感染したホストプロファイルの作成
感染したホストは、C&Cネットワークの一部であるように見えるか、他の症状を示すために侵害された可能性のあるローカルデバイスを示します。感染したホストのプロファイルを作成してフィードと脅威スコアを構成し、侵害されたホストのIPアドレスまたはIPサブネットを一覧表示します。
感染したホスト プロファイルを作成するには:
- [SRX > セキュリティ サブスクリプション ] > [SecIntel > プロファイル] をクリックします。
[SecIntel プロファイル] ページが表示されます。
- [感染したホスト>を作成] を選択します。
感染したホストのプロファイルの作成 ページが表示されます。
- 表 1 に示すガイドラインに従って構成を完了します。
- [ OK ] をクリックして変更を保存します。変更を破棄するには、[ キャンセル] をクリックします。
感染したホストのプロファイルを作成したら、それを SecIntel プロファイル グループに関連付けることができます。
表 1: [感染したホストの作成] プロファイル ページのフィールド フィールド アクション 名前
感染したホストのプロファイルの名前を入力します。
名前は、英数字と特殊文字の一意の文字列である必要があります。最大 63 文字です。< や>などの特殊文字は使用できません。
形容
感染したホストのプロファイルの説明を入力します。
すべてのフィードに対するデフォルト アクション
スライダーをドラッグして、すべてのフィードタイプに対して実行するアクションを変更します。アクションは、 許可 (1 - 4)、 ログ (5-6)、 およびブロック (7 - 10) です。
ログには許可アクションがあり、イベントもログに記録されます。
フィードに対する特定のアクション
次の手順を実行します。
-
[+] をクリックして、感染したホスト プロファイルへのフィードと脅威スコアを定義します。
[ フィードの追加] ウィンドウが表示されます。
-
次の詳細を入力します。
-
フィード - [利用可能(Available)] 列から 1 つ以上のフィードを選択し、[選択済み] 列に移動して、感染したホスト プロファイルに関連付けます。
-
脅威スコア - スライダーをドラッグして、脅威スコアに基づいて実行するアクションを変更します。
-
-
OK をクリックします。
ブロックアクション
リストから次のいずれかのブロックアクションを選択します。
-
Drop Packets—デバイスはセッションのパケットをサイレントにドロップし、セッションは最終的にタイムアウトします。
-
セッションを閉じる:デバイスがクライアントとサーバーにTCP RSTパケットを送信し、セッションは直ちにドロップされます。
セッションを閉じるオプション
一覧から、[なし]、[リダイレクト URL]、または [メッセージのリダイレクト] のいずれかのオプションを選択します。
リダイレクト URL
接続が閉じられたときにユーザーをリダイレクトするリモート ファイルの URL を入力します。
リダイレクトメッセージ
接続が閉じられたときにユーザーに送信するカスタム メッセージを入力します。
-