Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

感染したホストの設定

ブロッキングの脅威レベルのしきい値

感染したホストをブロックするようにグローバル脅威レベルを設定します。ホストが侵害されていることが判明すると、脅威レベルが割り当てられます。ここで設定したグローバル脅威レベル(1-10(10が最も高い脅威)に基づいて、設定された脅威レベル以上の侵害されたホストが感染ホストリストに追加され、その後、SRXシリーズファイアウォールで構成されたポリシーによってブロックされる可能性があります。詳細については、 ホストの概要 と感染 したホストをブロックするためのSRXシリーズファイアウォールの設定 を参照してください。

Juniper ATP Cloud は、感染したホストが特定の脅威レベルに達したときに電子メールを送信するように設定できます。たとえば、しきい値 5 に達したときに IT 部門に電子メールを送信し、しきい値 9 に達したときにエスカレーション部門に電子メールを送信できます。

どのアカウントにも電子メールを送信できます。[ユーザー] ウィンドウで定義された管理者の電子メールに制限されることはありません。Web UI では、電子メール アカウントが有効かどうかは確認されません。

ブロックと電子メールアラートの脅威レベルのしきい値を設定する

グローバル感染ホストアラートの利点

  • 感染したホストのメールアラートは、ネットワークセキュリティの問題が発生した場合、直ちに管理者に注意を喚起します。

  • 電子メール アラートは、Web ポータルのすべてのユーザーではなく、特定の管理者のみに対して構成できるため、アラートの対象を絞り込むことができます。

  1. [感染したホスト>設定する] を選択します。

  2. (Advanced ライセンスのみ)デフォルトの脅威レベルのしきい値を設定します。

  3. プラス記号をクリックして電子メールアラートを作成するか、鉛筆アイコンをクリックして既存のアラートを編集します。以下の表で説明するフィールドを設定します。

  4. [ OK] をクリックします。

表 1:感染したホストの電子メールアラートのフィールド

設定

ガイドライン

脅威レベル

脅威レベルを 1 から 10 の間で選択します。このレベルに達すると、指定したアドレスに電子メールが送信されます。

電子メール

電子メール アドレスを入力します。

ブロックされたホストを自動的に期限切れにする

ホストが感染としてマークされ、感染ホストフィードに追加されると、SRXシリーズファイアウォールで設定されたポリシーによってネットワークからブロックされます。Juniper ATP Cloud Webポータルの[Host Details](ホストの詳細)ページで、個々のホストのブロックを解除するオプションがあります。詳細については、「ホストの概要」を参照してください。期間と脅威レベルに基づいて複数のホスト IP アドレスのブロックを解除する場合は、Web ポータルの [感染したホスト(Infected Hosts)] ページにある [ブロックされたホストを自動的に期限切れにする(Automatically Expire Blocked Hosts)] 機能を使用します。

[グローバル感染ホスト(Global Infected Hosts)] ページでは、最小および最大脅威レベルに基づいて、設定された時間が経過すると感染ホストが期限切れになるように設定できます。この期間に達すると、ブロックされたIPアドレスは感染としてマークされなくなり、ブロックされなくなります。

この機能を使用する例として、DHCP アドレス指定を使用し、設定されたスケジュールでアドレスを再割り当てする場合が挙げられます。その場合は、感染したホストの有効期限を(IP アドレスのリース時間に基づいて)設定すると、アドレスは感染としてマークされなくなります。

感染したホストの自動失効を設定する

  1. [感染したホスト>設定する] を選択します。

  2. (システム管理者とオペレーターのみ) [ブロックされたホストを自動的に期限切れ にする] を有効にし、次のいずれかを選択します:

    • すべてのホストを期限切れにする

    • [Expire a range of hosts]:IPv4 または IPv6 アドレスの範囲を入力します。

      以下のIPv4形式のいずれかが有効です。 1.2.3.4/30, or 1.2.3.4-1.2.3.6

      以下のIPv6形式のいずれかが有効です。 1111::1-1111::9, or 1111:1::0/64

      手記:

      /16 IPv4 アドレスと /48 IPv6 アドレスのブロックのみが受け入れられます。たとえば、 10.0.0.0-10.0.255.255 は有効ですが、 10.0.0.0-10.1.0.0 は無効です。

      ビットマスク: サブネット レコードのビットマスクでカバーされる IP アドレスの最大数は、IPv4 の場合は 16 個、IPv6 の場合は 48 個です。たとえば、 10.0.0.0/151234::/47 は無効です。CIDR表記も受け付けています。

  3. [すべてのホストを期限切れにする] または [ホストの範囲を期限切れにする] の両方で、有効期限と脅威レベルも設定する必要があります。プラス記号「+」をクリックしてエントリを作成し、「有効期限」テーブルで次のように設定します。

    表 2: 有効期限フィールド

    設定

    ガイドライン

    最小脅威レベルを設定する

    [最小脅威レベル(Minimum Threat Level)] の下のテーブル エントリをクリックして、プルダウン メニューにアクセスします。最小脅威レベル (1 から 10) を選択します。選択したレベルは、最小設定に含まれます。

    最大脅威レベルを設定する

    [Maximum Threat Level](最大脅威レベル)の下のテーブルエントリをクリックして、プルダウンメニューにアクセスします。最大脅威レベル (1 から 10) を選択します。選択したレベルは、最大設定に含まれます。

    ブロックを解除する時間を設定する

    [ブロック解除する時間(Hours to Unblock)] の下のテーブル エントリをクリックします。[なし]、[6 時間]、[12 時間]、[18 時間]、または [24 時間] を選択できます。設定された時間が経過すると、感染ラベルは期限切れになり、ホストはブロックされなくなります。

    たとえば、最小値を 6 に、最大値を 8 に設定し、ブロックを解除する時間を 24 に設定すると、次のようになります。脅威レベルが 6 以上 8 以下のすべての感染ホストは、24 時間後に期限切れになります。

    手記:

    このテーブルに複数のエントリを作成し、脅威レベルごとに異なる有効期限を設定できます。

    ブロック解除設定をテーブルに入力すると、テーブルを使用して既存の設定を変更したり、設定を削除したりできます。

  4. [ 保存 ] をクリックして設定を保存します。

関連資料