SecIntel フィードの概要とメリット
SecIntelは、ジュニパーネットワークスのAdvanced Threat Prevention(ATP)クラウド、Juniper Threat Labs、Dynamic Address Group(DAG)、および業界をリードする脅威フィードから、厳選および検証された脅威インテリジェンスをMXシリーズルーター、SRXシリーズファイアウォール、NFXシリーズネットワークサービスプラットフォームに提供し、コマンドアンドコントロール(C&C)通信をラインレートでブロックします。SecIntelは、自動かつ応答性の高いトラフィックフィルタリングを可能にすることで、リアルタイムの脅威インテリジェンスを提供します。
SecIntel は EX シリーズおよび QFX シリーズ スイッチと統合し、これらのスイッチが SecIntel の感染したホストフィードを購読できるようにします。これにより、スイッチのポートで侵害されたホストをブロックできます。SecIntel をネットワーク全体に拡張し、セキュリティ強化ポイントの数を増やすことができるようになりました。
SecIntelフィードの利点
現在のライセンスで使用できるすべてのデフォルトフィードを表示できます。
このページを使用して、次のフィードを有効にしてJuniper ATPクラウドと統合できます。
-
ジュニパーの脅威フィード
-
サードパーティ脅威フィード - IP 脅威フィードと URL 脅威フィード。
-
動的アドレスグループフィード - ジュニパーの DAG フィードとサードパーティーの DAG フィード。
SecIntel フィードの有効期限は、フィードごとに異なる有効期限(TTL)値によって異なります。
CC フィードの総数は 32 で、そのうち 4 つのフィードはcc_ip、cc_url、cc_ipv6、および cc_cert_sha1 用に予約されています。そのため、CC カテゴリに対して最大 28 個のフィード(CC カスタムフィードと CC サードパーティフィードを含む)を有効にできます。この制限は、利用可能なオープン API を使用して追加のフィードを挿入する場合に適用されます。
外部フィードを有効にしているかどうかを知るための情報:
-
有効な外部フィードでヒットが検出された場合、このイベントは脅威レベル 10 > [脅威ソースの監視] の下に表示されます。
-
登録済みのSRXシリーズファイアウォールでは、各フィードの許可またはブロックアクションでポリシーを設定できます。C&Cフィードおよび感染したホストフィードが機能するためには、SRXシリーズファイアウォールで有効なセキュリティインテリジェンスポリシーが必要です。
-
外部フィードは 24 時間ごとに更新されます。
これらはサードパーティーによって管理されるオープンソースのフィードであり、フィードの正確性の判断はJuniper ATP Cloud管理者に任されていることを理解してください。ジュニパーは、これらのフィードによって生成された誤検知は調査しません。
設定されたSRXシリーズポリシーは、有効なサードパーティフィードに基づいて悪意のあるIPアドレスをブロックしますが、これらのイベントはホストの脅威スコアには影響しません。Juniper ATPクラウドフィードからのイベントのみがホストの脅威スコアに影響します。
使用可能なフィードを有効にするには、次の手順を実行します。
-
SecIntel フィード>>フィード構成の構成に移動します。
-
フィードごとに、トグル ボタンを選択してフィードを有効にします。 表 1 のガイドラインを参照してください。
メモ:感染したホストフィードは、すべてのライセンス階層で有効です。その他のJuniper SecIntelフィードは、アドバンスドライセンスでのみ有効です。
[ フィード サイトに移動 ] リンクをクリックすると、フィードの内容などのフィード情報が表示されます。
表 1: SecIntel フィード フィールド
ガイドライン
ジュニパー脅威フィード コマンドとコントロール
C&C フィードが有効になっているかどうかを表示します。
悪意のあるドメイン
DNS フィードが有効になっているかどうかを表示します。
感染したホストフィード
感染したホストフィードが有効になっているかどうかが表示されます。
サードパーティの脅威フィード IP脅威フィード
ブロックリスト
切り替えボタンをクリックして、ブロックリストフィードをサードパーティフィードとして有効にします。
事前定義されたクラウドフィード名—cc_ip_blocklist。
Threatfox IP
トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。
事前定義されたクラウドフィード名—cc_ip_threatfox。
フェオドトラッカー
トグルボタンをクリックして、Feodoフィードをサードパーティのフィードとして有効にします。
事前定義されたクラウドフィード名—cc_ip_feodotracker。
Dシールド
切り替えボタンをクリックして、DShield フィードをサードパーティ フィードとして有効にします。
事前定義されたクラウドフィード名—cc_ip_dhield。
Tor
トグルボタンをクリックして、Torフィードをサードパーティのフィードとして有効にします。
事前定義されたクラウドフィード名—cc_ip_tor。
URL脅威フィード
Threatfox URL
トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。ThreatFoxは、マルウェアに関連する侵害の指標(IOC)をinfosecコミュニティ、AVベンダー、脅威インテリジェンスプロバイダーと共有することを目的とした abuse.ch の無料プラットフォームです。IOC には、IP アドレス、ドメイン名、または URL を指定できます。
事前定義されたクラウドフィード名—cc_url_threatfox。
URLhaus URL 脅威フィード
切り替えボタンをクリックして、URLhausフィードをサードパーティのフィードとして有効にします。URLhausは、マルウェアの配布に使用される悪意のあるURLを共有する脅威インテリジェンスフィードです。
事前定義されたクラウドフィード名—cc_url_urlhaus。
オープンフィッシング
トグルボタンをクリックして、OpenPhishフィードをサードパーティのフィードとして有効にします。OpenPhishは、フィッシングインテリジェンスのための完全に自動化された自己完結型プラットフォームです。フィッシングサイトを特定し、人間の介入やブロックリストなどの外部リソースを使用せずに、リアルタイムでインテリジェンス分析を実行します。マルウェアを検査する場合、SecIntel はこのフィードの URL を使用してトラフィックを分析します。
事前定義されたクラウドフィード名—cc_url_openphish。
ドメイン脅威フィード
Threatfoxドメイン
トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。
事前定義されたクラウドフィード名—cc_domain_threatfox。
動的アドレスグループフィード ジュニパーDAGフィード
GeoIPフィード
GeoIP フィードが有効になっているかどうかを表示します。GeoIP フィードは、IP アドレスと地理的リージョンの最新のマッピングです。これにより、世界の特定の地域との間のトラフィックをフィルタリングすることができます。
サードパーティの DAG フィード
オフィス365
切り替えボタンをクリックして、office365 IP フィルター フィードをサード パーティのフィードとして有効にします。office365 IP フィルター フィードは、セキュリティ ポリシーで使用できる Office 365 サービス エンドポイントの公開された IP アドレスの最新の一覧です。このフィードは、このページの他のフィードとは動作が異なり、定義済みのクラウド フィード名「ipfilter_office365」など、特定の構成パラメーターが必要です。このページの下部にある、このフィードを使用するためのコマンドの使用方法など、
set security dynamic-address
詳細な手順を参照してください。事前定義されたクラウドフィード名— ipfilter_office365
Facebook
切り替えボタンをクリックして、Facebookからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_facebook
Google
切り替えボタンをクリックして、Google からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_google
アトラシアン
切り替えボタンをクリックして、アトラシアンからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_atlassian
ズスケーラー
トグル ボタンをクリックして、Zscaler からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_zscaler
ZPA Zscaler
トグル ボタンをクリックして、Zscaler プライベート アクセス (ZPA) からのフィードを有効にします。ZPA サービスは、組織内のアプリケーションとサービスへの安全なアクセスを提供します。
事前定義されたクラウドフィード名— ipfilter_zscaler_zpa
オラクルOCI
トグル・ボタンをクリックして、Oracle ociからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_oracleoci
クラウドフレア
トグルボタンをクリックして、Cloudflareからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_cloudflare
ズーム
切り替えボタンをクリックして、Zoom からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_zoom
マイクロソフトアズール
切り替えボタンをクリックして、Microsoft Azure からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_microsoftazure
アマゾaws
切り替えボタンをクリックして、Amazon AWS からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_amazonaws
自分に関連する AWS リージョンとサービスからの DAG フィードをフィルタリングして表示できます。DAG フィルターを構成するには、次の手順を実行します。
-
[ 構成] をクリックします。
[DAG フィルター] ページが表示されます。詳細については、「 DAG フィルターの構成」を参照してください。
オクタ
トグルボタンをクリックして、Oktaからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_okta
Paypal
トグルボタンをクリックして、Paypalからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_paypal
メモ:-
Junos OS Release 19.4R1以降、サードパーティーのURLフィードがJuniper ATPクラウドでサポートされます。
-
ランサムウェアトラッカーとマルウェアドメインリストは非推奨となったため、ランサムウェアトラッカーとマルウェアドメインリストのIPフィードはJuniper ATPクラウドではサポートされていません。以前にこのフィードを有効にしていた場合は、これらのフィードの受信を停止する可能性があります。
- サードパーティのインターネット サービス フィードの更新間隔は 1 日です。
-
-
他のC&Cフィードや感染したホストフィードと同様に、有効なサードパーティフィードが機能するためには、SRXシリーズファイアウォールにセキュリティインテリジェンスポリシーが必要です。ここでは、コマンドの例を紹介します。詳細については、 Juniper Advanced Threat Prevention Cloud CLI リファレンスガイド を参照してください。
-
SRXシリーズファイアウォールの場合: セキュリティインテリジェンスプロファイルの設定
set services security-intelligence profile secintel_profile category CC
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9
set services security-intelligence profile secintel_profile rule secintel_rule then action block close
set services security-intelligence profile secintel_profile rule secintel_rule then log
set services security-intelligence profile secintel_profile default-rule then action permit
set services security-intelligence profile secintel_profile default-rule then log
set services security-intelligence profile ih_profile category Infected-Hosts
set services security-intelligence profile ih_profile rule ih_rule match threat-level 10
set services security-intelligence profile ih_profile rule ih_rule then action block close
set services security-intelligence profile ih_profile rule ih_rule then log
set services security-intelligence policy secintel_policy Infected-Hosts ih_profile
set services security-intelligence policy secintel_policy CC secintel_profile
-
-
セキュリティインテリジェンスポリシーは、SRXシリーズファイアウォールポリシーにも追加する必要があります。
-
SRXシリーズファイアウォールの場合:セキュリティポリシーを設定します(以下のコマンドを入力して、SRXシリーズファイアウォールで検査プロファイルのセキュリティポリシーを作成します)。
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut
set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy
利用可能なCLIコマンドを使用してJuniper ATPクラウドでSRXシリーズを設定する方法の詳細については、 『Juniper Advanced Threat Prevention Cloud CLIリファレンスガイド』を参照してください。
-
office365 フィードの使用
-
Juniper ATP Cloudの[office365フィードを使用する ]チェックボックスをオンにして、Microsoft Office 365サービスのエンドポイント情報(IPアドレス)をSRXシリーズファイアウォールにプッシュします。office365 フィードは、このページの他のフィードとは動作が異なり、"ipfilter_office365" という定義済みの名前を含む特定の構成パラメーターが必要です。
-
チェックボックスを有効にした後、次のようにipfilter_office365フィードを参照する動的アドレスオブジェクトをSRXシリーズファイアウォール上に作成する必要があります:
-
set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365
メモ:その後、セキュリティ ポリシーは、送信元アドレスまたは宛先アドレスの動的アドレス エントリ名 (この例では 'office365') を参照できます。
セキュリティポリシーの例を以下に示します。
policy o365 { match { source-address any; destination-address office365; application any; } then { deny; log { session-init; } } }
-
次のコマンドを使用して、office365フィードがSRXシリーズファイアウォールにプッシュされたことを確認します。Update status
( 表示 Store succeeded.
する必要があります )
-
show services security-intelligence category summary
Category name :IPFilter Status :Enable Description :IPFilter data Update interval :3600s TTL :3456000s Feed name :ipfilter_office365 Version :20180405.1 Objects number:934 Create time :2018-04-16 07:05:33 PDT Update time :2018-04-16 12:17:47 PDT Update status :Store succeeded Expired :No Options :N/A
次のコマンドを使用して、IPFILTER の下にある個々のフィードをすべて表示します。
-
show security dynamic-address category-name IPFilter
No. IP-start IP-end Feed Address 1 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 2 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 3 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 4 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 5 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 6 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 7 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 8 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 9 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 10 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 11 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 12 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 13 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365