カスタムフィードソースの概要
Policy Enforcerは、脅威フィードを使用して、さまざまな種類の脅威に関する実用的なインテリジェンスをポリシーに提供します。これらのフィードは、Juniper ATP Cloud などのさまざまなソースから取得できることや、IP アドレス、ドメイン、URL を追加してカスタマイズできるリストから取得できます。
ジュニパーATPクラウドフィードとカスタムフィードは相互に排他的です。動的アドレス、許可リスト、ブロックリスト、感染したホストフィード、およびC&C Serverのソースは1つだけです。
動的アドレスのカスタムフィードが利用可能な場合、Juniper ATP Cloudのoffice_365フィードを使用することはできません。
次のタイプのカスタム脅威フィードを使用できます。
動的アドレスは、外部ソースからインポートできる IP アドレスのグループです。これらの IP アドレスは、特定のドメイン用、または脅威をもたらす特定の望ましくない場所など、共通の属性を持つエンティティ用です。その後、セキュリティ ポリシー内で動的アドレスを使用するようにセキュリティ ポリシーを設定できます。
許可リストには、既知の信頼できる IP アドレス、URL、ドメインが含まれます。許可リストに登録されている場所からダウンロードしたコンテンツは、マルウェアの検査を受ける必要はありません。
ブロックリストには、既知の信頼できない IP アドレス、URL、およびドメインが含まれます。ブロックリスト上の場所へのアクセスはブロックされるため、それらのサイトからコンテンツをダウンロードすることはできません。
感染したホストとは、侵害されていることがわかっているホストのことです。ホストのIPアドレスを手動で入力するか、感染したホストのIPアドレスを含むテキストファイルをアップロードします。
Policy Enforcerは、DDoS脅威フィードを使用して、フィード内のソースIPアドレスをブロックし、ソースIPアドレスからのトラフィックのレート制限を行い、BGP Flowspecアクションを実行して、ヌルルートフィルタリングを適用するか、トラフィックをスクラビングセンターにリダイレクトします。
コマンドアンドコントロールサーバー(C&C Server)は、ボットネット(侵害されたコンピューターのネットワーク)にコマンドを発行し、それらからレポートを受け取る集中型コンピューターです。ボットネットは、アカウント番号やクレジットカード情報などの機密情報を収集したり、分散型DDoS攻撃に参加したりするために使用できます。
脅威管理ポリシーでこれらのフィードを使用するには、フィードの種類ごとに構成情報を入力する必要があります。
カスタムフィードソースの利点
適用ポリシーの作成に使用できる、関連性のあるタイムリーなインテリジェンスを提供します。業界や組織に固有の脅威フィードをカスタマイズできます。
脅威情報を次の宛先に同期するための柔軟なメカニズムを提供します。
ローカルファイルおよびリモートファイルのカスタムフィードからポーリングするようにPolicy Enforcerを設定します。
脅威フィードAPIを使用して、脅威フィードをPolicy Enforcerにプッシュします。