許可リストとブロックリストの概要
許可リストには、既知の信頼できるIPアドレス、ハッシュ、メールアドレス、URLが含まれています。許可リストにある場所からダウンロードされたコンテンツは、マルウェアの検査を行う必要はありません。ブロックリストには、信頼できない既知の IP アドレスと URL が含まれています。ブロックリスト上の場所へのアクセスはブロックされるため、それらのサイトからコンテンツをダウンロードすることはできません。
許可リストとブロックリストの利点
-
許可リストを使用すると、ユーザーは安全であることがわかっているソースからファイルをダウンロードできます。誤検知を減らすために、許可リストをに追加できます。
-
ブロックリストを使用すると、ユーザーは有害または疑わしいことがわかっているソースからファイルをダウンロードできなくなります。
カスタム許可リストまたはカスタムブロックリストを使用すると、アイテムを手動で追加できます。どちらもJuniper ATP Cloudクラウドサーバー上で設定されます。優先順位は次のとおりです。
カスタム許可リスト
カスタムブロックリスト
場所が複数のリストにある場合は、最初の一致が優先されます。
サポートされている許可リストの種類を 表 1 に示します。
| 種類 |
情報 |
|---|---|
| マルウェア対策 |
IPアドレス、URL、ファイル ハッシュ、電子メール送信者 |
| SecIntel |
C&C の IP アドレスとドメイン |
| ETI |
IPアドレスとホスト名 |
| DNS |
ドメイン |
| リバースシェル |
宛先 IP アドレスとドメイン |
ドメインとは、完全修飾ドメイン名 (FQDN) を指します。
ブロックリストでサポートされるタイプを 表 2 に示します。
| 種類 |
情報 |
|---|---|
| マルウェア対策 |
IPアドレス、URL、ファイル ハッシュ、電子メール送信者 |
| SecIntel |
C&C の IP アドレスとドメイン |
-
IP と URL の場合、Web UI は基本的な構文チェックを実行して、エントリが有効であることを確認します。
-
許可リストとブロックリストのクラウドフィードURLは、opスクリプトを実行してSRXシリーズファイアウォールを設定すると自動的に設定されます。 「Juniper ATP Cloudスクリプトをダウンロードして実行する」を参照してください。
-
ハッシュは、アルゴリズムによって生成されたファイルの一意の署名です。フィルタリング用にカスタムの許可リストとブロックリストのハッシュを追加できますが、各エントリが 1 行のテキスト ファイルに一覧表示する必要があります。最大 15,000 個のファイル ハッシュを含む実行中のファイルは 1 つだけです。アップロードの詳細については、「 許可リストとブロックリストの作成」を参照してください。ハッシュリストは、SRXシリーズファイアウォール側ではなくクラウド側で動作するという点で、他のリストタイプと若干異なることに注意してください。これは、Web ポータルがハッシュ アイテムのヒットを表示できることを意味します。
SRXシリーズファイアウォールは、新規および更新されたフィードコンテンツについて、約2時間ごとにリクエストを行います。新しいものがない場合、新しい更新プログラムはダウンロードされません。
show security dynamic-address instance advanced-anti-malware CLI コマンドを使用して、SRXシリーズ ファイアウォールの IP ベースの許可リストとブロックリストを表示します。現時点では、ドメインベースまたは URL ベースの許可リストとブロックリストを表示する CLI コマンドはありません。
例:show security dynamic-address instance advanced-anti-malware
user@host>show security dynamic-address instance advanced-anti-malware No. IP-start IP-end Feed Address 1 x.x.x.0 x.x.x.10 custom_whitelist ID-80000400 2 x.x.0.0 x.x.0.10 custom_blacklist ID-80000800 Instance advanced-anti-malware Total number of matching entries: 2
更新が表示されない場合は、数分待ってからコマンドを再試行してください。Juniper ATP Cloudのポーリング期間外である可能性があります。
show services security-intelligence category summary CLI コマンドを使用して、指定した SecIntel カテゴリの概要を表示します。
例:show services security-intelligence category summary
user@host> show services security-intelligence category summary
...........
Category name :Blacklist
Status :Enable
Description :Blacklist data
Update interval :3600s
TTL :3456000s
Feed name :blacklist_domain
logical-system:root-logical-system
Vrf name :junos-default-vrf
Version :20211013.4
Objects number:0
Create time :2021-10-13 16:50:44 UTC
Update time :2024-12-05 17:08:29 UTC
Update status :N/A
Expired :Yes
Status :Active
Options :N/A
Feed name :blacklist_ip
logical-system:root-logical-system
Vrf name :junos-default-vrf
Version :N/A
Objects number:0
Create time :2021-10-13 16:51:18 UTC
Update time :2024-12-05 17:08:29 UTC
Update status :N/A
Expired :Yes
Status :Active
Options :N/A
............
Category name :Whitelist
Status :Enable
Description :Whitelist data
Update interval :1800s
TTL :3456000s
Feed name :whitelist_ip
logical-system:root-logical-system
Vrf name :junos-default-vrf
Version :N/A
Objects number:0
Create time :2023-03-20 23:32:59 UTC
Update time :2024-12-05 17:10:17 UTC
Update status :N/A
Expired :Yes
Status :Active
Options :N/A
show security dynamic-address instance default CLI コマンドを使用して、デフォルトで一致するエントリの合計数を表示します。
例 show security dynamic-address instance default
root@SRX-30-GW> show security dynamic-address instance default No. IP-start IP-end Feed Address CountryCode 1 10.0.90.165 10.0.90.165 CC/2 ID-fffc0821 -- 2 10.0.128.88 10.0.128.88 CC/2 ID-fffc0821 -- 3 10.0.128.112 10.0.128.112 CC/2 ID-fffc0821 -- 4 10.0.128.209 10.0.128.209 CC/2 ID-fffc0821 -- 5 10.0.131.69 10.0.131.69 CC/2 ID-fffc0821 -- 6 10.0.132.55 10.0.132.55 CC/2 ID-fffc0821 -- ...........
show security dynamic-address category-name Blacklist CLIコマンドを使用して、IPアドレスやURLなど、信頼できない場所のリストを表示します。
例:show security dynamic-address category-name Blacklist
root@SRX-30-GW> show security dynamic-address category-name Blacklist No. IP-start IP-end Feed Address CountryCode 1 10.1.1.1 10.1.1.1 Blacklist/2 ID-80004420 -- 2 10.2.2.100 10.2.2.100 Blacklist/2 ID-80004420 -- Instance default Total number of matching entries: 2
show security dynamic-address category-name Whitelist CLI コマンドを使用して、信頼できる IP アドレスや URL などの場所のリストを表示します。
例:show security dynamic-address category-name Whitelist
root@SRX-30-GW> show security dynamic-address category-name Whitelist No. IP-start IP-end Feed Address CountryCode 1 10.10.10.10 10.10.10.11 Whitelist/1 ID-80004010 -- Instance default Total number of matching entries: 1