SecIntel フィードの概要
SecIntelは、ジュニパーネットワークスのAdvanced Threat Prevention(ATP)クラウド、Juniper Threat Labs、Dynamic Address Group(DAG)、業界をリードする脅威フィードから、厳選および検証済みの脅威インテリジェンスをJuniper Secure Edge、MXシリーズルーター、SRXシリーズファイアウォール、NFXシリーズネットワークサービスプラットフォームに提供し、コマンドアンドコントロール(C&C)通信をラインレートでブロックします。SecIntelは、自動かつ応答性の高いトラフィックフィルタリングを可能にすることで、リアルタイムの脅威インテリジェンスを提供します。
SecIntel は EX シリーズおよび QFX シリーズ スイッチと統合し、これらのスイッチが SecIntel の感染したホストフィードを購読できるようにします。これにより、スイッチのポートで侵害されたホストをブロックできます。SecIntel をネットワーク全体に拡張し、セキュリティ強化ポイントの数を増やすことができるようになりました。
SecIntelフィードの利点
現在のライセンスで使用できるすべてのデフォルトフィードを表示できます。
このページを使用して、次のフィードを有効にしてJuniper ATPクラウドと統合できます。
ジュニパーの脅威フィード
サードパーティ脅威フィード - IP 脅威フィードと URL 脅威フィード。
動的アドレスグループフィード - ジュニパーの DAG フィードとサードパーティーの DAG フィード。
CC フィードの総数は 32 で、そのうち 4 つのフィードはcc_ip、cc_url、cc_ipv6、および cc_cert_sha1 用に予約されています。そのため、CC カテゴリに対して最大 28 個のフィード(CC カスタムフィードと CC サードパーティフィードを含む)を有効にできます。この制限は、利用可能なオープン API を使用して追加のフィードを挿入する場合に適用されます。
外部フィードを有効にしているかどうかを知るための情報:
有効な外部フィードでヒットが検出された場合、このイベントは Monitor>ATP の下に脅威レベル 10 で表示されます。
Juniper Secure Edgeでは、各フィードの許可またはブロックアクションでポリシーを設定できます。C&Cフィードおよび感染したホストフィードが機能するためには、Juniper Secure Edgeで有効なセキュリティインテリジェンスポリシーが必要です。
外部フィードは 24 時間ごとに更新されます。
これらはサードパーティーによって管理されるオープンソースのフィードであり、フィードの正確性の判断はJuniper ATP Cloud管理者に任されていることを理解してください。ジュニパーは、これらのフィードによって生成された誤検知は調査しません。
Juniper Secure Edgeポリシーは、有効なサードパーティーフィードに基づいて悪意のあるIPアドレスをブロックしますが、これらのイベントはホストの脅威スコアには影響しません。Juniper ATPクラウドフィードからのイベントのみがホストの脅威スコアに影響します。
使用可能なフィードを有効にするには、次の手順を実行します。
Configure>SecIntel フィードに移動します。
フィードごとに、トグル ボタンを選択してフィードを有効にします。 表 1 のガイドラインを参照してください。
手記:感染したホストフィードは、すべてのライセンス階層で有効です。その他のJuniper SecIntelフィードは、Secure Edge Advanced以上のライセンスでのみ有効です。
[ フィード サイトに移動 ] リンクをクリックすると、フィードの内容などのフィード情報が表示されます。
表 1: SecIntel フィード 畑
ガイドライン
ジュニパー脅威フィード コマンドとコントロール
C&C フィードが有効になっているかどうかを表示します。
悪意のあるドメイン
DNS フィードが有効になっているかどうかを表示します。
感染したホストフィード
感染したホストフィードが有効になっているかどうかが表示されます。
サードパーティの脅威フィード IP脅威フィード
ブロックリスト
切り替えボタンをクリックして、ブロックリストフィードをサードパーティフィードとして有効にします。
Threatfox IP
トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。
フェオドトラッカー
トグルボタンをクリックして、Feodoフィードをサードパーティのフィードとして有効にします。
Dシールド
切り替えボタンをクリックして、DShield フィードをサードパーティ フィードとして有効にします。
トール
トグルボタンをクリックして、Torフィードをサードパーティのフィードとして有効にします。
URL脅威フィード
Threatfox URL
トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。ThreatFoxは、マルウェアに関連する侵害の指標(IOC)をinfosecコミュニティ、AVベンダー、脅威インテリジェンスプロバイダーと共有することを目的とした abuse.ch の無料プラットフォームです。IOC には、IP アドレス、ドメイン名、または URL を指定できます。
URLhaus URL 脅威フィード
切り替えボタンをクリックして、URLhausフィードをサードパーティのフィードとして有効にします。URLhausは、マルウェアの配布に使用される悪意のあるURLを共有する脅威インテリジェンスフィードです。
オープンフィッシング
トグルボタンをクリックして、OpenPhishフィードをサードパーティのフィードとして有効にします。OpenPhishは、フィッシングインテリジェンスのための完全に自動化された自己完結型プラットフォームです。フィッシングサイトを特定し、人間の介入やブロックリストなどの外部リソースを使用せずに、リアルタイムでインテリジェンス分析を実行します。マルウェアを検査する場合、SecIntel はこのフィードの URL を使用してトラフィックを分析します。
ドメイン脅威フィード
Threatfoxドメイン
トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。
動的アドレスグループフィード ジュニパーDAGフィード
GeoIPフィード
GeoIP フィードが有効になっているかどうかを表示します。GeoIP フィードは、IP アドレスと地理的リージョンの最新のマッピングです。これにより、世界の特定の地域との間のトラフィックをフィルタリングすることができます。
サードパーティの DAG フィード
オフィス365
切り替えボタンをクリックして、office365 IP フィルター フィードをサード パーティのフィードとして有効にします。office365 IP フィルター フィードは、セキュリティ ポリシーで使用できる Office 365 サービス エンドポイントの公開された IP アドレスの最新の一覧です。このフィードは、このページの他のフィードとは動作が異なり、定義済みのクラウド フィード名「ipfilter_office365」など、特定の構成パラメーターが必要です。
事前定義されたクラウドフィード名— ipfilter_office365
フェイスブック
切り替えボタンをクリックして、Facebookからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_facebook
ググる
切り替えボタンをクリックして、Google からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_google
アトラシアン
切り替えボタンをクリックして、アトラシアンからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_atlassian
ズスケーラー
トグル ボタンをクリックして、Zscaler からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_zscaler
オラクルOCI
トグル・ボタンをクリックして、Oracle ociからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_oracleoci
クラウドフレア
トグルボタンをクリックして、Cloudflareからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_cloudflare
ズーム
切り替えボタンをクリックして、Zoom からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_zoom
マイクロソフトアズール
切り替えボタンをクリックして、Microsoft Azure からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_microsoftazure
アマゾaws
切り替えボタンをクリックして、Amazon AWS からのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_amazonaws
オクタ
トグルボタンをクリックして、Oktaからのフィードを有効にします。
事前定義されたクラウドフィード名— ipfilter_okta
PayPal
切り替えボタンをクリックして、PayPalからのフィードを有効にします。
事前定義されたクラウドフィード名 - ipfilter_PayPal
手記:ランサムウェアトラッカーとマルウェアドメインリストは非推奨となったため、ランサムウェアトラッカーとマルウェアドメインリストのIPフィードはJuniper ATPクラウドではサポートされていません。以前にこのフィードを有効にしていた場合は、これらのフィードの受信を停止する可能性があります。
- サードパーティのインターネット サービス フィードの更新間隔は 1 日です。
office365 フィードの使用
Juniper ATP Cloudの[ Office365フィードを使用する ]チェックボックスをオンにして、Microsoft Office 365サービスのエンドポイント情報(IPアドレス)をJuniper Secure Edgeにプッシュします。office365 フィードは、このページの他のフィードとは動作が異なり、"ipfilter_office365" という定義済みの名前を含む特定の構成パラメーターが必要です。
このチェックボックスを有効にした後、ipfilter_office365フィードを参照する動的アドレスオブジェクトをJuniper Secure Edge上に作成する必要があります。