許可リストとブロックリストの概要
許可リストには、既知の信頼できる IP アドレス、ハッシュ、E メールアドレス、URL が含まれています。許可リストに登録されている場所からダウンロードしたコンテンツは、マルウェアの検査を受ける必要はありません。ブロックリストには、既知の信頼できない IP アドレスと URL が含まれています。ブロックリスト上の場所へのアクセスはブロックされるため、それらのサイトからコンテンツをダウンロードすることはできません。
許可リストとブロックリストの利点
許可リストを使用すると、ユーザーは安全であることがわかっているソースからファイルをダウンロードできます。誤検知を減らすために、許可リストを追加できます。
ブロックリストは、ユーザーが有害または疑わしいことがわかっているソースからファイルをダウンロードできないようにします。
カスタム許可リストまたはカスタムブロックリストを使用すると、アイテムを手動で追加できます。どちらもジュニパーATPクラウドクラウドサーバー上で設定されます。優先順位は次のとおりです。
カスタム許可リスト
カスタムブロックリスト
場所が複数のリストにある場合は、最初の一致が優先されます。
許可リストでは、次のタイプがサポートされています。
- マルウェア対策—IPアドレス、URL、ファイルハッシュ、送信者
- SecIntel—C&C
-
Eti
-
Dns
-
リバース シェル - 宛先 IP アドレスとドメイン
ブロックリストでは、次のタイプがサポートされています。
- マルウェア対策—IPアドレス、URL、ファイルハッシュ、送信者
- SecIntel—C&C
IP と URL の場合、Web UI は基本的な構文チェックを実行して、エントリが有効であることを確認します。
許可リストとブロックリストのクラウドフィードURLは、opスクリプトを実行してSRXシリーズファイアウォールを設定すると、自動的に設定されます。 Juniper Advanced Threat Preventionクラウドスクリプトをダウンロードして実行するを参照してください。
ハッシュは、アルゴリズムによって生成されたファイルの一意の署名です。フィルタリング用にカスタムの許可リストハッシュとブロックリストハッシュを追加できますが、各エントリを1行でテキストファイルにリストする必要があります。最大 15,000 個のファイル ハッシュを含む実行中のファイルは 1 つだけです。アップロードの詳細については、「 許可リストとブロックリストの作成」を参照してください。ハッシュリストは、SRXシリーズファイアウォール側ではなくクラウド側で動作するという点で、他のリストタイプとは少し異なります。これは、Web ポータルがハッシュ項目のヒットを表示できることを意味します。
SRXシリーズファイアウォールは、新しいフィードコンテンツおよび更新されたフィードコンテンツを約2時間ごとにリクエストします。新しいものがない場合、新しい更新プログラムはダウンロードされません。
CLI show security dynamic-address instance advanced-anti-malware
コマンドを使用して、SRXシリーズファイアウォールのIPベースの許可リストとブロックリストを表示します。現時点では、ドメインベースまたはURLベースの許可リストとブロックリストを表示するCLIコマンドはありません。
例 show security 動的アドレス インスタンスの高度なマルウェア対策
user@host>show security dynamic-address instance advanced-anti-malware No. IP-start IP-end Feed Address 1 x.x.x.0 x.x.x.10 custom_whitelist ID-80000400 2 x.x.0.0 x.x.0.10 custom_blacklist ID-80000800 Instance advanced-anti-malware Total number of matching entries: 2
更新が表示されない場合は、数分待ってからコマンドを再試行してください。Juniper ATP Cloudのポーリング期間外である可能性があります。
許可リストまたはブロックリストを作成したら、高度なマルウェア対策ポリシーを作成して、ブロックリストまたは許可リスト ファイルにリストされているサイトからファイルをダウンロードしようとしたときにログに記録します (またはログに記録しません)。たとえば、次の例では、という名前の aawmpolicy1
ポリシーを作成し、ログエントリを作成します。
set services advanced-anti-malware policy aamwpolicy1 blacklist-notification log set services advanced-anti-malware policy aamwpolicy1 whitelist-notification log