許可リストとブロックリストの作成
これらのページには、>許可リストまたはブロックリストの設定からアクセスします。
これらのページを使用して、カスタムの信頼できるリストと信頼できないリストを構成します。ハッシュファイルをアップロードすることもできます。
許可リスト上の場所からダウンロードされたコンテンツは信頼されており、マルウェアの検査を行う必要はありません。ブロックリストにある場所は信頼できないため、ホストはブロックリストにある場所からコンテンツをダウンロードできません。
-
「許可リストとブロックリストの概要」トピックをお読みください。
-
定義する項目のタイプ(URL、IP、ハッシュ、電子メール送信者、C&C、ETI、DNS)を決定します。
-
現在のリスト エントリを確認して、追加する項目が存在しないことを確認します。
-
ハッシュファイルをアップロードする場合、ファイルはテキストファイル(TXT)に含まれており、各ハッシュは1行である必要があります。
Juniper ATP Cloudの許可リストを作成するには:
[
] を選択します。「 許可リストでサポートされているタイプ」に記載されているタイプのいずれかを選択します。
表 1: 許可リストでサポートされるタイプ 種類
情報
マルウェア対策
IPアドレス、URL、ファイル ハッシュ、電子メール送信者
SecIntel
C&C の IP アドレスとドメイン
ETI
IPアドレスとホスト名
DNS
ドメイン
リバースシェル
宛先 IP アドレスとドメイン
手記:ドメインとは、完全修飾ドメイン名 (FQDN) を指します。
必要な情報を入力します。
[ OK] をクリックします。
Juniper ATP Cloud ブロックリストを作成するには、次の手順に従います。
[
] を選択します。ブロック リストでサポートされるタイプに記載されているタイプのいずれかを選択します。
表 2:ブロックリストでサポートされるタイプ 種類
情報
マルウェア対策
IPアドレス、URL、ファイル ハッシュ、電子メール送信者
SecIntel
C&C の IP アドレスとドメイン
必要な情報を入力します。
[ OK] をクリックします。
各タイプに必要なデータについては、次の表を参照してください。
IP
新しい IP リスト アイテムを作成するときは、リストの [タイプ] を [IP] として選択する必要があります。必要な情報を入力する必要があります。次の表を参照してください。
設定 |
ガイドライン |
---|---|
IP |
IPv4 または IPv6 の IP アドレスを入力します。たとえば、1.2.3.4 や 0:0:0:0:0:FFFF:0102:0304 などです。CIDR 表記と IP アドレス範囲も受け入れられます。 IPv4 形式は、1.2.3.4、1.2.3.4/30、または 1.2.3.4-1.2.3.6 のいずれかが有効です。 IPv6 形式は、1111::1、1111::1-1111::9、または 1111:1::0/64 のいずれかが有効です。
手記:
アドレス範囲: /16 IPv4 アドレスと /48 IPv6 アドレスのブロックのみが受け入れられます。たとえば、10.0.0.0-10.0.255.255 は有効ですが、10.0.0.0-10.1.0.0 は無効です。 ビットマスク: サブネット レコードのビットマスクでカバーされる IP アドレスの最大数は、IPv4 の場合は 16 個、IPv6 の場合は 48 個です。たとえば、10.0.0.0/15 と 1234::/47 は無効です。 |
手記:
既存の許可リストまたはブロックリストの IP エントリを編集するには、編集するエントリの横にあるチェックボックスをオンにし、鉛筆アイコンをクリックして [OK] をクリックします。 |
URL (英語)
新しい URL リスト アイテムを作成するときは、[リストの種類] で [URL] を選択する必要があります。必要な情報を入力します。次の表を参照してください。
設定 |
ガイドライン |
---|---|
URL (英語) |
URL を「juniper.net」の形式で入力します。ワイルドカードとプロトコルは有効なエントリではありません。システムは、URL の先頭と末尾にワイルドカードを自動的に追加します。したがって、juniper.net は a.juniper.net、a.b.juniper.net、および a.juniper.net/abc にも一致します。a.juniper.net を明示的に入力すると、b.a.juniper.net には一致しますが、c.juniper.net には一致しません。特定のパスを入力できます。「juniper.net/abc」と入力すると、x.juniper.net/abc には一致しますが、x.juniper.net/123 には一致しません。 |
手記:
既存の許可リストまたはブロックリストの URL エントリを編集するには、編集するエントリの横にあるチェックボックスをオンにし、鉛筆アイコンをクリックして [OK] をクリックします。 |
ハッシュ ファイル
ハッシュ ファイルをアップロードするときは、各ハッシュが 1 行で記述された TXT である必要があります。実行中のハッシュ ファイルは 1 つだけです。追加または編集するには、次の表の手順を参照してください。
畑 |
ガイドライン |
---|---|
フィルタリング用のカスタム許可リストハッシュとブロックリストハッシュを追加できますが、これらのハッシュは、各エントリが 1 行の TXT にリストする必要があります。最大 15,000 個のファイル ハッシュを含む実行中のハッシュ ファイルは 1 つだけです。このファイルには「現在の」リストが含まれていますが、いつでも追加、編集、削除できます。 |
|
SHA-256 ハッシュ項目 |
ハッシュエントリに追加するには、複数のTXTをアップロードすると、自動的に1つのファイルに結合されます。以下のすべて、マージ、削除、および置換オプションを参照してください。 [ダウンロード(Download)]:テキスト ファイルを表示または編集する場合は、このボタンをクリックすると、テキスト ファイルがダウンロードされます。 [ ハッシュ ファイル項目のアップロード オプションの選択(Select Hash File Items Upload Option )] ドロップダウン リストから、次のオプションのいずれかを選択できます。
[すべて削除 ] または [選択項目を削除] - 現在のリストをダウンロードして編集するよりも、削除する方が効率的な場合があります。このボタンをクリックすると、現在選択されているリスト、またはここに追加および蓄積されているすべてのリストが削除されます。 |
源 |
これは、許可リストまたはブロックリストのいずれかを示します。 |
追加日 |
ハッシュ ファイルが最後にアップロードまたは編集された月、日、年、時刻。 |
メール送信者
メール通信の送信者または受信者で見つかった場合は、許可リストまたはブロックリストにするメールアドレスを追加します。アドレスを 1 つずつ追加するには、[ + ] アイコンを使用します。
畑 |
ガイドライン |
---|---|
アドレス |
name@domain.com の形式でメールアドレスを入力します。ワイルドカードと部分一致はサポートされていませんが、ドメイン全体を含める場合は、次のようにドメインのみを入力できます domain.com |
メールがブロックリストに一致する場合、そのメールは悪意があると見なされ、悪意のある添付ファイルを含むメールと同じように処理されます。メールがブロックされ、代わりのメールが送信されます。メールが許可リストと一致する場合、そのメールはスキャンなしで許可されます。「 隔離されたメールの概要」を参照してください。 攻撃者は電子メールの「差出人」メールアドレスを簡単に偽ることができるため、ブロックリストは悪意のある電子メールを阻止するための効果的な方法ではないことは注目に値します。 |
C&Cサーバー
C&Cサーバーを許可リストに登録すると、IPまたはホスト名がSRXシリーズファイアウォールに送信され、セキュリティインテリジェンスのブロックリストまたはC&Cフィード(ジュニパーのグローバル脅威フィードとサードパーティフィードの両方)から除外されます。サーバーは C&C 許可リスト管理ページにも表示されます。
C&Cサーバーのデータを手動で入力するか、サーバーのリストをアップロードすることができます。そのリストは、各IPまたはドメインが独自の1行にあるTXTである必要があります。TXT には、すべての IP またはすべてのドメインを、それぞれ独自のファイルに含める必要があります。複数のファイルを一度に 1 つずつアップロードできます。
また、脅威インテリジェンス API を使用して、許可リストとブロックリストのエントリを管理することもできます。許可リスト/ブロックリスト データにエントリを追加すると、脅威インテリジェンス API で「whitelist_domain」または「whitelist_ip」、「blacklist_domain」または「blacklist_ip」のフィード名で利用できるようになります。APIを使用したカスタムフィードの管理の詳細については、 Juniper ATP Cloud脅威インテリジェンスオープンAPIセットアップガイド を参照してください。
畑 |
ガイドライン |
---|---|
種類 |
[IP] を選択して、許可リストに追加する C&C サーバーの IP アドレスを入力します。[ドメイン] を選択して、C&C サーバーリストでドメイン全体を許可リストに登録します。 |
IP またはドメイン |
[IP] に、IPv4 または IPv6 アドレスを入力します。IPには、IPアドレス、IP範囲、またはIPサブネットを指定できます。domain には、構文 juniper.net を使用します。ワイルドカードはサポートされていません。 |
形容 |
アイテムがリストに追加された理由を示す説明を入力します。 |
また、[C&C 監視] ページの詳細ビューから直接 C&C サーバーを許可リストに登録することもできます。 コマンドおよびコントロールサーバー:詳しくを参照してください。
警告:
C&C サーバを許可リストに追加すると、修正プロセスが自動的にトリガーされ、リストに登録された C&C サーバに接続した影響を受けるホスト(そのレルム内)が更新されます。この許可リストに登録されたサーバーに関連するすべての C&C イベントは、影響を受けるホストのイベントから削除され、ホストの脅威レベルの再計算が行われます。 この再計算中にホスト スコアが変更されると、再スコアリングされた理由を説明する新しいホスト イベントが表示されます。(例:「C&Cサーバー1.2.3.4がクリアされた後にホストの脅威レベルが更新されました」など)また、このサーバはクリアされたため、C&C サーバのリストに表示されなくなります。 |
暗号化されたtraffic insights(ETI)
encrypted traffic analysisから許可リストに登録するIPアドレスまたはドメイン名を指定できます。このタブを使用して、encrypted traffic 分析の許可リストを追加、変更、または削除します。
畑 |
ガイドライン |
---|---|
種類 |
許可リストの IP アドレスとドメイン名のどちらを指定するかを選択します。 |
IP またはドメイン |
許可リストの IP アドレスまたはドメイン名を入力します。 |
ドメイン生成アルゴリズム(DNS)
DNSフィルタリングから許可リストに登録するドメインを指定できます。このタブを使用して、DNS フィルタリングの許可リストを追加、変更、または削除します。
畑 |
ガイドライン |
---|---|
URL (英語) |
許可リストに登録するドメインの URL を入力します。 |
コメント |
ドメインがリストに追加された理由を示す説明を入力します。 |
リバースシェル
リバースシェル検出から許可リストに登録するIPアドレスまたはドメインを指定できます。このタブを使用して、リバースシェル検出の許可リストを追加、変更、または削除します。
畑 |
ガイドライン |
---|---|
IP |
許可リストの IP アドレスを入力します。 |
URL (英語) |
許可リストに登録するドメインの URL を入力します。 |
Juniper ATP Cloudは、新しいコンテンツと更新されたコンテンツを定期的にポーリングし、自動的にSRXシリーズファイアウォールにダウンロードします。許可リストやブロックリストのファイルを手動でプッシュする必要はありません。