Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SecIntelフィードの概要とメリット

SecIntelは、Juniper ATP Cloud、Juniper Threat Labs、Dynamic Address Group(DAG)、業界屈指の脅威フィードから厳選および検証済みの脅威インテリジェンスを、MXシリーズルーター、SRXシリーズファイアウォール、NFXシリーズネットワークサービスプラットフォームに提供し、コマンド&コントロール(C&C)通信をラインレートでブロックします。SecIntelは、自動で応答性の高いトラフィックフィルタリングを可能にすることで、リアルタイムの脅威インテリジェンスを提供します。

SecIntelは、EXシリーズおよびQFXシリーズスイッチと統合し、これらのスイッチがSecIntelの感染したホストフィードを購読できるようにします。これにより、侵害されたホストをスイッチポートでブロックできます。SecIntelをネットワーク全体に拡張し、セキュリティポリシー適用ポイントの数を増やすことができるようになりました。

SecIntelフィードのメリット

現在のライセンスで使用できるすべてのデフォルトフィードを表示できます。

このページを使用して、以下のフィードを有効にしてJuniper ATP Cloudと統合できます。

  • ジュニパー脅威フィード

  • サードパーティの脅威フィード - IP 脅威フィードと URL 脅威フィード。

  • 動的アドレスグループフィード—Juniper DAGフィードとサードパーティDAGフィード。

手記:

SecIntel フィードの有効期限は、TTL(Time-to-live)値によって異なり、フィードごとに異なります。
手記:

CC フィードの総数は 32 で、そのうち 4 つのフィードは cc_ip、cc_url、cc_ipv6、cc_cert_sha1用に予約されています。そのため、CC カスタムフィードと CC サードパーティフィードを含む CC カテゴリに対して最大 28 個のフィードを有効にすることができます。この制限は、利用可能なオープン API を使用して追加のフィードを挿入する場合に適用されます。

外部フィードを有効にしているかどうかを知るための情報:

  • 有効な外部フィードでヒットが検出された場合、このイベントは [脅威レベル 10 の > 脅威ソースの 監視(Monitor Threat Sources )] の下に表示されます。

  • 登録済みのSRXシリーズファイアウォールでは、各フィードに対して許可またはブロックアクションを含むポリシーを設定できます。C&Cフィードと感染ホストフィードを機能させるには、SRXシリーズファイアウォールでセキュリティ インテリジェンス ポリシーが有効になっている必要があることに注意してください。

  • 外部フィードは 24 時間ごとに更新されます。

警告:

これらはサードパーティによって管理されているオープンソースのフィードであり、フィードの正確性の判断はJuniper ATP Cloud管理者に委ねられていることを理解してください。ジュニパーは、これらのフィードによって生成された誤検知を調査することはありません。
警告:

設定されたSRXシリーズポリシーは、有効なサードパーティフィードに基づいて悪意のあるIPアドレスをブロックしますが、これらのイベントはホストの脅威スコアには影響しません。ホストの脅威スコアに影響するのは、Juniper ATP Cloudフィードからのイベントのみです。

使用可能なフィードを有効にするには、次の操作を行います。

  1. [ Configure > Feeds Configuration ] > [ SecIntel Feeds] に移動します。

  2. フィードごとに、クリックしを選択してフィードを有効にします。 表 1 のガイドラインを参照してください。

    手記:

    感染ホストフィードは、すべてのライセンス階層で有効になっています。その他のJuniper SecIntelフィードのライセンス情報については、「 ATP Cloudのソフトウェアライセンス」を参照してください。

    [ フィード サイトに移動 ] リンクをクリックすると、フィードの内容を含むフィード情報が表示されます。

    表1:SecIntelフィード

    ガイドライン
    ジュニパー脅威フィード

    コマンドおよびコントロール

    C&C フィードが有効になっているかどうかを表示します。

    悪意のあるドメイン

    DNS フィードが有効になっているかどうかを表示します。

    感染ホストフィード

    感染したホストフィードが有効になっているかどうかを表示します。
    サードパーティの脅威フィード

    IP 脅威フィード

    ブロックリスト

    クリックし をクリックして、ブロックリストフィードをサードパーティフィードとして有効にします。

    事前定義されたクラウドフィード名— cc_ip_blocklist。

    ThreatfoxのIP

    クリックし をクリックして、Threatfox フィードをサードパーティフィードとして有効にします。

    事前定義されたクラウドフィード名— cc_ip_threatfox。

    Feodoトラッカー

    クリックし をクリックして、Feodo フィードをサードパーティフィードとして有効にします。

    事前定義されたクラウドフィード名 - cc_ip_feodotracker。

    Dシールド

    クリックし をクリックして、DShield フィードをサードパーティフィードとして有効にします。

    事前定義されたクラウドフィード名— cc_ip_dhield。

    Torの

    クリックし をクリックして、Tor フィードをサードパーティフィードとして有効にします。

    事前定義されたクラウドフィード名:cc_ip_tor。

    URL 脅威フィード

    Threatfox URL

    クリックしボタンをクリックして、Threatfoxフィードをサードパーティフィードとして有効にします。ThreatFoxは、マルウェアに関連する侵害の痕跡(IOC)を情報セキュリティコミュニティ、AVベンダー、脅威インテリジェンスプロバイダーと共有することを目的とした、abuse.ch の無料プラットフォームです。IOC は、IP アドレス、ドメイン名、または URL です。

    事前定義されたクラウドフィード名 - cc_url_threatfox。

    URLhaus URL脅威フィード

    クリックし をクリックして、URLhaus フィードをサードパーティフィードとして有効にします。URLhaus は、マルウェアの配布に使用される悪意のある URL を共有する脅威インテリジェンス フィードです。

    事前定義されたクラウドフィード名— cc_url_urlhaus。

    オープンフィッシング

    クリックし をクリックして、OpenPhish フィードをサードパーティのフィードとして有効にします。OpenPhishは、フィッシングインテリジェンスのための完全に自動化された自己完結型プラットフォームです。フィッシングサイトを特定し、人間の介入やブロックリストなどの外部リソースを使用せずに、リアルタイムでインテリジェンス分析を実行します。マルウェア検出の場合、SecIntelはこのフィードのURLを使用してトラフィックを分析します。

    事前定義されたクラウドフィード名— cc_url_openphish。

    ドメイン脅威フィード

    Threatfox ドメイン

    クリックしボタンをクリックして、Threatfoxフィードをサードパーティフィードとして有効にします。

    事前定義されたクラウドフィード名 — cc_domain_threatfox。
    動的アドレスグループフィード

    Juniper DAGフィード

    GeoIPフィード

    GeoIPフィードが有効になっているかどうかを表示します。GeoIPフィードは、IPアドレスと地域を最新のマッピングしたものです。これにより、世界の特定の地域を行き来するトラフィックをフィルタリングできます。

    サードパーティのDAGフィード

    オフィス365

    クリックし をクリックして、office365 IP フィルター フィードをサードパーティ フィードとして有効にします。office365 IP フィルター フィードは、セキュリティ ポリシーで使用できる Office 365 サービス エンドポイントの公開済み IP アドレスの最新リストです。このフィードはこのページの他のフィードとは動作が異なり、事前定義されたクラウド フィード名「ipfilter_office365」など、特定の構成パラメーターが必要です。このページの下部にある、このフィードを使用するための set security dynamic-address コマンドの使用方法など、詳しい手順を参照してください。

    事前定義されたクラウド フィード名— ipfilter_office365

    Facebook

    クリックし をクリックして、Facebook からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_facebook

    ググる

    クリックし をクリックして、Google からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_google

    アトラシアン

    クリックしボタンをクリックして、アトラシアンからのフィードを有効にします。

    事前定義されたクラウドフィード名—ipfilter_atlassian

    Zscaler

    クリックし をクリックして、Zscaler からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_zscaler

    ZPA Zscaler

    クリックし をクリックして、Zscaler Private Access (ZPA) からのフィードを有効にします。ZPAサービスは、組織内のアプリケーションとサービスへの安全なアクセスを提供します。

    事前定義されたクラウド フィード名— ipfilter_zscaler_zpa

    OracleOCI

    クリックしボタンをクリックして、Oracle ociからのフィードを有効にします。

    事前定義されたクラウド フィード名— ipfilter_oracleoci

    Cloudflare様

    クリックしボタンをクリックして、Cloudflareからのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_cloudflare

    ズーム

    クリックし をクリックして、Zoom からのフィードを有効にします。

    事前定義されたクラウドフィード名— ipfilter_zoom

    MicrosoftAzure

    クリックし をクリックして、Microsoft Azure からのフィードを有効にします。

    事前定義されたクラウド フィード名 — ipfilter_microsoftazure

    アマゾンAWS

    クリックし をクリックして、Amazon AWS からのフィードを有効にします。

    事前定義されたクラウド フィード名— ipfilter_amazonaws

    関連する AWS リージョンとサービスからの DAG フィードをフィルタリングして表示できます。DAG フィルターを構成するには、次の操作を行います。

    1. 構成」をクリックします。

      [DAG フィルター] ページが表示されます。詳細については、「 DAG フィルターの構成」を参照してください。

    オクタ

    [クリックし]をクリックして、Oktaからのフィードを有効にします。

    事前定義されたクラウド フィード名— ipfilter_okta

    PayPal

    クリックし をクリックして、PayPal からのフィードを有効にします。

    事前定義されたクラウド フィード名:ipfilter_PayPal
    手記:

    • Junos OS リリース 19.4R1 以降、Juniper ATP Cloud ではサードパーティの URL フィードがサポートされます。

    • ランサムウェアトラッカーとマルウェアドメインリストは非推奨であるため、ランサムウェアトラッカーとマルウェアドメインリストのIPフィードはJuniper ATP Cloudではサポートされていません。以前にこのフィードを有効にしていた場合、これらのフィードの受信が停止される可能性があります。

    • サードパーティのインターネット サービス フィードの更新間隔は 1 日です。

  3. 他のC&Cフィードや感染したホストフィードと同様に、有効なサードパーティーフィードを機能させるには、SRXシリーズファイアウォールにセキュリティインテリジェンスポリシーが必要です。ここでは、コマンドの例を紹介します。詳細については、 Juniper Advanced Threat PreventionクラウドCLIリファレンスガイド を参照してください。

    • SRXシリーズファイアウォール上: セキュリティ インテリジェンス プロファイルを設定する

      set services security-intelligence profile secintel_profile category CC

      set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

      set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

      set services security-intelligence profile secintel_profile rule secintel_rule then action block close

      set services security-intelligence profile secintel_profile rule secintel_rule then log

      set services security-intelligence profile secintel_profile default-rule then action permit

      set services security-intelligence profile secintel_profile default-rule then log

      set services security-intelligence profile ih_profile category Infected-Hosts

      set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

      set services security-intelligence profile ih_profile rule ih_rule then action block close

      set services security-intelligence profile ih_profile rule ih_rule then log

      set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

      set services security-intelligence policy secintel_policy CC secintel_profile

  4. セキュリティインテリジェンスポリシーは、SRXシリーズファイアウォールポリシーにも追加する必要があります。

    • SRXシリーズファイアウォール上:セキュリティポリシーを設定します(以下のコマンドを入力して、SRXシリーズファイアウォールに検査プロファイル用のセキュリティポリシーを作成します。)

      set security policies from-zone trust to-zone untrust policy 1 match source-address any

      set security policies from-zone trust to-zone untrust policy 1 match destination-address any

      set security policies from-zone trust to-zone untrust policy 1 match application any

      set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

      set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

    利用可能なCLIコマンドを使用してJuniper ATP CloudでSRXシリーズを設定する方法については、 Juniper Advanced Threat Prevention Cloud CLIリファレンスガイドを参照してください。

office365 フィードの使用

  1. Juniper ATP Cloudの[Office365フィードを使用する ]チェックボックスをオンにして、Microsoft Office 365サービスエンドポイント情報(IPアドレス)をSRXシリーズファイアウォールにプッシュします。office365 フィードは、このページの他のフィードとは異なる動作をしており、"ipfilter_office365" の定義済みの名前など、特定の構成パラメーターが必要です。

  2. このチェックボックスを有効にした後、次のようにipfilter_office365フィードを参照する動的アドレスオブジェクトをSRXシリーズファイアウォールに作成する必要があります。

    • set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

      手記:

      セキュリティ ポリシーは、送信元アドレスまたは宛先アドレスの動的アドレス エントリ名(この例では「office365」)を参照できます。

    セキュリティポリシーの例を以下に示します。

次のコマンドを使用して、office365フィードがSRXシリーズファイアウォールにプッシュされたことを確認します。(Update statusStore succeeded.が表示されます)

  • show services security-intelligence category summary

次のコマンドを使用して、IPFILTER の下にある個々のフィードをすべて表示します。

  • show security dynamic-address category-name IPFilter

関連資料