信頼度係数と IP アドレスレピュテーション

しきい値の決定

たとえば、IP アドレス レピュテーション エントリが 0 のスパム メッセージは送信元 IP トラフィックがスパムではないことを示し、100 のエントリは明確なスパム トラフィックを示します。したがって、50 未満の値はメッセージがスパムである可能性が低いことを示し、50 より大きい値はメッセージがスパムである可能性が高いことを示します。値 50 以上は、トリガーされたルールに対するアクションを検討できるしきい値です。

これらの確率は、ジュニパーX-Force脅威インテリジェンスがX-Forceデータセンターで世界中から継続的に収集および分析する継続的なWebベースのデータに基づいています。データが収集されると、システムは特定の IP アドレスから受信したスパムの量、またはフラグが立てられた IP アドレスが IP アドレス レピュテーション カテゴリに含まれる頻度を評価します。回数が多いほど、システムの信頼度係数のスコアが高くなります。

信頼度の設定による誤検知の調整

信頼度係数を使用して、トリガーされたルールによって作成される違反の数を制限します。必要な保護のレベルに応じて、ネットワーク環境に最適なレベルに信頼値を調整します。

ルールを調整するときは、50 が転換点であるスケールを考慮してください。重要度の低いアセットでは、 X-Force ルールを重み付けして、スパムなどの特定のカテゴリの信頼度係数を高くすることができます。たとえば、ルールを信頼度 75 に調整すると、 X-Force が信頼度係数 75 以上の IP アドレスを検出した場合にのみルールがトリガーされます。この調整により、優先度の低いシステムや重要でない資産で生成される違反の数が減少します。ただし、信頼度係数が 50 の重要なシステムまたは重要なビジネス資産は、より低いレベルで攻撃をトリガーし、問題により迅速に注意を向けます。

DMZ には、95% 以上などの信頼度の高い値を選択します。この分野で多くの犯罪を調査する必要はありません。信頼レベルが高いと、IP アドレスは一覧表示されているカテゴリと一致する可能性が高くなります。ホストがマルウェアを提供していることが95%確実である場合は、それについて知る必要があります。

サーバー プールなど、ネットワークのより安全な領域の場合は、信頼度の値を下げます。より多くの潜在的な脅威が特定され、脅威は特定のネットワーク セグメントに関連するため、調査にかかる労力が軽減されます。

誤検知のチューニングを最適化するには、ルール トリガーをセグメント別に管理します。ネットワークインフラストラクチャを調べて、高レベルの保護が必要な資産と不要な資産を判断します。ネットワーク セグメントごとに異なる信頼度値を適用できます。ビルディングブロックを使用して、一般的に使用されるテストをグループ化し、ルールで使用できるようにします。

1. [ ログ アクティビティ ] タブをクリックします。

2. ツール バーで、[ ルール] > [ルール] をクリックします。

3. ルールをダブルクリックして、ルール ウィザードを起動します。

4. フィルター ボックスに、次のテキストを入力します。

   when this host property is categorized by X-Force as this category with confidence value equal to this amount

5. [テストをルールに追加] (+) アイコンをクリックします。

6. [ルール] セクションで、リンクをクリックします this amount 。

7. 信頼度の値を入力します。

8. [ 送信] をクリックします。

9. [ 完了] をクリックして、ルール ウィザードを終了します。