Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

security-metadata-streaming

構文

階層レベル

説明

SRXシリーズファイアウォールでセキュリティメタデータストリーミングポリシーを設定して、ネットワークトラフィックのメタデータと接続パターンをジュニパーネットワークスATPクラウドに送信し、暗号化されたトラフィックインサイトを取得します。セキュリティメタデータストリーミングポリシーを設定したら、ゾーンレベルのセキュリティポリシーにアタッチします。

set security policies from-zone from-zone to-zone to-zone application-services security-metadata-streaming-policy dns-policy

オプション

dns-cache ドメイン ネーム システム (DNS) キャッシュ内の静的良性ドメインとコマンドアンドコントロール (C2) ドメインのリストを構成して、構成されたドメインに対して即時アクションを実行します。ワイルドカード ドメインのみが許可されます。ドメイン形式 *.domain_name.domain_ending は である必要があります。CLI 経由で DNS キャッシュに設定されたエントリは、その設定がデバイスから削除されるまで DNS キャッシュに残ります。良リストと c2 リストにそれぞれ最大 500 のドメインを設定できます。
  • デフォルトでは、無害(許可リスト登録済み)ドメインから送信されたトラフィックに対するアクションは permitです。
  • C2(ブロックリスト登録済み)ドメインから送信されたトラフィックに対するアクションは、[DNS 検出] で構成されたアクションに基づきます。
policy policy-name セキュリティメタデータストリーミングポリシーを設定します。
dns DNS オプションを構成します。
cache 有効期限 (TTL) まで DNS をキャッシュに格納します。SRXシリーズファイアウォールが提供するTTLは、Juniper ATPクラウドが提供するTTLよりも優先されます。
メモ:

DNS キャッシュを構成するには、少なくとも 1 つの DNS 検出方法を構成する必要があります。
  • 良性—(オプション)良性のTTL値を設定します。範囲は 60 から 172800 秒です。デフォルト値は 86400 です。
  • c2:(オプション)C2 TTL 値を設定します。範囲は 60 から 172800 秒です。デフォルト値は 86400 です。
detections DNS 要求の検出の種類を構成します。使用可能なオプションは、all、dga、およびトンネリングです。次のいずれかの検出を構成できます。
  • すべての検出
  • DGA とトンネリングの両方の検出
  • DGA またはトンネリング検出のいずれか
すべての検出とカスタム検出(dgaおよび/またはトンネリング)を一緒に構成することはできません。検出は相互に排他的です。
メモ:

各検出方法にはフォールバックオプションがあり、特定のパケット数内(トンネリングの場合)または特定の期間内(DGAの場合)に何も検出されない場合に使用されます。

all すべての検出を構成します。
  • action:検知が行われたときにSRXデバイスが実行するアクションを指定します。使用可能なオプションはdenypermitsinkholeです。
  • フォールバック オプション:DNS 検出のフォールバック オプション。フォールバック アクションは、DNS ベースの攻撃が検出されない場合(DGA 判定が 100 ミリ秒以内に受信されず(判定タイムアウトのデフォルト値)、4 パケット以内に DNS トンネルが検出されない場合(検査深度のデフォルト値)にトリガーされます。使用可能なオプションは、DNS 要求に対する Log ものです。
  • 通知:DNS 検知方式に対して実行されるグローバル通知アクション。使用可能なオプションは次のとおりです。
    • log:DNS リクエストと DNS 検知のログを生成します。
    • ログ検出 - (推奨)悪意のある DNS 検出に対してのみログを生成します。
  • 評決タイムアウト—(設定不可)DNSパケットのDGA判定を待つ時間(ミリ秒)。既定のタイムアウトは、すべての検出で 100 ミリ秒です。
  • inspection-depth—(設定不可)トンネル検出のために検査されるパケットの数。デフォルトは、すべての検出で 4 パケットです。
dga DNSパケットに対するDGAベースの攻撃を検出するように構成します。
  • action:検知が行われたときにSRXデバイスが実行するアクションを指定します。使用可能なオプションはdenypermitsinkholeです。
  • フォールバック オプション:DNS DGA 検出のフォールバック オプション。フォールバックオプションは、判定タイムアウトで構成された値内に DGA 判定が Juniper ATP クラウドから受信されない場合にトリガーされます。使用可能なオプションは、DNS 要求をログに記録することです。
  • 通知 - DNS DGA 検出に対して実行される通知アクション。使用可能なオプションは次のとおりです。
    • log:DNS リクエストおよび DNS 検知ごとにログを生成します。
    • ログ検出 - (推奨)悪意のある DNS 検出に対してのみログを生成します。
  • 評決タイムアウト:(オプション)DNS パケットの判定を待つ時間(ミリ秒)。範囲は 50 から 500 です。既定のタイムアウトは 100 ミリ秒です。
tunneling DNS トンネリングを検出するように構成します。
  • action:検知が行われたときにSRXデバイスが実行するアクションを指定します。使用可能なオプションは、(トンネル セッションを削除)、(トンネル セッションを許可)、 permit またはsinkhole(トンネル セッションを削除し、ドメインをシンクホールします)ですdeny
  • フォールバック オプション:DNS トンネリング検出のフォールバック オプション。フォールバック オプションは、指定されたパケット数(インスペクション深度)内でトンネルが検出されない場合にトリガーされます。使用可能なオプションは、DNS 要求をログに記録することです。
  • inspection-depth—(オプション)トンネル検出のために検査されるパケットの数。範囲は 0 から 10 です。デフォルトは 4 パケットです。0 は永遠を示します。
  • 通知:DNS トンネリング検出に対して実行される通知アクション。使用可能なオプションは次のとおりです。
    • log:DNS リクエストおよび DNS 検知ごとにログを生成します。
    • ログ検出 - (推奨)悪意のある DNS 検出に対してのみログを生成します。
dynamic-filter SRXシリーズファイアウォールのセキュリティメタデータストリーミングポリシーの動的フィルタリングオプションを設定します。
http HTTP オプションを設定します。

  • 検出 - HTTP リクエストの検出タイプを設定します。利用可能なオプションはすべて暗号化されていますc2。次のいずれかの検出を構成できます。

    • すべての検出 - すべての検出は、他の検出が構成されていない場合にのみ構成できます。

    • encryptedc2:Encryptedc2 は、コマンドおよびコントロール(C&C)通信を検出するように設定できます。

  • action:トラフィックに対して実行されるアクションを定義します。デフォルトのアクションは許可です。

  • notification—トラフィックに対して実行される通知アクションを定義します。使用可能なオプションは次のとおりです。

    • log:HTTPリクエストと検出ごとにログを生成します。

    • ログ検出 - (推奨)悪意のある検出に対してのみログを生成します。

  • フォールバック オプション - HTTP トラフィックのフォールバック オプション。フォールバック オプションは、HTTP トラフィックが検出されない場合にトリガーされます。使用可能なオプションは、セキュリティ メタデータ ストリーミング アクションをログに記録することです。

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

Juniper Advanced Threat Prevention Cloud(Juniper ATP Cloud)を使用したSRXシリーズファイアウォールのJunos OSリリース20.2R1で導入されたステートメント。

関連ドキュメント