Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ホストの概要

このページには、「 モニター 」メニューからアクセスします。

ホストページには、侵害されたホストとそれに関連する脅威レベルが一覧表示されます。ここから、ホストごとにマルウェア検出を監視して軽減できます。

手記:

感染したホストのユーザー通知—Junos OS 18.1R1では、ブロックアクションで感染したホストに基づくHTTP URLリダイレクトがサポートされています。これは、SRXシリーズファイアウォール上のCLIから set services security-intelligence profile コマンドを使用して設定します。詳細については、 security-intelligence(services) を参照してください。

侵害されたホストとは、攻撃者が不正アクセスを獲得した可能性が高いシステムです。ホストが侵害されると、攻撃者はコンピューターに対して次のようないくつかのことを行うことができます。

  • 迷惑メールやスパムメールを送信して、他のシステムを攻撃したり、違法なソフトウェアを配布したりすること。

  • パスワードや口座番号などの個人情報を収集します。

侵害されたホストは、セキュアインテリジェンスデータフィード(情報ソースとも呼ばれる)としてリストされます。データフィードには、ホストの IP アドレスと脅威レベルが一覧表示されます。たとえば、10.130.132.133 や脅威レベル 5 などです。脅威が特定されたら、脅威防止ポリシーを作成して、これらの感染したホストのインバウンドおよび送信トラフィックに対して強制アクションを実行できます。詳細については、 感染したホストの設定 を参照してください。

このページにリストされているホストでは、1 つまたは複数のホストに対して次のアクションを一度に実行できます。

表 1: 複数の感染ホストに対する操作

アクション

定義

データのエクスポート

[エクスポート]ボタンをクリックして、侵害されたホストデータをCSVファイルにダウンロードします。データのダウンロードを選択した時間枠に絞り込むように求められます。

ポリシーの上書きを設定

1 つまたは複数のホストの横にあるチェックボックスをオンにして、次のオプションのいずれかを選択します。

  • 感染したホストフィードにホストを含めない(Never Include host(s)s) in infected hosts feed(感染したホストフィードにホストを含めない)

  • 感染したホストフィードに必ずホストを含める

  • 設定済みのポリシーを使用する(感染したホストフィードには含まれない)

手記:

ここでいうポリシーは、SRXシリーズファイアウォールで設定されたポリシーです。 「例:Juniper Advanced Threat Preventionクラウドポリシーの設定」を参照してください。

検査ステータスの設定

1 つまたは複数のホストの横にあるチェック・ボックスを選択し、「進行中」、「解決済み - 誤検知」、「解決済み - 修正済み」、および「解決済み - 無視」のいずれかのオプションを選択します。

手記: ホストの [ポリシーの上書き ] オプションを選択すると、[感染したホストフィード] など、他の依存ステータス フィールドもそれに応じて変更されます。場合によっては、更新された情報を表示するためにページを更新する必要があります。

「ホスト」(Host) テーブルには、次の情報が表示されます。

表2:侵害されたホストの情報

形容

ホスト識別子

Juniper ATP Cloudによって割り当てられたホストの名前。この名前は、IPアドレス、MACアドレス、ユーザー名、ホスト名などの既知のホスト情報を使用して、Juniper ATP Cloudによって作成されます。割り当てられる名前は、 username@server という形式になります。ユーザー名が不明で、MAC アドレスまたは IP アドレスが使用されている場合、名前は以下のいずれかの形式で表示されることがあります。

user01@2001:db8:cc:dd:ee:ffuser02@10.1.1.1 または 10.1.1.1

手記:

この名前は編集できます。Juniper ATP Cloudによって割り当てられた名前を編集すると、Juniper ATP Cloudは新しい名前を認識し、上書きしません。

ホスト ip

侵害されたホストのIPアドレス。

脅威レベル

0 から 10 までの数値は、検出された脅威の重大度を示し、10 が最高です。

手記:

列の上部にある 3 つの縦のドットをクリックして、ページに表示される情報を脅威レベルでフィルタリングします。

感染ホストフィード

現在のホストフィード設定を表示します。

  • 含む: これはデフォルトのポリシーです。脅威レベルが設定された感染したホストしきい値を満たす場合、そのホストは感染したホストフィードに含まれます。

  • 除外: ホストは許可リストに登録されており、脅威レベルがしきい値を満たしていても、感染したホストフィードから除外されます。

  • 手動で除外: ホストは手動で許可リストに登録され、脅威レベルがしきい値を満たしていても、感染したホストフィードから除外されます。

    例: 新しい Adaptive Threat Profiling フィードの作成時に [ 感染したホストに追加 ] 設定を有効にしない場合、フィード情報は感染したホストフィードに送信されません。

  • 手動に含める: ホストはブロックリストに登録されており、脅威レベルがしきい値を満たしていない場合でも、感染したホストフィードに含まれます。

最後のホストアクティビティ

脅威の最新のアクティビティの日時が表示されます。

C&Cヒット

このホストとのコマンド&コントロール(C&C)サーバー通信の脅威が検出された回数。

手記:

列の上部にある 3 つの縦のドットをクリックして、ページに表示される情報を C&C ヒットでフィルタリングします。

マルウェア

このホストがマルウェアの脅威をダウンロードした回数。

手記:

列の上部にある 3 つの縦のドットをクリックして、ページに表示される情報をマルウェア検出でフィルタリングします。

政策

現在のポリシー設定を表示します

  • 設定済みのポリシーを使用

  • 感染したホストフィードに常にホストを含める

  • 感染したホストフィードにホストを含めない

調査の状況

Open、In progress、Resolved-False positive、Resolved-Fixed、Resolved-Ignored のいずれかを表示します。

脅威のソースを表示します。たとえば、API、検出、適応型脅威プロファイリングフィードなどです。

関連資料