Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

コマンドおよびコントロールプロファイルの作成

コマンドアンドコントロール(C&C)プロファイルを作成して、ネットワーク上のホストに接続して侵害しようとしたC&Cサーバーに関する情報を提供します。C&Cサーバーは、侵害されたコンピューターのネットワークのボットネットにコマンドを発行し、それらからレポートを受け取る集中型コンピューターです。

C&Cプロファイルを作成するには:

  1. [SRX > セキュリティ サブスクリプション ] > [SecIntel > プロファイル] をクリックします。
    [SecIntel プロファイル] ページが開きます。
  2. [Create > Command & Control] を選択します。
    Create Command & Control Profile ページが表示されます。
  3. に記載されているガイドラインに従って設定を完了します。
  4. [ OK ] をクリックして変更を保存します。変更を破棄するには、[ キャンセル] をクリックします。

    C&C プロファイルを作成したら、それを SecIntel プロファイル グループに関連付けることができます。

    表 1: Create Command & Control Profile ページのフィールド
    フィールド アクション

    名前

    C&C プロファイルの名前を入力します。

    名前は、英数字と特殊文字の一意の文字列である必要があります。最大 63 文字です。特殊文字 < と > は使用できません。

    形容

    C&C プロファイルの説明を入力します。

    すべてのフィードに対するデフォルト アクション

    スライダーをドラッグして、すべてのフィードタイプに対して実行するアクションを変更します。アクションは、 許可 (1 - 4)、 ログ (5-6)、 およびブロック (7 - 10) です。

    ログには許可アクションがあり、イベントもログに記録されます。

    フィードに対する特定のアクション

    次の手順を実行します。

    1. [+] をクリックして、C&C プロファイルのフィードと脅威スコアを定義します。

      [ フィードの追加] ウィンドウが表示されます。

    2. 次の詳細を入力します。

      1. フィード:ボットネットの既知のコマンドおよびコントロールであるフィードを [利用可能(Available)] 列から選択し、[選択済み(Selected)] 列に移動します。

      2. 脅威スコア - スライダーをドラッグして、脅威スコアに基づいて実行するアクションを変更します。

    3. OK をクリックします。

    ブロックアクション

    リストから次のいずれかのブロックアクションを選択します。

    • セッションを閉じる:デバイスがクライアントとサーバーにTCP RSTパケットを送信し、セッションは直ちにドロップされます。

    • Drop Packets—デバイスはセッションのパケットをサイレントにドロップし、セッションは最終的にタイムアウトします。

    セッションを閉じるオプション

    一覧から、[なし]、[リダイレクト URL]、または [メッセージのリダイレクト] のいずれかのオプションを選択します。

    リダイレクト URL

    接続が閉じられたときにユーザーをリダイレクトするリモート ファイルの URL を入力します。

    リダイレクトメッセージ

    接続が閉じられたときにユーザーに送信するカスタム メッセージを入力します。