Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

コマンドおよび制御プロファイルの作成

コマンド&コントロール(C&C)プロファイルを作成して、ネットワーク上のホストに接続して侵害を試みたC&Cサーバーに関する情報を提供します。C&Cサーバは、侵害されたコンピュータネットワークのボットネットにコマンドを発行し、それらからレポートを受信する集中型コンピュータです。

C&C プロファイルを作成するには:

  1. [SRX > Security Subscriptions ] > [SecIntel > Profiles]をクリックします。
    [SecIntel プロファイル(SecIntel Profiles)] ページが開きます。
  2. [Create > Command & Control] を選択します。
    [Create Command & Control Profile] ページが表示されます。
  3. に記載されている ガイドラインに従って設定を完了します。
  4. [ OK ] をクリックして変更を保存します。変更を破棄するには、[ キャンセル] をクリックします。

    C&C プロファイルを作成したら、それを SecIntel プロファイル グループに関連付けることができます。

    表 1: [Create Command & Control Profile] ページのフィールド
    フィールド アクション

    名前

    C&C プロファイルの名前を入力します。

    名前は、英数字と特殊文字の一意の文字列である必要があります。最大 63 文字。特殊文字<および>は使用できません。

    形容

    C&C プロファイルの説明を入力します。

    すべてのフィードのデフォルトアクション

    スライダーをドラッグして、すべてのフィードタイプに対して実行するアクションを変更します。アクションは 、許可 (1 から 4)、 ログ (5 から 6)、 およびブロック (7 から 10) です。

    ログには許可アクションがあり、イベントもログに記録されます。

    フィードに対する特定のアクション

    次の手順を実行します。

    1. [+] をクリックして、C&C プロファイルのフィードと脅威スコアを定義します。

      [ Add Feeds ] ウィンドウが表示されます。

    2. 次の詳細を入力します。

      1. [フィード(Feeds)]:ボットネットの既知のコマンドおよびコントロールであるフィードを [使用可能(Available)] 列から選択し、[選択済み(Selected)] 列に移動します。

      2. [脅威スコア(Threat score)]:スライダーをドラッグして、脅威スコアに基づいて実行するアクションを変更します。

    3. [ OK] をクリックします。

    ブロック アクション

    リストから次のブロックアクションのいずれかを選択します。

    • セッションを閉じる—デバイスはTCP RSTパケットをクライアントとサーバーに送信し、セッションはただちにドロップされます。

    • パケットのドロップ—デバイスはセッションのパケットを気付かれずにドロップし、セッションは最終的にタイムアウトします。

    セッションを閉じるオプション

    リストから [なし]、[リダイレクト URL]、または [リダイレクト メッセージ] のいずれかのオプションを選択します。

    リダイレクト URL

    リモートファイルのURLを入力して、接続が閉じられたときにユーザーをリダイレクトします。

    リダイレクトメッセージを

    接続が閉じられたときにユーザーに送信するカスタムメッセージを入力します。

関連資料