Juniper Advanced Threat Preventionクラウド構成の概要
表1 は、Juniper ATPクラウドの基本的な設定手順を示しています。
これらの手順は、お客様のサイトでSRXシリーズファイアウォールがすでにインストール、設定、運用されていることを前提としています。
タスク |
説明 |
詳細については、 |
---|---|---|
(オプション)管理者プロファイルを更新する |
管理者プロファイルを更新して、管理者特権を持つユーザーをセキュリティー・レルムに追加し、アラート E メールを受信するためのしきい値を設定します。デフォルトの管理者プロファイルは、アカウントの登録時に作成されます。 この手順は Web UI で行います。 |
|
SRXシリーズファイアウォールを登録する |
Juniper ATPクラウドと通信するためのSRXシリーズファイアウォールを選択します。管理インターフェイスにリストされているものだけが、検査のためにクラウドにファイルを送信し、結果を受け取ることができます。 このステップは、Web UIとSRXシリーズファイアウォールで行います。 |
|
その他の構成を設定する |
[ その他の構成の構成] を選択して>、 既定のしきい値を設定し、必要に応じて、特定のしきい値に達したときに電子メール アカウントを設定します。たとえば、しきい値5に達したときにIT部門に電子メールを送信し、しきい値9に達したときにエスカレーション部門に電子メールを送信できます。 |
Web UIのヒントとオンラインヘルプ |
(オプション)許可リストとブロックリストを作成する |
許可リストとブロックリストを作成して、信頼するネットワークノードと信頼しないネットワークノードをリストします。許可リストに登録された Web サイトは、ダウンロードしたファイルを検査する必要がない信頼できる Web サイトです。ブロックリストに登録されたWebサイトは、ダウンロードをブロックする必要がある場所です。許可リストまたはブロックリストにないWebサイトからダウンロードされたファイルは、検査のためにクラウドに送信されます。 この手順は Web UI で行います。 |
|
(オプション)Juniper ATPクラウドプロファイルを作成する |
ジュニパーATPクラウドプロファイルは、検査のためにクラウドに送信するファイルタイプを定義します。たとえば、実行可能ファイルは検査したいが、ドキュメントは検査したくない場合があります。プロファイルを作成しない場合は、デフォルトのプロファイルが使用されます。 この手順は Web UI で行います。 |
|
(オプション)侵害されたホストの特定 |
侵害されたホストとは、攻撃者が不正アクセスを取得した可能性が高いシステムです。特定されると、Juniper ATP Cloudがアクションを推奨し、セキュリティポリシーを作成して、これらの感染したホストのインバウンドトラフィックとアウトバウンドトラフィックに対して強制アクションを実行できます。 この手順は、SRXシリーズファイアウォールで実行されます。 |
|
(オプション)C&Cホストへのアウトバウンド要求をブロックする |
SRXシリーズファイアウォールは、ネットワーク上のホストがインターネット上の可能性のあるC&Cサーバーとの接続を開始しようとすると、傍受して強制アクションを実行できます。 この手順は、SRXシリーズファイアウォールで実行されます。
メモ:
Juniper ATP Cloudプレミアムライセンスが必要です。 |
|
SRXシリーズファイアウォールで高度なマルウェア対策ポリシーを設定する |
高度なアンチマルウェアセキュリティポリシーがSRXシリーズファイアウォールに常駐し、ファイルが設定されたしきい値を超える判定番号を受信した場合に、ファイルをクラウドに送信する条件と、ファイルが検出された場合に何を行うかを決定します。 この手順は、SRXシリーズファイアウォールで実行されます。 |
|
SRXシリーズファイアウォールでセキュリティインテリジェンスポリシーを設定する |
SRXシリーズファイアウォールでセキュリティインテリジェンスポリシーを作成して、感染したホストおよびC&Cサーバーとの接続試行に対して対処します。 この手順は、SRXシリーズファイアウォールで実行されます。 |
|
ファイアウォールポリシーを有効にする |
SRXシリーズのファイアウォールポリシーを作成し、CLIコマンドを使用してネットワーク この手順は、SRXシリーズファイアウォールで実行されます。 |
感染したホストをブロックするようにSRXシリーズファイアウォールを構成する |
オプションで、C&C フィード、許可リストとブロックリストの操作、ファイル送信に API を使用できます。詳細については、 『脅威インテリジェンス オープン API セットアップ ガイド 』を参照してください。
クラウドは、Juniper ATP Cloudの許可リスト、ブロックリスト、プロファイルなどのデータを数秒ごとにSRXシリーズファイアウォールに送信します。クラウドからSRXシリーズファイアウォールにデータを手動でプッシュする必要はありません。新しい情報と更新された情報のみが送信されます。クラウドはすべてのデータを継続的に送信するわけではありません。