Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Security Directorインサイト緩和のためのPolicy Enforcerの設定

Security Director Insightsは、Juniper® Advanced Threat Prevention Cloud(Juniper ATP Cloud)またはPolicy Enforcerを使用して緩和を実行します。このトピックでは、緩和策のためにPolicy Enforcerを設定する方法について説明します。Policy Enforcerは、Security Director Insightsの仮想マシン(VM)に統合されています。IPアドレスは、Security Director Insightsの統合型Policy Enforcerまたは従来のスタンドアロン型Policy Enforcerのいずれかで軽減できます。緩和に統合されたPolicy Enforcerを使用している場合は、Policy Enforcerの詳細を入力する必要があるすべての場所で、Security Director Insights VMのIPアドレスを使用します。

Security Director Insightsノードを追加する

Security Director Insightsノードを追加するには、次の手順を実行します。

  1. Security Director GUI にログインし、[ 管理 ] > [インサイト管理 ] > [インサイト] ノードに移動します。
  2. Security Director InsightsのIPアドレスと管理者パスワードを入力します。
  3. 保存」をクリックします。

    Security Director Insights VM が Security Director に追加されます。Security Director Insightsノードの追加の詳細については、「 Insightsノードの追加」を参照してください。

Security Director Insightsを統合型Policy Enforcerとして設定する

統合Policy Enforcerを設定するには:

  1. [ Security Director > Administration ] > [Policy Enforcer > Settings] を選択します。

    [設定] ページが表示されます。

  2. [IP アドレス] フィールドに、Security Director Insights VM の IP アドレスを入力します。

    [Deploy OVF Template] ページで使用する IP アドレスは、 図 1図 2 に示すように [Settings] ページで使用する必要があります。

    図 1:[Deploy OVF Template] ページ Deploy OVF Template Page
    図 2: [Policy Enforcer Settings] ページ Policy Enforcer Settings Page
  3. [ユーザー名(Username)] フィールドに、統合された Policy Enforcer のユーザー名として「admin」と入力します。
  4. [パスワード(Password)] フィールドに、Security Director Insights VM の起動に使用した管理者パスワードを入力します。
  5. [ATP Cloud Configuration Type] フィールドで、リストから [Sky ATP/JATP with Juniper Connected Security] を選択し、[OK] をクリックします。

    確認ページが表示され、Policy Enforcer の設定成功メッセージが表示され、脅威防御ポリシーの設定を確認します。

  6. [ OK] をクリックします。

    [Threat Prevention Policy Guided Setup] ページが表示されます。

  7. [ セットアップの開始]をクリックします。
  8. [テナント] ページで、テナントを作成しないでください。この手順をスキップして、「 次へ」をクリックします。

    [Security Fabric] ページが表示されます。

  9. [Security Fabric] ページで、次の設定を実行します。

    • 既存のサイトを選択するか、[ + ] をクリックして新しいサイトを作成します。

    • 「適用ポイント」列で、「 適用ポイントを追加 」をクリックして、SRXシリーズデバイスを適用ポイントとして追加します。これにより、SRXシリーズデバイスはSecurity Director Insightsからフィードを受信できます。

    • 次へ」をクリックします。

      [Policy Enforcement Group] ページが表示されます。

  10. [Policy Enforcement Group] ページで、次の設定を実行します。

    • [ + ] をクリックして、新しいポリシー適用グループを作成するか、既存のグループを使用します。

    • 次へ」をクリックします。

      [ATP Cloud Realm] ページが表示されます。

  11. ATP Cloud レルム ページで、次の設定を実行します。

    • +をクリックし、既存のATP Cloudレルム認証情報を入力します。認証情報をお持ちでない場合は、ATP Cloud レルムの認証情報を作成するオプションが表示されます。

    • [ OK] をクリックします。

      ATP Cloud レルムが正常に追加されたら、割り当てられたサイト 列でサイトを割り当てます。

    • 次へ」をクリックします。

      [ポリシー(Policies)] ページが表示されます。

  12. [ポリシー(Policies)] ページで、次の設定を実行します。

    • [+] をクリックして、脅威防止ポリシーを作成します。

    • [Name] フィールドで、ポリシーの名前を入力し、[Description] フィールドに説明を入力します。

    • [プロファイル] セクションで、[ポリシーに C&C プロファイルを含める]、[ポリシーに感染したホスト プロファイルを含める]、および [ポリシーにマルウェア プロファイルを含める] のプロファイルを選択します。

    • [ OK] をクリックします。

      「ポリシー」ページに戻ります。

    • 次へ」をクリックします。

      [Geo IP] ページが表示されます。

  13. [Geo IP] ページで、設定をスキップして [Finish] をクリックします。

    [概要] ページが表示されます。

  14. 構成の概要を確認し、[ OK] をクリックします。

    新しい脅威防止ポリシーが作成されます。

緩和のためのカスタムフィードの作成

Policy Enforcer を使用してインシデントを軽減するには、ブロックリストと感染したホストのカスタム フィードを作成する必要があります。

Policy Enforcerカスタムフィードを作成するには:

  1. [ Security Director ] を選択して >> Threat Prevention > フィードソース > カスタムフィードを設定します。
  2. 作成 」をクリックし、ドロップダウンリストから 「ローカルファイルを含むフィード 」を選択します。

    [Create local custom feed] ページが表示されます。

  3. [Name] フィールドで、カスタム フィードの名前を入力し、[Description] フィールドに説明を入力します。
  4. 「フィード タイプ」ドロップダウンリストから、「 ブラックリスト」を選択します。
  5. ゾーン/レルム ドロップダウンリストから、ガイド付きセットアップを使用して作成した Juniper ATP Cloud レルムを選択します。
  6. [User Input Type] ドロップダウンリストから、[ IP]、[Subnet]、および [Range] を選択します。
  7. [ OK] をクリックします。

    ブロックリスト用の新しいカスタム フィードが作成され、[カスタム フィード(Custom Feeds)] ページに戻ります。

  8. ステップ 1 から 7 を繰り返して、感染したホスト用の別のカスタム フィードを作成します。[フィード タイプ] フィールドで、リストから [Infected-Hosts ] を選択します。

[Custom Feeds] ページには、ブロックリスト用と感染したホスト用の 2 つの新しいカスタム フィードが表示されます。

Policy Enforcerを使用したSecurity Director Insightsの設定

Policy Enforcerを使用して緩和設定を構成するには:

  1. [ Security Director > 管理 ] > [Insights Management > Mitigation Settings] を選択します。

    [Mitigation Settings] ページが表示されます。

  2. [Policy Enforcer]タブを選択します。
  3. 表 1 のガイドラインを使用して、構成を完了します。
  4. 保存」をクリックします。

    すべてのパラメーターが正しければ、軽減策が有効になります。

表1:Policy Enforcer緩和ガイドライン

設定

ガイドライン

Policy Enforcer ホスト名

Policy Enforcer 仮想マシンの IP アドレスが自動的に表示されます。これは、[Policy Enforcer > 設定( Settings)] ページで設定する IP アドレスです。

Policy Enforcer SSH ユーザー名

SSHユーザー名が自動的に表示されます。これは、Policy Enforcer>設定ページで設定するのと同じユーザ名です。

Policy Enforcer SSHパスワード

Policy Enforcer の SSH パスワードを入力します。これは、Policy Enforcer>設定ページで入力するパスワードと同じです。

API ユーザー名

Policy Enforcer コントローラ API の認証情報がある場合は、既存の API ユーザー名を入力します。それ以外の場合は、名前を入力すると、Security Director Insightsが新しいユーザー名を作成します。

APIパスワード

Policy Enforcer コントローラ API の認証情報がある場合は、既存の API パスワードを入力します。それ以外の場合は、パスワードを入力すると、Security Director Insightsが新しいパスワードを作成します。

ブロックリストフィード名

[Configure > Threat Prevention > Feed Sources > Custom Feeds] ページで作成したブロックリストのカスタムフィード名を入力します。

感染ホストフィード名

[Configure > Threat Prevention > Feed Sources > Custom Feeds] ページで作成した感染したホストカスタムフィード名を入力します。
手記:

Security Director Insightsは、Juniper ATP CloudとPolicy Enforcerを使用した緩和をサポートします。一度にアクティブにできるプラグインは 1 つだけです。Policy Enforcer緩和設定を有効にする前に、Juniper ATP Cloudプラグインが有効になっている場合は必ず無効にしてください。

Policy Enforcerで緩和策を監視する

次の例は、Policy Enforcerを使用してインシデントを軽減する方法を示しています。

軽減策を監視するには:

  1. [Security Director > Monitor > Insights > Mitigation (軽減策監視) を選択します。

    [軽減策] ページが表示されます。

  2. 1 つ以上の IP アドレスを選択し、[ 軽減策の有効化] をクリックします。

    軽減策が [成功] の場合、状態列には [成功] と表示されます ( 図 3 参照)。

    図3:緩和の成功 Mitigation Successful

    [元 IP フィルタリング( Filtering)] タブにリストされている緩和された IP アドレスが、カスタム ブロックリスト フィードに追加されます。

    [エンドポイント IP フィルタリング] タブにリストされている緩和された IP アドレスが、感染したホストのカスタム フィードに追加されます。

  3. Policy Enforcerでエンドポイントとして追加されたSRXシリーズデバイスで、ブロックリストに登録されているIPアドレスを確認します。デバイスは、ステップ 2 で緩和した IP アドレスを含むブロックリスト フィードを 1 つ受信します( 図 4 を参照)。
    図4:ブロックリストに登録されたIP アドレス Blocklisted IP Address

関連資料