電子メールのテキストは保持されません(マルウェアのデトネーションと分析用の添付ファイルを除く)
Exchange Server 2010 は、エンベロープ ジャーナリングのみをサポートするように構成できます。これは、各電子メールメッセージ本文とそのトランスポート情報のコピーが作成されることを意味します。トランスポート情報は、基本的に、電子メールの送信者とすべての受信者を含むエンベロープです。
Juniper ATP Applianceメールコレクターは、ジャーナルエントリーについてExchangeサーバーをポーリングし、スケジュールどおりに、ジャーナルアカウント内のすべてのEメールをExchangeサーバーからコレクターにプルします。電子メール コレクターは、初期トラフィック分析と電子メール添付ファイルの監視/検査にジャーナリングを使用します。すべてのメールトラフィック(およびメールの添付ファイル)は、WindowsまたはMac OS X検知エンジンでデトネーションするために、メールコレクターからJuniper ATP Appliance Coreに送信されます。
電子メールベースのマルウェアまたは悪意のある電子メールの添付ファイルが検出されると、そのジャーナルエントリはJuniper ATP Appliance Central Managerによって分析結果に組み込まれ、Juniper ATP Appliance管理者への通知として送信され、対応する緩和策や感染検証アクションがCentral Manager Web UIに詳述されます。
Juniper ATP Appliance は、Exchange 2010 以降のジャーナリングをサポートしています。
電子メール コレクター ジャーナリングを設定するには、次の手順に従います。
Exchange サーバー上でのジャーナリング メールボックスの作成
「Microsoft Exchange Server 2013 ジャーナリングの構成」も参照してください。
Microsoft Exchange 管理コンソールを起動します。
[受信者の構成] ノードを展開し、[メールボックス] ノードをクリックします。[新しいメールボックス] を選択します。[操作] ウィンドウから。
[新しいメールボックス] を選択します。[操作] ウィンドウから。
[ユーザー メールボックス] オプションを選択し、[次へ] をクリックします。
[新しいユーザー] オプションを選択し、[次へ] をクリックします。
新しいユーザー メールボックスの詳細
新しいジャーナリング メールボックスを割り当てるコレクタの [ユーザー情報] の詳細を入力し、[次へ] をクリックします。
ジャーナリング メールボックスの [エイリアス] を入力し、[次へ] をクリックします。
もう一度 [次へ] をクリックし、作成する新しいメールボックスの新しいメールボックスの概要を確認して、[新規作成] をクリックします。
ジャーナリング メールボックスが作成されたので、メールボックス データベースを構成して標準ジャーナリングを構成します。
メールボックス データベースの構成
Microsoft Exchange 管理コンソール>サーバーの構成] で、[メールボックス データベース] をクリックします。
[選択したメールボックス データベースのツールボックス アクション] で、[プロパティ] をクリックします。
[メールボックス データベースのプロパティ] ページで、[全般] タブに移動し、[ジャーナル受信者] チェック ボックスをオンにしますが、チェック ボックスを選択する前に、まず [参照] をクリックし、メールボックス データベースからすべてのメッセージを取得するメールボックスを選択します。[ジャーナル受信者] をオンにした後、[OK] をクリックして終了します。
Microsoft Exchange Server 2013 ジャーナリングの構成
次の場所にある MS Exchange サーバー管理センターにログインします。 https://exchnageserverip/ecp/
[送信コネクタ] タブを選択します。
図 6: Exchange 管理センター
メール フロー>>送信コネクタに移動し、送信コネクタの設定を入力します。
図 7: 送信コネクタの設定
コネクタの設定を保存します。
[コンプライアンス管理] >> [ジャーナル ルール] に移動して、ジャーナル ルールを構成します。
「ジャーナルレポートの送信先」フィールドにメールボックス名とIPアドレスを入力します。
メモ:これは、Juniper ATP Appliance Email Collector Config>System Profiles>Email Collector Web UIページで設定したメールボックス名と一致する必要があります。
図 8: ジャーナル ルール
の設定
電子メール コレクターの設定については、 電子メール コレクターの設定 を参照してください。
Web UI からの Exchange Server ジャーナルのポーリングの構成
Juniper ATP Appliance Central Manager の設定>電子メールコンプライアンス管理>>ジャーナル ルール コレクター ページから、新規電子メール コレクターの追加 ボタンをクリックするか、現在の電子メール コレクターの表にリストされている既存のコレクターの編集をクリックします。
表示された構成フィールドで、電子メール ジャーナリング設定を入力して選択します: 電子メール サーバー [IP]、プロトコル、SSL、メールボックス名、パスワード、ポーリング間隔 (分)、サーバーにメールを保持する、および有効。[下図参照]
Office 365 ジャーナリングの構成
Juniper ATP Appliance電子メール軽減用のOffice 365ジャーナリングを設定するには、次の手順に従います。
Microsoft Office 365 管理センターにログインします。
Office 365 管理センターから、[管理センター] > [交換] を選択します。
図 9: Microsoft Office 365 管理センター
への移動
図 10: Microsoft Office 365 管理センター
[コンプライアンス管理] > [ジャーナル ルール] を選択します。
+ 記号をクリックして、新しいジャーナル ルールを追加します。
新しいジャーナル ルール フォーム フィールドに入力します。
Gmail ジャーナリングの設定
Gmail のメールジャーナリングを設定するには、次の手順に従います。
https://admin.google.com/AdminHome で Google 管理ホーム サイトに移動します。
Google 管理コンソールのダッシュボードから、[アプリ->G Suite->Gmail->詳細設定] に移動します。
メモ:[詳細設定] を表示するには、Gmail ページの一番下までスクロールします。
コンプライアンスセクションに移動し、[別のコンプライアンスルールを追加]をクリックして、Juniper ATP Appliance MTAへの配信を設定します。
図 11: Google Gmail 管理ホーム ジャーナリング設定
以下のサンプルスクリーンショットに表示されているオプションを選択します(設定1および2)。
図 12: Juniper ATP Appliance MTA で必要なジャーナリング基準
必ず受信者情報(Juniper ATP Appliance MTです)を追加してください。たとえば、JATP_mta@FQDN や JATP_mta@ip などです。
図 13: Juniper ATP Appliance MTA を Gmail 受信者として設定する: JATP_mta@FQDN
電子メール検出の軽減策を構成する
GmailやOffice 365をJuniper ATP Applianceメール脅威イベントの緩和策用に設定できます。軽減キーを使用すると、Gmail API または Office 365 API を使用して悪意があると検出されたメールを検疫できます。
次のセクションの Gmail の脅威緩和の設定
Gmail の脅威緩和を設定する
Google Apps ドメインを使用するエンタープライズ環境の場合、Google Apps ドメインの管理者は、Google Apps ドメインのユーザーの代わりに、アプリケーションがユーザー データにアクセスすることを承認できます。ドメイン内のユーザーに代わってデータにアクセスするサービス アカウントを承認することは、サービス アカウントへの "ドメイン全体の権限の委任" と呼ばれることもあります。
Gmail サービス アカウントへのドメイン全体の権限の委任
Gmail API サービス アカウントにドメイン全体の権限を委任するには、まず [Google API サービス アカウント] ページで既存のサービス アカウントのドメイン全体の委任を有効にするか、ドメイン全体の委任を有効にして新しいサービス アカウントを作成します。
新しい Gmail サービス アカウントを作成するには:
[Google API サービス アカウント] ページに移動します。
左上隅の[プロジェクト]ドロップダウンメニューの下から既存のプロジェクトを選択するか、新しいプロジェクトを作成します。
図 14: Google API サービス アカウント ページ
に移動します。
図 15: 新しい Google API サービス アカウント
の作成
次に、Google Apps ドメインの管理コンソールに移動します。
コントロールの一覧から [セキュリティ] を選択します。[セキュリティ] が表示されていない場合は、ページの下部にある灰色のバーから [その他のコントロール] を選択し、そのコントロールの一覧から [セキュリティ] を選択します。使用できるコントロールがない場合は、ドメインの管理者としてサインインしていることを確認してください。
オプションのリストから [もっと表示] を選択し、[詳細設定] を選択します。
[認証] セクションで [API クライアント アクセスの管理] を選択します。
[クライアント名] フィールドに、サービス アカウントのクライアント ID を入力します。サービス アカウントのクライアント ID は、[サービス アカウント] ページで確認できます。
「1 つ以上の API スコープ」フィールドに、アプリケーションにアクセス権を付与するスコープのリストを入力します。たとえば、アプリケーションで GMAIL API へのドメイン全体のアクセスが必要な場合は、「 https:// mail.google.com/」と入力します。
図 16: Google API ダッシュボード
へのアクセス
[承認] をクリックします。
メモ:[GMAIL API を有効にする] を有効にするには、管理コンソールに移動し、関連するプロジェクトの API Manager の下にあるダッシュボードで [API を有効にする] をクリックします。[GMAIL API] を選択し、[有効にする] をクリックします。
ダッシュボードビューの使用
[ダッシュボード] タブには、次の 4 つのインタラクティブなグラフィカル サブタブ ダッシュボードがあります。
運用ダッシュボードには、感染したホストのマルウェア統計(バブルチャートの脅威ビュー)と傾向(ホストの詳細、トリガー、ゴールデンイメージ侵害(存在する場合)、侵害された上位エンドポイントなど)が表示されます。
Research Dashboardには、名前と検出されたマルウェアの総数による上位のマルウェア、および企業全体の感染とダウンロード(HTTP「north-south」およびSMB「east-west」ラテラルの両方)のマルウェアの進行状況が、ホストIPアドレスごとの完全な脅威の詳細とともに表示されます。
システムダッシュボードには、分析されたプロトコルトラフィック、現在の総トラフィック、コア使用率、処理されたオブジェクト、平均分析時間、マルウェアオブジェクトの統計情報などのトラフィックとパフォーマンス情報が表示されます。
WebおよびEメールコレクターダッシュボードには、現在の総トラフィックとCPU使用率の指標として、Juniper ATP Appliance WebおよびEメールトラフィックコレクターの傾向が表示されます。メモリ使用量、分析されたオブジェクト、および全体的な脅威。また、コレクタ名、IPアドレス、メモリ、CPU、ディスク統計、現在の総トラフィック、分析されたオブジェクト、脅威、最後に確認された脅威、ステータス(オンライン/オフライン)、有効/無効など、コレクタごとのグラフィカルな統計プロットも表示されます。
イベント タイムライン ダッシュボードには、マルウェア インシデントのトリアージと調査に取り組む Tier 1 および Tier 2 セキュリティ アナリストの日々のワークフローに焦点を当てた高度な脅威分析 (ATA) データが表示されます。ホストとユーザーのタイムラインには、ホストまたはユーザーで発生したイベントの詳細とコンテキストが表示されます。検出の専門家ではない Tier 1 アナリストは、数分以内にインシデントに必要な一連のアクションを簡単に判断できます。ATA を使用すると、アナリストは、脅威の正確な性質と、緩和のために第 2 層チームへのエスカレーションを必要とする高度な脅威かどうかを判断するための包括的な情報を得ることができます。Tier 2 アナリストは、精査された高度な脅威に集中でき、ATA が提供するタイムライン ビューを使用してホストとユーザーの詳細な調査を実行できます。この包括的な情報ビューにより、対応チームに脅威コンテキスト、ホスト ID、エンド ユーザー ID を含む豊富なデータがプロビジョニングされ、手動によるデータの集約や分析は必要ありません。
運用ダッシュボードには、コンテキスト固有のグラフィカルな脅威ビューが用意されており、脅威イベント、メトリック、傾向、重大度スコアリングの統計的描写が含まれています。[感染したホスト(T感染したHosts)] セクションには、各バブルが脅威を表し、バブル サイズが脅威の数を示すバブル グラフとして選択された期間に、監視対象ネットワークで観察された感染したホストの合計とインシデントの総数が報告されます。
操作ダッシュボードの [ゾーン] ドロップダウンは、少なくとも 1 つのゾーンが作成された場合にのみ表示されます。すべてのコレクターは、最初は「デフォルトゾーン」に指定されていますが、セントラルマネージャーのWeb UIの[構成]>システムプロファイル>[Webコレクター]ページを使用して正式に割り当てる必要があります。
操作ダッシュボードの脅威ビューの対話機能を使用して、選択したホストまたはマルウェアインシデントの統計情報にドリルダウンします。
バブルをクリックすると、バブルグラフの右側のセクションにホストの詳細が表示されます。
バブル [ホスト] をダブルクリックして、選択したホストにフォーカスされた [インシデント] タブを開きます。
分析のためにマルウェア ファイルを送信するには、[インシデント] ページの [ファイルのアップロード] オプションを使用します。
詳細については、以下も参照してください。
リスクの重大度を理解する
SMB ラテラル検出の表示
ダッシュボードビューとコンポーネントの操作
このセクションでは、ダッシュボードタブのダッシュボードコンポーネント(オペレーション、リサーチ、システム、コレクターダッシュボードタブ)について説明し、さまざまなビューと調整可能な統計および表示を操作する方法について説明します。
Operations Filter |
ドロップダウンメニューから使用可能なフィルタの1つを選択して、脅威ビューの結果をフィルタリングします。 すべて |新品のみ |Ack'd & In Progress |完了 |
ドロップダウンメニューから選択します。 |
Time Period (運用ダッシュボード、リサーチダッシュボード、システムダッシュボードコレクターダッシュボード、イベントタイムライン) |
すべてのダッシュボードグラフは、テーブルの上部にあるドロップダウンメニューから選択した期間によって同期されます。期間オプションには次のものがあります。 過去 24 時間 先週です 先月 過去 3 か月 昨年 |
ドロップダウンメニューから選択します。 |
Reset Charts (Malware Dashboard と System Dashboard の両方) |
ダッシュボード上のすべてのグラフを、選択した期間の元の状態にリセットします。 |
マウスクリック |
Infected Hosts (運用ダッシュボード) |
このバブルチャートは脅威ビューの中心であり、特定の期間に感染したすべてのホストを示します。1 つのバブルは、感染した 1 つのホストを表します。 グラフの x 軸は期間を表します。 y軸は、感染の決定された重症度を表します。 バブルの色は、次のスペクトルに沿ってホストで検出されたマルウェアの段階的な重大度を表します。 高(赤)、中(オレンジ)、低(黄) バブルのサイズは、ホストで検出されたマルウェアの総数を表します。  |
バブルの「ホスト」の上にマウスを置く
"IP/Name (X 脅威)" バブルの「ホスト」をマウスでクリック
|
Host Details (運用ダッシュボード) |
脅威ビューのバブルグラフで個々のバブルを選択すると、マルウェアのターゲット、キルチェーンステージの進行状況、インシデントの概要、トリガーのデータなど、そのホストのホストの詳細データが表示されます。 キルチェーンの進行には、よりインタラクティブなデータが含まれています。 |
マウスクリック:
キルチェーン進行バブルをクリックすると、[インシデント]ページが開き、特定のエクスプロイト、ダウンロード、実行、感染、フィッシングのデータが表示されます。 |
Malware Trend (運用ダッシュボード) |
特定の時間枠における特定のマルウェアのマルウェアの傾向を示します。  |
脅威ビューのバブルグラフでバブルを選択して、トレンドマルウェアのタイムラインを調整します。 |
Total Malware Found (研究ダッシュボード) |
マルウェアの重大度の割合が高(赤)、中(オレンジ)、低(黄)を示す円グラフ  |
インタラクティビティなし |
Top Malware Countries (研究ダッシュボード) |
世界中で現在検出されているマルウェアの発生率を表示する地理的グラフ。  |
インシデントの詳細ページを開きます |
Top Compromised Endpoints (運用ダッシュボード) |
ステータス、リスク、ホスト、脅威を侵害されたエンドポイントごとに表示します。.  |
インタラクティビティなし |
Top Malware (研究ダッシュボード) |
選択した期間のマルウェア名別のマルウェアインシデントの上位セットを一覧表示します。 x軸は感染数を表します。Y 軸はマルウェア名です。  |
マウスクリック: [上位のマルウェア] グラフでマルウェア名を強調表示すると、エンドポイント ホストごとにそのマルウェアの脅威の進行状況が表示されます。脅威の進行には以下が含まれます。
|
Threat Progression (研究ダッシュボード) |
マルウェアの選択ごとに感染とダウンロードのインタラクティブマップを表示します。  企業全体の連続したホストへのダウンロードを次の例に示します。 |
マウスクリック数:
|
Threat Details (研究ダッシュボード) |
現在選択されているマルウェアの一般化された脅威の詳細を表示します。ただし、脅威の進行状況マップからエンドポイントを選択すると、ホストの詳細を提供するようにディスプレイが調整されます。  |
マウスクリック: エンドポイントの IP アドレスをクリックすると、そのエンドポイントのホストの詳細が表示されます。クリックすると、選択したエンドポイントの円の箇条書きがオレンジ色に変わります。  |
Traffic (システムダッシュボード) |
選択した期間内に処理された分析されたプロトコルトラフィックに対するネットワークトラフィックの合計を Kbps 単位で表示します。 x 軸は期間を月単位で表します。Y 軸は Kbps を示します。  |
マウスホバー: チャートの任意の部分にマウスを合わせます。マウスポインタが十字線に変わります:チャート内でマウスをドラッグして、3つのコンポーネントのそれぞれの間隔(X軸)を変更します。 |
Core Utilization (%) (システムダッシュボード) |
 |
マウスホバー: チャートの任意の部分にマウスを合わせます。マウスポインタが十字線に変わります:チャート内でマウスをドラッグして、3つのコンポーネントのそれぞれの間隔(X軸)を変更します。 |
Average Analysis Time (議事録)(システムダッシュボード) |
 |
マウスホバー: チャートの任意の部分にマウスを合わせます。マウスポインタが十字線に変わります:チャート内でマウスをドラッグして、3つのコンポーネントのそれぞれの間隔(X軸)を変更します。 |
Objects Processed (システムダッシュボード) |
選択した期間内に処理されたネットワーク オブジェクトが表示されます。 x 軸は期間を月単位で表します。Y 軸はオブジェクトの数を示します。  |
マウスホバー: チャートの任意の部分にマウスを合わせます。マウスポインタが十字線に変わります:チャート内でマウスをドラッグして、3つのコンポーネントのそれぞれの間隔(X軸)を変更します。 |
Malware Objects (システムダッシュボード) |
選択した期間内に処理された不正プログラムオブジェクトを表示します。 x 軸は期間を月単位で表します。Y 軸はオブジェクトの数を示します。  |
マウスホバー: チャートの任意の部分にマウスを合わせます。マウスポインタが十字線に変わります:チャート内でマウスをドラッグして、3つのコンポーネントのそれぞれの間隔(X軸)を変更します。 |
Trend (コレクターダッシュボード) |
コレクターのアクティビティとトレンドの統計を表示します。 表示オプションは[トレンド]ドロップダウンメニューから選択され、合計トラフィック、CPU使用率、メモリ使用率、見つかったオブジェクト、マルウェアオブジェクトが含まれます  |
プロットの下にあるサマリーテーブルから追跡するコレクターを選択します。 値はコレクターごとに10分ごとに更新されます。 「プロット列」チェックボックスをクリックして、選択したコレクターのグラフィック情報をプロットします。 |
Vendor (イベントタイムラインダッシュボード) |
セキュリティインフラストラクチャからベンダーを選択し、指定したエンドポイントIP、ホスト名、ユーザー名、または電子メールに関するすべての相関イベントを表示します。 |
|
脅威ビューのリセット
[チャートのリセット] をクリックして、ダッシュボードを元の全ホスト、全脅威の状態にリセットします。
分析のためにマルウェアファイルを送信する
[ファイルのアップロード] タブは、分析のためにマルウェア ファイルをアップロードするためのメカニズムを提供します。マルウェア分析の結果が生成され、詳細アップロードテーブルに表示されるように返されます。このテーブルには、Juniper ATP Appliance APIを介してマルウェア分析のためにアップロードされたすべてのファイルの結果も含まれます。
のマルウェア分析結果
[ファイルのアップロード] タブには、アップロードされたすべてのファイルと分析結果 (悪意のあるファイルと無害) が表示されます。
拡張ファイルアップロードAPIは、カーボンブラックなどのサードパーティ統合用の追加のメタデータを受け入れて、インシデントとのシームレスな統合を提供します。
ファイルアップロードAPIの詳細については、『Juniper ATP Appliance HTTP APIガイド』を参照してください。
メタデータが利用可能で、分析対象のファイル、ターゲット IP アドレス、ターゲット OS、送信元アドレスなどのデータ ポイントとともにアップロードされた場合、このメタデータを分析プロファイルで使用して、真のインシデントを作成できます。この場合、このようなファイル送信は、トラフィック コレクターがダウンロードを直接検査した場合に使用可能なすべての情報を含むダウンロード タイプのインシデントをインスタンス化できます。
分析用にファイルをアップロードするには
[ファイルのアップロード]タブをクリックし、[分析用にファイルを送信]ウィンドウで、分析用にアップロードするファイルを選択し、[ファイルの送信]ボタンをクリックします。
メモ:分析用にアップロードできる最大ファイル サイズは 32 MB です。
図 20: [インシデント] タブ
からのマルウェア分析用のファイルの送信
ファイルを送信すると、SHA1 が表示されます。
ファイルのアップロード機能は "file_submit" API を呼び出し、分析に続いて、API から返された結果を Central Manager Web UI の [ファイルのアップロード] タブに表示します。結果は、[インシデント] ページの表にも、キル チェーンの進行指定: UP とインシデント sha1sum およびファイル名と共に表示されます。
また、Juniper ATP Appliance HTTP APIを直接使用して、分析用のファイルを送信し、API JSON出力を介して結果とインシデントの詳細を取得することもできます。詳細については、『Juniper ATP Appliance HTTP API Guide』を参照してください。
ファイルが HTTP API からマルウェア分析のためにコアに送信されるか、Central Manager の [ファイルのアップロード] ページを介して送信されるかに関係なく、分析結果は常に [ファイルのアップロード] ページに表示されます。
統合型導入のためのJuniper ATP Applianceの設定
Juniper ATP Appliance は、既存のエンタープライズ セキュリティ インフラストラクチャと統合し、活用できるように設計されています。ジュニパーATPアプライアンスの設定をファイアウォール、プロキシ、セキュアWebゲートウェイ、およびその他のサービスやデバイスと統合するには、Central Manager の[Web UI設定]タブのオプションを使用し、他のデバイスまたはサービスのWeb UIまたはCLIにアクセスする必要があります。
ジュニパーATPアプライアンス側のWeb UIベースの設定手順については、分散防御の設定の章を参照してください。
エンタープライズネットワークセグメントをJuniper ATP Applianceマルウェア分析および防御技術と統合するには、 ファイアウォール自動緩和の設定を参照してください。
アンチウィルス静的分析の統合については、アンチ ウィルス統合の設定を参照してください。
データ盗難のカスタムルールを設定するには、 アンチウイルス統合の設定を参照してください。
PAN ファイアウォール自動緩和の統合については、 『ファイアウォール自動緩和の設定』を参照してください。
Juniper SRXファイアウォールの統合については、 Juniper ATP Appliance Web UIでのゾーン定義のSRX設定の定義を参照してください。
Cisco ASA ファイアウォール自動緩和の統合については、『ファイアウォール自動緩和の設定』を参照してください。
チェック・ポイント・ファイアウォールの自動緩和の統合については、 ファイアウォール自動緩和の設定を参照してください。
プロキシ統合については、 BlueCoat ProxySG 統合の設定を参照してください。
Carbon Black エンドポイント軽減統合については、「 Carbon Black 応答エンドポイント統合の構成」を参照してください。
Crowdstrikeエンドポイント統合については、 Crowdstrikeエンドポイント統合の設定を参照してください。
Juniper ATP Appliance SaaS仮想コレクターの導入
ジュニパーATP Applianceの拡張可能な導入オプションには、仮想コレクター(vCollector)製品、つまり仮想マシンで実行されるオープン仮想アプライアンス(OVA)が含まれます。具体的には、Juniper ATP Appliance OVAでパッケージされたイメージが、シンプロビジョニングを介してvSphere向けVMware Hypervisorで利用できます。これには、Juniper ATP Appliance製品サポートおよびサービスに対する50 Mbps、100 Mbps、500 Mbps、1.0 Gbps、および2.5 Gbps仮想コレクターモデルが含まれます。
関連項目: SaaS仮想コアをOVAとして展開する。
OVF パッケージは、Juniper ATP Appliance 仮想マシンのテンプレートとパッケージを記述する OVF 記述子ファイル(OVF パッケージのメタデータ、および Juniper ATP Applianceソフトウェア イメージ)を含む複数のファイルで構成されます。このディレクトリは、OVA パッケージ (内部に OVF ディレクトリを含む tar アーカイブファイル) として配布されます。
推奨事項:最良の収集結果を得るには、vCollectorに割り当てられた専用の物理NICを使用することをお勧めします。
アーキテクチャ
仮想コレクターの展開オプション
ネットワーク スイッチ SPAN/TAP では、次の 2 種類の vCollector 導入がサポートされています。
物理スイッチから vCollector にスパンされるトラフィック。この場合、トラフィックはポート A からポート B にスパンされます。Juniper ATP Appliance vCollector OVAを含むESXiがポートBに接続されています。この展開シナリオを上の図に示します。
vCollector と同じ vSwitch 上にある仮想マシンからのトラフィック。この導入シナリオでは、vCollector を含む vSwitch がプロミスキャス モードであるため、デフォルトでは、作成されるすべてのポート グループもプロミスキャス モードになります。したがって、プロミスキャス モードのポートグループ A(vCollector)が vCollector に関連付けられ、ポートグループ B(vTraffic)がプロミスキャス モードではないトラフィックを表す 2 つのポート グループが推奨されます。
メモ:vCollector と同じ vSwitch 上にない仮想マシンからのトラフィックはサポートされていません。また、vCollectorの導入には が必要です dedicated NIC adapter 。(すべてのトラフィックを収集するために)プロミスキャスモードでNICを仮想スイッチに接続します。vSwitch が無作為検出モードの場合、デフォルトではすべてのポートグループが無作為検出モードになり、他の通常の VM も不要なトラフィックを受信します。回避策は、他の VM 用に異なるポート グループを作成し、プロミスキャス モードなしで構成することです。
ヒント:仮想コレクタ(通常およびスモール フォーム ファクタ コレクタ)の導入には、次の 2 つのオプションがあります。 (1) vCenter を使用した OVA インストール方法を使用します。(2) ESXi に直接インストールすることにより、vCenter なしで OVF + VMDK を使用します。2 番目の方法を使用して vCollector を展開するために使用できるウィザードはありません。CLI からコレクターを設定します。仮想コアのインストールでは、OVA/vCenter メソッドのみを使用できます。
プロビジョニング要件
次の表に、OVA vCollector の導入に必要なリソースとハードウェアのプロビジョニングの詳細を示します。
VM vCenterバージョンのサポート |
推奨される vCollector ESXi ハードウェア |
vCollector CPU |
vCollector メモリ |
|---|---|---|---|
VM vCenter サーバーのバージョン: 5.5.0 vSphere クライアント バージョン: 5.5.0 ESXi バージョン:5.5.0 および 5.5.1 |
プロセッサ速度 2.3- 3.3 GHz 仮想 CPU と同じ数の物理コア ハイパースレッディング: 有効または無効 |
CPU 予約: デフォルト CPU制限:無制限 ハイパースレッド コア共有モード: なし (ESXi でハイパースレッディングが有効になっている場合) |
メモリ予約: デフォルト メモリ制限:無制限 |
このリリースでは、VDS と DVS はサポートされていません。
OVA vCollector サイジング オプション
vCollector デプロイで使用できるサイズ設定オプションを以下に示します。
モデル |
パフォーマンス |
vCPU の数 |
メモリ |
ディスク・ストレージ |
|---|---|---|---|---|
vC-v50M |
50Mbps |
1 |
1.5ギガバイト |
16GB |
vC-v100M |
100Mbps |
2 |
4GB |
16GB |
vC-v500M |
500Mbps |
4 |
16GB |
512GB |
vC-v1G |
1Gbps |
8 |
32GB |
512GB |
vC-v2.5G |
2.5Gbps |
24 |
64GB |
512GB |
仮想展開用に CPU とメモリを予約することが重要です。
『Juniper ATP Appliance Traffic Collector Quick Start Guide for OVA Deployment』 vSwitch のセットアップ手順と、VM への Juniper ATP アプライアンス OVA のインストールに関する情報を参照してください。
OVA vCollector をインストールした後、クイック スタート ガイドの手順に従って、Juniper ATP Appliance CLI および設定ウィザードを使用して Web または電子メールによる vCollector を設定します。
2 つのディスクが設定された仮想コア (AMI または OVA) の最初の起動時に、アプライアンスは使用する 2 番目のディスクのセットアップに時間がかかります。このプロセス中、システムはまだ使用する準備ができていません。このプロセスには最大 10 分かかる場合があります。
一部の設定プロセスはオプションであり、VM vSwitch の OVA 展開中にいくつかの設定が対処されるため、スキップできます。
SaaS仮想コアをOVAとして導入
ジュニパーATP Applianceの拡張可能な導入オプションには、仮想マシンで稼働するOpen Virtual Appliance(OVA)として、仮想コア(vCore)検出エンジン製品が含まれるようになりました。具体的には、ジュニパーATP Appliance OVAパッケージイメージは、シンプロビジョニングを介してvSphere 5.1および5.5のVMware Hypervisorで利用できます。このリリースでは、500 Mbps および 1.0 Gbps のバーチャルコアモデルで、Juniper ATP Appliance製品サポートおよびサービスがサポートされています。
OVF パッケージは、Juniper ATP Appliance 仮想マシンのテンプレートとパッケージを記述する OVF 記述子ファイル(OVF パッケージのメタデータ、および Juniper ATP Applianceソフトウェア イメージ)を含む複数のファイルで構成されます。このディレクトリは、OVA パッケージ (内部に OVF ディレクトリを含む tar アーカイブファイル) として配布されます。
仮想展開用に CPU とメモリを予約することが重要です。OVA を最初に展開するとき、小さいサイズの OVA がデフォルトで設定されます。サイジング ガイドを使用して、必要に応じて CPU、メモリなどをより大きなサイズに増やします。サイジング情報は前のページに記載されています。
省スペース仮想コレクターオプションの詳細については、 Juniper ATPアプライアンストラフィックコレクタークイックスタートガイドを参照してください。
Juniper ATP Appliance OVA を VM にインストールするには、次の手順に従います。
ジュニパーのサポート担当者が指定した場所から、VMware vCenterにアクセスできるデスクトップシステムにJuniper ATP Appliance OVAファイルをダウンロードします。必要に応じて vCenter の使用を回避するには、このセクションの最後にある TIP を参照してください。
vCenterに接続し、[ファイル]>[OVFテンプレートの展開]をクリックします。
[ダウンロード] ディレクトリを参照して OVA ファイルを選択し、[次へ] をクリックして [OVF テンプレートの詳細] ページを表示します。
[次へ] をクリックして、[使用許諾契約書] ページを表示して確認します。
EULA に同意し、[次へ] をクリックして [名前と場所] ページを表示します。
バーチャルコアのデフォルト名は、Juniper ATP Appliance Virtual Core Applianceです。必要に応じて、仮想コアの新しい名前を入力します。
仮想コアを展開するデータ センターを選択し、[次へ] をクリックして [ホスト/クラスター] ページを表示します。
仮想コアを配置するホスト/クラスターを選択し、[次へ] をクリックして [ストレージ] ページを表示します。
仮想コア仮想マシン ファイルの保存先ファイル ストレージを選択し、[次へ] をクリックして [ディスク フォーマット] ページを表示します。デフォルトはTHIN PROVISION LAZY ZEROEDで、ストレージデバイスに512GBの空き容量が必要です。シンディスクプロビジョニングを使用して、最初にディスク領域を節約することもサポートされています。
[次へ] をクリックして [ネットワーク マッピング] ページを表示します。
仮想コア インターフェイスを設定します。
管理(管理):このインターフェイスは、管理およびJuniper ATPアプライアンストラフィックコレクターとの通信に使用されます。CM 管理ネットワークの IP アドレスに接続できるポートグループに宛先ネットワークを割り当てます。
次へ をクリックして、Juniper ATP Appliance のプロパティ ページを表示します。
IP割り当てポリシーは、DHCPまたは静的アドレス指定用に構成できます -- ジュニパーでは、静的アドレスの使用を推奨します。DHCP の手順については、ステップ 12 に進みます。[IP 割り当てポリシー] が [静的] の場合は、次の割り当てを実行します。
IP アドレス: 仮想コアの管理ネットワーク IP アドレスを割り当てます。
ネットマスク: 仮想コアのネットマスクを割り当てます。
ゲートウェイ: 仮想コアのゲートウェイを割り当てます。
DNS アドレス 1: 仮想コアのプライマリ DNS アドレスを割り当てます。
DNS アドレス 2: 仮想コアのセカンダリ DNS アドレスを割り当てます。
仮想コアの検索ドメインとホスト名を入力します。
Juniper ATP Appliance vCore の設定を完了します。
新しいジュニパーATPアプライアンスCLI管理者パスワード:CLIから仮想コアにアクセスするためのパスワードです。
Juniper ATP Appliance vCore の設定を完了します。
新しいジュニパーATPアプライアンスCLI管理者パスワード:CLIから仮想コアにアクセスするためのパスワードです。
Juniper ATP Appliance Central Manager IPアドレス:仮想コアがスタンドアロン(クラスタリングが有効になっていない)またはプライマリ(クラスタリングが有効)の場合、IPアドレスは127.0.0.1です。仮想コアがセカンダリの場合、中央マネージャーの IP アドレスはプライマリの IP アドレスになります。
Juniper ATP Appliance Device Name:仮想コアの一意のデバイス名を入力します。
Juniper ATP Appliance デバイスの説明:仮想コアの説明を入力します。
Juniper ATP アプライアンス デバイス キー パスフレーズ: 仮想コアのパスフレーズを入力します。これは、コア/CM の中央マネージャーで構成されたパスフレーズと同じである必要があります。 [次へ] をクリックして [完了の準備完了] ページを表示します。
最初に(次に)CPUとメモリの要件を変更する必要があるため、[展開後の電源オン]オプションをオンにしないでください(仮想コアモデルに応じて-500Mbpsまたは1Gbpsのいずれか;サイジング情報については、 OVA vCollectorサイジングオプション を参照してください)。
vCPUとメモリの数を設定するには、次の手順に従います。
仮想コアの電源をオフにします。
仮想コアを右クリックし、設定を編集>
[ハードウェア] タブで [メモリ] を選択します。右側の[メモリサイズ]コンビネーションボックスに必要なメモリを入力します。
[ハードウェア] タブで [CPU] を選択します。右側に必要な仮想CPUコンビネーションボックス数を入力します。[OK] をクリックして設定します。
CPU とメモリの予約を設定するには:
CPU 予約の場合: 仮想コア> [設定の編集] を右クリックします。
[リソース] タブを選択し、[CPU] を選択します。
[予約] で、VM の保証された CPU 割り当てを指定します。これは、vCPU の数 * プロセッサ速度に基づいて計算できます。
メモリ予約の場合: 仮想コアを右クリックし、> 設定を編集します。
[リソース] タブで、[メモリ] を選択します。
[予約] で、VM 用に予約するメモリの量を指定します。これは、サイジング ガイドで指定されたメモリと同じである必要があります。
ハイパースレッディングが有効になっている場合は、次の選択を実行します。
仮想コアを右クリックし、[設定の編集] >します。
[リソース] タブで、[高度な CPU] で [HT 共有: なし] を選択します。
仮想コア (仮想コア) の電源をオンにします。注: 後で参照できるように、許可リストルールは通常のサービスシャットダウンに依存してバックアップされます。VM または仮想コアを直接パワーオフすると、ルールを保存できないため、現在の許可リストの状態が失われます。
CLI にログインし、サーバ モードの「show uuid」コマンドを使用して UUID を取得します。ライセンスを受け取るには、Juniper ATP Applianceに送信します。
OVA を複製して別の仮想セカンダリ コアを作成する場合、Central Manager アプライアンス テーブルの列 "id" の値はデフォルトで同じです。管理者は、UUID を一意にリセットする必要があります。新しい仮想コア CLI コマンド "set id" を使用して、複製された仮想コアの UUID を CLI のコア モードからリセットできます。新しいコアモードの「set id」および「show id」コマンドを確認するには、 Juniper ATP Appliance CLIコマンドリファレンスを参照してください。
中央マネージャーの Web UI の [構成] >システム設定>システム設定] ページからアップグレードを構成すると、ソフトウェアおよびセキュリティー・コンテンツのアップグレードが自動的に行われます。
自動アップグレードを有効にするには、[システム設定]ページの[ソフトウェアアップデートが有効]および/または[コンテンツアップデートが有効]オプションをオンにします。
Juniper ATP Applianceのすべてのコンポーネントからの自動更新は、Juniper ATP Appliance Coreによって調整および実装されます。継続的な更新は定期的に行われます。
コア ソフトウェアとコンテンツの更新プログラム (有効な場合) は、30 分ごとに利用可能な更新プログラムを確認し、新しいファイルをコレクターやセカンダリ コアにプッシュします。
Core デトネーション エンジン イメージのアップグレード チェックは、毎日深夜に行われます。
許可リストなしでのアップグレード
Juniper ATP Applianceは、その運用フットプリントを削減し続け、アップグレード、テレメトリ、コンテンツ更新、その他のサービスのために、広範な許可リスト外部IPアドレスのセットを必要としなくなりました。
特定のサービス用に以前に開いたファイアウォール ポートは、リリース アップグレードの完了後に閉じることができます。
最新のファイアウォールのほとんどは、ドメイン許可リストをサポートしていることに注意してください。
お客様は、必要に応じて、HTTPS (ポート 443) で Core/CM デバイス* (コレクターではない) への送信アクセスのみを許可できます。この場合、ドメイン許可リストは必要ありません。
*ジュニパーATPアプライアンスでは、サンドボックスのデトネーションでキルチェーンの相関関係を可能にするために、コア/CMアプライアンス(またはオールインワン)に対して自由なアウトバウンド通信を許可することを常に推奨しています。
ポート443の包括的な許可リストを懸念するお客様は、許可リストをAmazon AWSとS3 CIDRのみに制限できますが、これはまだ非常に広い範囲のIPアドレスであることに注意してください。
ジュニパーATPアプライアンスリモートサポートについて
リモートサポートを有効にすると、ジュニパーテクニカルサポートは、お客様のサイトでジュニパーATPアプライアンスにSSH接続して、トラブルシューティングアクティビティを実行できます。ジュニパーサポートアカウントは、Central Manager Web UI(構成 > システムプロファイル >リモートサポート)またはCLI(以下の手順を参照)を使用して無効にできます。
ジュニパーサポートアカウントとリモートサポートについては、以下の点にご注意ください。
ジュニパーサポートアカウントは、製品のインストール中にCM Web IUから製品ライセンスキーがアップロードされた場合にのみ作成されます。
ライセンスを手動で追加しても、サポートは有効になりません。
Putty を SSH クライアントとして使用する場合は、SSH 操作には常に最新バージョンの Putty を使用してください。
アップグレード後も、既存のジュニパーサポートアカウントは維持されます。アクションは必要ありません。
有効なジュニパーサポートアカウントを無効にすると、変更は接続されたコレクターとセカンダリコアMac OSX検出エンジンに自動的に反映されます。
システムが AMI、OVA、または ISO からインストールされる場合、サポート パスワードは既定では有効にならず、ライセンス時に設定され、手動で有効になります。Juniper ATP Appliance AMI、OVA、または ISO ソフトウェアをインストールする場合は、まずライセンスをアップロードしてから、ジュニパーサポートを有効にします。
リモートサポートアカウントの管理
リモートサポートアカウントの有効化
リモートサポートアカウントは、UIまたはCLIから有効にできます。
UI からリモート サポート アカウントを有効にする
Web UIからサポートアカウントを有効にするには:
[構成] > [システム プロファイル] >リモート サポート) を選択します。
[リモート サポート] ページで、[ リモート サポートを有効にする ] オプションを選択します。
[期間] フィールドに、セッションの期間 (時間単位) を入力します。
[ サポートを有効にする] をクリックします。
サポート・パスワードは、以下の2つの秘密鍵を使用して生成されます。
リモートサポートが有効になっている場合、ジュニパーサポートはATP Applianceデバイスから1つのキーを自動的に取得します。
もう1つの鍵はジュニパーネットワークスから提供されています。
リモート サポートを有効にすると、UI が更新され、 図 22 に示すように新しい秘密鍵が表示されます。秘密鍵は、すべてのサポートセッションで一意です。
ATP Applianceがプライベートモードの場合、ジュニパーサポートはATP Applianceデバイスの秘密鍵を自動的に取得できません。秘密鍵は、ジュニパーサポートチームと手動で共有する必要があります。
有効期限が切れる前にセッションを終了した場合、またはセッションが自動的に期限切れになった場合、同じキーを使用してセッションを延長できる 15 分の猶予期間がありますが、新しいセッションを開くことはできません。猶予期間が終了すると、セッションから自動的にログアウトされます。
CLI からリモート サポート アカウントを有効にする
CLI からサポート アカウントを有効にするには:
T CLIにログインし、サーバーモードに入り、 set cysupport enable on コマンドを使用します。
user:core# (server)# set cysupport enable on
リモート サポート期間を時間単位で入力します。
Remote support duration (In Hours): 4 Juniper Support User account enabled successfully!
CLI から秘密鍵を取得する必要がある場合は、 show remote-access-key コマンドを使用します。
user:core# (server)# show remote-access-key
CLIからジュニパーサポートのステータスを確認するには、 show support コマンドを使用します。
user:core# (server)# show support
パスワードの有効化、無効化、リセットなどのジュニパーサポートの変更は、コレクタまたはMac OSXセカンダリコアに反映されるまでに最大で5分かかる場合があります。
管理者パスワードのリセット
管理者パスワードを回復するには、アプライアンスに物理的にアクセスできる必要があります。管理者パスワードをリモートでリセットすることはできません。
「recovery」という名前のユーザーは、パスワードなしでアプライアンスにログインし、管理者パスワードをリセットするコマンドを含む限られた量のコマンドを入力できます。
CLI を使用して管理者パスワードをリカバリーするには、次の手順を実行します。
ログインを求められたら、アプライアンスでユーザ名リカバリを入力し、Enter を押します。
user login: recovery ******************************************************************* Juniper Networks Advanced Threat Prevention Appliance ******************************************************************* Welcome recovery. It is now Wed Jan 01 12: 00:00 PDT 2020 user:Core# exit help history reset-admin-password
パスワードが不要なため、回復ユーザーはデバイスに自動的にログインします。
reset-admin-passwordパスワードをリセットするコマンドを入力します。user:Core# reset-admin-password
回復ユーザーが使用できるその他のコマンドは、終了、ヘルプ、および履歴です。
監査ログで UI ユーザーを表示するだけでなく、Web UI の [レポート] で監査ログで管理者および復旧管理者の CLI ユーザーを表示することもできるようになりました。詳細については、 監査ログの表示 UI または CLI アクセス を参照してください。
監査ログの表示 UI または CLI アクセス
UI 監査ログに加えて、コアおよびコレクターの CLI アクティビティ監査ログがあります。ログ データと共に、アクションが UI または CLI から実行されたかどうかを確認できます。 図 24 を参照してください。
また、通常モードまたはプライベート モードで実行されたソフトウェア更新、静的コンテンツ更新、および高速コンテンツ更新の監査ログを表示することもできます。 図 23 を参照してください。
これらのログは、ATP Appliance UIポータルの[レポート]タブおよびシステムログサーバー(以前のUI監査ログと同じ)で利用できます。
の生成
ATP アプライアンスのシステム状態のチェック
このセクションでは、ATP Applianceアプライアンスにヘルス上の問題があるかどうかを判断する方法について説明します。
ATPアプライアンスのシステム健全性を確認するには、次の手順に従います。
ATP Appliance UIにログインします。
ページの右上隅にある[ システムヘルス ]オプションをクリックします。
次のサービスが表示されます。
ビヘイビアエンジン
スタティックエンジン
相関
インターネット
ウェブコレクター
セカンダリコア
ダウンしているサービスがあるかどうかを確認します(赤い感嘆符を探します)。すべてのインジケータには、システムが正常であることを示す緑色のチェックマークが表示されます。赤いインジケータが表示されている場合は、トラブルシューティングアクションが必要です。
ビヘイビアエンジン、静的エンジン、または相関がダウンしている場合は、システムダッシュボードでコア使用率または処理されたオブジェクトの急激なスパイクを確認します。また、自動更新中は、これらすべてのプロセスが再起動されるため、ヘルスステータスが赤になっている場合は、10分待ってから再ログインし、ヘルスステータスが再び緑になっているかどうかを確認してください。
互換性のあるイメージが利用できない、更新サーバーに到達できない、またはディスク容量が不足しているために、動作エンジンがダウンしている場合があります。ビヘイビアエンジンのステータスとイメージのダウンロードを確認できます。
通常モードでは、イメージのダウンロードと動作エンジンの状態を確認できます。また、動作エンジンを起動するために必要なイメージのデバイス上の可用性を表示することもできます。互換性のあるイメージが利用できないために動作エンジンが起動しない場合は、図 25 に示すように [Start Update] ボタンをクリックしてイメージのアップグレードをすぐに開始するか、スケジュールされた間隔で自動アップグレードを待つかを選択できます。
図 25: オンデマンド イメージ アップグレード
プライベートモードでは、お客様はATPアプライアンスUIまたはCLIを使用して必要なイメージをアップロードできます。アップロードされた画像が監査され、監査のステータスが表示されます。状況メッセージのサンプルを 図 26 に示します。
図 26: 監査ステータス
イメージ更新のログを表示するには、[ レポート ] セクションに移動し、[レポート カテゴリ] を [テクニカル レポート ]、[レポート名 ] を [システム監査]、イベント タイプを [ソフトウェア アップデート] として選択します。
インターネットステータスが赤の場合は、ATPアプライアンス管理IPアドレスでポート443が*.cloud.cyphort.com まで開いていることを確認してください。
Webコレクターのヘルスステータスが赤の場合は、コレクターダッシュボードを確認します。各コレクタの横にある三角形をクリックすると、コレクタ上の停止しているサービスがわかります。
セカンダリコアが赤色の場合は、オンラインであり、ATP Applianceから到達可能であることを確認してください。
代替分析エンジン インターフェイスの設定
コア分析エンジンの検出手順中にネットワークオブジェクトが爆発すると、それらの一部は悪意のあるCnCサーバーへのネットワークトラフィックを生成します。オプションのeth2インターフェイスは、代替の排気オプションとして別のネットワークを介してCnC固有の生成されたトラフィックを送信するために、プライマリおよび/またはセカンダリコア(Mac Mini)または仮想コア用に構成できます。
お使いのSSHハニーポットの要件については、Juniper ATPアプライアンスクイックスタートガイドで導入の前提条件をすべて確認
SSHハニーポット機能は、エンタープライズネットワーク内のSSHサーバーへの接続試行を検出します。
顧客のエンタープライズネットワーク内に導入されたハニーポットを使用して、ローカルエリアネットワーク内の他のマシンに感染または攻撃しようとするマルウェアによって生成されたネットワークアクティビティを検出できます。SSHログイン試行ハニーポットは、横方向の拡散の検出を補完するために使用されます。複数のハニーポットを顧客のトラフィックコレクターに展開し、そこからイベント情報をJuniper ATP Appliance Coreに送信して処理することができます。お客様は、任意のローカルネットワークにハニーポットを配置できます。
ブルートフォースSSH入力を実行しようとしたり、「root」アカウントへのターゲットSSHアクセスを実行しようとする悪意のあるアクターも、Juniper ATP Appliance SSHハニーポット機能によって検出されます。
Juniper ATP Appliance Central Manager の Web UI インシデント タブには、SSH ハニーポット機能の結果が含まれています。
SSHハニーポット検出の結果は、中央マネージャーの「Web UIインシデント」ページに表示され、生成されたレポートに含まれます。ハニーポット検出イベントのためにJuniper ATP Appliance GSSに送信されるデータには、「脅威ターゲット」とタイムスタンプを含むすべての試行された「SSHセッション」の詳細(ユーザー名とパスワードを含む)が含まれます。
SSHハニーポットの横方向検出を設定するための要件:
ハニーポットコレクターに少なくとも4つのインターフェイス(eth0、eth1、eth2、eth3 [ハニーポット])があることを確認してください
SSHサーバーをネットワークに配置する
サーバーへの接続試行をログに記録する
Juniper ATP Appliance CLI から SSH ハニーポット機能を有効にします
Juniper ATP Applianceソフトウェアのアップグレード中にハニーポット機能を有効にする場合、アップグレードを2回実行して、仮想化エミュレータが正しいバージョンに完全にアップデートされるようにする必要があります。
メモ:SSH ハニーポットの検出は、TAP モードのコレクターの展開には関係ありません。
SSHハニーポットインシデントを設定および監視するには:
SSHハニーポットの設定方法については、 Juniper ATP Appliance CLIコマンドリファレンスを参照してください。
すべてのアウトバウンドコレクタトラフィックにeth3ポートを使用する方法については、 Juniper ATPアプライアンストラフィックコレクタークイックスタートガイドを参照してください。