JSAの構成要素
ビルディングブロックは、一般的に使用されるテストをグループ化し、複雑なロジックを構築して、ルールで使用できるようにします。
ビルディング・ブロックは、ルールが使用するのと同じテストを使用しますが、それらに関連付けられたアクションはありません。多くの場合、IP アドレスのグループ、特権ユーザー名、またはイベント名のコレクションをテストするように構成されます。たとえば、ネットワーク内のすべてのメールサーバーの IP アドレスを含む構成要素を作成し、その構成要素を別のルールで使用して、それらのホストを除外できます。ビルディングブロックのデフォルトはガイドラインとして提供されており、ネットワークのニーズに応じて確認および編集できます。
ホスト定義ビルディングブロック(BB:HostDefinition)を設定して、 JSA がネットワーク上のより多くのサーバを検出して分類できるようにすることができます。特定のサーバーが自動的に検出されない場合は、対応するホスト定義ビルディングブロックにサーバーを手動で追加できます。このアクションにより、特定のサーバーの種類に適切なルールが適用されます。個々のデバイスの代わりに IP アドレス範囲を手動で追加することもできます。
以下のビルディング・ブロックを編集して、大量のトラフィック・サーバーによって生成される違反の数を減らします。
BB:ホスト定義 --VA スキャナ ソース IP
BB:ホスト定義 - ネットワーク管理サーバ
BB:ホスト定義 - ウイルス定義とその他の更新サーバ
BB:ホスト定義 - プロキシサーバ
BB:ネットワーク定義 --NAT アドレス範囲
BB:ネットワーク定義 - 信頼できるネットワーク
構成要素のチューニング
ビルディングブロックを編集して、 JSAによって生成される誤検知の数を減らすことができます。
ビルディング・ブロックを編集するには、サーバーの IP アドレスを適切なビルディング・ブロックに追加する必要があります。
「 オフェンス」 タブをクリックします。
ナビゲーション・メニューで、「 ルール」をクリックします。
[表示]リストから[ビルディングブロック]を選択します。
編集する文書パーツをダブルクリックします。
文書パーツを更新します。
-
[ 完了] をクリックします。
次の表では、編集可能な構成要素について説明します。
表 1: 編集する構成要素のリスト ビルディングブロック
説明
BB:ネットワーク定義:NATアドレス範囲
と を編集し 、送信元または宛先IPのいずれかが次のいずれかのテストを行い 、ネットワークアドレス変換(NAT)サーバーのIPアドレスを含めます。
この構成要素は、 NATd 以外の アドレス空間で検出がある場合にのみ編集してください。このビルディングブロックを編集すると、このIPアドレス範囲を標的とした攻撃やそのIPアドレス範囲をソースとする攻撃に対してオフェンスが作成されなくなります。
BB:ホスト定義:ネットワーク管理サーバー
ネットワーク管理システムは、ICMP(インターネット制御メッセージプロトコル)スイープなどのトラフィックを作成して、ホストを検出します。 JSA は、このトラフィックを脅威とみなす可能性があります。この動作を無視してネットワーク管理システムを定義するには、 送信元 IP または宛先 IP が次のいずれかの テストである場合に および を編集して、ネットワーク管理サーバー (NMS) の IP アドレスと、通常はネットワーク検出または監視を実行する他のホストを含めます。
BB:ホスト定義:プロキシサーバー
送信元 IP または宛先 IP が次のいずれかのテストである場合は、プロキシ サーバーの IP アドレスを含めます。
プロキシ サーバーで十分な検出がある場合は、この構成要素を編集します。このビルディング・ブロックを編集すると、プロキシー・サーバーを標的とした攻撃やプロキシー・サーバーからの攻撃に対する攻撃の作成を防ぐことができます。この調整は、数百のホストが単一のプロキシ サーバーを使用しており、プロキシ サーバーの単一の IP アドレスがスパイウェアに感染している可能性がある場合に役立ちます。
BB:ホスト定義:VAスキャナソースIP
脆弱性評価製品は、攻撃の作成につながる可能性のある攻撃を開始します。この動作を回避し、脆弱性評価製品またはソースとして無視するサーバーを定義するには、 ソース IP が次のいずれかの テストである場合に および を編集して、次のスキャナーの IP アドレスを含めます。
-
VAスキャナー
-
認定スキャナー
BB:ホスト定義:ウイルス定義とその他の更新サーバー
ソース IP または宛先 IP が次のいずれかのテストである場合は、ウイルス対策サーバーの IP アドレスと更新機能サーバーの IP アドレスを含めます。
BB:カテゴリ定義:リモートアクセスのない国
ソースがテスト 中にあるときに および を編集して、ネットワークへのアクセスを防ぐ地理的な場所を含めます。この変更により、ルールを使用して、リモートロケーションから成功したログインが検出されたときにオフェンスを作成できるようになります。
BB:コンプライアンス定義:GLBAサーバー
送信元 IP または宛先 IP が次のいずれかのテストである場合に、GLBA (グラム・リーチ・ブライリー法) への準拠に使用されるサーバーの IP アドレスを含める場合は、 と を編集します。このビルディングブロックを設定することで、コンプライアンス: コンプライアンス IS への過剰なログイン失敗などのルールを使用して、コンプライアンスおよび規制ベースの状況に対する違反を作成できます。
BB:コンプライアンス定義:HIPAAサーバー
送信元 IP または宛先 IP が次のいずれかのテストである場合に と を編集して、HIPAA (医療保険の相互運用性と説明責任に関する法律) への準拠に使用されるサーバーの IP アドレスを含めます。このビルディングブロックを設定することで、コンプライアンス: コンプライアンス IS への過剰なログイン失敗などのルールを使用して、コンプライアンスおよび規制ベースの状況に対する違反を作成できます。
BB:コンプライアンス定義:SOXサーバー
送信元 IP または宛先 IP のいずれかが次のいずれかのテストである場合は、 と を編集して、SOX (サーベンス・オクスリー法) への準拠に使用されるサーバーの IP アドレスを含めます。このビルディングブロックを設定することで、コンプライアンス: コンプライアンス IS への過剰なログイン失敗などのルールを使用して、コンプライアンスおよび規制ベースの状況に対する違反を作成できます。
BB:コンプライアンス定義:PCI DSSサーバー
送信元 IP または宛先 IP が次のいずれかのテストである場合に、PCI DSS (Payment Card 業界データ セキュリティ基準) への準拠に使用されるサーバーの IP アドレスを含める場合は、 および を編集します。このビルディングブロックを設定することで、コンプライアンス:コンプライアンスISへの過剰なログイン失敗などのルールを使用して、コンプライアンスおよび規制ベースの状況に対する違反を作成できます。
BB:ネットワーク定義:ブロードキャストアドレス空間
送信元または宛先IPのいずれかが次のテストのいずれかである場合は、 と を編集して、ネットワークのブロードキャストアドレスを含めます。この変更により、ブロードキャスト メッセージの使用によって発生する可能性がある誤検知イベントが削除されます。
BB:ネットワーク定義:クライアントネットワーク
ローカル・ネットワークがテストされるときに および を編集して、ユーザーが操作しているワークステーション・ネットワークを含めます。
BB:ネットワーク定義:サーバーネットワーク
ローカルネットワークがテストされているときに編集して、サーバーネットワークを含めます。
BB:ネットワーク定義:ダークネットアドレス
ローカルネットワークがテストされている場合、およびを編集して、ダークネットと見なされるIPアドレスを含めます。ダークネットに向けられたトラフィックまたはイベントは、疑わしいと見なされます。
BB:NetworkDefinition: DLP アドレス
任意の IP が次のいずれかのテストの一部である場合は、 と を編集して、ネットワークから情報を取得するために使用される可能性のあるリモート サービスを含めます。この変更には、Web メール ホストやファイル共有サイトなどのサービスが含まれる場合があります。
BB:ネットワーク定義:DMZアドレス
ローカル ネットワーク テストの および を編集して、ネットワークの DMZ の一部と見なされるネットワークを含めます。
BB:ポート定義: 許可されたL2Rポート
宛先ポートが次のいずれかのテストである場合は、 と を編集して、ネットワークで許可されている一般的な送信ポートを含めます。
BB:ネットワーク定義:ウォッチリストアドレス
ローカル・ネットワークがウォッチ・リストにあるリモート・ネットワークを組み込む場合は、 および を編集します。この変更は、ウォッチ・リストにあるホストからのイベントを識別するのに役立ちます。
BB:誤検知:ユーザー定義のサーバータイプの誤検知カテゴリ
このビルディング・ブロックを編集して、「 BB:HostDefinition: ユーザー定義のサーバー・タイプ」ビルディング・ブロックで定義されているホストの誤検知と見なすカテゴリーを含めます。
BB:誤検知:ユーザー定義のサーバータイプの誤検知イベント
この構成要素を編集して、「 BB:HostDefinition: ユーザー定義のサーバーの種類」構成要素で定義されているホストの誤検知と見なすイベントを含めます。
BB:ホスト定義:ユーザー定義のサーバータイプ
この構成要素を編集して、カスタム サーバーの種類の IP アドレスを含めます。サーバーを追加した後、「 BB:FalsePositives: ユーザー定義のサーバーの種類の誤検知」カテゴリまたは「 BB:誤検知: ユーザー定義のサーバーの種類の誤検知イベント」の構成要素で定義されているように、誤検知と見なすイベントまたはカテゴリをこのサーバーに追加する必要があります。
IP アドレスをリストする代わりに、任意の構成要素に CIDR 範囲またはサブネットを含めることができます。例えば、192.168.1/24 にはアドレス 192.168.1.0 から 192.168.1.255 が含まれます。 また、任意の BB:HostDefinition ビルディング ブロックに CIDR 範囲を含めることもできます。
詳細については、 『 Juniper Secure Analytics Administration Guide』を参照してください。
QRadar ユースケース・マネージャーを使用して、ビルディング・ブロックを検討します。 IBM セキュリティー・アプリ交換からアプリをダウンロードします。
-