侵害されたホスト: 詳しく
感染したホストとは、攻撃者が不正アクセスを取得した可能性が高いシステムです。ホストが侵害されると、攻撃者はコンピューターに対して次のようないくつかのことを行うことができます。
迷惑メールやスパムメールを送信して、他のシステムを攻撃したり、違法なソフトウェアを配布したりすること。
パスワードや口座番号などの個人情報を収集します。
コンピュータのセキュリティ設定を無効にして、簡単にアクセスできるようにします。
感染したホストは、ホストの IP アドレスまたは IP サブネットとして、脅威レベル(xxx.xxx.xxx.133 や脅威レベル 5 など)とともに一覧表示されます。特定されると、Juniper ATP Cloudがアクションを推奨し、セキュリティポリシーを作成して、感染したホストのインバウンドトラフィックと送信トラフィックに強制アクションを実行できます。Juniper ATP Cloudは、C&Cサーバーに接続しようとするクライアントやマルウェアをダウンロードしようとするクライアントなど、複数の指標と独自のアルゴリズムを使用して、感染したホストの脅威レベルを判断します。
データフィードのURLは、opスクリプトを実行してSRXシリーズファイアウォールを設定すると自動的に設定されます。 「Juniper ATP Cloudスクリプトをダウンロードして実行する」を参照してください。
図1 は、マルウェアをダウンロードすることで、デバイスが感染ホストとしてラベル付けされる方法の一例を示しています。
による感染ホスト
歩 |
形容 |
|---|---|
1 |
IPアドレス10.1.1.1のクライアントは、SRXシリーズファイアウォールの背後にあり、インターネットからファイルをダウンロードするよう要求しています。 |
2 |
SRXシリーズファイアウォールは、インターネットからファイルを受信し、そのセキュリティポリシーをチェックして、ファイルをクライアントに送信する前に何らかのアクションが必要かどうかを確認します。 |
3 |
SRXシリーズファイアウォールにはJuniper ATP Cloudポリシーがあり、ダウンロードされたばかりの同じタイプのファイルを検査のためにクラウドに送信する必要があります。 このファイルはクラウドにキャッシュされないため、この特定のファイルが検査のためにクラウドに送信されるのは今回が初めてです。クラウドが徹底的な検査を実施している間、SRXシリーズファイアウォールはファイルをクライアントに送信します。 |
4 |
この例では、クラウド分析によって、ファイルがマルウェアであることを示すしきい値よりも高い脅威レベルがあると判断され、この情報をSRXシリーズファイアウォールに送り返します。 クライアントが感染したホストリストに登録されます。 |
5 |
Juniper ATP Cloudは、クライアントによるインターネットアクセスをブロックします。 管理者は、管理者が詳細な分析を行い、安全であると判断するまで、感染したホストリストに残ります。 |
ホストのステータスは、Juniper ATP Cloud Web ポータルの [Monitor>Hosts] に移動して表示できます。また、SRXシリーズファイアウォールで show services security-intelligence statistics CLIコマンドを使用して、クイックレポートを表示することもできます。
host> show services security-intelligence statistics
Category Infected-Hosts:
Profile pr2:
Total processed sessions: 37
Permit sessions: 0
Block drop sessions: 35
Block close sessions: 2
[ 感染したホストの設定> ]ウィンドウで電子メールを設定し、ホストの脅威レベルが指定したしきい値以上になったときにユーザーに警告することができます。
マルウェアとホストのステータスイベントのsyslogメッセージが /var/log/messagesで作成されます。Junos OSは、ストリームモードとイベントモードを使用したログ転送をサポートしています。
syslogを使用するには、同じレルム内のすべてのSRXシリーズファイアウォールのシステムログを設定する必要があります。たとえば、REALM1にSRX1とSRX2が含まれている場合、SRX1とSRX2の両方でシステムログが有効になっている必要があります。システムロギングの設定について、詳しくは 「SRXスタートガイド - システムロギング」を参照してください。
ストリーム モードを使用したマルウェア イベント syslog。
Sep 20 00:01:14 6.0.0.254 host-example RT_AAMW: AAMW_MALWARE_EVENT_LOG: timestamp=Thu Jun 23 09:55:38 2016 tenant-id=ABC123456 sample-sha256=ABC123 client-ip=192.0.2.0 mw-score=9 mw-info=Eicar:TestVirus client-username=admin client-hostname=host.example.com
ストリーム モードを使用したホスト ステータス イベント syslog。
Sep 20 00:01:54 6.0.0.254 host-example RT_AAMW: AAMW_HOST_INFECTED_EVENT_LOG: timestamp=Thu Jun 23 09:55:38 2016 tenant-id=ABC123 client-ip=192.0.2.0 client-hostname=host.example.com host-status=in_progress host-policy=default threat-level=7 infected-host-status=added reason=malware details=malware analysis detected host downloaded a malicious_file with score 9, sha256 ABC123
イベント モードを使用したマルウェア イベント syslog
<14>1 2016-09-20T10:43:30.330-07:00 host-example RT_AAMW - AAMW_MALWARE_EVENT_LOG [junos@xxxx.1.1.x.x.xxx timestamp="Thu Jun 23 09:55:38 2016" tenant-id="ABC123456" sample-sha256="ABC123" client-ip-str="192.0.2.0" verdict-number="9" malware-info="Eicar:TestVirus" username="admin" hostname="host.example.com"] timestamp=Thu Jun 23 09:55:38 2016 tenant-id=ABC123456 sample-sha256=ABC123 client-ip=172.24.0.12 mw-score=9 mw-info=Eicar:TestVirus client-username=admin client-hostname=host.example.com
イベント モードを使用したホスト ステータス イベント syslog。
<11>1 2016-09-20T10:40:30.050-07:00 host-example RT_AAMW - AAMW_HOST_INFECTED_EVENT_LOG [junos@xxxx.1.1.x.x.xxx timestamp="Thu Jun 23 09:55:38 2016" tenant-id="ABC123456" client-ip-str="192.0.2.0" hostname="host.example.com" status="in_progress" policy-name="default" th="7" state="added" reason="malware" message="malware analysis detected host downloaded a malicious_file with score 9, sha256 ABC123"] timestamp=Thu Jun 23 09:55:38 2016 tenant-id=ABC123456 client-ip=192.0.2.0 client-hostname=host.example.com host-status=in_progress host-policy=default threat-level=7 infected-host-status=added reason=malware details=malware analysis detected host downloaded a malicious_file with score 9, sha256 ABC123
syslog レコードには、以下のフィールドが含まれます。
畑 |
形容 |
|---|---|
タイムスタンプ |
syslogエントリーの日時 |
tenant_id |
内部固有 ID |
sample_sha256 |
ダウンロードされたファイルの SHA-256 ハッシュ値。 |
client_ip |
IP4 と IP6 の両方をサポートするクライアント IP アドレス。 |
mw_score |
マルウェア スコア。これは 0 から 10 までの整数です。 |
mw_info |
マルウェアの名前または簡単な説明。 |
client_username |
潜在的なマルウェアをダウンロードしたユーザーのユーザー名。 |
client_hostname |
潜在的なマルウェアをダウンロードしたデバイスのホスト名。 |
host_status |
ホストステータス。現在は |
host_policy |
このアクションを適用したJuniper ATP Cloudポリシーの名前。 |
threat_level |
ホストの脅威レベル。これは 0 から 10 までの整数です。 |
infected_host_status |
感染したホストのステータス。 |
理由 |
ログ エントリの理由。 |
細部 |
入力理由の簡単な説明(例: |
ブロックドロップとブロッククローズについて
show services security-intelligence statistics CLI コマンドを使用すると、ブロック ドロップとブロック クローズ セッションが表示されます。
host> show services security-intelligence statistics
Category Infected-Hosts:
Profile pr2:
Total processed sessions: 37
Permit sessions: 0
Block drop sessions: 35
Block close sessions: 2
ブロック ドロップまたはブロック クローズのいずれかを設定できます。ブロックドロップを選択すると、SRXシリーズファイアウォールはセッションのパケットを気付かれることなくドロップし、セッションは最終的にタイムアウトします。ブロッククローズが設定されている場合、SRXシリーズファイアウォールはTCP RSTパケットをクライアントとサーバーに送信し、セッションはただちにドロップされます。
たとえば、ブロック・クローズを使用して、クライアントまたはサーバーのリソースを保護できます。クライアント・ソケットとサーバー・ソケットを即時に解放します。クライアントまたはサーバーのリソースが問題にならない場合、またはネットワークにファイアウォールがあることを誰にも知られたくない場合は、ブロック ドロップを使用できます。
ブロック クローズは、TCP トラフィックに対してのみ有効です。非TCPトラフィックは、ブロッククローズを設定した場合でも、ブロックドロップを使用します。たとえば、感染したホストがクローズをブロックするように設定した場合、次のようになります。
... set services security-intelligence profile pr2 rule r2 then action block close ...
デバイスを介してicmpトラフィックを送信すると、ブロック破棄されます。
ブロックのドロップとブロックの終了を設定する詳細については、 感染したホストをブロックするようにSRXシリーズファイアウォールを設定するを参照してください。
ホストの詳細
ホストのメインページでホストの IP アドレスをクリックすると、選択したホストに対する現在の脅威に関する詳細情報が時間枠別に表示されます。詳細ページから、ホストの調査ステータスとブロックステータスを変更することもできます。ホストの詳細については、Web UI のツールチップとオンラインヘルプを参照してください。
show security dynamic-address category-name Infected-Hosts CLI コマンドを使用して、感染したホストリストを表示することもできます。
host> show security dynamic-address category-name Infected-Hosts No. IP-start IP-end Feed Address 1 x.0.0.7 x.0.0.7 Infected-Hosts/1 ID-21500011 2 x.0.0.10 x.0.0.10 Infected-Hosts/1 ID-21500011 3 x.0.0.21 x.0.0.21 Infected-Hosts/1 ID-21500011 4 x.0.0.11 x.0.0.11 Infected-Hosts/1 ID-21500012 5 x.0.0.12 x.0.0.12 Infected-Hosts/1 ID-21500012 6 x.0.0.22 x.0.0.22 Infected-Hosts/1 ID-21500012 7 x.0.0.6 x.0.0.6 Infected-Hosts/1 ID-21500013 8 x.0.0.9 x.0.0.9 Infected-Hosts/1 ID-21500013 9 x.0.0.13 x.0.0.13 Infected-Hosts/1 ID-21500013 10 x.0.0.23 x.0.0.23 Infected-Hosts/1 ID-21500013 11 x.0.0.14 x.0.0.14 Infected-Hosts/1 ID-21500014 12 x.0.0.24 x.0.0.24 Infected-Hosts/1 ID-21500014 13 x.0.0.1 x.0.0.1 Infected-Hosts/1 ID-21500015 14 x.0.0.2 x.0.0.2 Infected-Hosts/1 ID-21500015 15 x.0.0.3 x.0.0.3 Infected-Hosts/1 ID-21500015 16 x.0.0.4 x.0.0.4 Infected-Hosts/1 ID-21500015 17 x.0.0.5 x.0.0.5 Infected-Hosts/1 ID-21500015 18 x.0.0.15 x.0.0.15 Infected-Hosts/1 ID-21500015 19 x.0.0.25 x.0.0.25 Infected-Hosts/1 ID-21500015 20 x.0.0.16 x.0.0.16 Infected-Hosts/1 ID-21500016 21 x.0.0.26 x.0.0.26 Infected-Hosts/1 ID-21500016 22 x.0.0.17 x.0.0.17 Infected-Hosts/1 ID-21500017 23 x.0.0.27 x.0.0.27 Infected-Hosts/1 ID-21500017 24 x.0.0.18 x.0.0.18 Infected-Hosts/1 ID-21500018 25 x.0.0.28 x.0.0.28 Infected-Hosts/1 ID-21500018 26 x.0.0.19 x.0.0.19 Infected-Hosts/1 ID-21500019 27 x.0.0.29 x.0.0.29 Infected-Hosts/1 ID-21500019 28 x.0.0.8 x.0.0.8 Infected-Hosts/1 ID-2150001a 29 x.0.0.20 x.0.0.20 Infected-Hosts/1 ID-2150001a 30 x.0.0.30 x.0.0.30 Infected-Hosts/1 ID-2150001a Total number of matching entries: 30
ホスト脅威レベルの自動的な引き下げ、または感染したホストフィードからの削除
ホストの脅威レベルは、そのホストで 1 か月間セキュリティ イベントが発生していない場合、自動的に減少することがあります。問題の月は、現在の時刻を基準とした時間のローリングウィンドウです。その月に確認されたイベントの数と種類によって、ホストの脅威レベル スコアが決まります。すべてのマルウェアイベントがその月の期間外にある場合、同じプロセスによって感染ホストリストからホストが自動的に削除される可能性があります。
ホストの手動解決で脅威レベルがゼロに設定され、別のマルウェア イベントが発生した場合、解決イベントは無視されます。その結果、ホストの脅威スコアでは、1 か月以内のすべての疑わしいイベントが再び考慮され、新しい脅威スコアが決定されます。