Juniper Advanced Threat Preventionクラウドポリシーの概要
Juniper ATP Cloudへの接続がオンデマンドで開始されます。これは、条件が満たされ、ファイルまたはURLをクラウドに送信する必要がある場合にのみ確立されます。クラウドはファイルを検査し、判定番号(1 から 10)を返します。判定番号は、スコアまたは脅威レベルです。数値が大きいほど、マルウェアの脅威が高くなります。SRXシリーズファイアウォールは、この判定番号とJuniper ATP Cloudポリシー設定を比較し、セッションを許可または拒否します。セッションが拒否された場合、リセットパケットがクライアントに送信され、パケットはサーバーからドロップされます。
Juniper ATP Cloudポリシーは、Junos OSセキュリティポリシーの拡張機能です。 表 1 に追加内容を示します。
- Junos OS リリース 15.1X49-D80 より、Juniper ATP Cloud ポリシー設定から match-then 条件は非推奨になりました。以下の例は、Junos OS リリース 15.1X49-D80 以降を対象としています。
- Advanced Anti-Malware(AAMW)ファイル検査は、サーバーからクライアントへのファイルのダウンロード操作でサポートされています。ファイルのアップロード操作はサポートされていません。
足し算 |
形容 |
---|---|
判定数としきい値に基づくアクションと通知 |
しきい値と、判定数がしきい値以上の場合の処理を定義します。例えば、しきい値が7(推奨値)で、Juniper ATP Cloudがファイルの判定番号8を返した場合、そのファイルのダウンロードはブロックされ、ログエントリが作成されます。 set services advanced-anti-malware policy aamwpolicy1 verdict-threshold recommended set services advanced-anti-malware policy aamwpolicy1 http action block notification log |
デフォルトのアクションと通知 |
判定数がしきい値を下回った場合の処理を定義します。例えば、しきい値が7で、Juniper ATP Cloudがファイルの判定番号3を返した場合、そのファイルがダウンロードされ、ログファイルが作成されます。 set services advanced-anti-malware policy aamwpolicy1 default-notification log |
検査プロファイルの名前 |
スキャンするファイルの種類を定義する Juniper ATP Cloud プロファイルの名前。 set services advanced-anti-malware policy aamwpolicy1 http inspection-profile default_profile |
フォールバックオプション |
エラー状態が発生した場合、またはリソースが不足した場合の対処方法を定義します。次のフォールバック オプションを使用できます。
set services advanced-anti-malware policy aamwpolicy1 fallback-options action permit set services advanced-anti-malware policy aamwpolicy1 fallback-options notification log
手記:
上記のアクションは、有効なセッションが存在することを前提としています。有効なセッションが存在しない場合、フォールバックオプションをブロックに設定しているかどうかに関係なく、Juniper ATP Cloudはファイルを許可します。 |
ブロックリスト通知 |
ブロックリスト ファイルにリストされているサイトからファイルをダウンロードしようとしたときに、ログ エントリを作成するかどうかを定義します。 set services advanced-anti-malware policy aamwpolicy1 blacklist-notification log |
ホワイトリスト通知 |
許可リストファイルにリストされているサイトからファイルをダウンロードしようとしたときに、ログエントリを作成するかどうかを定義します。 set services advanced-anti-malware policy aamwpolicy1 whitelist-notification log |
SMTP インスペクション プロファイルの名前 |
SMTP 電子メール添付ファイルの検査プロファイルの名前。「実行するアクション」は、CLI コマンドではなく、Web UI で定義されます。 set services advanced-anti-malware policy aamwpolicy1 smtp inspection-profile my_smtp_profile |
show services advanced-anti-malware policy
CLI コマンドを使用して、Juniper ATP Cloudポリシー設定を表示します。
show services advanced-anti-malware policy aamwpolicy1 Advanced-anti-malware configuration: Policy Name: aamwpolicy1 Default-notification : No Log Whitelist-notification: Log Blacklist-notification: Log Fallback options: Action: permit Notification: Log Protocol: HTTP Verdict-threshold: recommended (7) Action: block Notification: Log Inspection-profile: default_profile Protocol: SMTP Verdict-threshold: recommended (7) Action: User-Defined-in-Cloud (permit) Notification: No Log Inspection-profile: my_smtp_profile
show security policies
CLI コマンドを使用して、ファイアウォール ポリシー設定を表示します。
show security policies from-zone trust to-zone untrust { policy 1 { match { source-address any; destination-address any; application any; } then { permit { application-services { security-intelligence-policy SecIntel; } } } } policy firewall-policy1 { match { source-address any; destination-address any; application any; } then { permit { application-services { ssl-proxy { profile-name ssl-inspect-profile; } advanced-anti-malware-policy aamwpolicy1; } } } } }