適応型脅威プロファイリングの使用例
概要
脅威検知の使用例
この例では、エンドポイントが侵害されたことを示唆する可能性のある異常なアクティビティを特定することを目的として、High_Risk_Usersユースケースの定義を続行します。
-
オニオンルーター(TOR)、ピアツーピア(P2P)、およびアノニマイザー/プロキシの使用を検出するポリシーを作成し、これらの送信元IPアドレスをHigh_Risk_Usersフィードに追加します。
[edit security policies global policy Unwanted_Applications] admin@vSRX# show match { source-address any; destination-address any; application junos-defaults; dynamic-application [ junos:p2p junos:web:proxy junos:TOR junos:TOR2WEB ]; } then { deny { application-services { security-intelligence { add-source-ip-to-feed { High_Risk_Users; } } } } log { session-close; -
既知の悪意のあるサイトやマルウェアの Command-and-Control (C2) インフラストラクチャ、および新しく登録されたドメインとの通信を検索し、フィードに追加する 2 つ目のポリシー High_Risk_Users作成します。
[edit security policies global policy URL-C2-Detection] admin@vSRX# show match { source-address any; destination-address any; application [ junos-http junos-https ]; dynamic-application any; url-category [ Enhanced_Compromised_Websites Enhanced_Emerging_Exploits Enhanced_Keyloggers Enhanced_Malicious_Embedded_Link Enhanced_Malicious_Embedded_iFrame Enhanced_Malicious_Web_Sites Enhanced_Newly_Registered_Websites ]; } then { deny { application-services { security-intelligence { add-source-ip-to-feed { High_Risk_Users; } } } } log { session-close; } } } } -
異常なスキャンアクティビティとブルートフォース攻撃を特定するIDPポリシーを作成します。
[edit security idp idp-policy Threat_Profiling rulebase-ips rule Scanners] admin@vSRX# show match { attacks { predefined-attacks [ SCAN:NMAP:FINGERPRINT SCAN:METASPLOIT:SMB-ACTIVE SCAN:METASPLOIT:LSASS SMB:AUDIT:BRUTE-LOGIN APP:RDP-BRUTE-FORCE FTP:PASSWORD:BRUTE-FORCE LDAP:FAILED:BRUTE-FORCE SSH:BRUTE-LOGIN ]; } } then { action { drop-connection; } notification { log-attacks; packet-log; } application-services { security-intelligence { add-attacker-ip-to-feed High_Risk_Users; } } }メモ:これは、TapベースのSRXセンサーに展開する安全なポリシーの例です。この例は、ルールの許容性のため、インライン デバイスに展開しても意味がありません。運用環境では、より制限を設けることをお勧めします。
-
IDPルールベースをセキュリティポリシーに適用して有効にします。
[edit security policies global policy IDP_Threat_Profiling] admin@vSRX# show match { source-address any; destination-address any; application any; dynamic-application any; } then { permit { application-services { idp-policy Threat_Profiling; } } log { session-close; } } -
ルールベースの上部に、High_Risk_Users脅威フィード内のホストからのトラフィックをドロップする単純なルールを作成します。
[edit security policies global policy Drop_Risky_Users] admin@vSRX# show match { source-address High_Risk_Users; destination-address any; application any; } then { deny; log { session-close; } }
アセット分類の使用例
この例では、AppID を活用して環境内の Ubuntu サーバーと RedHat サーバーを識別し、他のデバイスで使用するフィードに追加します。
多くのレガシーデバイスには、ディープパケットインスペクション(DPI)を有効にするために必要な計算能力がないため、適応型脅威プロファイリングを使用すると、環境内の新しいプラットフォームと古いプラットフォーム間でDPI分類結果を柔軟に共有できます。
Advanced Packaging Tool (APT) および Yellowdog Updater, Modified (YUM) と Ubuntu および RedHat Update サーバーとの通信を識別するセキュリティ ポリシーを作成します。
[edit security policies global policy Linux_Servers]
admin@vSRX# show
match {
source-address any;
destination-address any;
application junos-defaults;
dynamic-application [ junos:UBUNTU junos:REDHAT-UPDATE ];
}
then {
permit {
application-services {
security-intelligence {
add-source-ip-to-feed {
Linux_Servers;
}
}
}
}
}
侵害されたアプリケーションのユースケース
この例では、侵害されたアプリケーションを使用しているユーザーが感染したホストフィードに追加されます。
エンドポイントが侵害されたことを示唆する可能性のある異常なアクティビティを特定することを目的として、High_Risk_Usersユースケースの定義を続けます。オニオンルーター(TOR)の使用を検出し、ソースIDをHigh_Risk_Usersフィードに追加するポリシーを作成します。
[edit security policies global policy Compromised_Applications]
admin@vSRX# show
match {
source-address any;
destination-address any;
source-identity authenticated-user;
dynamic-application junos:TOR;
}
then {
deny {
application-services {
security-intelligence {
add-source-identity-to-feed High_Risk_Users;
}
}
}
}