Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

感染したホストのグローバル設定

脅威レベルのしきい値

グローバル脅威レベルを設定して、感染したホストをブロックします。ホストが侵害されたと検出されると、脅威レベルが割り当てられます。ここで設定したグローバル脅威レベルに基づいて、1~10(10 が最高の脅威)、脅威レベル以上の侵害を受けたホストが感染したホストリストに追加され、その後 SRX シリーズ デバイスで設定されたポリシーによってブロックされます。詳細については、「 ホストの概要 」および「 感染したホストをブロックする SRX シリーズ デバイスの設定 」を参照してください。

感染したホストに対して特定の脅威レベルに達した場合に、Juniper ATP Cloudが電子メールを送信するように設定できます。たとえば、しきい値が 5 に達した場合に電子メールを IT 部門に送信し、しきい値が 9 に達した場合にエスカレーション部門に電子メールを送信できます。

任意のアカウントに電子メールを送信できます。ユーザーウィンドウで定義された管理者の電子メールに限定されません。Web UI では、電子メール アカウントが有効かどうかを確認しません。

脅威レベルのしきい値とメールアラートの設定

グローバルに感染したホストに関するアラートのメリット

  • 感染したホストの電子メール アラートは、ネットワーク セキュリティの問題が発生した場合は、管理者に迅速に注意を払う必要があります。

  • 電子メールアラートは、特定の管理者にのみ設定でき、Webポータルのすべてのユーザーには設定できません。アラートをより絞り込む必要があります。

  1. [感染したホスト>グローバル構成>構成] を選択します。

  2. (プレミアム ライセンスのみ)デフォルトの脅威レベルのしきい値を設定します。

  3. プラス記号をクリックして電子メール アラートを作成するか、鉛筆アイコンをクリックして既存のアラートを編集します。以下の表で説明するフィールドを設定します。

  4. [ OK] をクリックします

表 1:感染したホストのフィールドに関するメール アラート

設定

ガイドライン

脅威レベル

1~10 の脅威レベルを選択します。このレベルに達すると、指定したアドレスに電子メールが送信されます。

電子メール

電子メール アドレスを入力します。

ブロックされたホストの自動期限切れ

ホストが感染とマークされ、感染したホスト フィードに追加されると、SRX シリーズ デバイスに設定されたポリシーによってネットワークからブロックされます。Juniper ATPクラウドWebポータルのホスト詳細ページで、個々のホストのブロックを解除するためのオプションがあります。詳細については、「 ホストの概要」を参照してください。期間と脅威レベルに基づいて複数のホストIPアドレスをブロック解除する場合は、Webポータルのグローバル構成>感染したホストページで、ブロックされたホストの自動期限切れ機能を使用します。

[グローバルに感染したホスト] ページから、最小限および最大の脅威レベルに基づいて、設定した時間の後に感染したホストの有効期限を設定できます。期間に達すると、ブロックされた IP アドレスは感染とマークされないため、ブロックされなくなります。

この機能を使用する場合の 1 つの例として、設定したスケジュールで DHCP アドレッシングとアドレスの再割り当てを使用している場合があります。この場合、感染したホストの有効期限(IP アドレスリース時間に基づく)を設定し、その後アドレスが感染とマークされなくなります。

感染したホストの自動期限切れの設定

  1. [感染したホスト>グローバル構成>構成] を選択します。

  2. (システム管理者と運用者のみ) [ブロックされたホストの自動期限切れ ] を有効にし、以下のいずれかを選択します。

    • すべてのホストのブロックを解除する

    • ホストの範囲のブロックを解除する - IPv4 または IPv6 アドレスの範囲を入力します。

      以下の IPv4 形式のいずれかが有効です。 1.2.3.4/30, or 1.2.3.4-1.2.3.6

      以下の IPv6 形式のいずれかが有効です。 1111::1-1111::9, or 1111:1::0/64

      メモ:

      受け入れられるのは、/16 IPv4 アドレスと /48 IPv6 アドレスのブロック以下です。例えば、 10.0.0.0-10.0.255.255 有効ですが 10.0.0.0-10.1.0.0 、有効ではありません。

      ビットマスク:IPv4 のサブネット レコードのビットマスクでカバーされる IP アドレスの最大量は 16 で、IPv6 の場合は 48 です。例えば、 10.0.0.0/15 および 1234::/47 は無効です。CIDR表記も受け入れられます。

  3. すべてのホストのブロックを解除するか、ホストの範囲をブロック解除するには、有効期限と脅威レベルも設定する必要があります。プラス + 記号をクリックして新しいエントリを作成し、[ブロック解除された有効期限間隔] テーブルで以下の設定を行います。

    表 2: ブロック解除の有効期限間隔フィールド

    設定

    ガイドライン

    最小脅威レベルを設定する

    [最小脅威レベル] の下の表のエントリーをクリックして、プルダウン メニューにアクセスします。最小脅威レベル(1~10)を選択します。選択したレベルが最小設定に含まれています。

    最大脅威レベルを設定する

    [最大脅威レベル] の下の表のエントリをクリックして、プルダウン メニューにアクセスします。最大脅威レベル(1~10)を選択します。選択したレベルが最大設定に含まれます。

    ブロック解除に時間を設定する

    ブロックを 解除する時間の下の表のエントリーをクリックします。[しない]、6 時間、12 時間、18 時間、24 時間を選択できます。設定した時間が経過すると、感染したラベルの有効期限が切れ、ホストはブロックされなくなります。

    たとえば、最小を 6 に設定し、最大を 8 に設定し、数時間を 24 としてブロックを解除すると、次のようなことが発生します。脅威レベルが 6 以上 8 以下の感染したホストはすべて、24 時間後に期限切れになります。

    メモ:

    このテーブルに複数のエントリを作成し、さまざまな脅威レベルに異なる有効期限を設定できます。

    ブロックを解除した設定をテーブルに入力すると、テーブルを使用して既存の設定を変更したり、設定を削除したりできます。

  4. [ 保存 ] をクリックするか、設定が失われます。

関連ドキュメント