感染ホストフィードには、侵害され、他のデバイスとの通信から隔離する必要があるホストが一覧表示されます。フィードは、脅威レベルが 10 の IP アドレスの形式です(例:脅威レベル 10 の xxx.xxx.xxx.133)。セキュリティ ポリシーを設定して、フィードに IP アドレスがリストされているホストとの間のインバウンドおよび送信トラフィックに対して強制アクションを実行できます。感染ホストフィードは、ファイアウォールポリシーで感染したホストプロファイルが設定および有効になっている場合にのみ、SRXシリーズファイアウォールにダウンロードされます。
手記:
感染したホストに対して の Juniper ATP Cloud グローバルしきい値(感染したホストの設定を参照)に達すると、そのホストは感染したホストのフィードに追加され、クラウドによって脅威レベル 10 が割り当てられ ます。したがって、感染したホストフィード内のすべての IP アドレスは脅威レベル 10 です。
感染したホストのプロファイル、ポリシー、ファイアウォールポリシーを作成するには:
- 感染したホストとCCの両方のプロファイルを定義します。この例では、感染したホスト プロファイルの名前は
ih-profile で、アクションは脅威レベル 10 のブロック ドロップ エニシングです。CC ホスト プロファイルの名前は cc-profile で、C&C ホストへのアウトバウンド要求に基づいているため、C&C ルールをプロファイルに追加します (脅威レベル 8 以上はブロックされます)。
set services security-intelligence profile ih-profile category Infected-Hosts rule if-rule match threat-level 10
set services security-intelligence profile ih-profile category Infected-Hosts rule if-rule then log
set services security-intelligence profile ih-profile category Infected-Hosts default-rule then action block drop
set services security-intelligence profile cc-profile category CCset services security-intelligence profile cc-profile rule CC_rule match threat-level [8 9 10]
set services security-intelligence profile cc-profile rule CC_rule then action block drop
set services security-intelligence profile cc-profile rule CC_rule then log
set services security-intelligence profile cc-profile default-rule then action permit
脅威レベルを設定していない場合は、次のコマンドを使用してデフォルトルールを設定します。
set services security-intelligence profile ih-profile category Infected-Hosts default rule if-rule then action block drop
Junos 18.1R1では、感染ホストに対するHTTP URLリダイレクトによるブロックアクションがサポートされています。セッションIPアドレスの処理中に、感染ホストリストのIPアドレスとHTTPトラフィックがポート80または8080を使用している場合、感染ホストのHTTPリダイレクトを実行できます。HTTPトラフィックが動的ポートを使用している場合、HTTPトラフィックのリダイレクトは実行できません。以下のコマンドを参照してください。
show services security-intelligenceを使用してコマンドを確認するCLI コマンドを使用します。次のようになります。
root@host# show services security-intelligence profile ih-profile
category Infected-Hosts;
rule if-rule {
match {
threat-level 10;
}
then {
action {
block {
drop;
}
}
log;
}
}
root@host# show services security-intelligence profile cc-profile
category CC;
rule CC_rule {
match {
threat-level [ 10 9 8 ];
}
then {
action {
block {
drop;
}
}
log;
}
}
default-rule {
then {
action {
permit;
}
}
}
- セキュリティ インテリジェンス ポリシーを設定して、ステップ 1 で作成した両方のプロファイルを含めます。この例では、ポリシーの名前は
infected-host-cc-policy です。
set services security-intelligence policy infected-host-cc-policy Infected-Hosts ih-profileset services security-intelligence policy infected-host-cc-policy CC cc-profile
- セキュリティインテリジェンスポリシーを含むようにファイアウォールポリシーを設定します。この例では、trust-to-untrust ゾーンを設定します。
set security policies from-zone trust to-zone untrust policy p2 match source-address any destination-address any application any
set security policies from-zone trust to-zone untrust policy p2 then permit application-services security-intelligence-policy infected-host-cc-policy
show security policiesを使用してコマンドを確認するCLI コマンドを使用します。次のようになります。
root@host# show security policies
...
from-zone trust to-zone untrust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
security-intelligence-policy infected-host-cc-policy;
}
}
}
}
}
...
[edit]
- 変更をコミットします。
