Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

新しいアプリケーションの定義

JSAでは、[ ネットワークアクティビティ ]タブと [オフェンス] タブにフローアプリケーションの名前が表示されます。新しいアプリケーションを定義したり、既存のアプリケーションに表示される名前を変更したりできます。

アプリケーションを指定する場合、番号は <appid> 一意である必要があります。カスタム アプリケーションの場合は、15,000 から 20,000 の範囲の番号を割り当てます。各アプリケーション内では、最大 5 つのレベルの分類を定義できますが、JSA では最初の 3 つのカテゴリのみが表示されます。

新しいフロー・アプリケーション API を使用して、アプリケーション ID からアプリケーション名へのマッピングを管理できます。

アプリケーションは常に、次の API エンドポイントを使用してアクセスできるステージングされた構成領域で構成します。

  • staged_config/flow/applications/active_applications

ステージングされた構成領域でアプリケーション構成を更新した後、変更を展開して更新をシステムに伝達する必要があります。変更がデプロイされた後、以下のエンドポイントを使用して、デプロイされた構成内のフロー・アプリケーションにアクセスできます。

  • config/flow/applications/active_applications

    アクティブな構成には、現在使用中のアプリケーションの一覧が表示されます。

  • config/flow/applications/default_applications

    既定のアプリケーション リストは読み取り専用です。デフォルト アプリケーションは、アクティブ フロー アプリケーションの設定が削除または変更された場合のシステム バックアップとして提供されます。

以前のバージョンの JSA でフロー・アプリケーション・マッピングを管理するには、 apps.conf ファイルを手動で編集する必要があります。 apps.conf ファイルで新しいアプリケーションを定義する場合は、次の構文を使用します。

アプリケーションごとに最大 5 つのレベルの分類を定義でき、各サブカテゴリは番号記号 (#) で区切られます。アプリケーションに含まれるカテゴリが 5 つ未満の場合は、不足している各サブカテゴリの代わりに番号記号を含めます。

たとえば、アプリケーション ID として追加 Authentication#Radius-1646####51343するには、次のようにアプリケーション ID を挿入します。

  1. JSA 7.4.3 でアプリケーション・マッピングを変更するには、RESTful API を使用します。

    1. Web ブラウザーで次の URL を入力して、対話型 API ドキュメント インターフェイスにアクセスします。

    2. API バージョン 16 を選択し、ステージングされた構成エンドポイントに移動します。

    3. 要求パラメーターを完了します。

      たとえば、次のパラメーターを POST できます。

    4. [ 試してみる ] をクリックして API リクエストをコンソールに送信し、適切な形式の HTTPS レスポンスを受信します。

      メモ:

      試してみる」をクリックすると、JSA システムのステージング領域でアクションが実行されます。ステージングされた構成領域にあるアクティブなアプリケーションはまだデプロイされていません。

  2. JSA 7.4.2 以前でアプリケーション・マッピングを変更するには、 apps.conf ファイルを編集します。

    1. SSHを使用して、rootユーザーとしてJSAにログインします。

    2. 次のファイルを編集します。

      /store/configservices/staging/globalconfig/apps.conf

    3. 新しいアプリケーションをアルファベット順に挿入します。

    4. ファイルを保存して終了します。

  3. JSAに管理者としてログインします。

  4. [ 管理 ] タブをクリックします。

  5. ツール バーで、[ 変更の配置] をクリックします。

アプリケーション マッピング ファイルとアプリケーション シグネチャ ファイルを更新します。

アプリケーション マッピングの定義

アプリケーション・シグニチャーを識別するには、IP アドレスとポート番号に基づいてユーザー定義アプリケーション・マッピングを作成します。

新しいアプリケーション ID を追加する必要があります。詳細については、「 新しいアプリケーションの定義」を参照してください。

アプリケーション マッピング ファイルを更新するときは、次のガイドラインに従ってください。

  • ファイル内の各行は、マップされたアプリケーションを示します。同じアプリケーションに対して、複数のマッピングをそれぞれ別々の行に指定できます。

  • 任意のフィールドにワイルドカード文字 (*) を指定できます。ワイルドカード文字は、コンマ区切りリストの一部としてではなく、単独で使用します。ワイルドカード文字は、フィールドがすべてのフローに適用されることを示します。

  • フローを複数のマッピングに関連付けることができます。フローは、ファイル内のマッピング順序に基づいてアプリケーション ID にマップされます。ファイル内で適用される最初のマッピングがフローに割り当てられます。

  • 新しいアプリケーション ID 番号を追加する場合は、新しい一意のアプリケーション ID 番号を作成する必要があります。アプリケーション ID 番号は、 apps.conf ファイルに存在していてはなりません。カスタム アプリケーションには、15,000 から 20,000 の範囲の数値を適用します。

  • エントリの形式は、次の構文のようになります。

    <New_ID>フローに割り当てるアプリケーション ID を指定します。値 1 は、不明なアプリケーションを示します。割り当てる ID が存在しない場合は、apps.conf ファイルに ID を作成する必要があります。詳細については、「新しいアプリケーションの定義」を参照してください。

    <Old_ID>は、JSAによって割り当てられたフローのデフォルト・アプリケーションIDを指定します。値 * はワイルドカード文字を示します。複数のアプリケーション ID が割り当てられている場合、アプリケーション ID はコンマで区切られます。

    <Old_ID> は、 JSAによって割り当てられたフローのデフォルト・アプリケーションIDを指定します。値 * はワイルドカード文字を示します。値 0 または 1 は、別のアルゴリズムによって識別されていないアプリケーションを示します。複数のアプリケーション ID が割り当てられている場合、アプリケーション ID はコンマで区切られます。

  • ワイルドカード <Old_ID> 文字の使用が適用できない場合、またはアプリケーションが現在分類されている場合は、次の手順でアプリケーション ID を決定します。

    1. JSA インターフェイスにログインします。

    2. [ ネットワーク アクティビティ ] タブをクリックします。

    3. ライブ ストリームとフィルターを一時停止して、誤って分類されたフローを見つけます。

    4. 影響を受けるフローをダブルクリックします。

    5. [アプリケーション] フィールドの値にカーソルを合わせると、 IDDesc が表示されます。この ID は、アプリケーション マッピング ルールで使用できます。

表 1: アプリケーション ID

オプション

説明

Source_IP_Address

フローの送信元 IP アドレスを指定します。

アドレスのコンマ区切りリストまたはCIDR値を含めることができます。値 * はワイルドカード文字を示し、このフィールドがすべてのフローに適用されることを意味します。

<Source_Port>

関連付けられたポートを指定します。

<lower_port_number>-<upper_port_number>の形式で指定された値または範囲のコンマ区切りリストを含めることができます。値 * はワイルドカード文字を示し、このフィールドがすべてのフローに適用されることを意味します。

<Dest_IP_Address>

フローの宛先 IP アドレスを指定します。

アドレスのコンマ区切りリストまたはCIDR値を含めることができます。値 * はワイルドカード文字を示し、このフィールドがすべてのフローに適用されることを意味します。

<Dest_Port>

関連付けられた宛先ポートを指定します。

<lower_port_number>-<upper_port_number>の形式で指定された値または範囲のコンマ区切りリストを含めることができます。値 * はワイルドカード文字を示し、このフィールドがすべてのフローに適用されることを意味します。

<Name>

このマッピングに割り当てる名前を指定します。

オプション

以下のマッピング ファイル /user_application_mapping.conf は、 JSA フロー プロセッサ が古い ID 1010 に割り当てた IP アドレスとポートに一致するすべてのフローをマッピングします。10.100.* の 2 つのサブネットのいずれかから発信され、特定のアドレスと 2 つの宛先ポートのいずれかに指定された場合、新しい ID 15000 を割り当てます。

15000 1010 10.100.100/24,10.100.50.10:* 172.14.33.33:80,443

次の例では、アプリケーション ID 1010 に割り当てられた名前を上書きします。ポート 33333 に向かうトラフィック、または特定のアドレスまたはアプリケーションのオーバーライドの宛先ポートの範囲に基づいて、新しいアプリケーション ID 15100 を指定します。

メモ:

PDFフォーマットのため、メッセージフォーマットをコピーしてインターフェイスに直接貼り付けないでください。代わりに、テキストエディタに貼り付け、キャリッジリターンまたは改行文字を削除してから、コピーしてインターフェイスに貼り付けます。

次の例は、3 つのアプリケーション ID (そのうちの 1 つはアプリケーション識別子 (1) ) の照合に基づいて、新しいアプリケーション名と ID を割り当てる方法を示しています。これらのアプリケーション ID は、すべてのトラフィックについて、指定された宛先ポートの基本的なヒットで一致します。

  1. SSHを使用して、ルートユーザーとして JSA にログインします。

  2. [ ネットワークアクティビティ ]タブにアクセスします。

  3. 既定のアプリケーション ID を決定するには、更新するアプリケーションに関連付けられているフローのアプリケーション フィールドの上にマウス ポインターを置きます。

  4. 次のいずれかのオプションを選択します。

    • 次のファイルを開きます。

      / store/configservices/staging/globalconfig/user_application_mapping.conf

    • user_application_mapping.confがシステムに存在しない場合は、ファイルを作成し、空のファイルを次のディレクトリに配置します:/store/configservices/staging/globalconfig/

  5. 必要に応じて、ファイルを更新します。

  6. ファイルを保存して終了します。

  7. JSA ユーザー インターフェースにログインします。

  8. [ 管理 ] タブをクリックします。

  9. 変更のデプロイ」をクリックします。

アプリケーション シグネチャの定義

アプリケーション・シグニチャー・ファイルを使用して、JSAが自動的に検出しないフローにアプリケーションIDを割り当てるIPアドレスおよびコンテンツ・ベースのルールを作成します。

アプリケーション シグネチャ ファイルは、プライマリ JSA コンソールによってすべての JSA フロー プロセッサに配布される定義ファイルです。ファイルには、送信元ポートと宛先ポート、および範囲が含まれています。

アプリケーション シグネチャ ファイルには、次の特性が含まれています。

  • 16 進数の内容はパイプ文字 (|) で区切られます。

  • フローは複数のシグニチャーに関連付けることができます。フローは、ファイル内の署名の順序に基づいてアプリケーション ID にマップされます。ファイル内で適用される最初の署名がフローに割り当てられます。

  • signatures.xml ファイルを編集する場合、XML タグの間に挿入されるデータでは大文字と小文字が区別されます。たとえば、XML タグ内で TCP を指定する場合は、すべて大文字で値を入力します。

  • 既存の署名の変更や削除はサポートされていません。署名に加えられた変更は、次回の JSA 自動更新時に復元されます。フローを一貫して誤って分類しているシグネチャがある場合は、 ジュニパーカスタマーサポートにお問い合わせください。

  • シグネチャを一意にし、 JSA 自動更新で上書きされないようにするには、「appid」と「sigid」のペアを一意にする必要があります。

次のコードは、 Signatures.xml ファイルの例です。

  1. SSHを使用して、ルートユーザーとして JSA にログインします。

  2. ディレクトリに移動するには globalconfig 、次のコマンドを入力します。

    cd /store/configservices/staging/globalconfig

  3. 次のファイルを開きます。

    signatures.xml

  4. 次のパラメーターを使用して、必要な変更を行います。

    表 2: アプリケーション シグネチャのデフォルト パラメータ

    パラメーター

    説明

    Appid

    定義する各アプリケーションの一意の ID。カスタムアプリケーションには、15,000〜20,000の範囲の数値を使用します。

    Appname

    アプリケーションの名前。アプリケーション名は、[ ネットワークアクティビティ ]タブと [違反] タブで使用されます。

    Groupname

    アプリケーションのグループ名。自動生成スクリプトでのみ使用されます。

    説明

    アプリケーションの長い説明と、特定の署名に必要なメモ。

    revisi on

    バージョン管理に使用します。

    プロトコル

    複数のプロトコルに同じシグニチャが必要な場合は、2 番目のシグニチャを定義します。

    ティッカー

    特定の送信元 IP アドレス。複数の送信元 IP アドレスが必要な場合は、複数のアプリケーション ID を使用します。

    送信元ポート

    署名の特定の送信元ポート。複数の送信元ポートが必要な場合は、複数のアプリケーション ID を使用します。

    ティップ

    特定の宛先 IP アドレス。より多くの宛先 IP アドレスが必要な場合は、複数のアプリケーション ID を使用します。

    dstport

    署名を実行する特定の宛先ポート。複数の宛先ポートが必要な場合は、複数のアプリケーション ID を使用します。

    コモンドストポート

    アプリケーションに最も一般的に関連付けられている宛先ポート。

    Commonsrcport

    アプリケーションに最も一般的に関連付けられている送信元ポート。

    SCRコンテンツ <offset> <depth>

    <offset>は、ソース コンテンツの検索を開始するペイロード内のオフセットです。値を指定しない場合、既定値は 0 です。

    <depth>は、検索を停止するペイロード内のオフセットです。

    たとえば、次の値を設定すると、ペイロードは 5 から 15 バイトで検索されます。

    scrcontent 5 10

    dstcontent <offset> <depth>

    <offset>は、宛先コンテンツの検索を開始するペイロード内のオフセットです。値を指定しない場合、既定値は 0 です。

    <depth>は、検索を停止するペイロード内のオフセットです。

    たとえば、次の値を設定すると、ペイロードは5〜15バイト検索されます。

    scrcontent 5 10

    重量

    このアプリケーションに割り当てる重み。重みは、このアプリケーションを使用してデータに基づいて作成された潜在的なルールや違反に影響します。ウェイトの値を大きくすると、作成時のオフェンスの大きさが大きくなります。

  5. ファイルを保存して終了します。

  6. JSAにログインします。

  7. [ 管理 ] タブをクリックします。

  8. 変更のデプロイ」をクリックします。

関連ドキュメント