暗号化されたトラフィックのインサイトの概要
このページには、ATP >暗号化されたトラフィックの監視 メニューから>アクセスします。
暗号化されたトラフィックインサイト(ETI)は、トラフィックを傍受して復号化することなく、暗号化されたトラフィックに隠された悪意のある脅威を検出するのに役立ちます。
暗号化されたトラフィックのインサイトのメリット
-
トラフィックの暗号化を破ることなく、ネットワークトラフィックの脅威を監視することで、データプライバシー法を遵守します。
-
ネットワークの設定と管理のための追加のハードウェアやネットワークの変更が不要になります。
-
Juniper Secure Edgeは、必要なメタデータ(既知の悪意のある証明書や接続の詳細など)と接続パターンをATPクラウドに提供します。
-
ATPクラウドは、行動分析と機械学習機能を提供します。
-
-
リソース集約型のSSL暗号化解除を必要とせず、暗号化されたトラフィックの可視性とポリシーの適用を向上させます。
-
ATP クラウドが分析したネットワークの動作に基づいて、ネットワーク接続は悪意あるものか無害なものかに分類されます。
-
-
従来の情報セキュリティソリューションを超える保護レイヤーを追加し、組織のリスクの軽減と管理を支援します。
-
トラフィックを復号化しないため、遅延がないことを保証します。
表 1 は、[暗号化されたトラフィックのインサイト(Encrypted Traffic Insights)] ページで使用可能な情報を一覧表示します。
フィールド |
ガイドライン |
---|---|
外部サーバーIP |
外部サーバーの IP アドレス。 |
外部サーバーのホスト名 |
外部サーバーのホスト名。 |
最高の脅威レベル |
暗号化されたトラフィックのインサイトに基づく外部サーバーの脅威レベル。 |
カウント |
ネットワーク上のホストがこのサーバーへの接続を試みた回数。 |
国名 |
外部サーバーが配置されている国。 |
最終確認 |
最新の外部サーバーがヒットした日時。 |
カテゴリー |
このサーバーについて知られている追加のカテゴリ情報(ボットネット、マルウェアなど)。 |
暗号化されたトラフィックのインサイトと検出
暗号化されたトラフィックのインサイトは、迅速な対応とネットワーク分析(静的および動的の両方)を組み合わせて、暗号化されたセッションに隠された悪意のあるアクティビティを検出して修復します。
新しいTCPセッションの暗号化されたトラフィックのインサイトの段階的なアプローチは次のとおりです。
- 既知の悪意のあるアクティビティ:Juniper ATP Cloudは、マルウェアに関連していることがわかっている証明書に関する情報を提供します。Juniper Secure Edgeはこれを使用して、悪意のあるトラフィックを即座に特定します。
- 既知の悪意のあるアクティビティ - Juniper ATP Cloudによってメタデータとネットワーク接続の詳細が収集され、分析されます。
- 自動検出と修復:ATPイベントは、ユーザーおよびデバイスの情報と関連付けられ、感染したホストフィードに追加されます。
- ホストがブロックされている
ワークフロー
このセクションでは、暗号化されたトラフィックのインサイトを実行するためのワークフローについて説明します。
段階 |
説明 |
---|---|
1 |
クライアントホストは、インターネットからダウンロードするファイルを要求します。 |
2 |
Juniper Secure Edgeは、インターネットからの応答を受信します。Juniper Secure Edgeがセッションからサーバー証明書を抽出し、その署名とブロックリストの証明書の署名を比較します。一致が発生した場合、接続はブロックされます。 注:
ジュニパーネットワークスのATPクラウドフィードは、既知のマルウェアサイトに関連付けられた証明書のフィードで、Juniper Secure Edgeを最新の状態に保ちます。 |
3 |
Juniper Secure Edgeは、メタデータと接続統計情報を収集し、分析のためにATPクラウドに送信します。 |
4 |
ATPクラウドは行動分析を行い、トラフィックを無害または悪意あるものとして分類します。 |
5 |
悪意のある接続が検出されると、ホストの脅威スコアが再計算されます。新しいスコアがしきい値を超えた場合、そのクライアントホストは感染ホストリストに追加され、Juniper Secure Edgeデバイスのポリシー設定に基づいてクライアントホストがブロックされる可能性があります。 |