Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

感染したホストをブロックするSRXシリーズ デバイスの設定

感染ホスト フィードには、侵害されたホストと、他のデバイスとの通信から隔離する必要があるホストがリストされます。フィードは、すべて脅威レベルが 10 の IP アドレスの形式で、たとえば xxx.xxx.xxx.133 と脅威レベル 10 が表示されます。フィードに IP アドレスがリストされているホストとの間のインバウンド およびアウトバウンド トラフィックに対してポリシー適用アクションを実行するようにセキュリティ ポリシーを設定できます。感染したホスト プロファイルがファイアウォール ポリシーで構成され、有効になっている場合にのみ、感染したホスト フィードが SRX シリーズ デバイスにダウンロードされます。

メモ:

感染したホストの Juniper ATP Cloud グローバルしきい値が満たされると(感染したホスト の設定を参照)、そのホストは感染したホスト フィードに追加され、クラウドによって脅威レベル 10 が割り当てられます。そのため、感染したホスト フィード内のすべての IP アドレスは脅威レベル 10 です。

感染したホスト プロファイルとポリシー、ファイアウォール ポリシーを作成するには、以下の手順にしたがっています。

  1. 感染したホストと CC の両方のプロファイルを定義します。この例では、感染したホスト プロファイルにという名前が付けられih-profile、このアクションはブロックされ、脅威レベルが 10 のすべてのものがドロップされます。CC ホスト プロファイルの名前は、cc-profileC&C ホストへのアウトバウンド要求に基づくため、C&C ルールをプロファイルに追加します(脅威レベル 8 以上はブロックされます)。

    Junos 18.1R1時点。感染したホストに対するHTTP URLリダイレクトによるブロックアクションのサポートがあります。セッションIPアドレスの処理中に、感染したホストリストのIPアドレスとHTTPトラフィックがポート80または8080を使用している場合、感染したホストのHTTPリダイレクトを実行できます。HTTP トラフィックが動的ポートを使用している場合、HTTP トラフィックのリダイレクトは実行できません。以下のコマンドを参照してください。

  2. コマンドを検証するには、 show services security-intelligence CLI コマンド。次のようになります。
  3. ステップ 1 で作成された両方のプロファイルを含むようにセキュリティ インテリジェンス ポリシーを構成します。この例では、ポリシーの 名前 infected-host-cc-policyは .
  4. ファイアウォールポリシーを設定して、セキュリティインテリジェンスポリシーを含めます。この例では、trust-to-untrustゾーンを設定します。
  5. コマンドを検証するには、 show security policies CLI コマンド。次のようになります。
  6. 変更をコミットします。