Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

適応型脅威プロファイリングの概要と設定

概要

Juniper ATP Cloud適応型脅威プロファイリングにより、SRXシリーズファイアウォールは、独自の高度な検出とポリシー一致イベントに基づいて、脅威フィードを生成、拡散、利用することができます。

この機能により、セキュリティポリシーまたはIDPポリシーを設定し、一致した場合に脅威フィードに以下を挿入できます。

  • 元 IP アドレス

  • IP アドレス

  • ソース ID

  • 宛先 ID

他のデバイスは、この脅威フィードを動的アドレスグループ(DAG)として使用できます。この機能は、ネットワーク内の脅威アクターの追跡と軽減に重点を置いていますが、デバイスの分類など、脅威に関連しないアクティビティにも使用できます。

Adaptive Threat Profilingでは、Juniper ATP Cloudサービスはフィードアグリゲーターとして機能します。このサービスは、企業全体のSRXシリーズファイアウォールからのフィードを統合し、重複した結果をレルム内のすべてのSRXシリーズファイアウォールに定期的に共有します。SRXシリーズファイアウォールは、これらのフィードを使用して、トラフィックに対してさらなるアクションを実行できます。

手記:

この機能を機能させるには、SecIntelライセンス(プレミアムモデル)が必要です。追加の検出機能を使用するには、AppID、IDP、および拡張Webフィルタリング(EWF)ライセンスがデバイスに追加されていない場合は、デバイスに追加する必要がある場合があります。その他のライセンス機能については、「 ATP Cloud のソフトウェア ライセンス」を参照してください。

Adaptive Threat Profilingのメリット

  • 新しい導入アーキテクチャを実現します。これにより、低コストのSRXシリーズファイアウォールをネットワーク全体のTapポート上のセンサーとして導入し、インテリジェンスを識別してインラインデバイスと共有し、リアルタイムで適用することができます。

  • 変化する脅威やネットワークの状態に対して、管理者はほぼ無限に適応できます。セキュリティポリシーは、侵入やマルウェアのアウトブレイクが発生した場合にエントリが自動的に入力されるAdaptive Threat Profilingフィードでステージングできます。

  • エンドポイント分類を実行する機能を提供します。ネットワークの動作やディープパケットインスペクション(DPI)の結果に基づいて、エンドポイントを分類できます。たとえば、AppID、Web フィルタリング、または IDP を利用して、Ubuntu の更新サーバーと通信するホストを、ネットワーク上の Ubuntu-Server の動作を制御するために使用できる DAG に配置できます。

このページ には、Configure > Adaptive Threat Profilingからアクセスします。

表1:適応型脅威プロファイリング

ガイドライン

フィード名

Adaptive Threat Profilingフィードの名前。

項目

フィード内のエントリの数。

フィード タイプ

フィードのコンテンツ タイプ。次のオプションがサポートされています。

  • IP

  • USER_ID

感染したホストに追加

フィードの内容(送信元 IP アドレスやIP アドレスなど)が [感染したホスト(Infected Host)] フィードに追加されているかどうかが表示されます。

  • [True]:フィード コンテンツが [感染したホスト(Infected host)] フィードに追加されます。

  • [False]:フィード コンテンツは [感染したホスト(Infected host)] フィードに追加されません。

手記:

現在、感染したホストフィードに追加できるのは IP アドレス フィード タイプのみです。

Time to Live (日)

エントリがフィード内で "存続" する期間を定義します。TTL に達すると、エントリは自動的に削除されます。

手記:

  • フィードは、動的アドレス グループ (DAG) /IP フィルターとしてのみ使用できます。

このページから次のタスクを実行できます。

  • 新しいフィードの追加— 適応型脅威プロファイリングフィードの作成を参照してください。

  • フィードの変更 - フィードを選択し、編集アイコン(鉛筆)をクリックします。[Edit <feed-name> ] ページが表示され、フィードの作成時に表示されたものと同じフィールドが表示されます。必要に応じてフィールドを変更します。[ OK ] をクリックして変更を保存します。

    手記:

    フィード名とフィードの種類は編集できません。

  • フィードの削除 - フィードを選択し、タイトル バーの削除アイコンをクリックします。削除の確認を求めるポップアップが表示されます。[ はい ] をクリックして、フィードの削除を確定します。

  • フィードのフィルターまたは検索 - フィルター アイコンをクリックします。検索バーにキーワードのテキストの一部または全文を入力し、検索ボタンをクリックするか、 Enter キーを押します。検索結果が表示されます。フィードの種類と有効期限(日数)でフィルタリングすることもできます。

  • フィードに関する詳細情報を表示—フィード名をクリックすると、次の情報が表示されます。

    • [フィード項目(Feed Items)]:フィードに関連付けられているすべての IP アドレスまたはユーザ ID を一覧表示します。フィードから IP アドレスまたはユーザー ID を除外するには、IP アドレスまたはユーザー ID を選択して [ 除外項目に追加] をクリックします。

    • [除外された項目(Excluded Items)]:フィードから除外されたすべての IP アドレスまたはユーザー ID がリストされます。除外された項目リストのIPアドレスまたはユーザーIDを削除するには、IPアドレスまたはユーザーIDを選択し、「削除」アイコンをクリックします。

      フィードからIPアドレスまたはユーザーIDを手動で除外するには:

      1. 「除外項目」タブのプラス(+)アイコンをクリックします。

        [除外リストに追加(Add to Excluded List)] ページが表示されます。

      2. フィードから除外する IP アドレスまたはユーザー ID を入力します。

      3. [ OK] をクリックします。

        IP アドレスまたはユーザー ID が [除外されたアイテム] ページに表示されます。

適応型脅威プロファイリングの設定

すでにJuniper ATP Cloudに登録されているSRXシリーズファイアウォールには、Adaptive Threat Profiling活用を開始するために必要なすべての構成が含まれている必要があります。

まず、デバイスにセキュリティインテリジェンス(SecIntel)のURLがすでに含まれていることを確認します。

  1. フィードサーバーの URL を確認します。

    出力は次のようになります。

    手記:

    URLが設定に存在しない場合は、Juniper ATP Cloudにデバイスを再登録してみてください。「 Juniper ATP Cloud Webポータルを使用してSRXシリーズファイアウォールを登録する」を参照してください。

  2. Juniper ATP CloudでAdaptive Threat Profilingフィードを作成します。Juniper ATP Cloud UIにログインし、[ Configure > Adaptive Threat Profiling]を選択します。 図 1 に示すような [Adaptive Threat Profiling] ページが表示されます。この例では、有効期限 (TTL) が 7 日間のフィード名 High_Risk_Users を使用します。

    図 1: 新しいフィード Add New Feedの追加

  3. OK」 をクリックして変更を保存します。詳細については、 適応型脅威プロファイリングフィードの作成を参照してください。

  4. フィードがSRXシリーズファイアウォールによってダウンロードされていることを確認します。これは一定の間隔で自動的に実行されますが、数秒かかる場合があります。

    SecIntelデータベースを手動でダウンロードすることで、必要に応じてこのプロセスを高速化できます。

    詳細については、『 Juniper Advanced Threat Prevention Cloud Administration Guide 』を参照してください。

関連資料