Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

適応型脅威プロファイリングの概要と設定

概要

Juniper ATPクラウド適応型脅威プロファイリングにより、SRXシリーズファイアウォールは、独自の高度な検知イベントとポリシーマッチイベントに基づいて、脅威フィードを生成、伝播、消費できます。

この機能を使用すると、一致した場合に送信元 IP アドレス、宛先 IP アドレス、送信元 ID、または宛先 ID を脅威フィードに注入するセキュリティまたは IDP ポリシーを構成できます。このフィードは、動的アドレス グループ(DAG)として他のデバイスで活用できます。この機能は、ネットワーク内の脅威アクターの追跡と軽減に重点を置いていますが、デバイスの分類など、脅威に関連しないアクティビティにも使用できます。

適応型脅威プロファイリングを利用すると、ジュニパーATPクラウドサービスがフィードアグリゲータとして機能し、SRXからのフィードを企業全体に統合して、重複排除された結果を定期的にレルム内のすべてのSRXシリーズファイアウォールに共有します。SRXシリーズファイアウォールは、これらのフィードを使用して、トラフィックに対してさらなるアクションを実行できます。

メモ:

この機能を使用するには、SecIntelライセンス(プレミアムモデル)が必要です。追加の検出機能を使用するには、AppID、IDP、および拡張Webフィルタリングのライセンスがまだ存在しない場合、デバイスに追加する必要があります。その他のライセンス機能については、「 Juniper Advanced Threat Prevention Cloudのライセンスタイプ」を参照してください。

適応型脅威プロファイリングのメリット

  • 低コストのSRXシリーズファイアウォールをTapポートのネットワーク全体にセンサーとして導入し、インラインデバイスでインテリジェンスを識別して共有し、リアルタイムで適用できるという、新しい導入アーキテクチャを可能にします。

  • 管理者は、変化する脅威やネットワークの状態にほぼ無限に適応できます。セキュリティポリシーは、侵入やマルウェアの大規模感染が発生した場合に、自動的にエントリーを入力する適応型脅威プロファイリングフィードを使ってステージングできます。

  • エンドポイントの分類を実行する機能を提供します。ネットワークの動作やディープパケットインスペクション(DPI)の結果に基づいてエンドポイントを分類できます。たとえば、AppID、Webフィルタリング、またはIDPを利用して、Ubuntuのアップデートサーバーと通信するホストを、ネットワーク上のUbuntuサーバーの動作を制御するために使用できる動的アドレスグループに配置できます。

このページには>適応型脅威プロファイリングの設定からアクセスします。

表 1: 適応型脅威プロファイリング

フィールド

ガイドライン

フィード名

適応型脅威プロファイリングフィードの名前。

項目

フィード内のエントリの数。

フィードの種類

フィードのコンテンツ タイプ。次のオプションがサポートされています。

  • Ip

  • User_id

感染したホストに追加

フィード コンテンツ(送信元または宛先 IP アドレスなど)を感染したホストのフィードに追加するかどうかが表示されます。

  • True - フィードのコンテンツが [感染したホスト] フィードに追加されます。

  • False - フィードのコンテンツは感染ホストのフィードに追加されません。

メモ:

現在、感染したホストフィードに追加できるのはIPアドレスフィードタイプのみです。

有効期限(日)

エントリがフィード内で "存続" する期間を定義します。TTL に達すると、エントリは自動的に削除されます。

メモ:

  • フィードは、動的アドレス グループ (DAG) /IP フィルターとしてのみ使用できます。

このページから、次のタスクを実行できます。

  • 新しいフィードの追加 - 適応型脅威プロファイリングフィードの作成を参照してください。

  • フィードの変更 - フィードを選択し、編集アイコン (鉛筆) をクリックします。[編集 <feed-name> ] ページが表示され、フィードを作成したときに表示したものと同じフィールドが表示されます。必要に応じてフィールドを変更します。[ OK] をクリックして変更を保存します。

    メモ:

    フィード名とフィードタイプは編集できません。

  • フィードの削除 - フィードを選択し、タイトル バーの削除アイコンをクリックします。削除の確認を求めるポップアップが表示されます。[ はい ] をクリックして、フィードを削除することを確認します。

  • フィルターまたはフィードの検索 - フィルター アイコンをクリックします。検索バーにキーワードの一部テキストまたは全文を入力し、検索ボタンをクリックするか、 Enterキーを押します。検索結果が表示されます。フィードタイプと有効期限(日)でフィルタリングすることもできます。

  • フィードに関する詳細情報の表示 - フィード名をクリックすると、次の情報が表示されます。

    • フィード アイテム - フィードに関連付けられているすべての IP アドレスまたはユーザー ID を一覧表示します。フィードから IP アドレスまたはユーザー ID を除外するには、IP アドレスまたはユーザー ID を選択し、[ 除外するアイテムに追加] をクリックします。

    • [除外されたアイテム] - フィードから除外されたすべての IP アドレスまたはユーザー ID が一覧表示されます。除外項目リストのIPアドレスまたはユーザーIDを削除するには、IPアドレスまたはユーザーIDを選択し、[削除]アイコンをクリックします。

      フィードから IP アドレスまたはユーザー ID を手動で除外するには:

      1. [除外されたアイテム] タブのプラス (+) アイコンをクリックします。

        [除外リストに追加] ページが表示されます。

      2. フィードから除外する IP アドレスまたはユーザー ID を入力します。

      3. OK をクリックします。

        IP アドレスまたはユーザー ID が [除外されたアイテム] ページに表示されます。

適応型脅威プロファイリングを設定する

Juniper ATP Cloudにすでに登録済みのSRXシリーズファイアウォールには、適応型脅威プロファイリングの活用を開始するために必要な設定がすべて含まれている必要があります。

まず、デバイスにセキュリティ インテリジェンスの URL が既に含まれていることを確認します。

  1. フィード サーバーの URL を確認します。

    出力は次のようになります。

    メモ:

    URL が設定にない場合は、Juniper ATP Cloudにデバイスを再登録してみてください。「 Juniper ATPクラウドWebポータルを使用してSRXシリーズファイアウォールを登録する」を参照してください

  2. ジュニパーATPクラウドで適応型脅威プロファイリングフィードを作成します。Juniper ATP Cloud UIにログインし、[ 構成 > 適応型脅威プロファイリング] を選択します。 図 1 に示すような [適応型脅威プロファイリング] ページが表示されます。この例では、TTL (TTL) が 7 日間のフィード名 High_Risk_Users を使用します。

    図 1: 新しいフィード Add New Feedの追加

  3. [ OK ] をクリックして変更を保存します。詳細については、次を参照してください: 適応型脅威プロファイリングフィードを作成する

  4. フィードがSRXシリーズファイアウォールによってダウンロードされていることを確認します。これは定期的に自動的に実行されますが、数秒かかる場合があります。

    セキュリティ インテリジェンス データベースを手動でダウンロードすると、必要に応じてこのプロセスを高速化できます。

    詳細については、 『Juniper Advanced Threat Prevention Cloud Administrationガイド 』を参照してください。

関連ドキュメント