Juniper Advanced Threat Prevention

データシートのダウンロード

製品概要

Juniper Advanced Threat Prevention(ATP)は、高度かつ完全なマルウェアの検知と防御を提供するクラウドベースのサービスまたはオンプレミスのアプライアンスとなります。SRXシリーズサービスゲートウェイと統合することで、Juniper ATPは、静的、動的、機械学習識別を活用した脅威インテリジェンスとマルウェア分析機能を提供し、ユーザー、アプリケーション、インフラストラクチャを保護します。

製品説明

ジュニパーネットワークスのSRXシリーズサービスゲートウェイにJuniper Networks® Advanced Threat Prevention(ATP)を追加することで、既知および未知の脅威を特定してブロックすることができます。ジュニパーATPは、機械学習を使用して既知と未知のサイバー脅威の両方を見つけてブロックし、ファイルとネットワークトラフィックを分析して、悪意ある行動の兆候を探します。ATPは、暗号化されたトラフィックに隠れているボットネットやC&Cサーバーを含む、ゼロデイマルウェアの脅威や悪意のある接続を発見することができます。ジュニパーの厳格なセキュリティインテリジェンスフィードであるSecIntelを使用することで、ATPはすべてのネットワーク接続ポイントに保護メカニズムを適用し、これらの脅威を未然に防ぐことができます。

Advanced Threat Prevention Cloud

SRXシリーズのサービスゲートウェイに対するアドオンライセンスとして導入されるATP Cloudは、静的および動的分析と機械学習を組み合わせて、Webからダウンロードされたり電子メールで送信される未知の脅威を迅速に特定し、ファイルの判断とリスクスコアをSRXシリーズのファイアウォールに返すため、ネットワークレベルでのブロッキングが可能です。さらに、ATP Cloudは、ファイルの分析/「ジュニパー脅威ラボ」による調査/高い評価を得ているサードパーティの脅威フィードから収集された、悪意のあるドメイン/URL/IPアドレスで構成されたSecIntelセキュリティインテリジェンスを提供します。これらのフィードは、SRXシリーズのファイアウォールとジュニパーネットワークスのMXシリーズユニバーサルルーティングプラットフォームに配信され、コマンドアンドコントロール通信を自動的にブロックすることができるため、組織への攻撃を成功させることがさらに困難になります。ATP Cloudには、コンフィグ/ライセンス/レポートを管理する独自のポータルが含まれます。

Advanced Threat Prevention Appliance

ATP製品は、オンプレミスと仮想の両方の導入に対応しており、ジュニパーネットワークスのJATP400およびJATP700 Advanced Threat Prevention Applianceの2種類のハードウェアベースのプラットフォームで利用できます。

  • JATP400: JATP400は、1日あたり最大50,000のオブジェクトをデトネーションする1Uアプライアンスです。エンタープライズ全体にわたって、Web、電子メール、水平方向の脅威を分散的に検知する必要がある組織に特化して構築されています。
  • JATP700: JATP700は、1日あたり最大130,000のオブジェクトをデトネーションする必要のあるような、ハイパフォーマンスセキュリティ要件を持つより大規模な集中型環境向けの2Uアプライアンスです。

VMware vSphereまたはESXiで動作するJuniper ATPの仮想バージョンは、8個または24個の仮想CPUコアで導入することができ、1日あたり最大116,000のオブジェクトのデトネーションを処理することができます。

Juniper ATP Applianceは、SRXシリーズのファイアウォールや独自のビルトイン型コレクターを使用してWeb、電子メール、水平方向のトラフィックから収集するため、複数のファイアウォールソリューションを採用している組織に最適です。収集されたデータは、オンプレミスにあるATP Applianceに送信され、ATP Applianceコアでさらに処理されます。このATP Applianceコアが、既知および未知の脅威を特定し、攻撃キルチェーンの検知をマッピングすることで、環境内の脅威の進捗状況について、詳細で包括的な分析を提供します。

いったん脅威が検知されると、Juniper ATP Applianceは、ファイアウォールポリシーの更新をSRXシリーズのファイアウォールに送信します。Juniper ATP Applianceは、Palo Alto Networks、Fortinet、Ciscoなどのベンダーからのサードパーティファイアウォールのポリシーを更新するように設定することも可能です。

また、Juniper ATPソリューションは、ジュニパーやサードパーティのスイッチと連携して脅威を隔離し、ワンタッチで侵害されたホストを隔離して、感染の水平方向の拡散を制限します。Juniper ATPは、検出結果に基づいて感染したホストのリストを作成し、Juniper Networks Policy Enforcerと連携して、Juniper Networks EXシリーズやQFXシリーズスイッチ、またはForeScoutなどのNACベンダーと統合することで、ネットワーク上の感染したホストをブロックまたは隔離します。

アーキテクチャと主要コンポーネント

Advanced Threat Prevention Cloud

Juniper ATPは、ジュニパーの次世代SRXシリーズのファイアウォールを活用して、トラフィックのルーティングと可視化を実現しながら、同時に脅威、構成、レポートのクラウド管理を提供します。

Juniper ATP Cloudは、Webベースの脅威または電子メールで配信された脅威を特定します。SRXシリーズのファイアウォールに備わるSSL暗号化解除機能を使用することで、暗号化されたセッションに送信されたあらゆるマルウェアを容易に特定することもできます。Juniper ATP CloudはSMTPおよびIMAP電子メールプロトコルに対応しており、悪意のある添付ファイルがないか電子メールを検査し、エンドユーザーに脅威を与える可能性のある電子メールを隔離することができます。

ジュニパーATPクラウドは、パブリッククラウドインフラストラクチャを活用して、柔軟で拡張性の高いファイル分析と脅威特定を提供します。SRXシリーズファイアウォールとクラウド間のすべての通信は、安全で、両側から暗号化接続することで実現しています。分析のためにクラウドにアップロードされたファイルは、その後、プライバシを保証するため破棄されます。ジュニパーATPクラウドプライバシポリシーと、より幅広いジュニパーネットワークスのプライバシポリシーの詳細な説明は、https://www.juniper.net/jp/ja/privacy-policy.htmlをご覧ください。

ジュニパーATPクラウドは、グローバルで利用できます。北米(米国とカナダ)、EMEA、APACのデータセンターから配信されています。この広範囲にわたる可用性により、これらの地域のお客様は、クラウドベースの脅威防御とインテリジェンスサービスからメリットを享受しながら、同時にお客様のデータのローカライゼーションやデータプライバシーの懸念に対応することができます。送信されたデータはその地域で処理され、その地域の境界を超えることはありません。お客様は、データの所在位置をより細かく管理することができ、規制やプライバシーに関する要件を満たすことができます。

図1:Juniper Advanced Threat Prevention Cloudのアーキテクチャ

Juniper Advanced Threat Preventionの機能とメリット

特長 説明
マルウェア分析 マルウェア分析は、Webからダウンロードされたか、電子メールで分散したファイルの静的および動的分析から両方で構成されており、悪意のあるコンテンツを特定し、そのファイルがコマンド&コントロール(C&C)サーバーに接続して悪意のあるペイロードをインストールしようとしているかどうかを検出します。脅威が検知されなかった場合、ファイルはダウンロードされるか、受信者に配信されます。マルウェアやグレーウェアが検知された場合、SRXシリーズのファイアウォールなら、ダウンロードをブロックしたり、電子メールの配信を阻止したりすることができます。ジュニパーATPでは、Windowsバージョン7および10、Mac、Linux、Android用のファイルと実行可能ファイルを分析することができます。独自のカスタム企業Windowsイメージを作成されている場合は、そのイメージをJATP Applianceにアップロードすることができます。
暗号化トラフィックのインサイト(ETI)
暗号化トラフィックのインサイト(ETI)により、TLS/SSLによる完全な暗号化解除の負荷をかけることなく暗号化トラフィックの脅威を可視化することができます。SRXシリーズのファイアウォールでは、使用された証明書、ネゴシエートされた暗号スイート、接続の動作など、SSL/TLS接続についての関連データを収集します。 Juniper ATP Cloudがこの情報を処理し、ネットワーク動作分析と機械学習に基づいて接続が無害なものか悪意のあるものかを判定します。悪意があると判明された暗号化トラフィックについては、SRXシリーズのファイアウォール上で設定されたポリシーを使用して、これらの脅威をブロックすることができます。
SecIntel SecIntelは、精選されたセキュリティインテリジェンスを、既知の攻撃で使用されていた悪意のあるドメイン、URL、IPアドレスが含まれる脅威フィードという形式で提供します。またSecIntelでは、お客様はインラインブロック向けに、独自の脅威インテリジェンスをフィードして配信することもできます。この情報は、SRXシリーズのファイアウォールや、ケースによってはMXシリーズユニバーサルルーティングプラットフォームやEXシリーズおよびQFXシリーズスイッチにも提供され、既知の脅威を特定してブロックします。
適応型脅威プロファイリング(Adaptive Threat Profiling) 絶え間なく発生する新たな脅威に対処するために、企業はATPクラウドのAdaptive Threat Profilingを利用して、現在ネットワークを攻撃している人や物に基づいたセキュリティインテリジェンス脅威フィードを自動的に作成することができます。Adaptive Threat Profilingは、ジュニパーのセキュリティサービスを活用してエンドポイントの動作を分類し、カスタムの脅威インテリジェンスフィードを作成します。このフィードは、複数の実施ポイントでのさらなる検査やブロックに使用することができ、企業は攻撃にリアルタイムで対応できるようになります。
攻撃分析 分析ビューは何が起きているのかを把握する手段となり、セキュリティ運用担当者は、ネットワーク内で発生している相関性のある脅威アクティビティを確認し、優先度の高い脅威を迅速に特定して対応方法を理解したり、発生した問題を修復するために隔離することができます。
脅威の防御と緩和
発生した脅威に対して、物理または仮想のSRXシリーズのファイアウォールでインラインでブロックしたり、サードパーティ製のファイアウォールでネットワークタップを介して検出して記録することができます。脅威の横方向への拡散を防ぐために、ジュニパーATPは既存のネットワークアクセスコントロール(NAC)ソリューションと統合し、感染が修復されるまで感染したホストを隔離するか、ネットワークからドロップします。さらに、ジュニパーATPのSecIntel脅威フィードは、MXシリーズのルーターやEXシリーズ、QFXシリーズのスイッチとも統合できます。
自動化 セキュリティ運用担当者がホストやエンドポイントを識別する際の手作業の負荷を軽減するために、ジュニパーATPは、IPアドレスとMACアドレスの両方をもとにマシンやホストを識別することができます。防御機能を自動化するために、ジュニパーATPはサードパーティのファイアウォール、スイッチ、無線技術と統合して、脅威が取り除かれるまでユーザーをブロックしたり、ホストを隔離したりすることができます。この機能は、SRXシリーズのファイアウォール、MXシリーズのルーター、EXシリーズおよびQFXシリーズのスイッチに適用されます。自動化により、企業は、各デバイスに対して個々のポリシーを設定するのではなく、異なるシステムから成るグループにポリシーを設定して定義できるようになり、導入が簡素化されます。

Advanced Threat Prevention Appliance

オンプレミス型のJuniper ATP Applianceは、SRXシリーズのファイアウォールをインラインの検出とブロックに使用するコレクターとして使用したり、独自のビルトイン型コレクターを使用してサードパーティ製のファイアウォールと併用することもできます。MSSP(Managed Security Service Provider) 環境の場合、マルチテナントをサポートするためにコレクターとコアを分けてATP Applianceを導入することもできます。お客様の各拠点にコレクターを設置し、コアまたはコアのクラスターが、すべてのトラフィックを分析します。

ネットワーク全体で収集されたファイルと関連する実行可能ファイルは、さらなる分析のために、JATP400またはJATP700 Applianceにある、SmartCore検知と分析エンジンに送られます。外部から隔離された環境の場合、ジュニパーATP Applianceは、インターネットにアクセスできなくてもマルウェアの検知と緩和、さらに相関関係を提供する、プライベートモードでの運用が可能です。

SRXシリーズのファイアウォールは、SmartCoreエンジンによって検知された脅威をブロックできます。包括的な攻撃分析を行うために、Juniper ATP Applianceは、アクティブディレクトリ、エンドポイントアンチウィルス、ファイアウォール、セキュアWebゲートウェイ、侵入検知システム、エンドポイント検出および応答ツールなどの、他の特定およびセキュリティ製品から得られる検出ログも取り込みます。ログはサードパーティデバイスから直接取り込むことも、既存のセキュリティ情報とイベント管理(SIEM)/システムログサーバーから転送することもできます。

図2:Juniper Advanced Threat Preventionのオンプレミスアーキテクチャ

注文情報

Juniper Advanced Threat Prevention

1. Encrypted Traffic Insights(暗号化されたトラフィックのインサイト)には、Junos OS 20.2以降が必要です
2. これらのオプションは、ATP Applianceでアドバンスド1またはアドバンスド2ライセンスをご購入された場合にのみご利用いただけます
ライセンスオプション MXシリーズルーター EX/QFXシリーズスイッチ SRXシリーズファイアウォール ジュニパーATPクラウド ジュニパーATPアプライアンス
ATPおよびSecIntel機能の導入
クラウド クラウド クラウド クラウド オンプレミス(JATP400、JATP700、ATP仮想アプライアンスが必要)
SecIntelフィード ◯―MX240、MX480、MX960(C&C、カスタムホワイトリスト、ブロックリストのみ) ◯ー感染したホストフィードのみ
動的分析 × × ×
適応型脅威プロファイリング(Adaptive Threat Profiling) × × ×
暗号化されたトラフィックのインサイト1 × × × ×
ファイアウォール/コレクター 該当なし 該当なし SRXシリーズ ファイアウォール SRXシリーズ ファイアウォール SRXシリーズのファイアウォールまたはJATP400、JATP700、またはATP仮想アプライアンス
脅威分析 × × × 2
サードパーティ脅威検出
ログインの取り込み
× × × × 2
Policy Enforcerが必要です × × ×
ライセンスタイプ S-MX(モデル)-CSECINTEL S-(EXまたはQFX)-CSECINTEL プレミアム1、2、または3 SRXプレミアム1、2、または3が必要です スタンダード1または2、アドバンスド1または2
ライセンスの有効期間 サブスクリプション:1、3、5 年間 サブスクリプション:1、3、5 年間 サブスクリプション:1、3、5 年間 サブスクリプション:1、3、5 年間 サブスクリプション:1、3、5 年間

ジュニパーネットワークスについて

ジュニパーネットワークスは、世界をつなぐ製品、ソリューション、サービスを通じて、ネットワークを簡素化します。エンジニアリングのイノベーションにより、クラウド時代のネットワークの制約や複雑さを解消し、お客様とパートナー様の日々直面する困難な課題を解決します。ジュニパーネットワークスは、世界に変革をもたらす知識の共有や人類の進歩のリソースとなるのはネットワークであると考えています。私たちは、ビジネスニーズにあわせた、拡張性の高い、自動化されたセキュアなネットワークを提供するための革新的な方法の創造に取り組んでいます。