感染したホストのグローバル設定
脅威レベルのしきい値
感染したホストをブロックするグローバル脅威レベルを設定します。ホストが侵害されていることが判明した場合は、脅威レベルが割り当てられます。ここで設定したグローバル脅威レベル(1-10(うち10が最も高い脅威)に基づいて、設定された脅威レベル以上の侵害されたホストは感染したホストリストに追加され、その後Juniper Secure Edgeで設定されたポリシーによってブロックされる可能性があります。詳細については、ホストの概要をご覧ください。
感染したホストが特定の脅威レベルに達したときにメールを送信するようにジュニパーATPクラウドを設定することができます。たとえば、しきい値5に達したときにIT部門に電子メールを送信し、しきい値9に達したときにエスカレーション部門に電子メールを送信できます。
任意のアカウントに電子メールを送信できます。「ユーザー」ウィンドウで定義された管理者の電子メールに制限されません。Web UI では、電子メール アカウントが有効かどうかは検証されません。
脅威レベルのしきい値と電子メール アラートを構成する
グローバル感染ホストアラートのメリット
-
感染したホストに対するメールアラートは、ネットワークセキュリティの問題が発生した場合、直ちに管理者に注意を喚起します。
-
電子メール アラートは、Web ポータルのすべてのユーザーに対してではなく、特定の管理者に対してのみ構成でき、アラートの対象をより絞り込むことができます。
-
[ 共有サービス ] > [ATP >その他の 構成 ] > [ 感染したホスト] を選択します。
-
(プレミアムライセンスのみ)既定の脅威レベルのしきい値を設定します。
-
プラス記号をクリックして電子メール警告を作成するか、鉛筆アイコンをクリックして既存の警告を編集します。次の表に示すフィールドを設定します。
-
OK をクリックします。
設定 |
ガイドライン |
---|---|
脅威レベル |
脅威レベルを 1 から 10 の間で選択します。このレベルに達すると、指定したアドレスに電子メールが送信されます。 |
Eメール |
電子メール アドレスを入力します。 |
ブロックされたホストを自動的に期限切れにする
ホストが感染済みとしてマークされ、感染したホストフィードに追加されると、Juniper Secure Edgeで設定されたポリシーによってネットワークからブロックされます。個々のホストのブロックを解除するオプションは、ポータルの [感染したホスト] ページにあります。詳細については、「」を参照してください ホストの概要 。期間と脅威レベルに基づいて複数のホスト IP アドレスのブロックを解除する場合は、Web ポータルの [感染したホストのその他の設定] ページで>ブロックされたホストを自動的に期限切れにする機能を使用します。
[感染したホスト] ページでは、最小脅威レベルと最大脅威レベルに基づいて、指定した時間が経過した後に感染したホストの有効期限が切れるように設定できます。この期間に達すると、ブロックされたIPアドレスは感染としてマークされなくなるため、ブロックされなくなります。
この機能を使用する 1 つの例は、DHCP アドレス指定を使用し、設定されたスケジュールでアドレスを再割り当てする場合です。その場合は、感染したホストの有効期限を(IP アドレスのリース時間に基づいて)設定し、その期間を過ぎるとアドレスは感染としてマークされなくなります。
感染したホストの自動期限切れを構成する
-
[ 共有サービス ] > [ATP >その他の 構成 ] > [ 感染したホスト] を選択します。
-
(システム管理者およびオペレーターのみ) [ブロックされたホストを自動的に期限切れにする] を有効にして、次のいずれかを選択します。
-
すべてのホストのブロックを解除する
-
ホストの範囲のブロックを解除する - IPv4 または IPv6 アドレスの範囲を入力します。
次の IPv4 形式のいずれかが有効です: 10.2.3.4
/30、または 10.2.3.4-1.2.3.6
次の IPv6 形式のいずれかが有効です。
1111::1-1111::9、または 1111:1::0/64
注:受け入れられるのは、/16 IPv4 アドレスと /48 IPv6 アドレスのブロックのみです。たとえば、10.0.0.0-10.0.255.255 は有効ですが、10.0.0.0-10.1.0.0 は有効ではありません。
ビットマスク:IPv4 のサブネット レコードでビットマスクでカバーされる IP アドレスの最大数は 16 で、IPv6 の IP アドレスの最大数は 48 です。たとえば、
10.0.0.0/15
と1234::/47
は無効です。CIDR 表記も可能です。
-
-
[すべてのホストのブロックを解除する] または [ホストの範囲のブロックを解除する] の両方で、有効期限の間隔と脅威レベルも設定する必要があります。プラス + 記号をクリックして新しいエントリを作成し、[ ブロック解除された有効期限の間隔] テーブルで次のように設定します。
表 2: 有効期限間隔フィールドのブロック解除 設定
ガイドライン
最小脅威レベルを設定する
[最小脅威レベル]の下の表のエントリをクリックして、プルダウン メニューにアクセスします。最小脅威レベル (1-10) を選択します。選択したレベルは、最小設定に含まれます。
最大脅威レベルを設定する
[最大脅威レベル]の下の表のエントリをクリックして、プルダウン メニューにアクセスします。最大脅威レベル (1-10) を選択します。選択したレベルは、最大設定に含まれます。
ブロックを解除する時間を設定する
[ブロックを解除する時間] の下にあるテーブルのエントリをクリックします。[なし]、[6]、[12]、[18]、または [24 時間] を選択できます。設定した時間が経過すると、感染ラベルは期限切れになり、ホストはブロックされなくなります。
たとえば、最小値を 6、最大値を 8 に設定し、ブロックを解除する時間を 24 に設定すると、次のようになります。脅威レベルが 6 以上かつ 8 以下の感染したホストはすべて、24 時間後に期限切れになります。
注:この表に複数のエントリを作成して、脅威レベルごとに異なる有効期限を設定できます。
テーブルにブロック解除設定を入力すると、そのテーブルを使用して既存の設定を変更したり、設定を削除したりできます。
-
[ 保存 ] をクリックしないと、設定が失われます。