機械学習ベースの脅威検出を構成する

典型的なエンタープライズネットワークを見てみましょう。エンドユーザーは、侵害されたWebサイトに無意識のうちにアクセスし、悪意のあるコンテンツをダウンロードします。このアクションにより、エンドポイントが侵害されます。エンドポイント上の有害なコンテンツは、ネットワーク内の他のホストにとっても脅威になります。悪意のあるコンテンツのダウンロードを防ぐことが重要です。

SRXシリーズファイアウォールをフローベースのアンチウィルスおよびMLベースの脅威検知とともに使用することで、マルウェア攻撃からユーザーを保護し、ネットワーク内でのマルウェアの拡散を防止することができます。

次の構成では、次のプロパティを持つ ML ベースのウイルス対策ポリシーを作成します。

ファイアウォールポリシー名は fw-ml-policy です。
ML ポリシー名は ml-policy です。
返された判定が 7 以上の場合は、ファイルをブロックし、ログエントリを作成します。
エラー状態が発生した場合は、ファイルのダウンロードを許可し、ログエントリを作成します。

必要条件

始める前に

セキュリティゾーンとセキュリティポリシーを設定します。詳細については、『Security Policies User Guide for Security Devices』の「例:セキュリティゾーンの作成」を参照してください。
ジュニパーの有効なライセンスを所有していることを確認します。AI予測による脅威防止のライセンス情報については、 SRXシリーズファイアウォールのソフトウェアライセンスを参照してください。
Junos OS リリース 24.2R1 以降を搭載した SRXシリーズファイアウォール

手記：

MLベースのゼロデイ脅威検知は、IMAPS、SMTPS、HTTPS、SMBプロトコルをサポートしています。
検出では、次のファイルの種類がサポートされています。
- Windows.exe や .dll などのポータブル実行可能 (PE) ファイル
- 実行可能でリンク可能な形式 (ELF) ファイル (Linux バイナリなど)

手順

以下の設定では、設定階層のさまざまなレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの設定モードでCLIエディターを使用するを参照してください。

ウイルス対策ポリシーを作成し、返された判定が 7 以上の場合はファイルをブロックします。

デフォルトでは、ファイアウォールは毎週CDNサーバーから署名をダウンロードします。

データベースサーバーの URL を指定することで、ウイルス定義データベースを手動で更新できます。

ファイアウォールポリシーを設定し、ウイルス対策ポリシーを適用します。

設定をコミットします。

ML スキャンの可能な完了は次のとおりです。

業績

設定モードから、 show services anti-virus policy ml-policy コマンドと show configuration | display set コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、設定手順を繰り返して設定を修正します。

構成の結果を確認します。

検証

設定が正しく機能していることを確認するには、次の手順を使用します。

ML 統計に関する情報の取得

目的
アクション
意味

目的

一部のトラフィックがSRXシリーズファイアウォールを通過した後、統計情報をチェックして、プロファイルとポリシー設定に従って、許可またはブロックされたセッションの数などを確認します。

アクション

動作モードから、 show services anti-virus machine-learning-scan-statistics コマンドを入力します。

サンプル出力

show services anti-virus machine-learning-scan-statistics

意味

スキャン、識別、ブロックまたは許可されたウイルスの統計を表示します。