脅威と攻撃のログをフィルタリングしてClearPassに送信する
SRXシリーズファイアウォールは、記録された脅威と攻撃のログをClearPass Policy Manager(CPPM)に送信します。特定のデバイスとそのユーザーに関連する脅威と攻撃を構成することもできます。CPPMはログデータを使用してセキュリティを強化できます。
統合されたClearPass機能が脅威と攻撃を検出し、CPPMに通知する方法の理解
統合されたClearPass認証およびポリシー適用機能を使用すると、デバイスをClearPassポリシーマネージャー(CPPM)と統合して、認証されたユーザーID情報を取得できます。また、デバイスが攻撃と脅威のログを CPPM に送信できるようにします。このトピックでは、攻撃ログと脅威ログを CPM に送信する方法について説明します。
デバイス機能が脅威イベントと攻撃イベントを検出すると、そのイベントがデバイス イベント ログに記録されます。デバイスは syslog を使用してログを CPM に転送します。CPPMはログを評価し、一致する条件に基づいてアクションを実行できます。ClearPassの管理者は、デバイスからの情報を使用し、CPPMで適切なアクションを定義してセキュリティを強化できます。
SRXシリーズファイアウォールのJunos OSは、10種類以上のモジュールが発行する100種類以上のログエントリを生成します。脅威と攻撃のログを生成するデバイス機能には、SCREENS、IDP、およびコンテンツセキュリティがあります。SRXシリーズファイアウォールとログサーバーの過負荷を回避するために、統合されたClearPass機能を使用すると、SCREENS、IDP、およびコンテンツセキュリティ機能によって検出されたアクティビティに応答してイベントログに書き込まれた攻撃および脅威ログエントリのみをCPPMに送信するようにデバイスを構成できます。
次の条件を設定して、ログ送信を制御できます。
脅威と攻撃のログのみが送信されるようにするログ ストリーム フィルター。
送信量を制御するレートリミッタです。デバイス ログの送信は、設定したレート制限条件を超えることはありません。
CPPMが送信するログ情報を分析するには、コンテンツを標準的で構造化された方法でフォーマットする必要があります。デバイスログの送信は、ベンダー固有の拡張機能を構造化された方法で提供できるメッセージ形式のsyslogプロトコルに従います。
IDPによって生成される攻撃ログの例を次に示します。
<14>1 2014-07-24T1358.362+08:00 bjsolar RT_IDP - IDP_ATTACK_LOG_EVENT [junos@2636.1.1.1.2.86 epoch-time="1421996988" message-type="SIG" source-address="192.0.2.66" source-port="32796" destination-address="192.0.2.76" destination-port="21" protocol-name="TCP" service-name="SERVICE_IDP" application-name="NONE" rule-name="1" rulebase-name="IPS" policy-name="idpengine" export-id="4641"repeat-count="0" action="NONE" threat-severity="MEDIUM" attack-name="FTPROOT" nat-source-address="0.0.0.0" nat-source-port="0" nat-destination-address="0.0.0.0" nat-destination-port="0" elapsed-time="0" inbound-bytes="0" outbound-bytes="0" inbound-packets="0" outbound-packets="0" source-zone-name="untrust" source-interface-name="ge-0/0/1.0" destination-zone-name="trust" destination-interface-name="ge-0/0/7.0" packet-log-id="0" alert="no" username="N/A" roles="N/A" message="-"]
表 1 は、この例の IDP 攻撃ログの内容を使用して、攻撃ログ項目の部分を識別します。攻撃の種類と脅威ログの詳細については、 SRXシリーズの脅威と攻撃のログをAruba ClearPassに送信してください 。
ログ エントリ コンポーネント |
意味 |
形式 |
例 |
|---|---|---|---|
優先 順位 |
PRI = LOG_USER + 重大度バージョンは常に 1 です |
Pri version |
<14>1 |
時間とタイムゾーン |
ログが記録された日時とタイムゾーン。 |
y-m-dThs.ms+time zone
|
2014-07-24T1358.362+08:00 |
デバイス/ホスト名 |
イベント ログの送信元のデバイスの名前。この値はユーザーによって構成されます。 |
文字列 hostname |
ビージェイソーラー |
サービス名 |
イベント ログを発行した SRX シリーズの機能。 |
文字列 service |
SERVICE_IDP |
アプリケーション名 |
ログ エントリを生成したアプリケーション。 |
文字列 application-name |
なし |
Pid |
プロセス ID。 プロセス ID はこのコンテキストでは意味がないため、 pid "-" に置き換えられます。 値 "-" は、プロセス ID のプレースホルダーです。 |
pid |
- |
Errmsg タグ |
ログ ID 名、エラー メッセージ タグ。 |
文字列 log-name and tag |
IDP_ATTACK_LOG_EVENT |
Errmsg タグ角括弧 |
角括弧で囲まれたログの内容。 |
[ ] |
- |
Oid |
シャーシデーモン(chassisd)によって提供される製品ID。 |
junos@oid |
junos@2636.1.1.1.2.86 |
エポック時間 |
エポック後にログが生成された時刻。 |
number |
1421996988 |
SRXシリーズの脅威と攻撃のログをAruba ClearPassに送信
SRXシリーズに統合されたClearPass認証およびポリシー適用機能は、Aruba ClearPassと連携して、攻撃および脅威イベント・ログを使用することで、潜在的および実際の攻撃から企業のリソースを保護します。SRXシリーズのSCREENS、IDP、コンテンツセキュリティコンポーネントによって生成されるこれらのログは、企業のネットワークセキュリティを脅かす攻撃や脅威の種類を明確に特定します。
SRXシリーズファイアウォールは、全体的なログエントリから脅威や攻撃イベントに関するログをフィルタリングし、これらのログエントリをClearPass Policy Manager(CPPM)に転送して、企業のセキュリティポリシーの評価と実施に使用します。SRXシリーズファイアウォールは、設定したレート制限条件によって決定されるボリュームでログを送信します。
表 2 に、脅威と攻撃のログ エントリの種類と、それらが表すイベントを示します。
ログの種類 |
説明 |
|---|---|
RT_SCREEN_ICMP |
ICMP攻撃 |
RT_SCREEN_ICMP_LS |
|
RT_SCREEN_IP |
IP攻撃 |
RT_SCREEN_IP_LS |
|
RT_SCREEN_TCP |
TCP攻撃 |
RT_SCREEN_TCP_LS |
|
RT_SCREEN_TCP_DST_IP |
TCP宛先IP攻撃 |
RT_SCREEN_TCP_DST_IP_LS |
|
RT_SCREEN_TCP_SRC_IP |
TCP送信元IP攻撃 |
RT_SCREEN_TCP_SRC_IP_LS |
|
RT_SCREEN_UDP |
UDP攻撃 |
RT_SCREEN_UDP_LS |
|
AV_VIRUS_DETECTED_MT |
ウイルス感染 ウイルス対策スキャナーによってウイルスが検出されました。 |
AV_VIRUS_DETECTED_MT_LS |
|
ANTISPAM_SPAM_DETECTED_MT |
スパム 識別された電子メールはスパムとして検出されました。 |
ANTISPAM_SPAM_DETECTED_MT_LS |
|
IDP_APPDDOS_APP_ATTACK_EVENT |
アプリケーションレベルの分散型サービス拒否(AppDDoS)攻撃 AppDDoS攻撃は、クライアントトランザクションの数が、ユーザーが設定した接続、コンテキスト、および時間バインディングのしきい値を超えたときに発生しました。 |
IDP_APPDDOS_APP_ATTACK_EVENT_LS |
|
IDP_APPDDOS_APP_STATE_EVENT |
AppDDoS攻撃 AppDDoS の状態遷移は、アプリケーション トランザクションの数がユーザーが構成した接続またはコンテキストのしきい値を超えたときに発生しました。 |
IDP_APPDDOS_APP_STATE_EVENT_LS |
|
IDP_ATTACK_LOG_EVENT |
IDPによって発見された攻撃 IDPは攻撃のログエントリを生成しました。 |
IDP_ATTACK_LOG_EVENT_LS
|
例:脅威と攻撃のログをフィルタリングおよびレート制限するための統合型ClearPassの設定
SRXシリーズファイアウォールは、ネットワークリソースを保護するセキュリティモジュールによって識別された脅威や攻撃に関する情報を、ClearPass Policy Manager(CPPM)に動的に送信できます。特定のデバイスとそのユーザーのアクティビティに関連する攻撃および攻撃の脅威を検出し、対応するログを生成します。この送信を制御するには、送信するログのタイプと送信レートを設定する必要があります。その後、この情報を使用してCPPMのポリシールールを設定し、ネットワークセキュリティを強化できます。
この例では、SRXシリーズに統合されたClearPass認証およびポリシー適用機能を設定し、脅威と攻撃のログのみをフィルタリングしてCPPMに送信し、SRXシリーズのファイアウォールがそれらを送信する量とレートを制御する方法を示します。
要件
この例のトポロジーでは、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
サーバー上の仮想マシン(VM)に実装されたAruba CPPMです。CPPMは、ローカル認証ソースを使用してユーザーを認証するように構成されています。
統合されたClearPass機能を含むJunos OSを実行するSRXシリーズファイアウォール。SRXシリーズファイアウォールは、ジュニパーネットワークスEX4300スイッチとインターネットに接続されています。SRXシリーズファイアウォールは、安全な接続を介してClearPassと通信します。
有線802.1アクセスデバイスとして使用されるジュニパーネットワークスEX4300スイッチ。EX4300レイヤー2スイッチは、エンドポイントユーザーをネットワークに接続します。SRXシリーズのファイアウォールがスイッチに接続されている。
Microsoft OS を実行している有線ネットワーク接続 PC。システムはEX4300スイッチに直接接続されています。
脅威と攻撃のログは、セキュリティ機能がキャッチして保護するイベントによってトリガーされたこれらのデバイスからのアクティビティに対して書き込まれます。
概要
SRXシリーズに統合されたClearPass認証および適用機能は、Aruba ClearPassと連携して、実際の攻撃および潜在的な攻撃から企業のリソースを保護します。SRXシリーズファイアウォールは、CPPMが送信するログを通じて、ネットワークリソースへの脅威とそれらに対する攻撃についてCPPMに通知します。その後、この情報を使用して、CPM のセキュリティポリシーの設定を評価できます。この情報に基づいて、個々のユーザーまたはデバイスに関してセキュリティを強化できます。
この機能の動作を制御するには、SRXシリーズファイアウォールを設定して、攻撃と脅威のログエントリをフィルタリングし、レート制限条件を設定する必要があります。
この関数の動作は、次の方法で調整できます。
SRXシリーズファイアウォールが脅威と攻撃のログのみをPPMに送信するように指示するフィルターを設定します。このフィルターを使用すると、SRXシリーズファイアウォールとログサーバーが無関係なログを処理する必要がないようにすることができます。
レート制限条件を設定して、送信されるログの量を制御します。
rate-limit パラメーターを設定して、ログが送信されるボリュームとレートを制御します。たとえば、rate-limit パラメーターを 1000 に設定して、1 秒間に最大 1000 件のログが ClearPass に送信されるように指定できます。この場合、1015 ログを送信しようとすると、制限 (この場合は 15 ログ) を超えるログの数が削除されます。ログはキューに入れられず、バッファリングもされません。
最大 3 つのログストリームを設定し、個々のログを宛先、ログ形式、フィルター、レート制限で定義できます。ログメッセージは、設定されたすべてのログストリームに送信されます。各ストリームは個別にレート制限されています。
レート制限をサポートするために、ログ メッセージはデバイスのローカル SPU から分割レートで送信されます。設定プロセスでは、ルーティング エンジンが各 SPU に分割レートを割り当てます。除算レートは、設定されたレートをデバイス上の SPU の数で割った値に等しくなります。
divided-rate = configured-rate/number-of-SPUs
構成
この例では、ClearPass に送信する脅威ログと攻撃ログを選択するフィルターを構成する方法について説明します。また、レート制限を設定して、特定の期間に送信されるログの量を制御する方法についても説明します。次の部分が含まれます。
CLIクイック構成
この例を迅速に設定するには、以下のステートメントをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、ステートメントを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set security log stream threat-attack-logs host 203.0.113.47 set security log mode stream set security log source-interface ge-0/0/1.0 set security log stream to_clearpass format sd-syslog set security log stream to_clearpass filter threat-attack set security log stream to_clearpass rate-limit 1000
CPPMに送信される脅威および攻撃ログをフィルタリングするための統合ClearPass認証および強制の設定
手順
ログ・ストリームの名前とその宛先の IP アドレスを指定します。
[edit security] user@host# set security log stream threat-attack-logs host 203.0.113.47
ログ モードをストリーミングに設定します。
[edit security] user@host# set log mode stream
ホスト送信元インターフェイス番号を設定します。
[edit security] user@host#set log source-interface ge-0/0/1.0
構造化された syslog 形式を使用して ClearPass through syslog にログを送信するようにログ ストリームを設定します。
[ edit security] user@host# set log stream to_clearpass format sd-syslog
ログに記録するイベントの種類を指定します。
[edit security] user@host# set log stream to_clearpass filter threat-attack
メモ:この設定は、フィルターに設定されている現在のカテゴリとの関係では相互に排他的です。
このストリームのレート制限を設定します。範囲は 1 から 65,535 からです。
この例では、1 秒あたり最大 1000 件のログを ClearPass に送信できるように指定しています。最大値に達すると、追加のログはすべて削除されます。
[ edit security] user@host# set log stream to_clearpass rate-limit 1000
結果
設定モードから、 コマンドを入力して show interfaces インターフェイスの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
mode stream;
source-interface ge-0/0/1.0;
stream threat-attack-logs {
host {
203.0.113.47;
}
}
stream to_clearpass {
format sd-syslog;
filter threat-attack;
rate-limit {
1000;
}
}