軽減策の設定を構成する
インシデントに対応して、IPアドレスに基づいて感染したエンドポイントを隔離または隔離し、脅威の送信元IPアドレスをブロックできます。これにより、有害または疑わしいことがわかっているファイルをダウンロードできなくなります。緩和は、Security Director Policy EnforcerまたはJuniper Advanced Threat Prevention Cloud(ATPクラウド)のいずれかによって実行されます。
軽減策の設定を構成するには:
設定 |
ガイドライン |
|---|---|
ATP Cloud |
|
アプリケーション トークン |
アプリケーショントークンを追加して、Security Director InsightsまたはOpenAPIユーザーがHTTPS経由でATPクラウドAPIに安全にアクセスできるようにします。 |
オープンAPI(感染したホスト)URL |
感染したホスト(OpenAPI)とブロックリストに登録されている API(Gophro)のエンドポイント URL を入力します。 |
オープンAPI(脅威インテリジェンス)URL |
Threat Intelligence OpenAPI URLを入力して、ATPクラウドのコマンドアンドコントロール(C&C)サーバーフィードをプログラムします。 |
ブロックリストフィード名 |
ブロックリストフィード名を入力します。Security Director Insightsは、指定されたフィード名でブロックリストフィードに送信元IPアドレスを送信します。設定後にフィード名を変更することはできません。 |
Policy Enforcer |
|
ホスト |
Policy Enforcer VMのホスト名を入力します。(これは、Policy Enforcer VMのインストール時に設定したホスト名です。) Security Director Insights上でPolicy Enforcerを設定するには、Security Director InsightsVMのホスト名またはIPアドレスを入力します。 |
SSHユーザー名 |
ポリシーエンフォーサーVMのユーザー名として入力します root (スタンドアロンのポリシーエンフォーサーの場合)。Security Director Insights上で実行されている統合Policy Enforcerの場合、「admin」ユーザー名はすでに事前入力されています。 |
SSHパスワード |
Policy Enforcer VMのrootパスワードを入力します(スタンドアロンのPolicy Enforcerの場合)。Security Director Insights上で動作する統合Policy Enforcerの場合、Security Director InsightsCLI管理者のパスワードを入力します。 |
APIユーザー名 |
Policy Enforcer Controller APIのユーザー名を入力します。 |
APIパスワード |
Policy Enforcer Controller APIのパスワードを入力します。 |
ブロックリストフィード名 |
[脅威対策>フィード ソースの設定] >> [カスタム フィードの作成] でブロックリストのカスタム フィードが設定されていることを確認します。 |
感染したホストフィード名 |
[脅威対策>フィードソースの設定] > [カスタム フィードの作成] で>感染したホストのカスタム フィードが設定されていることを確認します。 |
[ テスト ] をクリックして構成を確認します。また、既に有効になっている軽減策の設定を無効にするオプションもあります。