Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SecIntel フィードの概要

SecIntelは、ジュニパーネットワークスのAdvanced Threat Prevention(ATP)クラウド、Juniper Threat Labs、Dynamic Address Group(DAG)、業界をリードする脅威フィードから、厳選および検証済みの脅威インテリジェンスをJuniper Secure Edge、MXシリーズルーター、SRXシリーズファイアウォール、NFXシリーズネットワークサービスプラットフォームに提供し、コマンドアンドコントロール(C&C)通信をラインレートでブロックします。SecIntelは、自動かつ応答性の高いトラフィックフィルタリングを可能にすることで、リアルタイムの脅威インテリジェンスを提供します。

SecIntel は EX シリーズおよび QFX シリーズ スイッチと統合し、これらのスイッチが SecIntel の感染したホストフィードを購読できるようにします。これにより、スイッチのポートで侵害されたホストをブロックできます。SecIntel をネットワーク全体に拡張し、セキュリティ強化ポイントの数を増やすことができるようになりました。

SecIntelフィードの利点

現在のライセンスで使用できるすべてのデフォルトフィードを表示できます。

このページを使用して、次のフィードを有効にしてJuniper ATPクラウドと統合できます。

  • ジュニパーの脅威フィード

  • サードパーティ脅威フィード - IP 脅威フィードと URL 脅威フィード。

  • 動的アドレスグループフィード - ジュニパーの DAG フィードとサードパーティーの DAG フィード。

手記:

CC フィードの総数は 32 で、そのうち 4 つのフィードはcc_ip、cc_url、cc_ipv6、および cc_cert_sha1 用に予約されています。そのため、CC カテゴリに対して最大 28 個のフィード(CC カスタムフィードと CC サードパーティフィードを含む)を有効にできます。この制限は、利用可能なオープン API を使用して追加のフィードを挿入する場合に適用されます。

外部フィードを有効にしているかどうかを知るための情報:

  • 有効な外部フィードでヒットが検出された場合、このイベントは Monitor>ATP の下に脅威レベル 10 で表示されます。

  • Juniper Secure Edgeでは、各フィードの許可またはブロックアクションでポリシーを設定できます。C&Cフィードおよび感染したホストフィードが機能するためには、Juniper Secure Edgeで有効なセキュリティインテリジェンスポリシーが必要です。

  • 外部フィードは 24 時間ごとに更新されます。

警告:

これらはサードパーティーによって管理されるオープンソースのフィードであり、フィードの正確性の判断はJuniper ATP Cloud管理者に任されていることを理解してください。ジュニパーは、これらのフィードによって生成された誤検知は調査しません。

警告:

Juniper Secure Edgeポリシーは、有効なサードパーティーフィードに基づいて悪意のあるIPアドレスをブロックしますが、これらのイベントはホストの脅威スコアには影響しません。Juniper ATPクラウドフィードからのイベントのみがホストの脅威スコアに影響します。

使用可能なフィードを有効にするには、次の手順を実行します。

  1. Configure>SecIntel フィードに移動します。

  2. フィードごとに、トグル ボタンを選択してフィードを有効にします。 表 1 のガイドラインを参照してください。

    手記:

    感染したホストフィードは、すべてのライセンス階層で有効です。その他のJuniper SecIntelフィードは、Secure Edge Advanced以上のライセンスでのみ有効です。

    [ フィード サイトに移動 ] リンクをクリックすると、フィードの内容などのフィード情報が表示されます。

    表 1: SecIntel フィード

    ガイドライン

    ジュニパー脅威フィード

    コマンドとコントロール

    C&C フィードが有効になっているかどうかを表示します。

    悪意のあるドメイン

    DNS フィードが有効になっているかどうかを表示します。

    感染したホストフィード

    感染したホストフィードが有効になっているかどうかが表示されます。

    サードパーティの脅威フィード

    IP脅威フィード

    ブロックリスト

    切り替えボタンをクリックして、ブロックリストフィードをサードパーティフィードとして有効にします。

    Threatfox IP

    トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。

    フェオドトラッカー

    トグルボタンをクリックして、Feodoフィードをサードパーティのフィードとして有効にします。

    Dシールド

    切り替えボタンをクリックして、DShield フィードをサードパーティ フィードとして有効にします。

    トール

    トグルボタンをクリックして、Torフィードをサードパーティのフィードとして有効にします。

    URL脅威フィード

    Threatfox URL

    トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。ThreatFoxは、マルウェアに関連する侵害の指標(IOC)をinfosecコミュニティ、AVベンダー、脅威インテリジェンスプロバイダーと共有することを目的とした abuse.ch の無料プラットフォームです。IOC には、IP アドレス、ドメイン名、または URL を指定できます。

    URLhaus URL 脅威フィード

    切り替えボタンをクリックして、URLhausフィードをサードパーティのフィードとして有効にします。URLhausは、マルウェアの配布に使用される悪意のあるURLを共有する脅威インテリジェンスフィードです。

    オープンフィッシング

    トグルボタンをクリックして、OpenPhishフィードをサードパーティのフィードとして有効にします。OpenPhishは、フィッシングインテリジェンスのための完全に自動化された自己完結型プラットフォームです。フィッシングサイトを特定し、人間の介入やブロックリストなどの外部リソースを使用せずに、リアルタイムでインテリジェンス分析を実行します。マルウェアを検査する場合、SecIntel はこのフィードの URL を使用してトラフィックを分析します。

    ドメイン脅威フィード

    Threatfoxドメイン

    トグルボタンをクリックして、Threatfoxフィードをサードパーティのフィードとして有効にします。

    動的アドレスグループフィード

    ジュニパーDAGフィード

    GeoIPフィード

    GeoIP フィードが有効になっているかどうかを表示します。GeoIP フィードは、IP アドレスと地理的リージョンの最新のマッピングです。これにより、世界の特定の地域との間のトラフィックをフィルタリングすることができます。

    サードパーティの DAG フィード

    オフィス365

    切り替えボタンをクリックして、office365 IP フィルター フィードをサード パーティのフィードとして有効にします。office365 IP フィルター フィードは、セキュリティ ポリシーで使用できる Office 365 サービス エンドポイントの公開された IP アドレスの最新の一覧です。このフィードは、このページの他のフィードとは動作が異なり、定義済みのクラウド フィード名「ipfilter_office365」など、特定の構成パラメーターが必要です。

    事前定義されたクラウドフィード名— ipfilter_office365

    フェイスブック

    切り替えボタンをクリックして、Facebookからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_facebook

    ググる

    切り替えボタンをクリックして、Google からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_google

    アトラシアン

    切り替えボタンをクリックして、アトラシアンからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_atlassian

    ズスケーラー

    トグル ボタンをクリックして、Zscaler からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_zscaler

    オラクルOCI

    トグル・ボタンをクリックして、Oracle ociからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_oracleoci

    クラウドフレア

    トグルボタンをクリックして、Cloudflareからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_cloudflare

    ズーム

    切り替えボタンをクリックして、Zoom からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_zoom

    マイクロソフトアズール

    切り替えボタンをクリックして、Microsoft Azure からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_microsoftazure

    アマゾaws

    切り替えボタンをクリックして、Amazon AWS からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_amazonaws

    オクタ

    トグルボタンをクリックして、Oktaからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_okta

    PayPal

    切り替えボタンをクリックして、PayPalからのフィードを有効にします。

    事前定義されたクラウドフィード名 - ipfilter_PayPal

    手記:
    • ランサムウェアトラッカーとマルウェアドメインリストは非推奨となったため、ランサムウェアトラッカーとマルウェアドメインリストのIPフィードはJuniper ATPクラウドではサポートされていません。以前にこのフィードを有効にしていた場合は、これらのフィードの受信を停止する可能性があります。

    • サードパーティのインターネット サービス フィードの更新間隔は 1 日です。

office365 フィードの使用

Juniper ATP Cloudの[ Office365フィードを使用する ]チェックボックスをオンにして、Microsoft Office 365サービスのエンドポイント情報(IPアドレス)をJuniper Secure Edgeにプッシュします。office365 フィードは、このページの他のフィードとは動作が異なり、"ipfilter_office365" という定義済みの名前を含む特定の構成パラメーターが必要です。

このチェックボックスを有効にした後、ipfilter_office365フィードを参照する動的アドレスオブジェクトをJuniper Secure Edge上に作成する必要があります。