Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

セキュリティメタデータストリーミング

構文

階層レベル

説明

SRXシリーズデバイスでセキュリティメタデータストリーミングポリシーを設定し、ネットワークトラフィックのメタデータと接続パターンをジュニパーネットワークスATPクラウドに送信して、暗号化されたトラフィックインサイトを得ることができます。セキュリティメタデータストリーミングポリシーを設定した後、ゾーンレベルでセキュリティポリシーにアタッチします。

set security policies from-zone from-zone to-zone to-zone application-services security-metadata-streaming-policy dns-policy

オプション

dns-cache DNS(Domain Name System)キャッシュ内の静的で無害なコマンド&コントロール(C2)ドメインのリストを設定し、設定したドメインに対して即座にアクションを起こします。ワイルドカード ドメインのみが許可されます。ドメインの形式は. である *.domain_name.domain_ending 必要があります。CLI経由でDNSキャッシュに設定されたエントリーは、その設定がデバイスから削除されるまでDNSキャッシュに残ります。無害なリストとc2リストには、それぞれ最大500ドメインを設定できます。
  • デフォルトでは、無害な(許可リストされた)ドメインから発信されたトラフィックに対するアクションは.permit
  • C2(ブロックリスト)ドメインから発信されるトラフィックに対するアクションは、DNS検出で設定されたアクションに基づいています。
policy policy-name セキュリティメタデータストリーミングポリシーを設定します。
dns DNS オプションを設定します。
cache DNSをTTL(Time-to-live)までキャッシュに保存します。SRXシリーズデバイスが提供するTTLは、Juniper ATP Cloudが提供するTTLを上書きします。
メモ:

DNSキャッシュを設定するには、少なくとも1つのDNS検出方法を設定する必要があります。
  • 無害—(オプション)無害な TTL 値を設定します。範囲は60~172800秒です。デフォルト値は86400です。
  • c2—(オプション)C2 TTL値を設定します。範囲は60~172800秒です。デフォルト値は86400です。
detections DNS リクエストの検出タイプを設定します。使用可能なオプションはすべて、dga、トンネリングです。以下の検出のいずれかを設定できます。
  • すべての検出
  • dgaとトンネリングの両方の検出
  • dgaまたはトンネリングの検出のいずれか
すべての検出とカスタム検知(dgaおよび/またはトンネリング)を一緒に設定することはできません。検出は相互に排他的です。
メモ:

各検出方法にはフォールバック オプションがあり、特定の数のパケット(トンネリングの場合)または一定期間内(DGA の場合)で何も検出されない場合に使用されます。

all すべての検出を設定します。
  • アクション — 検知が行われたときに SRX デバイスが実行するアクションを指定します。使用可能なオプションは deny、 、 permitまたは sinkholeです。
  • フォールバック オプション — DNS 検知用のフォールバック オプション。フォールバック アクションは、DNS ベースの攻撃が検知されず(DGA が 100 ミリ秒(デフォルト値は verdict-timeout)以内で受信されず、DNS トンネルが 4 パケット内で検出されない(検出深度のデフォルト値)場合にトリガーされます。利用可能なオプションは、DNSリクエストに Log 対してです。
  • 通知 — DNS 検知方法に対して実行されるグローバル通知アクション。使用可能なオプションは次のとおりです。
    • ログ — DNS リクエストと DNS 検知のログを生成します。
    • ログ検知—(推奨)悪意のある DNS 検知に対してのみログを生成します。
  • verdict-timeout —(構成できません)DNS パケットの DGA 判別を待つ時間(ミリ秒)。すべての検出のデフォルト タイムアウトは 100 ミリ秒です。
  • 検査深さ—(構成できません)トンネル検出のために検査されるパケットの数。デフォルトは、すべての検出に対して 4 パケットです。
dga DNSパケットに対するDGAベースの攻撃を検出するように設定します。
  • アクション — 検知が行われたときに SRX デバイスが実行するアクションを指定します。使用可能なオプションは deny、 、 permitまたは sinkholeです。
  • フォールバックオプション—DNS DGA検知用のフォールバックオプション。フォールバックオプションは、設定された値の判別-タイムアウト内で、Juniper ATPクラウドからDGAが受信されない場合にトリガーされます。利用可能なオプションは、DNSリクエストをログに記録することです。
  • 通知— DNS DGA 検知のための通知アクション。使用可能なオプションは次のとおりです。
    • ログ — DNS リクエストごと、および DNS 検知ごとにログを生成します。
    • ログ検知—(推奨)悪意のある DNS 検知に対してのみログを生成します。
  • verdict-timeout—(オプション)DNSパケットの判別を待つ時間(ミリ秒)。範囲は50~500です。デフォルトのタイムアウトは100ミリ秒です。
tunneling を構成して DNS トンネリングを検出します。
  • アクション — 検知が行われたときに SRX デバイスが実行するアクションを指定します。使用可能なオプションは deny 、(トンネルセッションをドロップ)、 permit (トンネルセッションを許可)、または sinkhole (トンネルセッションをドロップし、ドメインをシンクホール)です。
  • フォールバック オプション — DNS トンネリング検出用のフォールバック オプション。フォールバック オプションは、指定されたパケット数(検出深さ)内でトンネルが検出されない場合にトリガーされます。利用可能なオプションは、DNSリクエストをログに記録することです。
  • 検査深さ—(オプション)トンネル検出のために検査されるパケットの数。範囲は0~10です。デフォルトは4パケットです。0は永遠に示す。
  • 通知 — DNS トンネリング検出の通知アクション。使用可能なオプションは次のとおりです。
    • ログ — DNS リクエストごと、および DNS 検知ごとにログを生成します。
    • ログ検知—(推奨)悪意のある DNS 検知に対してのみログを生成します。
dynamic-filter SRXシリーズデバイス上のセキュリティメタデータストリーミングポリシーの動的フィルタリングオプションを設定します。
http HTTP オプションを設定します。

  • アクション — トラフィックに対して実行されるアクションを定義します。デフォルトのアクションは permit です。

  • 通知 — トラフィックに対して実行される通知アクションを定義します。利用可能なオプションは、すべてのセキュリティメタデータストリーミングアクションをログに記録することです。

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ制御—設定にこのステートメントを追加します。

リリース情報

Juniper Advanced Threat Prevention Cloud(Juniper ATP Cloud)を使用したSRXシリーズサービスゲートウェイのJunos OSリリース20.2R1で導入されたステートメント。

関連ドキュメント