Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

例:フローベースのウイルス対策ポリシーと機械学習ベースの脅威検出を構成する

概要

AI予測型脅威防御では、フローベースのウイルス対策ポリシーと機械学習ベースのゼロデイ脅威検知を活用します。この例では、CLIを使用してSRXシリーズファイアウォールでフローベースのアンチウィルスポリシーと機械学習ベースのゼロデイ脅威検知を設定する方法を学習します。本書は、セキュリティ・ゾーンおよびセキュリティ・ポリシーの設定を理解していることを前提としています。 例:セキュリティ・ゾーンの作成を参照してください。

Junos OSリリース24.2R1以降、ラインレートでのゼロデイ脅威に対する機械学習ベースの脅威検知を設定し、使用することができます。機械学習ベースの脅威検知は、ファイアウォール上のインラインファイルをインラインでスキャンし、ファイルがダウンロードされる前に感染ファイルをブロックします。脅威検知中のファイルスキャンはインターネットアクセスなしで行われ、検知で判定を返すにはファイルデータの小さなセクションのみで十分です。最新のウイルス対策シグネチャパックがジュニパーネットワークスのコンテンツ配信ネットワーク(CDN)サーバーからファイアウォールに自動的にダウンロードされると、機械学習ベースの脅威検出がファイアウォール上で利用可能になります。

手記:

IMAPS、SMTPS、HTTPS、およびSMBプロトコルは、機械学習ベースのゼロデイ脅威検出でサポートされています。

必要条件

始める前に

  • Juniperのアンチウィルスライセンスを持っていることを確認します。デバイスのライセンスを確認する方法の詳細については、「 SRXシリーズ デバイスのライセンスについて」を参照してください。ライセンス情報のサンプルを以下に示します。

  • ジュニパーコンテンツ配信ネットワーク(CDN)サーバー https://signatures.juniper.net は、SRXシリーズファイアウォールから到達可能である必要があります。

  • Junos OSリリース24.2R1以降を搭載したSRXシリーズファイアウォール。

位相幾何学

図1:フローベースのウイルス対策および機械学習ベースの脅威検出 Flow-based antivirus and machine learning-based threat detection

典型的なエンタープライズネットワークを見てみましょう。エンドユーザーが無意識のうちに侵害されたWebサイトにアクセスし、悪意のあるコンテンツをダウンロードします。このアクションにより、エンドポイントが侵害されます。エンドポイント上の有害なコンテンツは、ネットワーク内の他のホストにとっても脅威になります。悪意のあるコンテンツのダウンロードを防ぐことが重要です。

SRXシリーズのファイアウォールをフローベースのアンチウィルスおよび機械学習ベースの脅威検知とともに使用すると、ウイルス攻撃からユーザーを守り、システム内でのウイルスの拡散を防ぐことができます。フローベースのアンチウイルスは、ウイルス、トロイの木馬、ルートキット、およびその他の種類の悪意のあるコードのネットワークトラフィックをスキャンし、悪意のあるコンテンツが検出されるとすぐにブロックします。

この例では、次のプロパティを持つフローベースのウイルス対策ポリシーを作成します。

  • ポリシー名は av-policy です。

  • 返された判定が 7 以上の場合、ファイルをブロックし、ログ エントリを作成します。

  • エラー状態が発生した場合は、ファイルのダウンロードを許可し、ログ エントリを作成します。

構成

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。

  1. ウイルス対策ポリシーを作成し、返された判定が 7 以上の場合にファイルをブロックします。

  2. 既定では、ファイアウォールは 5 分ごとに CDN サーバーから署名をダウンロードします。

    データベースサーバーの URL を指定することで、ウイルス定義データベースを手動で更新できます。

  3. ファイアウォール ポリシーを構成し、ウイルス対策ポリシーを適用します。

  4. 設定をコミットします。

機械学習スキャンの可能な完了は次のとおりです。

業績

設定モードから、 および show configuration |display set コマンドを入力してshow services anti-virus policy av-policy設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

構成の結果を確認します。

検証

設定が正しく機能していることを確認するには、次の手順に従います。

現在のウイルス対策統計に関する情報の取得

目的

一部のトラフィックがSRXシリーズファイアウォールを通過した後、統計をチェックして、プロファイルとポリシー設定に従って許可、ブロックされたセッションの数などを確認します。

アクション

動作モードから コマンド show services anti-virus statistics を入力します。

サンプル出力
show services anti-virus statistics(サービスアンチウイルスの統計情報を表示)

動作モードから コマンド show services anti-virus machine-learning-scan-statistics を入力します。

サンプル出力

show services anti-virus-machine-learning-scan-statistics

意味

ウイルスが特定され、ブロックされました。