Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SecIntel フィードの概要とメリット

SecIntelは、ジュニパーネットワークスのAdvanced Threat Prevention(ATP)クラウド、ジュニパー脅威ラボ、動的アドレスグループ(DAG)、および業界をリードする脅威フィードから、慎重に厳選された検証済みの脅威インテリジェンスをMXシリーズルーター、SRXシリーズファイアウォール、NFXシリーズネットワークサービスプラットフォームに提供し、コマンド&コントロール(C&C)通信をラインレートでブロックします。SecIntelは、自動で応答性の高いトラフィックフィルタリングを可能にすることで、リアルタイムの脅威インテリジェンスを提供します。

SecIntelは、EXシリーズおよびQFXシリーズスイッチと統合され、これらのスイッチがSecIntelの感染したホストフィードを購読できるようにします。これにより、スイッチ ポートで侵害されたホストをブロックできます。SecIntelをネットワーク全体に拡張し、セキュリティ適用ポイントの数を増やすできるようになりました。

SecIntelフィードのメリット

現在のライセンスで利用できるすべてのデフォルト フィードを表示できます。

このページを使用すると、以下のフィードを有効にして、Juniper ATP Cloudと統合できます。

  • ジュニパーの脅威フィード

  • サードパーティーの脅威フィード — IP 脅威フィードと URL 脅威フィード。

  • 動的アドレス グループ フィード - JuniperAG フィードとサードパーティーの DAG フィード。

メモ:

SecIntel フィードの期限が切れるのは、有効期限(TTL)値によって異なります。TTL はフィードごとに異なります。
メモ:

CC フィードの総数は 32 で、そのうち 4 つのフィードはcc_ip、cc_url、cc_ipv6、cc_cert_sha1用に予約されています。そのため、CC カスタム フィードと CC サードパーティー フィードを含む、CC カテゴリーに対して最大 28 個のフィードを有効にできます。この制限は、利用可能なオープン API を使用して追加フィードを注入する場合に適用されます。

外部フィードを有効にしているかどうかを知るために必要な情報:

  • 有効な外部フィードでヒットが検出された場合、このイベントは脅威レベルが 10 の [>脅威ソース監視] の下に表示されます。

  • 登録されているSRXシリーズファイアウォールでは、各フィードの許可またはブロックアクションでポリシーを設定できます。C&C および感染したホストのフィードを機能させるには、SRX シリーズ ファイアウォールで有効なセキュリティ インテリジェンス ポリシーが必要であることに注意してください。

  • 外部フィードは 24 時間ごとに更新されます。

警告:

これらはサードパーティが管理するオープンソースフィードであり、フィードの精度を決定することは、Juniper ATPクラウド管理者に任されます。ジュニパーはこれらのフィードによって生成された誤検知を調査しません。
警告:

設定された SRX シリーズ ポリシーは、有効なサードパーティーのフィードに基づいて悪意のある IP アドレスをブロックしますが、これらのイベントはホストの脅威スコアに影響しません。ホスト脅威スコアには、Juniper ATP クラウド フィードからのイベントのみが影響します。

利用可能なフィードを有効にするには、次の操作を行います。

  1. に移動して > フィード設定 > SecIntelフィードを設定します

  2. 各フィードについて、切り替えボタンを選択してフィードを有効にします。 表 1 のガイドラインを参照してください。

    メモ:

    感染したホスト フィードは、すべてのライセンス階層で有効になっています。その他のJuniper SecIntelフィードはすべてプレミアムライセンスでのみ有効です。

    [ フィードサイトへの移動 ] リンクをクリックすると、フィード情報(フィードのコンテンツを含む)が表示されます。

    表 1:SecIntel フィード

    フィールド

    ガイドライン
    ジュニパーの脅威フィード

    コマンド&コントロール

    C&C フィードが有効かどうかを表示します。

    悪意のあるドメイン

    DNS フィードが有効かどうかを表示します。

    感染したホスト フィード

    感染したホスト フィードが有効かどうかを表示します。
    サードパーティーの脅威フィード

    IP 脅威フィード

    ブロックリスト

    切り替えボタンをクリックして、サードパーティーのフィードとしてブロック リスト フィードを有効にします。

    Threatfox IP

    切り替えボタンをクリックして、Threatfox フィードをサードパーティーのフィードとして有効にします。

    Feodo トラッカー

    切り替えボタンをクリックして、Feodo フィードをサードパーティーのフィードとして有効にします。

    DShield

    切り替えボタンをクリックして、DShield フィードをサードパーティーのフィードとして有効にします。

    Tor

    切り替えボタンをクリックして、tor フィードをサードパーティーのフィードとして有効にします。

    URL 脅威フィード

    Threatfox URL

    切り替えボタンをクリックして、Threatfox フィードをサードパーティーのフィードとして有効にします。ThreatFox は、情報セキュリティ コミュニティー、AV ベンダー、脅威インテリジェンス プロバイダとマルウェアに関連する侵害の指標(IOC)を共有することで、abuse.ch から無料のプラットフォームです。IOC には、IP アドレス、ドメイン名、URL を指定できます。

    URLhaus URL 脅威フィード

    切り替えボタンをクリックして、サードパーティーのフィードとして URLhaus フィードを有効にします。URLhaus は、マルウェアの配布に使用される悪意のある URL を共有する脅威インテリジェンス フィードです。

    フィッシングを開く

    切り替えボタンをクリックして、サードパーティーのフィードとして OpenPhish フィードを有効にします。OpenPhishは、フィッシングインテリジェンス向けの完全に自動化された自己完結型プラットフォームです。フィッシング サイトを特定し、人の介入なく、ブロックリストなどの外部リソースを使用せずにリアルタイムでインテリジェンス分析を実行します。マルウェア検出の場合、SecIntel はこのフィードの URL を使用してトラフィックを分析します。

    ドメイン脅威フィード

    Threatfoxドメイン

    切り替えボタンをクリックして、Threatfox フィードをサードパーティーのフィードとして有効にします。
    動的アドレス グループ フィード

    ジュニパーのDAGフィード

    GeoIP フィード

    GeoIP フィードが有効かどうかを表示します。GeoIP フィードは、IP アドレスを地理的地域にマッピングした最新のマッピングです。これにより、世界の特定の地域との間のトラフィックをフィルタリングできます。

    サードパーティーのDAGフィード

    オフィス365

    切り替えボタンをクリックして、Office365 IP フィルター フィードをサードパーティー のフィードとして有効にします。office365 IP フィルター フィードは、セキュリティ ポリシーで使用できる Office 365 サービス エンドポイントの公開された IP アドレスの最新リストです。このフィードは、このページ上の他のフィードとは異なる動作をするため、「ipfilter_office365」という事前定義されたクラウド フィード名を含む特定の構成パラメーターが必要です。このフィードの使用に関する コマンドの使用など、このページの set security dynamic-address 下部にある詳しい手順を参照してください。

    事前定義されたクラウド フィード名— ipfilter_office365

    Facebook

    切り替えボタンをクリックして、Facebookからのフィードを有効にします。

    事前定義されたクラウド フィード名— ipfilter_facebook

    Google

    切り替えボタンをクリックして、Google からのフィードを有効にします。

    事前定義されたクラウド フィード名 — ipfilter_google

    アトラシアン

    切り替えボタンをクリックして、Atlassian からのフィードを有効にします。

    事前定義されたクラウド フィード名 — ipfilter_atlassian

    zscaler

    Zscaler からのフィードを有効にするには、切り替えボタンをクリックします。

    事前定義されたクラウド フィード名— ipfilter_zscaler

    oracleoci

    切り替えボタンをクリックして、Oracle oci からのフィードを有効にします。

    事前定義されたクラウド フィード名— ipfilter_oracleoci

    Cloudflare

    切り替えボタンをクリックして、Cloudflare からのフィードを有効にします。

    事前定義されたクラウド フィード名— ipfilter_cloudflare

    ズーム

    切り替えボタンをクリックして、Zoom からのフィードを有効にします。

    事前定義されたクラウド フィード名— ipfilter_zoom

    マイクロソフトズア

    切り替えボタンをクリックして、Microsoft Azure からのフィードを有効にします。

    事前定義されたクラウド フィード名 — ipfilter_microsoftazure

    Amazonaws

    切り替えボタンをクリックして、Amazon AWS からのフィードを有効にします。

    事前定義されたクラウド フィード名 — ipfilter_amazonaws

    ユーザーに関連する AWS リージョンとサービスから、AGG フィードをフィルター処理して表示できます。AG フィルターを構成するには、次の操作を行います。

    1. [ 構成] をクリックします。

      [AG フィルター] ページが表示されます。詳細については、「 AG フィルターの構成」を参照してください。

    オクタ

    Okta からのフィードを有効にするには、切り替えボタンをクリックします。

    事前定義されたクラウド フィード名 — ipfilter_okta

    Paypal

    切り替えボタンをクリックして、PayPalからのフィードを有効にします。

    事前定義されたクラウド フィード名 — ipfilter_paypal
    メモ:

    • Junos OSリリース19.4R1以降、サードパーティのURLフィードはJuniper ATP Cloudでサポートされています。

    • ランサムウェアトラッカーとマルウェアドメインリストは非推奨であるため、ランサムウェアトラッカーとマルウェアドメインリストのIPフィードは、Juniper ATP Cloudではサポートされていません。以前にこのフィードを有効にしていた場合、これらのフィードの受信を停止することがあります。

    • サードパーティーのインターネット サービス フィードの更新間隔は 1 日です。

  3. 他の C&C フィードや感染したホスト フィードと同様に、有効なサードパーティーのフィードを機能させるには、SRX シリーズ ファイアウォールにセキュリティ インテリジェンス ポリシーが必要です。詳細については、 Juniper Advanced Threat Prevention Cloud CLIリファレンスガイド を参照してください。

  4. セキュリティ インテリジェンス ポリシーは、SRX シリーズ ファイアウォール ポリシーにも追加する必要があります。

    使用可能な CLI コマンドを使用してジュニパー ATP クラウドで SRX シリーズを設定する方法の詳細については、 Juniper Advanced Threat Prevention Cloud CLI リファレンス ガイドを参照してください。

    セキュリティインテリジェンスプロファイルを設定し、SRXシリーズファイアウォールポリシーにセキュリティインテリジェンスポリシーを追加する方法の詳細については、 Juniper Advanced Threat Preventionクラウド管理ガイド を参照してください。

関連ドキュメント