例- IoT デバイス検出とポリシー適用の設定

要件

• SRX シリーズ デバイスまたは NFX シリーズ デバイス
• Junos OS リリース 22.1R1 以降
• Juniper Advanced Threat Preventionクラウドアカウント。 Juniper Advanced Threat Preventionクラウドアカウントの登録を参照してください。

Junos OSリリース22.1R1のvSRXインスタンスを使用して、設定を検証およびテストしました。

必要なライセンスとアプリケーション署名パッケージを確認する

• 適切なJuniper ATPクラウドライセンスがあることを確認します。コマ ンドを show system license 使用してライセンス ステータスを確認します。
• デバイスにセキュリティ デバイスに最新のアプリケーション 署名パックがあることを確認します。
  • デバイスにアプリケーション識別ライセンスがインストールされていることを確認します。
  • アプリケーション署名パックの最新バージョンをダウンロードします。
  • ダウンロードステータスを確認します。
  • アプリケーション識別署名パックをインストールします。
  • インストールされているアプリケーション署名パックのバージョンを確認します。

ジュニパーATPクラウドでセキュリティデバイスを登録

まず、ジュニパーATPクラウドでセキュリティデバイスを登録します。デバイスを既に登録している場合は、この手順をスキップして「 IoT トラフィック ストリーミング設定を構成する」に直接ジャンプできます。そうでない場合は、デバイス登録に次のいずれかの方法を使用します。

• 方法 1: CLI を使用したセキュリティ デバイスの登録
• 方法 2: Juniper ATP クラウド Web ポータルにセキュリティ デバイスを登録する

IoT トラフィック ストリーミング設定を構成する

この手順では、メタデータ ストリーミング ポリシーを作成し、セキュリティ デバイスでセキュリティ サービスを有効にします。

1. 完全なクラウド接続設定。

2. セキュリティ メタデータ ストリーミング ポリシーを作成します。

   これらのセキュリティメタデータストリーミングポリシーをセキュリティポリシーに添付して、セッションのIoTトラフィックストリーミングを有効にします。

3. アプリケーション追跡、アプリケーション識別、PKI などのセキュリティ サービスを有効にします。

SRXシリーズ デバイスの設定

セキュリティ デバイスでインターフェイス、ゾーン、ポリシーを設定し、IoT パケット フィルタリングとストリーミング サービスを有効にするには、次の手順を使用します。

1. インターフェイスを設定します。

2. セキュリティ ゾーンを設定し、構成した各ゾーンのアプリケーション トラフィックを有効にします。

   トポロジーに示すように、untrustゾーンは、ネットワーク内のIOTデバイスからトランジットおよびホストバウンドトラフィックを受信します。クライアントデバイスはtrustゾーンに、Juniper ATP Cloudはクラウドゾーンにあります。

3. セキュリティポリシーP1を設定します。

   この設定では、trustゾーンからtrustゾーンへのトラフィックを許可します。

4. セキュリティポリシーP2を設定します。

   この設定により、untrustゾーンからのトラフィックがゾーンを信頼し、セキュリティメタデータストリーミングポリシーp1を適用して、セッションのIoTトラフィックストリーミングを有効にします。

5. セキュリティ ポリシー P3 を設定します。

   この設定では、trustゾーンからクラウドゾーンへのトラフィックを許可し、セキュリティメタデータストリーミングポリシーp2を適用して、セッションのIoTトラフィックストリーミングを有効にします。

6. 設定をコミットします。 セキュリティ デバイスは、IoT トラフィックを Juniper ATP Cloud にストリーミングする準備が整いました。

ジュニパーATPクラウドポータルで、検出されたすべてのIoTデバイスを確認できます。

ATPクラウドで検出されたIOTデバイスの表示

ジュニパーATPクラウドポータルで発見されたIoTデバイスを表示するには、「 Minotor >IoTデバイス」 ページに移動します。

デバイスのカテゴリ、製造元、オペレーティング システムの種類に基づいて IoT デバイスをクリックしてフィルターできます。

次の画像では、Android OSでデバイスをフィルタリングしています。

脅威フィードの作成

Juniper ATP CloudがIoTデバイスを特定すると、脅威フィードを作成できます。セキュリティ デバイスが動的アドレス グループの形式で脅威フィードをダウンロードすると、フィードのセキュリティ ポリシーを使用して、これらの IoT デバイス上のインバウンド およびアウトバウンド トラフィックに対して適用アクションを実行できます。

1. [IoT デバイスの Minotor >] ページに移動し、[フィードの作成] オプションをクリックします。
   

2. プラス記号(+)をクリックします。[新しいフィードの追加] ページが表示されます。

   この例では、TTL(Time-to-Live) android_phone_user 7日間のフィード名を使用します。

   
   以下のフィールドの設定を入力します。

   • フィード名:

     脅威フィードの一意の名前を入力します。フィード名は英数字で始まる必要があり、文字、数字、アンダースコアを含めることができます。スペースは使用できません。長さは8~63文字です。

   • 型： フィードのコンテンツ タイプを IP として選択します。

   • データソース:フィードを IOT として作成するデータ ソースを選択します。

   • 今からでもご利用ください: 必要なフィード入力がアクティブになる日数を入力します。フィードエントリーがTTL(稼働時間)の値を超えた後、フィードエントリーは自動的に削除されます。使用可能な範囲は 1~365 日です。

3. [OK] をクリックして変更を保存します。
4. 「適応型脅威プロファイリング>設定」にアクセスしてください。このページには、作成されたすべての脅威フィードが表示されます。脅威フィードandroid_phone_userページに表示されます。
   

   脅威フィードをクリックすると、脅威フィードに含まれるIPアドレスが表示されます。

   
6. セキュリティ デバイスがフィードをダウンロードしたことを確認します。ダウンロードは自動的に定期的に行われますが、数分かかることがあります。

   次のコマンドを使用して、脅威フィードを手動でダウンロードできます。

ダウンロードした脅威フィードを使ってセキュリティ ポリシーの作成を進めます。

適応型脅威プロファイリングフィードを使用したセキュリティポリシーの作成

セキュリティデバイスが脅威フィードをダウンロードすると、セキュリティポリシーで動的アドレスグループと呼ぶことができるようになります。動的アドレスとは、特定のドメインに属する IoT デバイスの IP アドレスのグループです。

この例では、Android 電話からのトラフィックを検出し、トラフィックをブロックするポリシーを作成します。

1. セキュリティ ポリシーの一致条件を定義します。
2. セキュリティポリシーアクションを定義します。

この例では、設定をコミットすると、セキュリティ デバイスが特定のドメインに属する IoT デバイスの HTTP トラフィックをブロックします。

詳細については、「 適応型脅威プロファイリングの設定」を参照してください。

結果

設定モードから、 show security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

セキュリティ ゾーンを確認します。

show services

デバイスでこの機能の設定が完了したら、設定モードからコミットを入力します。

フィードの概要とステータスの確認

目的： セキュリティ デバイスが動的アドレス グループの形式で IP アドレス フィードを受信しているかどうかを確認します。

アクション： 以下のコマンドを実行します。

意味 出力には、Juniper ATPクラウドサーバーの接続ステータスやその他の詳細が表示されます。