コマンドおよび制御サーバー: 詳細情報
コマンドアンドコントロール(C&C)サーバーは、ボットネットまたは侵害されたコンピューターのネットワークに悪意のあるコマンドをリモートで送信します。ボットネットは、アカウント番号やクレジットカード情報などの機密情報を収集したり、分散型サービス拒否(DDoS)攻撃に参加したりするために使用できます。
ネットワーク上のホストがインターネット上のC&Cサーバー候補との接続を開始しようとすると、SRXシリーズファイアウォールがトラフィックを傍受し、Juniper ATP Cloudからのリアルタイムフィード情報に基づいて強制アクションを実行します。Web UIは、C&CサーバーのIPアドレス、脅威レベル、C&Cサーバーに接続した回数などを識別します。
FP/FPNボタンを使用すると、リストされている各C&Cサーバーの偽陽性または偽陰性を報告できます。偽陰性を報告した場合、ジュニパーATPクラウドは、misc configuration(Configure > Misc Configuration)で割り当てたグローバル脅威レベルの閾値と同じC&C脅威レベルを割り当てます。
Juniper ATP Cloudは、そのホストとC&Cサーバーとの間の通信をブロックし、ユーザーの構成設定に応じて、ホストがC&Cリストに記載されていない他のサーバーと通信することを許可することができます。C&Cの脅威レベルは、独自のアルゴリズムを使用して計算されます。
または show services security-intelligence statistics profile profile-name
CLI コマンドを使用して、C&C の統計情報を表示することもできますshow services security-intelligence statistics
。
user@root> show services security-intelligence statistics Category Whitelist: Profile Whitelist: Total processed sessions: 0 Permit sessions: 0 Category Blacklist: Profile Blacklist: Total processed sessions: 0 Block drop sessions: 0 Category CC: Profile cc_profile: Total processed sessions: 5 Permit sessions: 4 Block drop sessions: 1 Block close sessions: 0 Close redirect sessions: 0 Category JWAS: Profile Sample-JWAS: Total processed sessions: 0 Permit sessions: 0 Block drop sessions: 0 Block close sessions: 0 Close redirect sessions: 0 Category Infected-Hosts: Profile hostintel: Total processed sessions: 0 Permit sessions: 0 Block drop sessions: 0 Block close sessions: 0
次の例では、C&C プロファイル名は cc_profile
です。
user@root> show services security-intelligence statistics profile cc_profile Category CC: Profile cc_profile: Total processed sessions: 5 Permit sessions: 4 Block drop sessions: 1 Block close sessions: 0 Close redirect sessions: 0
CLI コマンドを使用して、 show services security-intelligence category detail category-name category-name feed-name feed-name count number start number
C&C サーバーとその脅威レベルに関する詳細情報を表示することもできます。
count と start の両方を 0 に設定すると、すべての C&C サーバーが表示されます。
例えば:
user@root> show services security-intelligence category detail category-name CC feed-name cc_url_data count 0 start 0 Category name :CC Feed name :cc_url_data Version :20160419.2 Objects number:24331 Create time :2016-04-18 20:43:59 PDT Update time :2016-05-04 11:39:21 PDT Update status :Store succeeded Expired :No Options :N/A { url:http://g.xxxxx.net threat_level:9} { url:http://xxxx.xxxxx.net threat_level:9} { url:http://xxxxx.pw threat_level:2} { url:http://xxxxx.net threat_level:9} ...