適応型脅威プロファイリングのユースケース
次のユースケースは、Adaptive Threat Profilingがどのようにして多様なネットワーク環境にわたる脅威検知、アセット分類、対応を自動化できるかを示しています。
脅威検知のユースケース
この例では、エンドポイントが侵害されたことを示唆する可能性のある異常なアクティビティを特定することを目的として、 High_Risk_Users ユースケースの定義を続けます。
-
オニオンルーター(TOR)、ピアツーピア(P2P)、およびアノニマイザー/プロキシの使用を検出するポリシーを作成し、それらの送信元IPアドレスを
High_Risk_Usersフィードに追加します。[edit security policies global policy Unwanted_Applications] admin@vSRX# show match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:p2p junos:web:proxy junos:TOR junos:TOR2WEB ]; } then { deny { application-services { security-intelligence { add-source-ip-to-feed { High_Risk_Users; } } } } log { session-close; -
既知の悪意のあるサイトやマルウェアのコマンド&コントロール(C&C)インフラストラクチャ、および新しく登録されたドメインとの通信を探す2つ目のポリシーを作成しHigh_Risk_Usersフィードに追加します。
[edit security policies global policy URL-C2-Detection] admin@vSRX# show match { source-address any; destination-address any; application [ junos-http junos-https ]; dynamic-application any; url-category [ Enhanced_Compromised_Websites Enhanced_Emerging_Exploits Enhanced_Keyloggers Enhanced_Malicious_Embedded_Link Enhanced_Malicious_Embedded_iFrame Enhanced_Malicious_Web_Sites Enhanced_Newly_Registered_Websites ]; } then { deny { application-services { security-intelligence { add-source-ip-to-feed { High_Risk_Users; } } } } log { session-close; } } } } -
異常なスキャンアクティビティとブルートフォース攻撃を特定するIDPポリシーを作成します。
[edit security idp idp-policy Threat_Profiling rulebase-ips rule Scanners] admin@vSRX# show match { attacks { predefined-attacks [ SCAN:NMAP:FINGERPRINT SCAN:METASPLOIT:SMB-ACTIVE SCAN:METASPLOIT:LSASS SMB:AUDIT:BRUTE-LOGIN APP:RDP-BRUTE-FORCE FTP:PASSWORD:BRUTE-FORCE LDAP:FAILED:BRUTE-FORCE SSH:BRUTE-LOGIN ]; } } then { action { drop-connection; } notification { log-attacks; packet-log; } application-services { security-intelligence { add-attacker-ip-to-feed High_Risk_Users; } } }手記:この例では、タップベースのSRXシリーズファイアウォールセンサーに展開するポリシーを示しています。この例は、ルールの寛容な性質上、インラインデバイスに展開しても意味がありません。運用環境では、より制限を設けることをお勧めします。
-
IDP ルールベースをセキュリティポリシーに適用して有効にします。
[edit security policies global policy IDP_Threat_Profiling] admin@vSRX# show match { source-address any; destination-address any; application any; dynamic-application any; } then { permit { application-services { idp-policy Threat_Profiling; } } log { session-close; } } -
ルールベースの一番上に、
High_Risk_Users脅威フィード内のホストからのトラフィックをドロップするシンプルなルールを作成します。[edit security policies global policy Drop_Risky_Users] admin@vSRX# show match { source-address High_Risk_Users; destination-address any; application any; } then { deny; log { session-close; } }
アセット分類のユースケース
この例では、AppID を利用して環境内の Ubuntu サーバーと RedHat サーバーを識別し、他のデバイスで使用するためにフィードするサーバーを追加します。
レガシーデバイスの多くは、ディープパケットインスペクション(DPI)のための計算能力がありません。適応型脅威プロファイリングにより、新しいプラットフォームと古いプラットフォーム間でDPI分類結果を共有できます。
Advanced Packaging Tool (APT) および Yellowdog Updater, Modified (YUM) と Ubuntu および RedHat アップデートサーバーとの通信を識別するセキュリティポリシーを作成します。
[edit security policies global policy Linux_Servers]
admin@vSRX# show
match {
source-address any;
destination-address any;
application junos-defaults;
dynamic-application [ junos:UBUNTU junos:REDHAT-UPDATE ];
}
then {
permit {
application-services {
security-intelligence {
add-source-ip-to-feed {
Linux_Servers;
}
}
}
}
}
侵害されたアプリケーションのユースケース
この例では、侵害されたアプリケーションを使用しているユーザーがinfected-hostsフィードに追加されます。
引き続き、エンドポイントが侵害されたことを示唆する可能性のある異常なアクティビティを特定することを目的として、High_Risk_Usersユースケースの定義を進めます。オニオンルーター(TOR)の使用を検出し、ソースIDをHigh_Risk_Usersフィードに追加するポリシーを作成します。
[edit security policies global policy Compromised_Applications]
admin@vSRX# show
match {
source-address any;
destination-address any;
source-identity authenticated-user;
dynamic-application junos:TOR;
}
then {
deny {
application-services {
security-intelligence {
add-source-identity-to-feed High_Risk_Users;
}
}
}
}