Advanced Threat Prevention機能

次のものが利用可能であることを確認してください。

• Juniper Advanced Threat Preventionクラウドアカウントと、アカウントから作成されたATP Cloudレルム。 Juniper Advanced Threat Preventionクラウドアカウントの登録を参照してください。
• ライセンスに関連付けられているATP Cloudアカウント。詳細については、「 ATP Cloud のソフトウェア ライセンス」を参照してください。

ATP CloudへのWANエッジデバイスの登録は、レルムが作成され、SecIntelまたはAAMWプロファイルがそのデバイスのセキュリティポリシーに関連付けられた後に行われます。

Juniper Mistは、必要に応じてデバイスをクラウドATPサービスに自動的に登録します。Juniper Mist Cloud ATP Cloudと統合するには、Juniper MistポータルでATP認証情報の詳細を入力する必要があります。

1. ポータルJuniper Mist、 [ 組織>管理>設定] を選択します。
2. [ セキュア WAN Edge 統合(Secure WAN Edge Integration )] ペインまで下にスクロール し、[認証情報の追加(Add Credentials)] をクリックします。
3. [Add Provider] ウィンドウで、詳細を入力します。
   図 1: ATP Cloud の資格情報を追加する
   • プロバイダー - [ATP Cloud] を選択します。現在、弊社では ATP CloudサービスプロバイダとしてUS Prod Instanceをサポートしています。
   • 電子メール アドレス—ユーザー名(ATP アカウントの認証情報)を入力します。
   • [パスワード(Password)]:ユーザ名のパスワードを入力します。
   • [レルム(Realm)]:関連付けられたレルム名を入力します。
4. 「 追加 」をクリックして続行します。
   手記：ATP のグローバル インスタンスのみがサポートされます。

SecIntel は、ジュニパーネットワークスの Advanced Threat Prevention(ATP)クラウドから入手した、細心の注意を払って厳選および検証済みの脅威インテリジェンスを提供します。このインテリジェンスはWANエッジデバイスに配信され、ラインレートでコマンド&コントロール(C&C)通信を効果的にブロックします。自動的かつ応答性の高いトラフィックフィルタリングを有効にすることで、SecIntelはリアルタイムの脅威インテリジェンスを提供します。

多くのフィードには関連する脅威スコアが含まれており、お客様はデバイスを通過するトラフィックに適用されるセキュリティルールとコントロールを定義できます。SecIntelセキュリティサービスは、C&C通信、悪意のあるドメイン、感染したホストなど、ジュニパーの脅威フィードを統合します。参照:SecIntelフィードの概要とメリット

アプリケーションポリシーに組み込むことができるSecIntelプロファイルは、C&C通信、侵害されたIPアドレスやサブネット、悪意のあるアクティビティにリンクされたドメインなどの悪意のある不要なトラフィックのブロックを可能にします。

SecIntel プロファイルを作成するには:

1. Juniper Mist クラウド ポータルで、[ Organization > WAN > Application Policy]を選択します。

2. [プロファイル]で、[ セキュリティインテル(SRXのみ) ]タブをクリックします。このページには、定義されている SecIntel プロファイルが表示されます(使用可能な場合)。
3. クリック セキュリティインテリジェンスプロファイルの追加 をクリックし、次の詳細を入力します。
   図 2: SecIntelプロファイル の作成
   1. プロファイルの [名前] を追加します。
   2. 次のサポートされているプロファイルの種類のいずれかを選択します。

      • [C&C デフォルト アクション(C&C Default Action)]:ネットワーク上のホストに接続して侵害を試みた C&C サーバに対するアクションを設定できます。

      • [DNS デフォルト アクション(DNS Default Action)]:悪意のあるアクティビティに関連付けられていることがわかっているドメインに対するアクションを設定できます。

      • 感染ホストのデフォルト アクション:感染したホストに対するアクションを設定できます。感染ホストは、C&C ネットワークの一部であるように見えるか、その他の症状を示すために侵害される可能性のあるローカル デバイスです。

      厳密、標準、またはデフォルトを選択できます。プロファイル(strict、standard、default)はさまざまなレベルのアクションを定義します。表 1に示すように、「strict」はより積極的でより多くのトラフィックをブロックする可能性がありますが、「default」はよりバランスの取れたアプローチを提供する可能性があります。

      表 1:脅威スコアに基づくアクションのプロファイル作成

      プロファイル	脅威スコア	アクション
      デフォルト	1—8	監視(ログ)と許可
      	9—10	ブロック
      標準	1—5	監視(ログ)と許可
      	6—10	ブロック
      厳しい	1—2	監視(ログ)と許可
      	3—10	ブロック

   3. 「 保存」をクリックします。

   作成したプロファイルが [Security Intel (SRX Only)] ペインの下に表示されます。次に、次の手順を使用して、アプリケーション ポリシーにプロファイルを適用する必要があります。

   1. [アプリケーション ポリシー] ペインで、既存のアプリケーションを選択するか、新しいアプリケーションを作成します。
   2. ネットワーク/ユーザー、アクション、アプリケーション/宛先などのポリシーの詳細を入力します。
   3. [高度なセキュリティ サービス]で[+]をクリックし、[ セキュリティ]、[インテル(SRXのみ)]まで下にスクロールします。
      図 3: アプリケーション ポリシー での適用SecIntelプロファイル
   4. 前の手順で作成した SecIntel プロファイルを選択します。使用可能なプロファイル(厳密、標準、デフォルト)を選択することもできます。
   5. 「 保存」をクリックします。

この機能は、ネットワーク上のマルウェアや望ましくないファイルがエンドポイントに到達する前に検知し、ブロックします。SecIntelと同様に、マルウェア対策プロファイルはアプリケーションポリシー画面から作成し、アプリケーションポリシーに含めることができます。

不正プログラム対策プロファイルを作成するには:

1. Juniper Mist クラウド ポータルで、[ Organization > WAN > Application Policy]を選択します。

2. [プロファイル(Profiles)] で、[ マルウェア対策(SRX のみ)(Anti-Malware (SRX Only) )] タブをクリックします。このページには、定義されている不正プログラム対策プロファイルが表示されます(使用可能な場合)。
3. クリック アンチマルウェアの追加(SRXのみ) をクリックし、次の詳細を入力します。
   図4:アンチマルウェア プロファイルの作成マルウェアプロファイル
   1. [名前を追加] をクリックします。
   2. 次の表に示すように、1 つ以上のファイル カテゴリを選択します。

      表 2: ファイル カテゴリの内容

      カテゴリ記述		ファイルの種類
      アーカイブ	ファイルのアーカイブ	.zip、.rar、.tar、.gzip
      PDFで見る	PDF、電子メール、MBOXファイル	.email、.mbox、.pdf、.pdfa
      リッチアプリケーション	Adobe Flash、JavaFX、Microsoft Silverlightなどのインストール可能なインターネットアプリケーション	.swf、.xap、.xbap
      OSパッケージ	OS固有のアップデートアプリケーション	.deb、.dmg
      ジャワ	Java アプリケーション、アーカイブ、およびライブラリ	.class、.ear、.jar、.war
      スクリプト	ファイルのスクリプティング	.bat、.js、.pl、.ps1、.py、.sct、.sh、.tcl、.vbs、plsm、pyc、pyo
      文書	PDF を除くすべての文書タイプ	.chm、.doc、.docx、.dotx、.hta、.html、.pot、.ppa、.pps、.ppt、.pptsm、.pptx、.ps、.rtf、.txt、.xlsx、.xml、.xsl、.xslt
      実行可能	実行可能なバイナリ	.bin、.com、.dat、.exe、.msi、.msm、.mst
      図書館	動的および静的ライブラリとカーネルモジュール	.a、.dll、.kext、.ko、.o、.so、.ocx
      モビール	モバイルフォーマット	.apk、.ipa
      構成	構成ファイル	.inf、.ini、.lnk、.reg、.plist

   3. 「 保存」をクリックします。

   作成したプロファイルが [ Anti-Malware (SRX Only)] ペインの下に表示されます。次に、次の手順を使用して、アプリケーション ポリシーにプロファイルを適用する必要があります。

   1. [アプリケーション ポリシー] ペインで、既存のアプリケーションを選択するか、新しいアプリケーションを作成します。
   2. ネットワーク/ユーザー、アクション、アプリケーション/宛先などのポリシーの詳細を入力します。
   3. [高度なセキュリティ サービス]で[+]をクリックし、[ マルウェア対策(SRXのみ)]まで下にスクロールします。
      図 5: アプリケーション ポリシー でのマルウェア対策プロファイルの適用
   4. 前の手順で作成した不正プログラム対策プロファイルを選択します。使用可能なプロファイル(実行可能ファイル、標準、ドキュメントのみ)を選択することもできます。
   5. 「 保存」をクリックします。

Juniper Mist ポータルで、[ WAN Edges] > [WAN Edges] を選択して 、基本的なデバイス監視情報を表示します

デバイス ポートの下にある [Advanced Security ] セクションには、セキュリティ サービスのステータスが表示されます。緑色のチェックマーク(X)は、サービスがデバイス上でアクティブであることを示します。次のサンプルでは、ウイルス対策、Advanced-Antimalware、AppSecure、および SSL が緑色のチェック マークでアクティブになっています。

図6:高度なセキュリティステータスの詳細

[ポート情報とセキュリティ] セクションの下には、一般的なプラットフォーム関連情報を含む [プロパティ ] ウィンドウがあります。

[ WAN Edge イベント (WAN Edge Events )] をクリックするか 、[> インサイトの監視 (Monitor Insights )] に移動して、表示するサイトと WAN Edge を選択します。

イベントをクリックすると、ページの右側に概要が表示されます。

図7:WANエッジイベントの詳細

サイト>WANエッジ>セキュリティ イベントからアクセスできるJuniper Mistセキュリティ イベントページでは、セキュリティ関連のイベントを一元的に確認できます。ネットワークのセキュリティ態勢を監視するためにJuniper Mistが検出したセキュリティイベントのログを表示します。ユーザーは詳細をフィルタリングして表示でき、事前対応型のセキュリティ対応と分析が可能になります。

図8:セキュリティ イベント

[AAMW (Advanced Anti-Malware)] または [SecIntel] タブの 1 つをクリックして、関連するセキュリティ イベントの詳細を表示します。上記の例では、このページには、重大度レベルが Minor の Command and Control (C&C) のインシデントの詳細が表示されています。また、実行されたアクション (この場合は Permit) も示します。さらに、デバイス名、サイト、送信元アドレスと宛先アドレス、送信元ポートと宛先ポート情報など、その他の情報を表示することもできます。