許可リストとブロックリストの作成
[許可リストの構成] または [ブロックリスト] からこれらのページ>アクセスします。
これらのページを使用して、カスタムの信頼できるリストと信頼できないリストを構成します。ハッシュファイルをアップロードすることもできます。
許可リスト上の場所からダウンロードされたコンテンツは信頼されており、マルウェアの有無を検査する必要はありません。ホストはブロックリストの場所からコンテンツをダウンロードできません。その場所は信頼できないためです。
[許可リスト] と [ブロックリストの概要] トピックを参照してください。
定義するアイテムの種類を決定します。URL、IP、ハッシュ、電子メール送信者、C&C、ETI、DNS、
現在のリスト エントリーを確認して、追加するアイテムが存在していないことを確認します。
ハッシュファイルをアップロードする場合、そのファイルは1行ずつのハッシュを持つテキストファイルに含まれている必要があります。
Juniper ATP Cloudの許可リストまたはブロックリストを作成するには、
各タブに必要なデータについては、以下の表を参照してください。
Ip
新しい IP リスト アイテムを作成するときは、 IP としてリストのタイプを選択する必要があります。必要な情報を入力する必要があります。次の表を参照してください。
設定 |
ガイドライン |
---|---|
Ip |
IPv4 または IPv6 IP アドレスを入力します。例えば、1.2.3.4 または 0:0:0:0:0:FFFF:0102:0304。CIDR表記とIPアドレス範囲も受け入れられます。 次のいずれかの IPv4 形式が有効です。1.2.3.4、1.2.3.4/30、または 1.2.3.4-1.2.3.6。 以下の IPv6 形式のいずれかが有効です。1111::1、1111::1-1111::9、または 1111:1::0/64 です。
メモ:
アドレス範囲:/16 個の IPv4 アドレスと /48 個の IPv6 アドレスのブロックが受け入れられます。例えば、10.0.0.0-10.0.255.255 は有効ですが、10.0.0.0-10.1.0.0 は有効ではありません。 ビットマスク:IPv4 のサブネット レコードのビットマスクでカバーされる IP アドレスの最大量は 16 で、IPv6 の場合は 48 です。例えば、10.0.0.0/15 および 1234::/47 は無効です。 |
メモ:
既存の許可リストまたはブロックリスト IP エントリを編集するには、編集するエントリの横のチェック ボックスをオンにして鉛筆アイコンをクリックし、[ OK] をクリックします。 |
Url
新しい URL リスト 項目を作成するときは、[リストのタイプ: URL] を選択する必要があります。必要な情報を入力します。次の表を参照してください。
設定 |
ガイドライン |
---|---|
Url |
次の形式で URL を入力します。juniper.net。ワイルドカードとプロトコルは有効なエントリーではありません。システムは、URL の開始と終了にワイルドカードを自動的に追加します。そのため、juniper.net は、a.juniper.net、a.b.juniper.net、および a.juniper.net/abc にも一致します。a.juniper.net を明示的に入力すると、b.a.juniper.net と一致しますが、c.juniper.net とは一致しません。特定のパスを入力できます。juniper.net/abc と入力すると、x.juniper.net/abc と一致しますが、x.juniper.net/123 には一致しません。 |
メモ:
既存の許可リストまたはブロックリストの URL エントリを編集するには、編集するエントリの横のチェック ボックスをオンにして鉛筆アイコンをクリックし、[OK] をクリック します。 |
ハッシュ ファイル
ハッシュ ファイルをアップロードするときは、それぞれのハッシュを 1 行で記述したテキスト ファイルに含める必要があります。ハッシュ ファイルを実行できるのは 1 つだけです。追加または編集するには、次の表の手順を参照してください。
フィールド |
ガイドライン |
---|---|
フィルタリング用にカスタムの許可リストとブロックリストのハッシュを追加することはできますが、各エントリを 1 行に含むテキスト ファイルにリストする必要があります。最大15,000個のファイルハッシュを含むハッシュファイルは1つだけです。これは「現在」のリストですが、いつでも追加、編集、削除できます。 |
|
SHA-256 ハッシュ項目 |
ハッシュ エントリーに追加するには、複数のテキスト ファイルをアップロードすると、1 つのファイルに自動的に結合されます。以下のオプションをすべて表示、マージ、削除、置換します。 ダウンロード — テキスト ファイルを表示または編集する場合は、このボタンをクリックしてテキスト ファイルをダウンロードします。 [ ハッシュ ファイル項目アップロード オプションの選択 ] ドロップダウン リストから、以下のいずれかのオプションを選択できます。
[すべて削除 ] または [ 選択したリストを削除] — 現在のリストをダウンロードして編集するのではなく、削除した方が効率的な場合があります。このボタンをクリックすると、現在選択されているリスト、またはここに追加および累積したリストがすべて削除されます。 |
ソース |
これは、許可リストまたはブロックリストのいずれかと言います。 |
追加日 |
ハッシュ ファイルが最後にアップロードまたは編集された月、日付、年、時刻。 |
メール送信者
電子メール通信の送信者または受信者のいずれかに見つかった場合は、許可リストまたはブロックリストに電子メール アドレスを追加します。 + アイコンを使用してアドレスを 1 つずつ追加します。
フィールド |
ガイドライン |
---|---|
電子メール アドレス |
name@domain.com 形式で電子メール アドレスを入力します。ワイルドカードと部分一致はサポートされていませんが、ドメイン全体を含める場合は、次のようにドメインのみを入力できます。domain.com |
電子メールがブロックリストに一致した場合、それは悪意のあるものと見なされ、悪意のある添付ファイルを含むメールと同じ方法で処理されます。電子メールがブロックされ、代わりの電子メールが送信されます。メールが許可リストに一致した場合、そのメールはスキャンなしで許可されます。 「SMTP 隔離の概要: ブロックされたメール」を参照してください。 なお、攻撃者は電子メールの「From」電子メール アドレスを簡単に偽装して、ブロックリストを悪意のあるメールを阻止する効果的な方法とは言えません。 |
C&C サーバー
C&Cサーバーのリストを許可すると、SRXシリーズデバイスにIPまたはホスト名が送信され、セキュリティインテリジェンスのブロックリストやC&Cフィード(ジュニパーのグローバル脅威フィードとサードパーティフィードの両方)から除外されます。サーバーは C&C 許可リスト管理ページの下にもリストされます。
C&C サーバー データは手動で入力することも、サーバーのリストをアップロードすることもできます。このリストは、それぞれの IP またはドメインが 1 行ずつ含まれるテキスト ファイルである必要があります。テキスト ファイルには、それぞれ独自のファイルにすべての IP またはすべてのドメインを含める必要があります。複数のファイルを一度に 1 つずつアップロードできます。
脅威インテリジェンス API を使用して、許可リストとブロックリストのエントリを管理することもできます。許可リスト/ブロックリスト データにエントリを追加する場合、これらのエントリーは、以下のフィード名(「whitelist_domain」、「whitelist_ip」、「blacklist_domain」、「blacklist_ip」)の脅威インテリジェンス API で使用できます。APIを使用してカスタムフィードを管理する方法の詳細については、 Juniper ATPクラウド脅威インテリジェンスオープンAPIセットアップガイド を参照してください。
フィールド |
ガイドライン |
---|---|
型 |
許可リストに追加する C&C サーバーの IP アドレスを入力するには、IP を選択します。[ドメイン] を選択すると、C&C サーバー リストにドメイン全体のリストが表示されます。 |
IP またはドメイン |
IP の場合、IPv4 または IPv6 アドレスを入力します。IP アドレス、IP 範囲、または IP サブネットを指定できます。ドメインの場合は、次の構文を使用します:juniper.net。ワイルドカードはサポートされていません。 |
説明 |
アイテムがリストに追加された理由を示す説明を入力します。 |
C&C 監視ページの詳細ビューから直接、リスト C&C サーバーを許可することもできます。 コマンド&コントロール サーバーの詳細を参照してください。
警告:
C&C サーバーを許可リストに追加すると、修復プロセスが自動的にトリガーされ、到達リストに入った C&C サーバーに接続した影響を受けるホスト(そのレルム内)が更新されます。この許可リストにされたサーバーに関連するすべての C&C イベントは、影響を受けるホストのイベントから削除され、ホストの脅威レベルの再計算が行われます。 この再計算中にホストスコアが変更された場合、それが修正された理由を記述した新しいホストイベントが表示されます。(例えば、「C&C サーバー 1.2.3.4 がクリアされた後にホスト脅威レベルが更新されました。」さらに、C&C サーバーはクリアされているため、サーバーは C&C サーバーのリストに表示されなくなります。 |
暗号化されたトラフィックのインサイト(ETI)
暗号化されたトラフィック分析から許可するIPアドレスまたはドメイン名を指定できます。このタブを使用して、暗号化されたトラフィック分析の許可リストを追加、変更、または削除します。
フィールド |
ガイドライン |
---|---|
型 |
許可リストの IP アドレスまたはドメイン名を指定するかどうかを選択します。 |
IP またはドメイン |
許可リストの IP アドレスまたはドメイン名を入力します。 |
ドメイン名システム(DNS)
DNSフィルタリングから許可リストするドメインを指定できます。DNS フィルタリングの許可リストを追加、変更、または削除するには、このタブを使用します。
フィールド |
ガイドライン |
---|---|
Url |
許可するドメインの URL を入力します。 |
コメント |
ドメインがリストに追加された理由を示す説明を入力します。 |
Juniper ATP Cloudは、新しいコンテンツと更新されたコンテンツを定期的にポーリングし、SRXシリーズデバイスに自動的にダウンロードします。許可リストまたはブロックリストファイルを手動でプッシュする必要はありません。
SRX シリーズ デバイスの show security dynamic-address instance advanced-anti-malware
カスタム許可リストとブロックリストを表示するには、 コマンドを使用します。
例:show security dynamic-address instance advanced-anti-malware
user@host>show security dynamic-address instance advanced-anti-malware No. IP-start IP-end Feed Address 1 x.x.x.0 x.x.x.10 custom_whitelist ID-80000400 2 x.x.0.0 x.x.0.10 custom_blacklist ID-80000800 Instance advanced-anti-malware Total number of matching entries: 2