Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ジュニパー ATP クラウドについて

ジュニパー® Advanced Threat Prevention Cloud(ジュニパー ATP クラウド)は、次世代ファイアウォール システムを備えたクラウドベースの脅威検出ソフトウェアを採用することにより、進化するセキュリティ脅威からネットワーク内のすべてのクラウドホストを保護するセキュリティ フレームワークです。 図1をご覧ください。

図1:ジュニパー ATP Cloudの概要 Juniper ATP Cloud Overview

ジュニパー ATP クラウドは、以下のタスクを実行することでネットワークを保護します。

  • SRXシリーズファイアウォールは、悪意のある可能性のあるオブジェクトとファイルを抽出し、分析のためにクラウドに送信します。

  • 既知の悪意のあるファイルは、ホストに感染する前に迅速に特定して削除されます。

  • 複数の技術が新しいマルウェアを特定し、既知のマルウェアリストに追加します。

  • 新たに特定されたマルウェアと既知のコマンドアンドコントロール(C&C)サイトとの相関関係が分析に役立ちます。

  • SRXシリーズファイアウォールは、悪意のある既知のファイルのダウンロードとアウトバウンドのC&Cトラフィックをブロックします。

ジュニパー ATP クラウドは、以下のモードをサポートしています。

  • レイヤー 3(L3)モード

  • タップモード

  • MACアドレスを使用した透過モード

    詳細については、「 SRXシリーズファイアウォールの透過モード」を参照してください。

  • セキュアワイヤーモード(MACアドレスではなく、トラフィックを直接通過させるインターフェイスを使用する高レベルの透過モード)詳細については、「 セキュアワイヤについて」を参照してください。

ジュニパー ATP クラウドの機能

ジュニパー ATP クラウドは、クラウドベースのソリューションです。クラウド環境は柔軟性と拡張性に優れており、共有環境により、誰もがほぼリアルタイムで新しい脅威インテリジェンスの恩恵を受けることができます。機密データは、クラウド共有環境であっても保護されます。セキュリティアナリストは、新しい攻撃手法が発見されると防御策を更新し、遅延なく脅威インテリジェンスを配信できます。

さらに、ジュニパー ATP クラウドには次の機能があります。

  • SRXシリーズファイアウォールと統合することで、導入を簡素化し、ファイアウォールの脅威対策機能を強化します。

  • ツールを組み合わせて「ゼロデイ」脅威から保護し、巧妙で回避型の脅威に対して堅牢なカバレッジを提供します。

  • AI予測による脅威防止は、インテリジェントで迅速なマルウェア検出および防止ソリューションであり、ユーザーの接続場所を問わずネットワークを保護します。このソリューションは、フローベースのアンチウィルスと機械学習ベースのゼロデイ脅威検出を活用して、マルウェア攻撃からユーザーを保護し、システム内のマルウェアの拡散を防ぎます。 フローベースのアンチウィルスポリシーの設定機械学習ベースの脅威検出の設定を参照してください。

  • ポリシー強化により、インバウンドおよびアウトバウンドトラフィックをチェックし、ユーザーはマルウェアの阻止、感染したシステムを隔離し、データ流出を防止し、ラテラルムーブメントを妨害することができます。

  • 中断のないサービスを提供するための高可用性。

  • より多くのコンピューティングリソースを必要とする負荷の増加、より多くの顧客からの送信を受信するためのネットワーク帯域幅の増加、マルウェア用の大規模なストレージに対応できる拡張性。

  • 詳細な検査、実用的なレポート、インラインマルウェアブロックを提供します

  • C&Cフィード、許可リストとブロックリストの操作、ファイル送信用のAPI。詳細については、 『脅威インテリジェンスオープンAPI設定ガイド 』をご覧ください。

  • ドメインネームシステム(DNS)、暗号化されたトラフィックのインサイト(ETI)、モノのインターネット(IoT)セキュリティ。これらの機能に固有のライセンス情報については、 ATPクラウドのソフトウェアライセンスを参照してください。

図2 は、ジュニパーATPクラウドのコンポーネントの一覧です。

図2:ジュニパー ATPクラウドコンポーネント Juniper ATP Cloud Components

表1は 、ジュニパーATPクラウドの各コンポーネントの運用について簡単に説明しています。

表1:ジュニパー ATP クラウドのコンポーネント

コンポーネント

操作

C&Cクラウドフィード

C&Cフィードは、基本的にボットネット向けのC&Cとして知られているサーバーのリストです。このリストには、マルウェアのダウンロード元が知られているサーバーも含まれています。

GeoIPクラウドフィード

GeoIPフィードは、IPアドレスと地理的領域への最新のマッピングです。これにより、世界中の特定の地域との間でやり取りされるトラフィックをフィルタリングできます。

感染したホストのクラウドフィード

感染したホストは、C&Cネットワークの一部であるように見えるため、または他の症状を示すために、侵害された可能性のあるローカルデバイスを示します。

許可リスト、ブロックリスト、カスタムクラウドフィード

許可リストは信頼できる既知のIPアドレスのリストであり、ブロックリストは信頼できないリストです。

SRXシリーズファイアウォール

抽出されたファイルのコンテンツを分析用に送信し、お客様のネットワーク内で検出されたC&Cヒットを送信します。

ジュニパー ATP クラウドが提供するファイル署名データベースに基づいて、インラインブロックを実行します。

マルウェア検査パイプライン

マルウェア分析と脅威検知を実行します

内部侵害検知

ファイル、メタデータ、その他の情報を検査します。

サービスポータル(Web UI)

お客様のネットワーク内で検出された脅威に関する情報を表示するグラフィックインターフェイス。

お客様が処理のためにクラウドに送信できるファイルカテゴリを絞り込むことができる構成管理ツール。

暗号化されたトラフィックのインサイト

暗号化されたトラフィックのインサイトにより、TLS/SSLによる完全な暗号化解除の負荷をかけることなく、暗号化トラフィックによって失われた可視性を復元できます。

SecIntel

精選されたSecIntelを、既知の攻撃で使用されていた悪意のあるドメイン、URL、IPアドレスを含む脅威フィードの形式で提供します。また、SecIntelでは、お客様はインラインブロック用に独自の脅威インテリジェンスをフィードして配信することもできます。

適応型脅威プロファイリング

ネットワークを攻撃している人や対象に基づいて、SecIntel脅威フィードを自動的に作成し、絶え間なく発生する新たな脅威に対抗します。適応型脅威プロファイリングでは、ジュニパーセキュリティサービスを活用してエンドポイントの動作を分類し、複数の実施ポイントでのさらなる検査やブロックに使用できるカスタム脅威インテリジェンスフィードを構築します。

DNSセキュリティ

DGAおよびDNSトンネリング技術を利用した攻撃からの脅威防御を提供します。DNSを悪用したC&C通信、データ漏洩、フィッシング攻撃、およびさまざまな技術を使用してDNSを悪用するランサムウェアから保護します。

IoT脅威防止

ATPクラウドは、IoTデバイスを特定して分類する簡単な方法を提供するため、お客様はネットワーク上のIoT攻撃対象領域を制御できます

SRXシリーズファイアウォールによるトラフィックの修復方法

SRXシリーズファイアウォールは、ジュニパーATPクラウドが提供するインテリジェンスを使用して、セキュリティポリシーを使用して悪意のあるコンテンツを修復します。設定されている場合、セキュリティポリシーは、宛先アドレスに配信される前にそのコンテンツをブロックする可能性があります。

インバウンドトラフィックの場合、SRXシリーズファイアウォールのセキュリティポリシーは、.exeファイルなどの特定のタイプのファイルを検査します。検出されると、セキュリティポリシーがファイルをジュニパー ATP クラウド クラウドに送信して検査します。SRXシリーズファイアウォールは、宛先クライアントからのファイルの最後の数KBを保持しますが、ジュニパーATPクラウドは、このファイルがすでに分析されているかどうかを確認します。その場合、判定が返され、ファイルの脅威レベルとユーザー定義のポリシーに応じて、ファイルがクライアントに送信されるかブロックされます。クラウドが以前にこのファイルを検査したことがない場合、ファイルがクライアントに送信され、ジュニパー ATP クラウドが徹底的な分析を実行します。ファイルの脅威レベルがマルウェアを示している場合(ユーザー定義の設定によっては)、クライアントシステムは感染ホストとしてマークされ、アウトバウンドトラフィックからブロックされます。詳細については、「 マルウェアはどのように分析および検出されますか?」を参照してください。

図3 は、ジュニパーATPクラウドでファイルのダウンロードを要求するクライアントのフローの例を示しています。

図3:インバウンドファイルのマルウェア検出 Inspecting Inbound Files for Malware
表2:マルウェア検査ワークフロー

ステップ

説明

1

SRXシリーズファイアウォールの背後にあるクライアントシステムが、インターネットからファイルのダウンロードを要求します。SRXシリーズファイアウォールは、そのリクエストを適切なサーバーに転送します。

2

SRXシリーズファイアウォールは、ダウンロードされたファイルを受信し、そのセキュリティプロファイルをチェックして、追加のアクションを実行する必要があるかどうかを確認します。

3

ダウンロードされたファイルの種類は、検査が必要なファイルのリストに含まれており、分析のためにクラウドに送信されます。

4

ジュニパー ATP クラウドは、以前にこのファイルを検査し、分析結果をキャッシュに保存しています。この例では、ファイルはマルウェアではなく、脅威レベルの判定がSRXシリーズファイアウォールに送り返されます。

5

ユーザー定義のポリシーと脅威レベルの判断に基づいて、SRXシリーズファイアウォールがファイルをクライアントに送信します。

アウトバウンドトラフィックの場合、SRXシリーズファイアウォールは、受信したC&Cフィードと一致するトラフィックを監視し、これらのC&Cリクエストをブロックして、ジュニパー ATP クラウドに報告します。感染したホストのリストが利用可能になっているため、SRXシリーズファイアウォールがインバウンドトラフィックとアウトバウンドトラフィックをブロックできます。

ジュニパー ATP クラウドのユースケース

ジュニパー ATP クラウドは、SRXシリーズのあらゆる場所で使用できます。図4を参照してください

図4:ジュニパー ATPクラウドのユースケース Juniper ATP Cloud Use Cases

  • キャンパスエッジファイアウォール—インターネットからダウンロードされたファイルを分析し、エンドユーザーのデバイスを保護するジュニパー ATPクラウド。

  • データセンターエッジ—キャンパスエッジファイアウォールと同様に、ジュニパーATPクラウドは、感染したファイルやアプリケーションマルウェアがコンピューター上で実行されるのを防ぎます。

  • 支社/拠点ルーター—ジュニパー ATPクラウドは、分割トンネリングの導入から保護します。分割トンネリングの欠点は、ユーザーが社内のインフラストラクチャによって設定されたセキュリティをバイパスできることです。