Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

感染したホストのプロファイルを作成する

現在地: セキュリティ サービス > Advanced Threat Prevention > SecIntel プロファイル

感染したホストのプロファイルを作成してフィードと脅威スコアを構成し、侵害されたホストのIPアドレスまたはIPサブネットを一覧表示します。感染したホストは、C&Cネットワークの一部であるように見えるか、他の症状を示すために侵害された可能性のあるローカルデバイスを示します。

感染したホストのプロファイルを作成するには:

  1. SecIntel プロファイル ページの右上隅にある >感染したホストの作成 をクリックします。
    感染したホストプロファイルの作成 ページが開きます。
  2. 表 1 に示すガイドラインに従って構成を完了します。
  3. [ OK ] をクリックして変更を保存します。変更を破棄するには、[ キャンセル] をクリックします。

    感染したホストのプロファイルを作成したら、それを SecIntel プロファイル グループに関連付けることができます。

    表 1: [感染したホストの作成] プロファイル ページのフィールド

    フィールド

    アクション

    名前

    感染したホスト プロファイルの名前を入力します。

    名前は、英数字と特殊文字の一意の文字列である必要があります。最大 63 文字です。< や>などの特殊文字は使用できません。

    説明

    感染したホスト プロファイルの説明を入力します。

    すべてのフィードに対するデフォルト アクション

    スライダーをドラッグして、すべてのフィードタイプに対して実行するアクションを変更します。アクションは、許可 (1 - 4)、ログ (5-6)、およびブロック (7 - 10) です。

    ログには許可アクションがあり、イベントもログに記録されます。

    フィードと脅威スコア

    次の手順を実行します。

    1. [+] をクリックして、感染したホスト プロファイルへのフィードと脅威スコアを定義します。

      [フィードの追加] ウィンドウが表示されます。

    2. 次の詳細を入力します。

      1. フィード:[利用可能(Available)] 列から 1 つ以上のフィードを選択し、[選択済み(Selected)] 列に移動して、感染したホスト プロファイルに関連付けます。

      2. 脅威スコア - スライダーをドラッグして、脅威スコアに基づいて実行するアクションを変更します。

    3. OK をクリックします。

    ブロックアクション

    リストから次のいずれかのブロックアクションを選択します。

    • Drop Packets—デバイスはセッションのパケットをサイレントにドロップし、セッションは最終的にタイムアウトします。

    • セッションを閉じるオプション:デバイスがTCP RSTパケットをクライアントとサーバーに送信し、セッションは直ちにドロップされます。

    セッションを閉じるオプション

    一覧から、[なし]、[リダイレクト URL]、[リダイレクト メッセージ]、または [ファイル] のいずれかのオプションを選択します。

    リダイレクト URL

    接続が閉じられたときにユーザーをリダイレクトするリモート ファイルの URL を入力します。

    リダイレクトメッセージ

    接続が閉じられたときにユーザーに送信するカスタム メッセージを入力します。

    ファイルのアップロード

    [ 参照 ] をクリックして、ファイルを選択してアップロードします。このファイルは、接続が閉じられたときにユーザーに送信するために使用されます。

    メモ:

    ファイルは .php、.html、または .py 形式でなければならず、/jail/var/tm に保存されます。

関連ドキュメント