許可リストとブロックリストの作成
これらのページには、[>許可リストまたはブロックリストの構成] からアクセスします。
これらのページを使用して、カスタムの信頼できるリストと信頼されていないリストを構成します。ハッシュファイルをアップロードすることもできます。
許可リストに登録されている場所からダウンロードされたコンテンツは信頼され、マルウェアの検査を受ける必要はありません。ホストは、ブロックリスト上の場所が信頼できないため、それらの場所からコンテンツをダウンロードできません。
「許可リストとブロックリストの概要」トピックをお読みください。
定義するアイテムのタイプを決定します:URL、IP、ハッシュ、電子メール送信者、C&C、ETI、またはDNS、
現在のリスト エントリを確認して、追加するアイテムがまだ存在しないことを確認します。
ハッシュ ファイルをアップロードする場合、ファイルはテキスト ファイル内にあり、各ハッシュは独自の 1 行に記述されている必要があります。
Juniper ATP Cloudの許可リストまたはブロックリストを作成するには、以下を行います。
各タブに必要なデータについては、次の表を参照してください。
Ip
新しい IP リスト アイテムを作成する場合は、[リストの種類] として [IP] を選択する必要があります。必要な情報を入力する必要があります。次の表を参照してください。
設定 |
ガイドライン |
---|---|
Ip |
IPv4 または IPv6 の IP アドレスを入力します。たとえば、1.2.3.4 や 0:0:0:0:0:0:FFFF:0102:0304 などです。CIDR 表記と IP アドレス範囲も使用できます。 次の IPv4 形式のいずれかが有効です: 1.2.3.4、1.2.3.4/30、または 1.2.3.4-1.2.3.6。 IPv6 形式は、1111::1、1111::1-1111::9、または 1111:1::0/64 のいずれかが有効です。
メモ:
アドレス範囲: /16 IPv4 アドレスと /48 IPv6 アドレスのブロックしか受け入れられません。たとえば、10.0.0.0-10.0.255.255 は有効ですが、10.0.0.0-10.1.0.0 は有効ではありません。 ビットマスク: IPv4 のサブネット レコードでビットマスクでカバーされる IP アドレスの最大数は 16 で、IPv6 の IP アドレスの最大量は 48 です。たとえば、10.0.0.0/15 と 1234::/47 は無効です。 |
メモ:
既存の許可リストまたはブロックリストの IP エントリを編集するには、編集するエントリの横にあるチェックボックスをオンにし、鉛筆アイコンをクリックして [ OK] をクリックします。 |
Url
新しい URL リスト アイテムを作成する場合は、[リストの種類: URL] を選択する必要があります。必要な情報を入力します。次の表を参照してください。
設定 |
ガイドライン |
---|---|
Url |
juniper.net の形式で URL を入力します。ワイルドカードとプロトコルは有効なエントリではありません。システムは、URL の先頭と末尾にワイルドカードを自動的に追加します。したがって、juniper.net は a.juniper.net、a.b.juniper.net、および a.juniper.net/abc にも一致します。明示的に a.juniper.net を入力すると、b.a.juniper.net には一致しますが、c.juniper.net には一致しません。特定のパスを入力できます。juniper.net/abc と入力すると、x.juniper.net/abc は一致しますが、x.juniper.net/123 は一致しません。 |
メモ:
既存の許可リストまたはブロックリストの URL エントリを編集するには、編集するエントリの横にあるチェックボックスをオンにし、鉛筆アイコンをクリックして [ OK] をクリックします。 |
ハッシュ ファイル
ハッシュ ファイルをアップロードするときは、各ハッシュが独自の 1 行で記述されたテキスト ファイルに含まれている必要があります。実行中のハッシュ ファイルは 1 つだけです。追加または編集するには、次の表の手順を参照してください。
フィールド |
ガイドライン |
---|---|
フィルタリング用にカスタムの許可リストハッシュとブロックリストハッシュを追加できますが、各エントリを1行でテキストファイルにリストする必要があります。最大 15,000 個のファイル ハッシュを含む実行中のハッシュ ファイルは 1 つだけです。これは「現在の」リストですが、いつでも追加、編集、削除できます。 |
|
SHA-256 ハッシュ項目 |
ハッシュエントリに追加するには、複数のテキストファイルをアップロードすると、それらは自動的に1つのファイルに結合されます。以下のすべてのオプション、マージ、削除、置換オプションを参照してください。 [ダウンロード(Download)]:テキスト ファイルを表示または編集する場合に、このボタンをクリックしてファイルをダウンロードします。 [ハッシュ ファイル アイテムのアップロード オプションの選択] ドロップダウン リストから、次のいずれかのオプションを選択できます。
[すべて削除 ] または [選択項目を削除] - 現在のリストをダウンロードして編集するよりも、削除する方が効率的な場合があります。このボタンをクリックすると、現在選択されているリスト、またはここで追加および蓄積されているすべてのリストが削除されます。 |
ソース |
これは、許可リストまたはブロックリストのいずれかを示します。 |
追加日 |
ハッシュ ファイルが最後にアップロードまたは編集された月、日付、年、および時刻。 |
メール送信者
メール通信の送信者または受信者に見つかった場合は、許可リストまたはブロックリストに登録するメールアドレスを追加します。 + アイコンを使用して、アドレスを 1 つずつ追加します。
フィールド |
ガイドライン |
---|---|
メールアドレス |
電子メール アドレスを name@domain.com の形式で入力します。ワイルドカードと部分一致はサポートされていませんが、ドメイン全体を含める場合は、次のようにドメインのみを入力できます。 domain.com |
電子メールがブロックリストに一致する場合、それは悪意のあるものと見なされ、悪意のある添付ファイルを含む電子メールと同じ方法で処理されます。メールがブロックされ、代わりのメールが送信されます。メールが許可リストと一致する場合、そのメールはスキャンなしで許可されます。 隔離された電子メールの概要を参照してください。 攻撃者は電子メールの「差出人」電子メールアドレスを簡単に偽造できるため、ブロックリストは悪意のある電子メールを阻止するための効果的な方法ではないことに注意してください。 |
C&C サーバー
C&Cサーバーを許可リストに登録すると、IPまたはホスト名がSRXシリーズファイアウォールに送信され、セキュリティインテリジェンスブロックリストまたはC&Cフィード(ジュニパーのグローバル脅威フィードとサードパーティフィードの両方)から除外されます。サーバーは、C&C許可リスト管理ページにもリストされます。
C&Cサーバーデータを手動で入力するか、サーバーのリストをアップロードできます。そのリストは、各IPまたはドメインが独自の1行に記述されたテキストファイルである必要があります。テキスト ファイルには、すべての IP またはすべてのドメインをそれぞれ独自のファイルに含める必要があります。複数のファイルを 1 つずつアップロードできます。
また、脅威インテリジェンス API を使用して、許可リストとブロックリストのエントリを管理することもできます。許可リスト/ブロックリストデータにエントリを追加すると、脅威インテリジェンスAPIで「whitelist_domain」または「whitelist_ip」、および「blacklist_domain」または「blacklist_ip」のフィード名で利用できます。APIを使用してカスタムフィードを管理する方法の詳細については、 ジュニパーATPクラウド脅威インテリジェンスオープンAPIセットアップガイド を参照してください。
フィールド |
ガイドライン |
---|---|
型 |
[IP] を選択して、許可リストに追加する C&C サーバーの IP アドレスを入力します。C&Cサーバーリストでドメイン全体を許可リストに登録するには、[ドメイン]を選択します。 |
IP またはドメイン |
[IP] に、IPv4 または IPv6 アドレスを入力します。IP には、IP アドレス、IP 範囲、または IP サブネットを指定できます。ドメインの場合は、次の構文を使用します: juniper.net。ワイルドカードはサポートされていません。 |
説明 |
項目がリストに追加された理由を示す説明を入力します。 |
C&C監視ページの詳細ビューから直接C&Cサーバーを許可リストに登録することもできます。 コマンドおよび制御サーバ: 詳細情報を参照してください。
警告:
C&Cサーバーを許可リストに追加すると、修復プロセスが自動的にトリガーされ、リストに登録されているC&Cサーバーに接続した影響を受けるホスト(そのレルム内)が更新されます。この許可リストに登録されたサーバーに関連するすべてのC&Cイベントは、影響を受けるホストのイベントから削除され、ホストの脅威レベルの再計算が行われます。 この再計算中にホスト スコアが変更されると、再スコアリングされた理由を説明する新しいホスト イベントが表示されます。(例: "C&C サーバー 1.2.3.4 がクリアされた後にホストの脅威レベルが更新されました。")さらに、サーバーはクリアされているため、C&C サーバーの一覧に表示されなくなります。 |
暗号化されたトラフィックのインサイト(ETI)
暗号化されたトラフィック分析から許可リストに登録する IP アドレスまたはドメイン名を指定できます。このタブを使用して、暗号化されたトラフィック分析の許可リストを追加、変更、または削除します。
フィールド |
ガイドライン |
---|---|
型 |
許可リストの IP アドレスとドメイン名のどちらを指定するかを選択します。 |
IP またはドメイン |
許可リストの IP アドレスまたはドメイン名を入力します。 |
Domain Name System(DNS)
DNS フィルタリングから許可リストに登録するドメインを指定できます。このタブを使用して、DNS フィルタリングの許可リストを追加、変更、または削除します。
フィールド |
ガイドライン |
---|---|
Url |
許可リストに登録するドメインの URL を入力します。 |
コメント |
ドメインがリストに追加された理由を示す説明を入力します。 |
Juniper ATP Cloudは、新しいコンテンツや更新されたコンテンツを定期的にポーリングし、SRXシリーズファイアウォールに自動的にダウンロードします。許可リストまたはブロックリストのファイルを手動でプッシュする必要はありません。
show security dynamic-address instance advanced-anti-malware
コマンドを使用して、SRXシリーズファイアウォールのカスタム許可リストとブロックリストを表示します。
例:show security dynamic-address instance advanced-anti-malware
user@host>show security dynamic-address instance advanced-anti-malware No. IP-start IP-end Feed Address 1 x.x.x.0 x.x.x.10 custom_whitelist ID-80000400 2 x.x.0.0 x.x.0.10 custom_blacklist ID-80000800 Instance advanced-anti-malware Total number of matching entries: 2