Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SecIntel フィードの概要とメリット

SecIntelは、ジュニパーネットワークスのAdvanced Threat Prevention(ATP)クラウド、Juniper Threat Labs、Dynamic Address Group(DAG)、および業界をリードする脅威フィードから、厳選および検証された脅威インテリジェンスをMXシリーズルーター、SRXシリーズファイアウォール、NFXシリーズネットワークサービスプラットフォームに提供し、コマンドアンドコントロール(C&C)通信をラインレートでブロックします。SecIntelは、自動かつ応答性の高いトラフィックフィルタリングを可能にすることで、リアルタイムの脅威インテリジェンスを提供します。

SecIntel は EX シリーズおよび QFX シリーズ スイッチと統合し、これらのスイッチが SecIntel の感染したホストフィードを購読できるようにします。これにより、スイッチのポートで侵害されたホストをブロックできます。SecIntel をネットワーク全体に拡張し、セキュリティ強化ポイントの数を増やすことができるようになりました。

SecIntelフィードの利点

現在のライセンスで使用できるすべてのデフォルトフィードを表示できます。

このページを使用して、次のフィードを有効にしてJuniper ATPクラウドと統合できます。

  • ジュニパーの脅威フィード

  • サードパーティ脅威フィード - IP 脅威フィードと URL 脅威フィード。

  • 動的アドレスグループフィード - ジュニパーの DAG フィードとサードパーティーの DAG フィード。

メモ:

SecIntel フィードの有効期限は、フィードごとに異なる有効期限(TTL)値によって異なります。

メモ:

CC フィードの総数は 32 で、そのうち 4 つのフィードはcc_ip、cc_url、cc_ipv6、および cc_cert_sha1 用に予約されています。そのため、CC カテゴリに対して最大 28 個のフィード(CC カスタムフィードと CC サードパーティフィードを含む)を有効にできます。この制限は、利用可能なオープン API を使用して追加のフィードを挿入する場合に適用されます。

外部フィードを有効にしているかどうかを知るための情報:

  • 有効な外部フィードでヒットが検出された場合、このイベントは脅威レベル 10 > [脅威ソースの監視] の下に表示されます。

  • 登録済みのSRXシリーズファイアウォールでは、各フィードの許可またはブロックアクションでポリシーを設定できます。C&Cフィードおよび感染したホストフィードが機能するためには、SRXシリーズファイアウォールで有効なセキュリティインテリジェンスポリシーが必要です。

  • 外部フィードは 24 時間ごとに更新されます。

警告:

これらはサードパーティーによって管理されるオープンソースのフィードであり、フィードの正確性の判断はJuniper ATP Cloud管理者に任されていることを理解してください。ジュニパーは、これらのフィードによって生成された誤検知は調査しません。

警告:

設定されたSRXシリーズポリシーは、有効なサードパーティフィードに基づいて悪意のあるIPアドレスをブロックしますが、これらのイベントはホストの脅威スコアには影響しません。Juniper ATPクラウドフィードからのイベントのみがホストの脅威スコアに影響します。

使用可能なフィードを有効にするには、次の手順を実行します。

  1. SecIntel フィード>>フィード構成の構成に移動します。

  2. フィードごとに、トグル ボタンを選択してフィードを有効にします。 表 1 のガイドラインを参照してください。

    メモ:

    感染したホストフィードは、すべてのライセンス階層で有効です。その他のJuniper SecIntelフィードは、アドバンスドライセンスでのみ有効です。

    [ フィード サイトに移動 ] リンクをクリックすると、フィードの内容などのフィード情報が表示されます。

    表 1: SecIntel フィード

    フィールド

    ガイドライン

    ジュニパー脅威フィード

    コマンドとコントロール

    C&C フィードが有効になっているかどうかを表示します。

    悪意のあるドメイン

    DNS フィードが有効になっているかどうかを表示します。

    感染したホストフィード

    感染したホストフィードが有効になっているかどうかが表示されます。

    サードパーティの脅威フィード

    IP脅威フィード

    ブロックリスト

    切り替えボタンをクリックして、ブロックリストフィードをサードパーティフィードとして有効にします。

    事前定義されたクラウドフィード名—cc_ip_blocklist。

    Threatfox IP

    トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。

    事前定義されたクラウドフィード名—cc_ip_threatfox。

    フェオドトラッカー

    トグルボタンをクリックして、Feodoフィードをサードパーティのフィードとして有効にします。

    事前定義されたクラウドフィード名—cc_ip_feodotracker。

    Dシールド

    切り替えボタンをクリックして、DShield フィードをサードパーティ フィードとして有効にします。

    事前定義されたクラウドフィード名—cc_ip_dhield。

    Tor

    トグルボタンをクリックして、Torフィードをサードパーティのフィードとして有効にします。

    事前定義されたクラウドフィード名—cc_ip_tor。

    URL脅威フィード

    Threatfox URL

    トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。ThreatFoxは、マルウェアに関連する侵害の指標(IOC)をinfosecコミュニティ、AVベンダー、脅威インテリジェンスプロバイダーと共有することを目的とした abuse.ch の無料プラットフォームです。IOC には、IP アドレス、ドメイン名、または URL を指定できます。

    事前定義されたクラウドフィード名—cc_url_threatfox。

    URLhaus URL 脅威フィード

    切り替えボタンをクリックして、URLhausフィードをサードパーティのフィードとして有効にします。URLhausは、マルウェアの配布に使用される悪意のあるURLを共有する脅威インテリジェンスフィードです。

    事前定義されたクラウドフィード名—cc_url_urlhaus。

    オープンフィッシング

    トグルボタンをクリックして、OpenPhishフィードをサードパーティのフィードとして有効にします。OpenPhishは、フィッシングインテリジェンスのための完全に自動化された自己完結型プラットフォームです。フィッシングサイトを特定し、人間の介入やブロックリストなどの外部リソースを使用せずに、リアルタイムでインテリジェンス分析を実行します。マルウェアを検査する場合、SecIntel はこのフィードの URL を使用してトラフィックを分析します。

    事前定義されたクラウドフィード名—cc_url_openphish。

    ドメイン脅威フィード

    Threatfoxドメイン

    トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。

    事前定義されたクラウドフィード名—cc_domain_threatfox。

    動的アドレスグループフィード

    ジュニパーDAGフィード

    GeoIPフィード

    GeoIP フィードが有効になっているかどうかを表示します。GeoIP フィードは、IP アドレスと地理的リージョンの最新のマッピングです。これにより、世界の特定の地域との間のトラフィックをフィルタリングすることができます。

    サードパーティの DAG フィード

    オフィス365

    切り替えボタンをクリックして、office365 IP フィルター フィードをサード パーティのフィードとして有効にします。office365 IP フィルター フィードは、セキュリティ ポリシーで使用できる Office 365 サービス エンドポイントの公開された IP アドレスの最新の一覧です。このフィードは、このページの他のフィードとは動作が異なり、定義済みのクラウド フィード名「ipfilter_office365」など、特定の構成パラメーターが必要です。このページの下部にある、このフィードを使用するためのコマンドの使用方法など、 set security dynamic-address 詳細な手順を参照してください。

    事前定義されたクラウドフィード名— ipfilter_office365

    Facebook

    切り替えボタンをクリックして、Facebookからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_facebook

    Google

    切り替えボタンをクリックして、Google からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_google

    アトラシアン

    切り替えボタンをクリックして、アトラシアンからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_atlassian

    ズスケーラー

    トグル ボタンをクリックして、Zscaler からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_zscaler

    ZPA Zscaler

    トグル ボタンをクリックして、Zscaler プライベート アクセス (ZPA) からのフィードを有効にします。ZPA サービスは、組織内のアプリケーションとサービスへの安全なアクセスを提供します。

    事前定義されたクラウドフィード名— ipfilter_zscaler_zpa

    オラクルOCI

    トグル・ボタンをクリックして、Oracle ociからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_oracleoci

    クラウドフレア

    トグルボタンをクリックして、Cloudflareからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_cloudflare

    ズーム

    切り替えボタンをクリックして、Zoom からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_zoom

    マイクロソフトアズール

    切り替えボタンをクリックして、Microsoft Azure からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_microsoftazure

    アマゾaws

    切り替えボタンをクリックして、Amazon AWS からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_amazonaws

    自分に関連する AWS リージョンとサービスからの DAG フィードをフィルタリングして表示できます。DAG フィルターを構成するには、次の手順を実行します。

    1. [ 構成] をクリックします。

      [DAG フィルター] ページが表示されます。詳細については、「 DAG フィルターの構成」を参照してください。

    オクタ

    トグルボタンをクリックして、Oktaからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_okta

    Paypal

    トグルボタンをクリックして、Paypalからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_paypal

    メモ:
    • Junos OS Release 19.4R1以降、サードパーティーのURLフィードがJuniper ATPクラウドでサポートされます。

    • ランサムウェアトラッカーとマルウェアドメインリストは非推奨となったため、ランサムウェアトラッカーとマルウェアドメインリストのIPフィードはJuniper ATPクラウドではサポートされていません。以前にこのフィードを有効にしていた場合は、これらのフィードの受信を停止する可能性があります。

    • サードパーティのインターネット サービス フィードの更新間隔は 1 日です。
  3. 他のC&Cフィードや感染したホストフィードと同様に、有効なサードパーティフィードが機能するためには、SRXシリーズファイアウォールにセキュリティインテリジェンスポリシーが必要です。ここでは、コマンドの例を紹介します。詳細については、 Juniper Advanced Threat Prevention Cloud CLI リファレンスガイド を参照してください。

    • SRXシリーズファイアウォールの場合: セキュリティインテリジェンスプロファイルの設定

      set services security-intelligence profile secintel_profile category CC

      set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

      set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

      set services security-intelligence profile secintel_profile rule secintel_rule then action block close

      set services security-intelligence profile secintel_profile rule secintel_rule then log

      set services security-intelligence profile secintel_profile default-rule then action permit

      set services security-intelligence profile secintel_profile default-rule then log

      set services security-intelligence profile ih_profile category Infected-Hosts

      set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

      set services security-intelligence profile ih_profile rule ih_rule then action block close

      set services security-intelligence profile ih_profile rule ih_rule then log

      set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

      set services security-intelligence policy secintel_policy CC secintel_profile

  4. セキュリティインテリジェンスポリシーは、SRXシリーズファイアウォールポリシーにも追加する必要があります。

    • SRXシリーズファイアウォールの場合:セキュリティポリシーを設定します(以下のコマンドを入力して、SRXシリーズファイアウォールで検査プロファイルのセキュリティポリシーを作成します)。

      set security policies from-zone trust to-zone untrust policy 1 match source-address any

      set security policies from-zone trust to-zone untrust policy 1 match destination-address any

      set security policies from-zone trust to-zone untrust policy 1 match application any

      set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

      set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

    利用可能なCLIコマンドを使用してJuniper ATPクラウドでSRXシリーズを設定する方法の詳細については、 『Juniper Advanced Threat Prevention Cloud CLIリファレンスガイド』を参照してください。

office365 フィードの使用

  1. Juniper ATP Cloudの[office365フィードを使用する ]チェックボックスをオンにして、Microsoft Office 365サービスのエンドポイント情報(IPアドレス)をSRXシリーズファイアウォールにプッシュします。office365 フィードは、このページの他のフィードとは動作が異なり、"ipfilter_office365" という定義済みの名前を含む特定の構成パラメーターが必要です。

  2. チェックボックスを有効にした後、次のようにipfilter_office365フィードを参照する動的アドレスオブジェクトをSRXシリーズファイアウォール上に作成する必要があります:

    • set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

      メモ:

      その後、セキュリティ ポリシーは、送信元アドレスまたは宛先アドレスの動的アドレス エントリ名 (この例では 'office365') を参照できます。

    セキュリティポリシーの例を以下に示します。

次のコマンドを使用して、office365フィードがSRXシリーズファイアウォールにプッシュされたことを確認します。Update status ( 表示 Store succeeded.する必要があります )

  • show services security-intelligence category summary

次のコマンドを使用して、IPFILTER の下にある個々のフィードをすべて表示します。

  • show security dynamic-address category-name IPFilter