Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

Advanced Threat Prevention機能を設定する(SRXのみ)

セキュリティインテル(SecIntel)プロファイルと高度なマルウェア対策プロファイルを作成し、WANエッジデバイス上のアプリケーションポリシーに適用します。

ジュニパーネットワークスのSRXシリーズファイアウォール向けAdvanced Threat Prevention(ATP)は、高度なサイバー脅威を検出、分析、防止するために設計された包括的な機能スイートを提供します。ジュニパー Mistは、以下の機能をサポートしています。

  • SecIntel脅威インテリジェンスフィード—ジュニパーの厳選されたセキュリティインテリジェンスフィードであるSecIntelは、悪意のあるドメイン、URL、IPアドレスを特定してブロックするための動的かつ自動的な更新を提供します。ジュニパー Mistでは、SecIntelプロファイルを使用して、コマンドアンドコントロール(C&C)通信、侵害されたIPアドレスまたはIPサブネット、悪意のあるアクティビティに関連するドメインなど、悪意のあるトラフィックや望ましくないトラフィックをブロックできます。
  • 高度なマルウェア対策(AAMW)—ジュニパーネットワークスのマルウェア対策は、クラウドから取得したデータを使用して高度なサイバーセキュリティの脅威から保護するセキュリティソリューションです。この機能は、マルウェアや望ましくないファイルがエンドポイントに到達する前に、ネットワーク上のマルウェアや不要なファイルを検出してブロックします。ジュニパー Mist では、WAN Edge デバイス用のアンチマルウェア プロファイルを作成し、クラウド分析が必要なファイルと、マルウェアが検出された場合に実行する手順を詳細に説明できます。

  • サードパーティ脅威フィード—Sky ATPを使用すると、外部ベンダーからの追加の脅威インテリジェンスフィード(既知の悪意のあるIP、ドメイン、URL)を有効にすることができます。有効にすると、これらのフィードはデバイス上のセキュリティインテルCCカテゴリの一部になります。サポートされているフィードタイプは次のとおりです。

    • IPベース—Threatfox IP、Feodo Tracker、DShield、Tor、ブロックリスト

    • URLベース—Threatfox URL、URLHaus、OpenPhish

    • ドメインベース—Threatfoxドメイン

  • SecIntelカスタム許可リストとブロックリスト—カスタムIPアドレスとドメインを許可リストとブロックリストの2つのカテゴリで定義できます。これらのユーザー定義のIPアドレスまたはドメインは、デバイスのセキュリティIntel CCカテゴリに含まれています。

Advanced Threat Prevention機能は、SRXシリーズファイアウォールでサポートされています。

始める前に

以下が利用可能であることを確認します。

ATPクラウドへのWANエッジデバイスの登録は、レルムが作成され、SecIntelまたはAAMWプロファイルのいずれかがそのデバイスのセキュリティポリシーに関連付けられると行われます。

ATP資格情報の詳細を組織に追加し、機能を指定します

ジュニパーMistは、必要に応じて、クラウドATPサービスにデバイスを自動的に登録します。Juniper Mist CloudをATP Cloudと統合するには、ジュニパー MistポータルでATP資格の詳細を入力する必要があります。

  1. ジュニパー Mistポータルの左側のメニューから、組織>管理>設定を選択します。
  2. 下に スクロールして、「 セキュアWANエッジ統合 」セクションを表示します。
  3. ATP Cloudアカウントの資格情報を追加します。
    1. 資格情報の追加をクリックします
    2. 資格情報の追加ポップアップウィンドウで、詳細を入力します。
      • プロバイダーATPクラウドを選択します。
      • メールアドレス—ATPアカウントのユーザー名を入力します。
      • パスワード—ATPアカウントのパスワードを入力します。
      • レルム—ATPアカウントのレルム名を入力します。
      注:ATPのグローバルインスタンスのみがサポートされます。
    3. 資格情報の追加ポップアップウィンドウの下部にある保存をクリックします。
    新しいプロバイダーがプロバイダーリストに表示されます。
  4. 新しく追加されたプロバイダーの脅威フィードとドメインを設定します。
    1. プロバイダのリストで、先ほど追加したプロバイダの鉛筆ボタンをクリックします。
      Pencil Icon in the Providers List
    2. セキュリティインテリジェンスの設定ポップアップウィンドウで、有効にする各機能のチェックボックスを選択します。
      Threat Feed Check Boxes in the Configure Security Intelligence Pop-Up Window
    3. ウィンドウの [C&C IP/DOMAIN] セクションで、[C&C IP/ドメインの追加] をクリックし、ドメインを識別するための詳細を入力して、[C&C IP/DOMAIN] タイトル バーのチェック マークをクリックします。
      Check Mark in the C&C IP/Domain Title Bar
    4. 必要なドメインをすべて追加したら、セキュリティインテリジェンスの設定ウィンドウの下部にある保存をクリックします。
  5. 組織設定ページの上部にある保存をクリックします

拡張サービスモードを有効にするには、クラウドATPサービスに登録されている個別またはクラスター化されたデバイスを再起動する必要があります。これにより、L7サービス処理の最大サービス数が増加します。

セキュリティインテリジェンス(SecIntel)プロファイルの作成

SecIntelは、ジュニパーネットワークスのAdvanced Threat Prevention(ATP)クラウドから得られた、綿密に厳選され検証済みの脅威インテリジェンスを提供します。このインテリジェンスはWANエッジデバイスに配信され、ラインレートでのコマンドアンドコントロール(C&C)通信を効果的にブロックします。自動で応答性の高いトラフィック フィルタリングを有効にすることで、SecIntel はリアルタイムの脅威インテリジェンスを提供します。

多くのフィードには関連する脅威スコアが含まれており、お客様はデバイスを通過するトラフィックに適用されるセキュリティルールと制御を定義できます。SecIntelセキュリティサービスは、C&C通信、悪意のあるドメイン、感染したホストのフィードなど、ジュニパーの脅威フィードを統合します。参照: SecIntelフィードの概要とメリット

アプリケーションポリシーに組み込むことができるSecIntelプロファイルにより、C&C通信、侵害されたIPアドレスまたはサブネット、悪意のあるアクティビティに関連するドメインなどの悪意のあるトラフィックや望ましくないトラフィックをブロックできます。

SecIntelプロファイルを作成するには:

  1. 左側のメニューから、組織>WAN>アプリケーションポリシーを選択します。
  2. [プロファイル]セクションまで下にスクロールします。
  3. セキュリティインテル(SRXのみ)タブをクリックします。
  4. セキュリティインテルプロファイルの追加をクリックします。
  5. セキュリティインテルプロファイルの作成ポップアップウィンドウで、このプロファイルの詳細を入力します。

    • 名前—このプロファイルを識別するための名前を入力します。

    • チェックボックス—このプロファイルのアクションを選択します。

      • C&Cを有効にする デフォルトアクション—ネットワーク上のホストへの連絡や侵入を試みたC&Cサーバーに対するアクション

      • 感染ホストを有効にするデフォルトアクション—感染ホストに対するアクション。感染ホストは、C&Cネットワークの一部であるように見えるか、その他の症状を示しているために侵害される可能性のあるローカルデバイスです。

      • DNSを有効にするデフォルトアクション—悪意のあるアクティビティに関連付けられていることが知られているドメインに対するアクション。

      チェックボックスを選択した後、ドロップダウンメニューを使用して応答レベルも選択します。

      • デフォルト—最も攻撃的でない応答。脅威スコアが1〜8のイベントを監視およびログに記録します。ブロックイベントのスコアは9-10。

      • 標準—中間レベルの応答。脅威スコアが1〜5のイベントを監視およびログに記録します。ブロックイベントスコア6-10。

      • ストリクト—最も積極的な応答。脅威スコアが1〜2のイベントを監視およびログに記録します。ブロックイベントのスコアは3-10です。

  6. [ Create セキュリティ Intel Profile]ウィンドウの下部にある [Save ]をクリックします。
    作成したプロファイルが セキュリティインテル(SRXのみ) ペインに表示されます。
  7. 必要に応じて上記の手順を繰り返して、追加のプロファイルを作成します。
これで、新しいプロファイルをアプリケーションポリシーに適用できます。

高度なマルウェア対策プロファイルの作成

この機能は、マルウェアや望ましくないファイルがエンドポイントに到達する前に、ネットワーク上のマルウェアや不要なファイルを検出してブロックします。SecIntelと同様に、マルウェア対策プロファイルはアプリケーションポリシー画面から作成し、アプリケーションポリシーに含めることができます。

アンチマルウェアプロファイルを作成するには:

  1. (前の手順から続行する場合は、この手順をスキップしてください)。左側のメニューから、組織>WAN>アプリケーションポリシーを選択します。
  2. プロファイルセクションで、アンチマルウェア(SRXのみ)タブをクリックします。
  3. アン チマルウェアプロファイルを追加をクリックし、詳細を入力します。
    1. プロファイルの名前を入力します。
    2. 以下の表に示すように、1つ以上のファイルカテゴリを選択します。
      ファイル
      表1:ファイルカテゴリの内容
      カテゴリ 説明タイプ
      アーカイブ アーカイブファイル .zip、.rar、.tar、.gzip
      PDF PDF、電子メール、MBOXファイル .email、.mbox、.pdf、.pdfa
      豊富なアプリケーション Adobe Flash、JavaFX、Microsoft Silverlight などのインストール可能なインターネット アプリケーション .swf、.xap、.xbap
      OSパッケージ OS固有の更新アプリケーション .deb、.dmg
      Java Javaアプリケーション、アーカイブ、およびライブラリ .class、.ear、.jar、.war
      スクリプト スクリプトファイル .bat、.js、.pl、.ps1、.py、.sct、.sh、.tcl、.vbs、plsm、pyc、pyo
      ドキュメント PDFを除くすべてのドキュメントタイプ .chm、.doc、.docx、.dotx、.hta、.html、.pot、.ppa、.pps、.ppt、.pptsm、.pptx、.ps、.rtf、.txt、.xlsx、.xml、.xsl、.xslt
      実行可能 実行可能なバイナリ .bin、.com、.dat、.exe、.msi、.msm、.mst
      ライブラリ 動的および静的ライブラリとカーネルモジュール .a、.dll、.kext、.ko、.o、.so、.ocx
      モバイル モバイル形式 .apk、.ipa
      設定 設定ファイル .inf、.ini、.lnk、.reg、.plist
  4. ポップアップウィンドウの下部にある「保存」をクリックします。
    新しいプロファイルがマルウェア対策プロファイルのリストに表示されます。

アプリケーションポリシーにプロファイルを適用する

始める前に

この手順では、セキュリティプロファイルをアプリケーションポリシーに適用します。まず、以下のタスクを完了する必要があります。

  • アプリケーションポリシーを作成します。ヘルプについては、「 アプリケーションポリシー」を参照してください。

  • セキュリティプロファイルを作成します。ヘルプについては、このトピックの前のセクションを参照してください。

  1. 左側のメニューから、組織>WAN>アプリケーションポリシーを選択します。
  2. ポリシーのリストで、変更するポリシーを見つけます。
  3. 高度なセキュリティサービス列で+をクリックし、適用するプロファイルをクリックします。

    ドロップダウンメニューで、プロファイルの名前で検索するか、リストをスクロールします。セクション見出しを参照して、セキュリティ、インテリジェンス、アンチマルウェアなど、タイプ別のプロファイルを見つけてください。

    例えば、次の図は、ドロップダウンメニューのセキュリティインテルセクションにあるプロファイルを示しています。

  4. ポリシーへのプロファイルの適用が完了したら、アプリケーションポリシーページの右上隅にある保存をクリックします。

ステータス情報

WANエッジページで基本的なデバイス監視情報を表示できます。左側のメニューから、[ WAN Edges ]> [ WAN Edges]に移動します。

WANエッジページでデバイスをクリックすると、デバイスの詳細が表示されます。詳細ページには、次の情報が表示されます。

  • 高度なセキュリティ—セキュリティサービスのステータス。緑色のチェックマークは、このデバイスでサービスがアクティブであることを示します。

    図1:高度なセキュリティステータスの詳細 Advanced Security Status Details Advanced Security for WAN Edge

  • プロパティ—WANエッジインサイトをクリックすると、インサイトページに最近のイベントやその他の情報が表示されます。

    図2:WANエッジイベントの詳細 WAN Edge Events Details
    ヒント:

    • デフォルトでは、インサイトページには今日のイベントのみが表示されますが、ページの右上隅付近にあるドロップダウンメニューから期間を選択できます。

    • WANエッジイベントリストでイベントをクリックすると、ページの右側に概要が表示されます。

セキュリティイベントの表示

サイト > WAN Edge > セキュリティ イベントからアクセスできる ジュニパー Mist セキュリティ イベントページには、セキュリティ関連イベントを一元的に表示できます。ジュニパー Mist が検出したセキュリティ イベントのログを表示し、ネットワークのセキュリティ態勢を監視します。ユーザーは詳細をフィルタリングして表示することができ、事前対応型のセキュリティ対応と分析が可能になります。

図3:セキュリティイベント Security Events

AAMW(Advanced Anti-Malware)またはSecIntelタブのいずれかをクリックして、関連するセキュリティイベントの詳細を確認します。上記の例では、重大度レベルがMinorのコマンドアンドコントロール(C&C)のインシデントの詳細が表示されています。また、実行されたアクション(この場合は許可)も示されます。さらに、デバイス名、サイト、送信元と宛先アドレス、送信元と宛先ポート情報などのその他の情報を表示することもできます。