SecIntelフィードの概要とメリット

SecIntelは、慎重に厳選され検証された脅威インテリジェンスを収集します。

ジュニパー ATP クラウド
ジュニパー脅威ラボ
動的アドレスグループ(DAG)
業界をリードする脅威フィード

SecIntelは、このインテリジェンスをMXシリーズルーター、SRXシリーズファイアウォール、NFXシリーズネットワークサービスプラットフォームに提供し、コマンドアンドコントロール(C&C)通信をラインレートでブロックします。SecIntelは、自動で応答性の高いトラフィックフィルタリングを可能にすることで、リアルタイムの脅威インテリジェンスを提供します。

SecIntelは、EXシリーズスイッチおよびQFXシリーズスイッチと統合し、これらのスイッチがSecIntelの感染ホストフィードにサブスクリプションできるようにします。この統合により、スイッチポートで侵害されたホストをブロックできます。ネットワーク全体に SecIntel を拡張し、セキュリティ適用ポイントの数を増やすことができます。

SecIntelフィードのメリット

現在のライセンスで利用可能なすべてのデフォルトフィードを表示できます。

このページでは、以下のフィードを有効にして、ジュニパー ATP クラウドと統合できます。

ジュニパー脅威フィード
サードパーティ脅威フィード - IP脅威フィードとURL脅威フィード
動的アドレスグループフィード—ジュニパーDAGフィードとサードパーティDAGフィード

注:

SecIntelフィードの有効期限は、フィードごとに異なるTTL(Time-to-live)値によって異なります。

注:

C&Cフィードの合計数は32個で、そのうち4つのフィードはcc_ip、cc_url、cc_ipv6、cc_cert_sha1用に予約されています。そのため、C&Cカテゴリには、C&Cカスタムフィードやサードパーティフィードを含む最大28のフィードを有効にできます。この制限は、利用可能なオープンAPIを使用して追加フィードを注入する場合に適用されます。

外部フィードを有効にしているかどうかを知るための情報:

有効な外部フィードでヒットが検出された場合、このイベントは脅威レベルが10の脅威ソース>監視に表示されます。
登録済みのSRXシリーズファイアウォールでは、各フィードに対して許可またはブロックアクションを含むポリシーを設定できます。C&Cフィードと感染ホストフィードが機能するためには、SRXシリーズファイアウォールでSecIntelポリシーを有効にする必要があります。
外部フィードは24時間ごとに1回更新されます。

警告:

これらのオープンソースフィードはサードパーティによって管理されており、フィードの正確性を判断するのはジュニパーATPクラウドの管理者です。ジュニパーは、これらのフィードによって生成された誤検知は調査しません。

警告:

設定されたSRXシリーズファイアウォールポリシーは、有効なサードパーティフィードに基づいて悪意のあるIPアドレスをブロックしますが、これらのイベントはホストの脅威スコアに影響を与えません。ホストの脅威スコアに影響を与えるのは、ジュニパー ATP クラウドフィードからのイベントだけです。

利用可能なフィードを有効にするには、以下を実行します。

>フィードの設定 > SecIntelフィードに移動します。

フィードごとに、トグルボタンを選択してフィードを有効にします。表1のガイドラインを参照してください。

注:

感染ホストフィードは、すべてのライセンスレベルで有効になっています。他のすべてのジュニパー SecIntel フィードのライセンス情報については、「 ATP クラウドのソフトウェアライセンス」を参照してください。

フィードサイトへ移動リンクをクリックすると、フィードのコンテンツを含むフィード情報が表示されます。

表1:SecIntelフィード
フィールド	ガイドライン
ジュニパー脅威フィード
コマンドおよびコントロール	C&Cフィードが有効になっているかどうかを表示します。
悪意のあるドメイン	DNSフィードが有効になっているかどうかを表示します。
感染ホストフィード	感染したホストフィードが有効になっているかどうかを表示します。
サードパーティ脅威フィード
IP脅威フィード
ブロックリスト	トグルボタンをクリックして、サードパーティフィードとしてブロックリストフィードを有効にします。事前定義されたクラウドフィード名— cc_ip_blocklist。
Threatfox IP	トグルボタンをクリックして、Threatfoxフィードをサードパーティフィードとして有効にします。事前定義されたクラウドフィード名—cc_ip_threatfox。
Feodoトラッカー	トグルボタンをクリックして、Feodoフィードをサードパーティフィードとして有効にします。事前定義されたクラウドフィード名— cc_ip_feodotracker。
DShield	トグルボタンをクリックして、DShieldフィードをサードパーティフィードとして有効にします。事前定義されたクラウドフィード名— cc_ip_dhield。
Tor	トグルボタンをクリックして、サードパーティフィードとしてtorフィードを有効にします。事前定義されたクラウドフィード名—cc_ip_tor。
URL脅威フィード
ThreatfoxのURL	トグルボタンをクリックして、Threatfoxフィードをサードパーティフィードとして有効にします。ThreatFoxは、マルウェアに関連する侵害の指標(IoC)をinfosecコミュニティ、アンチウィルスベンダー、脅威インテリジェンスプロバイダと共有することを目標にした、abuse.ch から無料のプラットフォームです。IOCには、IPアドレス、ドメイン名、またはURLがあります。事前定義されたクラウドフィード名—cc_url_threatfox。
URLhaus URL脅威フィード	トグルボタンをクリックして、URLhausフィードをサードパーティフィードとして有効にします。URLhausは、マルウェアの配布に使用される悪意のあるURLを共有する脅威インテリジェンスフィードです。事前定義されたクラウドフィード名—cc_url_urlhaus。
オープンフィッシュ	トグルボタンをクリックして、OpenPhishフィードをサードパーティフィードとして有効にします。OpenPhishは、フィッシングインテリジェンス向けの完全に自動化された自己完結型プラットフォームです。フィッシングサイトを特定し、人間が介入することなく、ブロックリストなどの外部リソースを使用することなく、リアルタイムでインテリジェンス分析を実行します。マルウェア検査のために、SecIntelはこのフィード内のURLを使用してトラフィックを分析します。事前定義されたクラウドフィード名— cc_url_openphish。
ドメイン脅威フィード
Threatfoxドメイン	トグルボタンをクリックして、Threatfoxフィードをサードパーティフィードとして有効にします。事前定義されたクラウドフィード名— cc_domain_threatfox。
動的アドレスグループフィード
ジュニパーDAGフィード
GeoIPフィード	GeoIPフィードが有効になっているかどうかを表示します。GeoIPフィードは、IPアドレスと地理的領域の最新のマッピングです。これにより、世界中の特定の地域との間でやり取りされるトラフィックをフィルタリングできます。
サードパーティ製DAGフィード
office365	トグルボタンをクリックして、サードパーティフィードとしてoffice365 IPフィルターフィードを有効にします。office365 IPフィルターフィードは、セキュリティポリシーで使用できるOffice 365サービスエンドポイント用に公開されたIPアドレスの最新リストです。このフィードの機能は、このページにある他のフィードとは異なり、事前定義されたクラウドフィード名である「ipfilter_office365」など、特定の設定パラメーターが必要です。このフィードを使用するための `set security dynamic-address` コマンドの使用法など、このページの下部にある詳細な手順を参照してください。事前定義されたクラウドフィード名— ipfilter_office365
Facebook	トグルボタンをクリックして、Facebookからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_facebook
グーグル	トグルボタンをクリックして、Googleからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_google
Atlassian	トグルボタンをクリックして、Atlassianからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_atlassian
Zscaler	トグルボタンをクリックして、Zscalerからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_zscaler
ZPA Zscaler	トグルボタンをクリックして、Zscaler Private Access(ZPA)からのフィードを有効にします。ZPAサービスは、企業内のアプリケーションやサービスへのセキュアなアクセスを提供します。事前定義されたクラウドフィード名— ipfilter_zscaler_zpa
オラクルOCI	トグルボタンをクリックして、Oracle ociからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_oracleoci
Cloudflare	トグルボタンをクリックして、Cloudflareからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_cloudflare
Zoom	トグルボタンをクリックして、Zoomからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_zoom
MicrosoftAzure	トグルボタンをクリックして、Microsoft Azureからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_microsoftazure Azure リージョンやサービスから、自分に関連する DAG フィードをフィルター処理して表示できます。AzureフィードのDAGフィルターを構成するには、構成をクリックし、DAGフィルターの追加と管理の手順に従います。
アマゾンAWS	トグルボタンをクリックして、AWSからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_amazonaws AWSリージョンやサービスから、自社に関連するDAGフィードをフィルターして表示できます。AWSフィードのDAGフィルターを設定するには、設定をクリックし、DAGフィルターの追加と管理の指示に従います。
Okuta	トグルボタンをクリックして、Oktaからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_okta
PayPal	トグルボタンをクリックして、PayPalからのフィードを有効にします。事前定義されたクラウドフィード名— ipfilter_PayPal

注:

Junos OSリリース19.4R1以降、サードパーティのURLフィードがジュニパーATPクラウドでサポートされるようになりました。
ランサムウェアトラッカーとマルウェアドメインリストは非推奨であるため、ランサムウェアトラッカーとマルウェアドメインリストのIPフィードはジュニパーATPクラウドではサポートされていません。以前にこのフィードを有効にしていた場合は、これらのフィードを受信できなくなる可能性があります。
サードパーティのインターネットサービスフィードの更新間隔は1日です。

他のC&Cフィードや感染ホストフィードと同様に、有効なサードパーティフィードが機能するには、SRXシリーズファイアウォール上のSecIntelポリシーが必要です。ここでは、コマンドの例を示します。詳細については、『ジュニパー Advanced Threat Prevention Cloud CLI リファレンスガイド』をご覧ください。

SRXシリーズファイアウォールで、SecIntelプロファイルを設定します

set services security-intelligence profile secintel_profile category CC

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

set services security-intelligence profile secintel_profile rule secintel_rule then action block close

set services security-intelligence profile secintel_profile rule secintel_rule then log

set services security-intelligence profile secintel_profile default-rule then action permit

set services security-intelligence profile secintel_profile default-rule then log

set services security-intelligence profile ih_profile category Infected-Hosts

set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

set services security-intelligence profile ih_profile rule ih_rule then action block close

set services security-intelligence profile ih_profile rule ih_rule then log

set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

set services security-intelligence policy secintel_policy CC secintel_profile
SecIntelポリシーは、SRXシリーズファイアウォールポリシーにも追加する必要があります。

SRXシリーズファイアウォールで、セキュリティポリシーを設定します。以下のコマンドを入力して、検査プロファイル用のSRXシリーズファイアウォールにセキュリティポリシーを作成します。

set security policies from-zone trust to-zone untrust policy 1 match source-address any

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

使用可能なCLIコマンドを使用してジュニパー ATP CloudでSRXシリーズを設定する方法の詳細については、ジュニパー Advanced Threat Prevention Cloud CLIリファレンスガイドを参照してください。

office365フィードの使用

ジュニパー ATP クラウドでoffice365 フィードを使用するチェックボックスを有効にすると、Microsoft Office 365 サービスエンドポイント情報(IP アドレス)が SRXシリーズファイアウォールにプッシュされます。office365フィードは、このページにある他のフィードとは異なる仕組みであり、事前定義された名前である「ipfilter_office365」など、特定の設定パラメーターが必要です。
チェックボックスを有効にしたら、次のようにipfilter_office365フィードを参照する動的アドレスオブジェクトをSRXシリーズファイアウォール上に作成する必要があります。

set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

注:
セキュリティポリシーは、送信元または宛先アドレスの動的アドレスエントリー名(この例では「office365」)を参照できます。

セキュリティポリシーの例は次のとおりです。

次のコマンドを使用して、office365フィードがSRXシリーズファイアウォールにプッシュされたことを確認します。 Update Status に Store succeeded.が表示されるはずです。

show services security-intelligence category summary

次のコマンドを使用して、IPFILTERの下にすべての個々のフィードを表示します。

show security dynamic-address category-name IPFilter

SecIntelフィードの概要とメリット

関連ドキュメント