Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

脅威と攻撃のログをフィルタリングしてClearPassに送信する

SRXシリーズファイアウォールは、記録された脅威と攻撃のログをClearPass Policy Manager(CPPM)に送信します。特定のデバイスとそのユーザーに関連する脅威と攻撃を構成することもできます。CPPMはログデータを使用してセキュリティを強化できます。

統合されたClearPass機能が脅威と攻撃を検出し、CPPMに通知する方法の理解

統合されたClearPass認証およびポリシー適用機能を使用すると、デバイスをClearPassポリシーマネージャー(CPPM)と統合して、認証されたユーザーID情報を取得できます。また、デバイスが攻撃と脅威のログを CPPM に送信できるようにします。このトピックでは、攻撃ログと脅威ログを CPM に送信する方法について説明します。

デバイス機能が脅威イベントと攻撃イベントを検出すると、そのイベントがデバイス イベント ログに記録されます。デバイスは syslog を使用してログを CPM に転送します。CPPMはログを評価し、一致する条件に基づいてアクションを実行できます。ClearPassの管理者は、デバイスからの情報を使用し、CPPMで適切なアクションを定義してセキュリティを強化できます。

SRXシリーズファイアウォールのJunos OSは、10種類以上のモジュールが発行する100種類以上のログエントリを生成します。脅威と攻撃のログを生成するデバイス機能には、SCREENS、IDP、およびコンテンツセキュリティがあります。SRXシリーズファイアウォールとログサーバーの過負荷を回避するために、統合されたClearPass機能を使用すると、SCREENS、IDP、およびコンテンツセキュリティ機能によって検出されたアクティビティに応答してイベントログに書き込まれた攻撃および脅威ログエントリのみをCPPMに送信するようにデバイスを構成できます。

次の条件を設定して、ログ送信を制御できます。

  • 脅威と攻撃のログのみが送信されるようにするログ ストリーム フィルター。

  • 送信量を制御するレートリミッタです。デバイス ログの送信は、設定したレート制限条件を超えることはありません。

CPPMが送信するログ情報を分析するには、コンテンツを標準的で構造化された方法でフォーマットする必要があります。デバイスログの送信は、ベンダー固有の拡張機能を構造化された方法で提供できるメッセージ形式のsyslogプロトコルに従います。

IDPによって生成される攻撃ログの例を次に示します。

表 1 は、この例の IDP 攻撃ログの内容を使用して、攻撃ログ項目の部分を識別します。攻撃の種類と脅威ログの詳細については、 SRXシリーズの脅威と攻撃のログをAruba ClearPassに送信してください

表 1: サンプルログを使用した攻撃ログフィールド

ログ エントリ コンポーネント

意味

形式

優先 順位

PRI = LOG_USER + 重大度バージョンは常に 1 です

Pri version

<14>1

時間とタイムゾーン

ログが記録された日時とタイムゾーン。

y-m-dThs.ms+time zone

  • y = 年

  • m=月

  • d = 日

  • T+時間

2014-07-24T1358.362+08:00

デバイス/ホスト名

イベント ログの送信元のデバイスの名前。この値はユーザーによって構成されます。

文字列 hostname

ビージェイソーラー

サービス名

イベント ログを発行した SRX シリーズの機能。

文字列 service

SERVICE_IDP

アプリケーション名

ログ エントリを生成したアプリケーション。

文字列 application-name

なし

Pid

プロセス ID。

プロセス ID はこのコンテキストでは意味がないため、 pid "-" に置き換えられます。

値 "-" は、プロセス ID のプレースホルダーです。

pid

-

Errmsg タグ

ログ ID 名、エラー メッセージ タグ。

文字列 log-name and tag

IDP_ATTACK_LOG_EVENT

Errmsg タグ角括弧

角括弧で囲まれたログの内容。

[ ]

-

Oid

シャーシデーモン(chassisd)によって提供される製品ID。

junos@oid

junos@2636.1.1.1.2.86

エポック時間

エポック後にログが生成された時刻。

number

1421996988

SRXシリーズの脅威と攻撃のログをAruba ClearPassに送信

SRXシリーズに統合されたClearPass認証およびポリシー適用機能は、Aruba ClearPassと連携して、攻撃および脅威イベント・ログを使用することで、潜在的および実際の攻撃から企業のリソースを保護します。SRXシリーズのSCREENS、IDP、コンテンツセキュリティコンポーネントによって生成されるこれらのログは、企業のネットワークセキュリティを脅かす攻撃や脅威の種類を明確に特定します。

SRXシリーズファイアウォールは、全体的なログエントリから脅威や攻撃イベントに関するログをフィルタリングし、これらのログエントリをClearPass Policy Manager(CPPM)に転送して、企業のセキュリティポリシーの評価と実施に使用します。SRXシリーズファイアウォールは、設定したレート制限条件によって決定されるボリュームでログを送信します。

表 2 に、脅威と攻撃のログ エントリの種類と、それらが表すイベントを示します。

表2: SRXシリーズのコンポーネントによって生成された脅威と攻撃のログエントリー

ログの種類

説明

RT_SCREEN_ICMP

ICMP攻撃

RT_SCREEN_ICMP_LS

RT_SCREEN_IP

IP攻撃

RT_SCREEN_IP_LS

RT_SCREEN_TCP

TCP攻撃

RT_SCREEN_TCP_LS

RT_SCREEN_TCP_DST_IP

TCP宛先IP攻撃

RT_SCREEN_TCP_DST_IP_LS

RT_SCREEN_TCP_SRC_IP

TCP送信元IP攻撃

RT_SCREEN_TCP_SRC_IP_LS

RT_SCREEN_UDP

UDP攻撃

RT_SCREEN_UDP_LS

AV_VIRUS_DETECTED_MT

ウイルス感染

ウイルス対策スキャナーによってウイルスが検出されました。

AV_VIRUS_DETECTED_MT_LS

ANTISPAM_SPAM_DETECTED_MT

スパム

識別された電子メールはスパムとして検出されました。

ANTISPAM_SPAM_DETECTED_MT_LS

IDP_APPDDOS_APP_ATTACK_EVENT

アプリケーションレベルの分散型サービス拒否(AppDDoS)攻撃

AppDDoS攻撃は、クライアントトランザクションの数が、ユーザーが設定した接続、コンテキスト、および時間バインディングのしきい値を超えたときに発生しました。

IDP_APPDDOS_APP_ATTACK_EVENT_LS

IDP_APPDDOS_APP_STATE_EVENT

AppDDoS攻撃

AppDDoS の状態遷移は、アプリケーション トランザクションの数がユーザーが構成した接続またはコンテキストのしきい値を超えたときに発生しました。

IDP_APPDDOS_APP_STATE_EVENT_LS

IDP_ATTACK_LOG_EVENT

IDPによって発見された攻撃

IDPは攻撃のログエントリを生成しました。

IDP_ATTACK_LOG_EVENT_LS

例:脅威と攻撃のログをフィルタリングおよびレート制限するための統合型ClearPassの設定

SRXシリーズファイアウォールは、ネットワークリソースを保護するセキュリティモジュールによって識別された脅威や攻撃に関する情報を、ClearPass Policy Manager(CPPM)に動的に送信できます。特定のデバイスとそのユーザーのアクティビティに関連する攻撃および攻撃の脅威を検出し、対応するログを生成します。この送信を制御するには、送信するログのタイプと送信レートを設定する必要があります。その後、この情報を使用してCPPMのポリシールールを設定し、ネットワークセキュリティを強化できます。

この例では、SRXシリーズに統合されたClearPass認証およびポリシー適用機能を設定し、脅威と攻撃のログのみをフィルタリングしてCPPMに送信し、SRXシリーズのファイアウォールがそれらを送信する量とレートを制御する方法を示します。

要件

この例のトポロジーでは、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • サーバー上の仮想マシン(VM)に実装されたAruba CPPMです。CPPMは、ローカル認証ソースを使用してユーザーを認証するように構成されています。

  • 統合されたClearPass機能を含むJunos OSを実行するSRXシリーズファイアウォール。SRXシリーズファイアウォールは、ジュニパーネットワークスEX4300スイッチとインターネットに接続されています。SRXシリーズファイアウォールは、安全な接続を介してClearPassと通信します。

  • 有線802.1アクセスデバイスとして使用されるジュニパーネットワークスEX4300スイッチ。EX4300レイヤー2スイッチは、エンドポイントユーザーをネットワークに接続します。SRXシリーズのファイアウォールがスイッチに接続されている。

  • Microsoft OS を実行している有線ネットワーク接続 PC。システムはEX4300スイッチに直接接続されています。

    脅威と攻撃のログは、セキュリティ機能がキャッチして保護するイベントによってトリガーされたこれらのデバイスからのアクティビティに対して書き込まれます。

概要

SRXシリーズに統合されたClearPass認証および適用機能は、Aruba ClearPassと連携して、実際の攻撃および潜在的な攻撃から企業のリソースを保護します。SRXシリーズファイアウォールは、CPPMが送信するログを通じて、ネットワークリソースへの脅威とそれらに対する攻撃についてCPPMに通知します。その後、この情報を使用して、CPM のセキュリティポリシーの設定を評価できます。この情報に基づいて、個々のユーザーまたはデバイスに関してセキュリティを強化できます。

この機能の動作を制御するには、SRXシリーズファイアウォールを設定して、攻撃と脅威のログエントリをフィルタリングし、レート制限条件を設定する必要があります。

この関数の動作は、次の方法で調整できます。

  • SRXシリーズファイアウォールが脅威と攻撃のログのみをPPMに送信するように指示するフィルターを設定します。このフィルターを使用すると、SRXシリーズファイアウォールとログサーバーが無関係なログを処理する必要がないようにすることができます。

  • レート制限条件を設定して、送信されるログの量を制御します。

    rate-limit パラメーターを設定して、ログが送信されるボリュームとレートを制御します。たとえば、rate-limit パラメーターを 1000 に設定して、1 秒間に最大 1000 件のログが ClearPass に送信されるように指定できます。この場合、1015 ログを送信しようとすると、制限 (この場合は 15 ログ) を超えるログの数が削除されます。ログはキューに入れられず、バッファリングもされません。

最大 3 つのログストリームを設定し、個々のログを宛先、ログ形式、フィルター、レート制限で定義できます。ログメッセージは、設定されたすべてのログストリームに送信されます。各ストリームは個別にレート制限されています。

メモ:

レート制限をサポートするために、ログ メッセージはデバイスのローカル SPU から分割レートで送信されます。設定プロセスでは、ルーティング エンジンが各 SPU に分割レートを割り当てます。除算レートは、設定されたレートをデバイス上の SPU の数で割った値に等しくなります。

トポロジ

図 1に、この例のトポロジを示します。

図 1: 統合されたClearPass認証および強制導入トポロジ Integrated ClearPass Authentication and Enforcement Deployment Topology

構成

この例では、ClearPass に送信する脅威ログと攻撃ログを選択するフィルターを構成する方法について説明します。また、レート制限を設定して、特定の期間に送信されるログの量を制御する方法についても説明します。次の部分が含まれます。

CLIクイック構成

この例を迅速に設定するには、以下のステートメントをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、ステートメントを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

CPPMに送信される脅威および攻撃ログをフィルタリングするための統合ClearPass認証および強制の設定

手順
  1. ログ・ストリームの名前とその宛先の IP アドレスを指定します。

  2. ログ モードをストリーミングに設定します。

  3. ホスト送信元インターフェイス番号を設定します。

  4. 構造化された syslog 形式を使用して ClearPass through syslog にログを送信するようにログ ストリームを設定します。

  5. ログに記録するイベントの種類を指定します。

    メモ:

    この設定は、フィルターに設定されている現在のカテゴリとの関係では相互に排他的です。

  6. このストリームのレート制限を設定します。範囲は 1 から 65,535 からです。

    この例では、1 秒あたり最大 1000 件のログを ClearPass に送信できるように指定しています。最大値に達すると、追加のログはすべて削除されます。

結果

設定モードから、 コマンドを入力して show interfaces インターフェイスの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。