Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

導入事例の実装:Juniper Connected Security ForeScout CounterACT およびジュニパーネットワークス デバイスによる脅威の自動修復

この使用事例では、ForeScout CounterACT セキュリティ アプライアンス、Windows 7 サプリカント、ジュニパーネットワークス vSRX 仮想ファイアウォール、ジュニパーネットワークス EX4300 スイッチ、ジュニパーネットワークス QFX シリーズ スイッチを Juniper Connected Security に統合して構成する方法を示します。

このユース ケースを ForeScout CounterACT で感染したホストの脅威修復(ブロックまたは隔離)に実装するには、次の必要なインストール、設定、検証手順を実行します。

要件

このユースケースでは、以下のハードウェアおよびソフトウェアコンポーネントを使用します。

  • Junos OS リリース 15.1X49-D110.4 以降を実行する vSRX 仮想ファイアウォール

  • Junos OS リリース 15.1X53-D60.4 以降を実行する QFX シリーズ スイッチ

  • Junos OSリリース15.1R5.5以降を実行しているEX4300スイッチ

  • Advanced Threat Preventionクラウド(ATPクラウド)

  • Junos Space ネットワーク管理プラットフォーム、リリース 17.2R1 以降

  • Junos Space Security Director、リリース17.2R2以降

  • ログ コレクター、リリース 17.2R2 以降

  • Policy Enforcer、リリース 17.2R2 以降

  • ForeScout CounterACT バージョン 7.0.0-513-2.3.0-1605

  • Windows 7と2つのデュアルNICホストを搭載した仮想マシン(VM)

サポートされるデバイスの一覧については、 Policy Enforcer リリース ノートを参照してください。

ユース ケース トポロジー

ユース ケース トポロジーを図 1 に示します。

図 1:Juniper Connected Security による脅威の自動修復 ForeScout CounterACT とジュニパーネットワークス デバイスのユース ケース トポロジー Juniper Connected Security Automated Threat Remediation with ForeScout CounterACT and Juniper Networks Devices Use Case Topology

Forescout CounterACT セキュリティ アプライアンスは、エージェントレス アプローチをネットワーク セキュリティに適用し、Juniper Connected Security と統合して、802.1X プロトコル統合をサポートし、サポートしないジュニパーネットワークスのデバイス、サードパーティー製スイッチ、無線アクセス コントローラ上で感染したホストをブロックまたは隔離します。

この使用事例では、感染したエンド ユーザーが EX4300 スイッチ上のユーザー vlan VLAN31 に隔離されます。EX4300 スイッチは ForeScout CounterACT を有効にし、ge-0/0/19 で 802.1X 認証を有効にしています。エンドユーザーは802.1Xを使用してネットワークに対して認証します。

このユースケースでは、以下のイベントが発生します。

  1. 感染したエンドポイントはATPクラウドによって検知されます。
  2. Policy Enforcer は感染したホスト フィードをダウンロードし、CounterACT を介して感染したホスト ポリシーを適用します。
  3. CounterACT は、感染したホストの IP アドレスに関するエンドポイントの詳細をサーバーにクエリーします。
  4. CounterACT は EX4300 スイッチにメッセージを送信し、vlan31 をブロックまたは隔離してセッションを終了するように指示します。
  5. エンドポイントが認証されているEX4300スイッチでは、ポリシーが適用されます。
  6. CounterACTは、デバイス上で実行されているアプリケーション、サービス、プロセスの一覧を作成し、OSのバージョンとレジストリ設定を確認し、セキュリティエージェントの存在を確認します。その結果、デバイスの完全なプロファイルとそのセキュリティ ステータスが取得されます。

Junos Space、Security Director、Log Collectorのインストールと設定

このセクションでは、Junos Space、Security Directory、Log Collectorをインストールして設定する方法を説明します。このユースケースでは、これらのアプリケーションを使用して一元化されたポリシーと管理アプリケーションを提供し、一貫したネットワークセキュリティポリシーを実現します。

このセクションでは、以下の手順について説明します。

Junos Space、Security Director、Log Collectorのインストール

  1. https://www.juniper.net/support/downloads/?p=space#sw からJunos Spaceネットワーク管理プラットフォームの画像をダウンロード します
  2. https://www.juniper.net/documentation/en_US/junos-space17.2/information-products/pathway-pages/junos-space-virtual-appliance-pwp.html のインストラクションに従って、Junos Space をインストール します
  3. https://www.juniper.net/documentation/en_US/junos-space17.2/topics/task/multi-task/junos-space-sd-log-collector-installing.html の手順に従って、Junos Security Directorをインストール します
  4. https://www.juniper.net/documentation/en_US/junos-space17.2/topics/task/multi-task/junos-space-sd-log-collector-installing.html のインストラクションを使用してログ コレクターをインストール します

基本的な Junos Space ネットワークの設定

このユースケースでは、基本的なJunos Space Networkingを設定します。

  1. Log Collector を除くすべてのコンポーネントがインターネットに接続できるように、関連するルート、ネットマスク、ゲートウェイ、DNS、NTP を構成します。
  2. すべてのコンポーネントが同じ時間帯に存在することを確認します。
  3. SSHが有効になっていることを確認します。
  4. Security Director が ATP クラウド サーバー、Policy Enforcer、およびすべてのデバイスに接続できることを確認します。

Junos Spaceの設定に関する詳細は、 Junos Spaceネットワーク管理プラットフォームのドキュメントをご覧ください

Security Directorに必要なDMIスキーマをインストールする

ジュニパーネットワークスのデバイスを管理するために、一致する正しいJunos OSスキーマをダウンロードしてインストールします。

  1. https://www.juniper.net/documentation/en_US/junos-space17.2/platform/topics/task/operational/dmi-schemas-adding-updating.html のインストラクションを使用して、ジュニパーネットワークスのデバイスのDMIスキーマ 追加します。
  2. すべての管理対象デバイス(SRXシリーズおよびEXシリーズデバイス)で、デバイスソフトウェアのバージョンとスキーマのバージョンが一致していることを確認します。

SRXシリーズ、EXシリーズ、QFXシリーズデバイスのインストールと設定

このユースケースに対して、vSRX仮想ファイアウォール、EXシリーズスイッチ、QFXシリーズスイッチをインストールして設定するには、

  1. 要件に応じて、vSRX デバイスをポリシー適用ポイントとして設定します。このユースケースの Junos OS CLI コードの詳細を確認するには、[ SRX シリーズ デバイスの CLI 設定] をクリックします。
  2. 要件に応じ、EX4300スイッチを設定します。 EX4300スイッチのCLI設定 をクリックして、このユースケースのJunos OS CLIコードの詳細を確認します。EX4300 を 802.1X オーセンティケータとして構成し、Windows 7 サプリカントの資格情報を RADIUS プロトコルを介して ForeScout CounterACT に転送します。EX4300 スイッチは、Windows 7 サプリカントが ForeScout CounterACT 仮想アプライアンスの「Monitor」インターフェイスに接続された宛先ポートに接続されたポートから入るトラフィックもミラーリングします。
    メモ:

    EX4300スイッチとQFXスイッチの両方を導入する方法の詳細な手順については、以下のリンクをクリックしてください。
  3. 要件に応じ、QFX スイッチを設定します。 QFXスイッチのCLI設定 をクリックして、このユースケースの詳細なJunos OS CLIコードを確認します。QFX スイッチを標準アクセス スイッチとして設定します。また、EX4300 スイッチ上の QFX スイッチのアップリンク ポートは、ForeScout CounterACT 仮想アプライアンスのインターフェイスに Monitor 接続された宛先ポートにトラフィックをミラーリングします。
  4. Junos デバイスで基本的なネットワークを構成します

    1. すべてのJunosデバイスで、必要なルーティングとDNS設定を構成してインターネットアクセスを有効にし、Junos Space、Policy Enforcer、ATPクラウドサーバーへの接続を有効にします。

    2. SRXデバイスでは、インバンドとアウトオブバンドの両方でインターネットアクセスが有効になっていることを確認します。

  5. デバイスを Junos Space ネットワーク管理プラットフォームに追加します

    1. Junos Spaceで、お使いの環境のSRXデバイスを検出してインポートします。

    2. Security Directorで、既存のファイアウォールポリシーを割り当て、公開、更新して、Security DirectorとSRXデバイスが同期していることを確認します。

Microsoft Windows Server と Active Directory のインストールと構成

ForeScout CounterACT には、802.1X 認証に使用するローカル ユーザー データベースがないため、Active Directory を使用して Windows Server 2008R2 をインストールして構成する必要があります。

  1. Windows Server 2008R2 を設定して構成するには、 [https://docs.microsoft.com/en-us/iis/install/installing-iis-7/install-windows-server-2008-and-windows-server-2008-r2] をクリックします。
  2. Active Directory を設定および設定するには、[ https://www.petri.com/installing-active-directory-windows-server-2008] をクリックします。
  3. 802.1X 認証時に後で使用するユーザー ドメイン アカウントを作成します。

Policy Enforcer 仮想マシンのダウンロード、導入、構成

Policy Enforcer 仮想マシンをダウンロード、導入、構成するには、以下の手順にしたがっています。

  1. http://www.juniper.net/support/downloads/?p=sdpe から、 vSphere クライアントがインストールされている管理ステーションに Policy Enforcer 仮想マシン イメージをダウンロードします。
  2. vSphere クライアントで、メニュー バーからを選択 File > Deploy OVF Template します。
  3. クリック Browse して、ダウンロードされたOVAファイルを見つけます。
  4. インストール ウィザードの指示に従って、をクリック Next します。
  5. インストールが完了したら、それぞれユーザー名とパスワードとして、 をabc123使用してroot仮想マシンにログインします。
  6. ネットワーク設定、NTP 情報、顧客情報を構成し、ウィザードを完了します。

詳細な手順については、 https://www.juniper.net/documentation/en_US/release-independent/policy-enforcer/topics/task/installation/policy-enforcer-vm-config.html を参照してください。

Policy Enforcer を識別して Security Director に接続する

Policy Enforcer を特定して Security Director に接続するには、次の手順にいます。

  1. Security Director で、Policy Enforcer 仮想マシンを識別します。
  2. Security Director にログインし、 を選択します Administration > PE Settings
  3. Policy Enforcer 仮想マシンの IP アドレスと root パスワードを入力し、 をクリックします OK
  4. として脅威防御の種類を Sky ATP with PE選択します。
    メモ:

    この時点で、ウィザード/ガイド付きセットアップを実行します not

ATPクラウドライセンスを取得し、ATPクラウドWebポータルアカウントを作成する

ATPクラウドライセンスを取得し、ATPクラウドWebポータルアカウントを作成するには、以下の手順に同意してください。

  1. ATPクラウドには、無料、基本、プレミアムの3つのサービスレベルがあります。無料ライセンスは限られた機能を提供し、基本ソフトウェアに含まれています。ATPクラウドの基本ライセンスまたはプレミアムライセンスを取得してインストールするには、「 Advanced Threat Preventionクラウドライセンスの管理」をクリックします。

    ATPクラウドサービスレベルとライセンスタイプの詳細については、 Advanced Threat Preventionクラウドライセンスタイプをクリックしてください。

  2. [ https://sky.junipersecurity.net ] をクリックし、必要な情報を入力して ATP クラウド Web ポータル アカウントを作成します。

ATPクラウドでサポートされているSRXシリーズデバイスにRoot CAをインストールする

メモ:

このセクションは、マルウェア プロファイルまたは脅威防御ポリシーの一部として HTTPS インスペクションを有効にする場合にのみ必要です。

このセクションでは、以下のトピックについて説明します。

UNIX デバイスで Junos OS CLI または OpenSSL を使用してルート CA 証明書を生成する

メモ:

これらのオプションのうち 1 つだけを使用します。

SRX デバイスで Junos OS CLI を使用してルート CA 証明書を生成するには、次の手順に従います。

  1. ローカルのデジタル証明書の PKI 公開キーまたは秘密鍵のペアを生成します。
  2. 鍵ペアを使用して、FQDN とその他の詳細を提供して自己署名証明書を定義します。

または

UNIX デバイスで OpenSSL を使用してルート CA 証明書を生成するには、次の手順に従います。

  1. ローカルのデジタル証明書の PKI 公開キーまたは秘密鍵のペアを生成します。

  2. キーペアをSRXデバイスまたはデバイスにコピーします。

  3. SRXデバイスで、キーペアをインポートします。

  4. SSL プロキシ プロファイルで、読み込まれた証明書を root-ca として適用します。

認証機関プロファイル グループの設定

認証機関(CA)プロファイル グループを設定します。

  1. CA プロファイルを作成します。
  2. Junos OSは、デフォルトのコマンドオプションを使用してシステムにロードできる信頼できるCA証明書のデフォルトリストを提供します。
  3. 証明書が読み込まれたことを確認します ssl-inspect-ca

ルート CA 証明書を Web ブラウザーにエクスポートしてインポートする

ルート CA 証明書を Web ブラウザーにエクスポートしてインポートするには、以下の手順にしたがっています。

  1. SRX デバイスで、まずルート CA 証明書を .pem ファイルにエクスポートします。
  2. pem ファイルを Windows クライアントに転送します。
    メモ:

    OPENSSL で UNIX デバイスを使用している場合、証明書はデバイス上にすでに存在しており、アクションは必要ありません。
  3. 証明書をブラウザーにインポートします。

    Windows クライアントを使用している場合は、CA ルート証明書を信頼するようブラウザーに指示します。

    • Internet Explorer(バージョン 8.0):

      1. メニューから、 Tools を選択します Internet Options

      2. タブで、 Content をクリックします Certificates

      3. タブを Trusted Root Certification Authorities 選択し、 をクリックします Import

      4. で、 Certificate Import Wizard必要なルート CA 証明書に移動し、それを選択します。

    • Firefox(バージョン 39.0):

      1. メニューから、 Tools を選択します Options

      2. メニューからタブを Advanced 選択し、 を Certificates クリックします View Certificate

      3. ウィンドウでタブを Certificate Manager 選択し、 を Authorities クリックします Import

      4. 必要なルート CA 証明書に移動し、それを選択します。

    • Google Chrome(バージョン45.0):

      1. メニューから、 Settings を選択します Show Advanced Settings

      2. メニューからタブを Advanced 選択し、 を Certificates クリックします View Certificate

      3. HTTPS/SSL で、 をクリックします Manage Certificates

      4. ウィンドウで、 を Certificate 選択 Trusted Root Certification Authorities して クリックします Import

      5. ウィザードで Certificate Import 、必要なルート CA 証明書に移動して選択します。

    詳細については、 [: https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/ssl-proxy-workflow-configuring.html] をクリックしてください。

または

UNIXデバイスを使用している場合は、証明書をブラウザにインポートします。

ForeScout CounterACT 仮想マシンのダウンロード、展開、構成

このセクションでは、以下のトピックについて説明します。

前提タスク

この手順を開始する前に、以下のタスクを完了します。

  1. Policy Enforcer と一緒に使用する CounterACT(バージョン:7.0.0-513-2.3.0-1605)の評価版を取得します。
  2. ForeScoutの担当者からライセンスキーと以下のプラグインパッケージを入手してください。

    • ForeScout-dot1x-4.2.0.1010-42001010.fpi

    • ForeScout-eds-3.2.0-32000032.fpi

    • ForeScout-webapi-1.2.2-12020005.fpi

  3. CounterACT(CA)OVF または ISO ファイルを ESXi ホストでダウンロードして導入します。

    • ISOファイルをダウンロードして展開すると、次のようになります。

      1. 新しい仮想マシン(VM)を作成し、ゲスト OS として選択 other 2.6.x Linux (32bit) します。

      2. ISOファイルを.Datastore

      3. から Datastore ISO file起動するようにCDまたはDVDドライブを設定します。

      メモ:

      VM の電源をオンにする前に、 オプションを Connected at power on 有効にする必要があります。

    管理、監視、応答インターフェイスに必要な VM の vSwitch と Network Adaptor の構成設定については、以下をクリックします。

    このユースケースでは、標準導入モードは、個別 Managementの 、 、 Monitorおよび Response インターフェイスで使用されました。ネットワークの可視性を高めるために、EX4300 スイッチは、Windows および Linux ホストが接続されているポートから、ForeScout CounterACT 仮想アプライアンスの Monitor インターフェイスに接続された宛先ポートにトラフィックをミラーリングするように構成されました。これは、IP情報を収集するためにレイヤー3ゲートウェイ(スイッチ)が存在しない場合に、802.1X以外のアクセススイッチ展開におけるIPアドレス/MAC-IDバインディングにも必要です。

    自動脅威修復アクションには、管理インターフェイスのみが使用されます。

  4. パフォーマンス要件に基づいて VM 設定を編集します。

    詳細については、「 https://www.forescout.com/products/specifications/」をクリックしてください。

CounterACTソフトウェアのインストールと設定

ForeScout CounterACT ソフトウェアをインストールして設定するには、次の手順に示します。

  1. VM の電源を入れ、コンソールの指示に従います。

    1. を選択 Install CounterACT してインストールを開始します。インストールが完了すると、VMが再起動します。

    2. コンソールから、 を選択 Configure CounterACT してネットワークとシステムの設定を構成します。

    3. インストールタイプとして選択 CounterACT Appliance します。

  2. CounterACT 管理インターフェイスがインターネットに接続してスイッチにアクセスできることを確認します。
  3. ブラウザーを使用して https://pact.ly/S1lnt3 と入力し、Juniper CounterACT 製品トライアル ソフトウェアにアクセスしてインストールします。認証情報を入力して、製品トライアル ソフトウェアを確認してインストールします。
    図 2:ジュニパーの CounterACT トライアル ソフトウェア ページ Juniper CounterACT Trial Software Page

    オペレーティングシステム用にWindowsまたはLinuxのいずれかをダウンロードしてインストールします。

  4. メニューから、 Start を選択します ForeScout CounterACT > CounterACT Console。CounterACTログインページが表示されます。
    図 3:CounterACT ログイン ページ CounterACT Login Page

    1. フィールドに IP/Name 、CounterACT デバイスの IP 名を入力します。

    2. Login Method一覧から、標準のユーザー認証を実行する を選択Passwordします。

    3. Password のフィールドにUser Name、ForeScout のユーザー名とパスワードを入力します。

    4. をクリックします Login

  5. CounterACT 累積更新プログラムをダウンロードしてインストールします。
    図 4:CounterACT 累積更新 CounterACT Cumulative Update CounterACT Cumulative Update
  6. コンソールに再度ログインし、初期設定ウィザードに従います。このページには Welcome 、ログインした CounterACT コンポーネントと、データ センターのインストール時に以前に定義した情報が表示されます。
  7. ページでを License クリックして、CounterACT 仮想システム ライセンスをインストールします Install License

    をクリックします Next

    図 5:ライセンスのインストール ページ License Installation Page
  8. ページから Time 、アプライアンスの時間設定を定義します。
    図 6:時間設定ページ Time Settings Page

    CounterACT デバイスには、NTP サーバーへの NTP 接続(ポート 123 UDP)が必要です。組織の接続に NTP サーバーを入力するか、デフォルトの ForeScout NTP サーバー(ntp.foreScout.net)を使用します。[テスト] をクリックして、NTP サーバーが接続に成功したことを確認します。

    をクリックします Next

  9. CounterACTは、ポリシーと脅威保護アラート、スケジュールされたレポート、重要なシステム運用アラート、ページからのライセンス警告に関する電子メールメッセージを Mail 生成します。
    メモ:

    このユースケースでは、[メール通知とアラート] オプションは使用しないでください。ただし、この手順をスキップすることはできず、ダミー 電子メール アドレスを入力する必要があります。をクリックします Next
    図 7:メール設定ページ Mail Settings Page
  10. 初期設定ウィザードを続行するには、現時点でユーザーディレクトリ、ドメイン、認証サーバープラグインの設定をスキップします。後ほどプロシージャで定義します。ページが表示されるまでInternal NetworkウィザードからをクリックSkip >>します。
  11. Internal Networkページから、CounterACT で管理する内部ネットワークの IP アドレス範囲(10.10.10.0 から 10.10.30.255)を追加します。をクリックしますNext
    図 8:内部ネットワーク設定 Internal Network Settings
  12. ページから Enforcement Mode 、有効にして、もう一方のデフォルトの適用モード設定を有効 NAT Detectionにして、 をクリックします Next
    図 9:実施モード設定 Enforcement Mode Settings
  13. ページから Channels :

    1. リストから選択して新しいチャネルをAddChannels定義します。このチャネルは、ネットワーク インターフェイス上のトラフィックを検出して応答するアプライアンス インターフェイス接続と一致させるために使用されます。

    2. リストから Monitor 、インターフェイスとして を選択 eth1 します。

    3. リストから Response 、インターフェイスとして を選択 eth2 します。

    4. データセンターで両方のインターフェイスを割り当てます。

    5. オプションを All VLANs 有効にし、設定されたEX4300スイッチからミラーリングされたトラフィックをインターフェイスが受信していることを Monitor 確認します。

    図 10:チャネル設定 Channels Settings
  14. 初期設定ウィザードを続行するには、今のところスイッチ プラグインの設定をスキップします。後ほどプロシージャで定義します。ページが表示されるまでPolicyウィザードからをクリックSkip >>します。
  15. ページから Policy 、アセット分類のデフォルト設定 Classify hosts (有効)に同意します。をクリックします Next
    図 11:ポリシー設定 Policy Settings
  16. ページから、 の Inventory デフォルト設定に同意します Enable Inventory Discovery (有効)。をクリックします Next
    図 12:インベントリ設定 Inventory Settings
  17. ページから Finish 、ウィザードの構成の概要を確認します。をクリック Finish して初期設定を完了します。をクリック Save して、設定ファイルを外部ファイルに保存します。
    図 13:完了の初期設定ページ Finish Initial Setup Page
    メモ:

    (オプション)マップ機能を無効にするには、 を選択します Tools > Options > Map
  18. 更新されたパッケージをダウンロードしてインストールするには、をクリックします Check for updates (または選択 Tools > Check for Updates)。
    図 14:[Check for Update]画面 Check for Updates Screen
  19. ページから Software Updates :

    1. インフラストラクチャ更新パックをインストールします。

    2. 2 つ目のサービス パックをインストールします。サービス パッケージのインストールが完了すると、CounterACT は自動的に再起動します。をクリック OK してコンソールを再起動します。

      図 15:サービス パッケージのインストール完了画面 Service Package Installation Complete Screen

    3. 資格情報を使用してログインします。

    4. をクリック Check for updates (または選択 Tools > Check for Updates)して、残りのソフトウェア更新パッケージをインストールします。

    メモ:

    このユースケースでは、HPS Inspection EngineとMacintosh/Linuxプロパティスキャナパッケージの両方を選択解除します。これらは、この使用例では必要ありません。

CounterACTプラグインのインストールと設定

CounterACT はバンドルされた複数のプラグインで提供されます。

  • ForeScout-dot1x-4.2.0.1010-42001010.fpi

  • ForeScout-eds-3.2.0-32000032.fpi

  • ForeScout-webapi-1.2.2-12020005.fpi

これらのプラグインは、CounterACT をネットワーク インフラストラクチャ(スイッチ、ドメイン サーバー、ユーザー ディレクトリ)にリンクし、ホスト プロパティとアクションの包括的なセットを含むコア エンドポイントの検出と管理機能を提供します。

  1. CounterACT コンソールにログインし、 を選択 Tools > Options > Plugins してパッケージをインストールします。
    図 16:CounterACT プラグイン画面 CounterACT Plugins Screen
  2. 各プラグインを選択し、 をクリックします Install。インストールが完了したら、 をクリックします Close
  3. を選択 Tools > Options > Plugins して、以下のサービスが実行されていることを確認します。

    • ユーザーディレクトリ

    • スイッチ

    • 802.1X

    • データ交換(DEX)

    • WebAPI

ユーザーディレクトリプラグインの設定

ユーザーディレクトリプラグインは、エンドポイントユーザーの詳細を解決し、認証とディレクトリサーバーを介してエンドポイント認証を実行します。

ユーザーディレクトリサーバーを設定するには:

  1. を選択します Tools > Options > User Directory。[ユーザー ディレクトリ] ページで、 をクリックします Add
  2. ページの Edit Server ペインで General 、基本的なサーバー パラメーターと機能を定義します。

    1. フィールドにサーバーのホスト名を Name 入力します。

    2. リストから Type 、サーバー タイプを選択します。サーバー タイプは、以下のいずれかです。

      図 17:サーバー タイプ オプション Server Type Options

    3. サーバーで、以下Use for authenticationUse for Console Loginの設定パラメーターを有効にします。 Use as directory

    4. フィールドにサーバー構成に関するコメントを Comment 入力します。

    5. タブを Settings クリックします。

  3. ウィンドウで Settings 、Microsoft Active Directory サーバー パラメーターを定義します。

    1. [通信] セクションで、サーバーの IP アドレスを フィールドに Address 入力します。

    2. フィールドにポート番号を Port 入力します。

    3. フィールドをAccessed By有効にしますAll。これにより、すべての CounterACT デバイスが通信し、構成済みのサーバーにアクセスできるようになります。

    4. [ディレクトリ] セクションで、 フィールドにドメイン名を Domain 入力します。

    5. フィールドに他のユーザーの詳細をクエリーするディレクトリを認証するための認証情報を Administrator 入力します。

    6. フィールドに管理者のパスワード Password を入力して確認します。

    7. フィールドに対して選択NoneAdditional Domain Aliasesします。システムは、そのドメイン名が設定されたディレクトリドメインと一致する場合にのみ、このディレクトリ内のユーザーを検索します。

    8. タブを Test クリックします。

  4. ウィンドウで Test 、サーバーとユーザーディレクトリプラグイン間の接続をテストするためのパラメーターを定義します。

    1. [ディレクトリ] セクションで、クエリーを実行するユーザー名を フィールドに User 入力します。

    2. [認証] セクションで フィールドに をUser入力Administratorし、フィールドに管理者のパスワードをPassword入力して確認します。

    3. をクリック OKしてから、 をクリックして Apply 、構成設定を保存して適用します。

      図 18:ユーザー ディレクトリ プラグイン パラメーター User Directory Plugin Parameters
  5. をクリック Test して、構成をテストします。
    図 19:設定テスト画面 Configuration Test Screen

スイッチプラグインの設定

スイッチ プラグインは、各スイッチに対して以下のクエリーを実行します。

  • スイッチポート属性と接続されたエンドポイントに関する情報。

  • スイッチに接続された新しいエンドポイントを検出するためのARPテーブル。

この情報は、CLIやSNMPを介して取得できます。

EX4300スイッチのスイッチプラグインを設定するには:

  1. を選択します Tools > Options > Switch。[スイッチ] ページで、 をクリックします Add
  2. ページの Edit Switch ペインで General 、基本的なスイッチのパラメーターと機能を定義します。

    1. フィールドに、スイッチの IP アドレスまたは FQDN を Address 入力します。コンソールは、入力した値を使用してスイッチのエントリを識別します。

    2. このリストから Connecting Appliance 、このスイッチを管理する CounterACT デバイスを指定します。

    3. Vendor一覧から、プラグインを管理するネットワークデバイスのベンダーを指定します。ベンダーのCLIとSNMPはそれぞれ異なるので、適切なベンダーを選択することが重要です。その後、CounterACT はスイッチに適切な形式を関連付けます。

    4. フィールドに、スイッチ設定に関するコメントを Comment 入力します。

    5. タブを CLI クリックします。

  3. ペインから CLI 、スイッチプラグインからスイッチへの通信にCLIの使用を設定します。

    1. オプションを Use CLI 有効にして、CLIアクセスを有効にします。

      メモ:

      SSH は、ジュニパーネットワークススイッチの永続的に選択された接続タイプです。

    2. および Password フィールドにユーザー名とパスワードをUser入力します。スイッチプラグインは、これらの認証情報を使用してスイッチにログインします。

      メモ:

      ジュニパーのスイッチをプラグイン管理するには、設定したユーザーにジュニパーのスイッチにスーパーユーザー権限が必要です。

      EX シリーズ スイッチへの CLI アクセスには root ログインを使用しないでください。

    3. [特権アクセス パラメーター] セクションで、 オプションを Enable privileged access 有効にして、スイッチにプラグインの書き込み権限を提供します。

    4. スイッチの No password 設定にパスワードが不要であることを示す場合は、オプションを選択します。

    5. タブを Permissions クリックします。

  4. ウィンドウで、スイッチの Permissions 読み取り、書き込み、および高度な権限設定を定義します。

    1. 「MAC パーミッション」セクションで、 オプションを Read: MACs connected to switch port and port properties (MAC address table) 有効にします。MAC 読み取り権限を有効にすると、CounterACT はスイッチの MAC アドレス テーブルを読み取り、接続されたエンドポイントとそのネットワーク インターフェイスを検出できます。

    2. オプションを Write: Enable Actions (Switch block, Assign to VLAN, ACL) 有効にして、管理対象スイッチで検出されたエンドポイントに対して、VLANへの割り当てアクション、スイッチブロックアクション、ACLアクションを適用するスイッチプラグイン権限を有効にします。

      メモ:

      このユースケースの設定では、ACL設定は必要ありません。

    3. タブを 802.1X クリックします(このウィンドウは、802.1Xプラグインがインストールされている場合にのみ表示されます)

  5. 802.1Xペインから、EX4300シリーズスイッチを介してジュニパーネットワークスのネットワークに接続しようとするときに、検出されたエンドポイントのRADIUSベースの認証と許可を設定します。

    1. フィールドに RADIUS Secret as configured in switches 、CounterACT RADIUS サーバーと管理対象スイッチ間の通信を許可するために必要な RADIUS シークレットを入力します。

    2. をクリック OKしてから、 をクリックして Apply 、構成設定を保存して適用します。

      図 20:802.1X RADIUS ベースの認証秘密確認 802.1X RADIUS-based Authentication Secret Confirmation
  6. をクリック Test して、構成をテストします。
    図 21:スイッチ設定テスト画面 Switch Configuration Test Screen
    メモ:

    QFXスイッチを設定するには、EX4300スイッチと同じ設定手順を繰り返します。ただし、QFX が標準アクセス スイッチとして導入され(802.1X なしで)、ACL を適用することで脅威の自動修復が実行されるため、QFX スイッチに ACL 機能を設定する必要があります。

    [ユーザー ディレクトリ] ページで、ACL ペインから以下のフィールドを有効または選択します。

    • ACL を有効にする

    • 物理ポートへの ACL ファイアウォール フィルターの追加

    • CounterACT 認証サーバーの許可ルールの追加

    • システム定義名の使用(forescout_acl)

802.1X プラグインを構成する

802.1X プラグインにより、CounterACT は 802.1X スイッチまたは無線接続をネットワークに認証できます。このプラグインは、IEEE 802.1X仕様およびRADIUS認証プロトコルと互換性があります。

802.1Xプラグインを設定するには:

  1. を選択します Tools > Options > 802.1x
    図 22:802.1X オプション 802.1X Options
  2. ページの 802.1X ウィンドウで、エンドポイント認証時に Authentication Sources 提供される資格情報を検証するユーザー ディレクトリを選択します。ユーザーディレクトリプラグインですべての認証ソースを設定します。
  3. タブをPre-Admission Authorizationクリックし、一連の優先度のルールを定義します。CounterACT RADIUS サーバーは、これらのルールを使用して、エンドポイントが該当する RADIUS サーバー(認証ソースの選択)によって認証された後に、エンドポイントの認証を評価します。
    図 23:事前受付許可タブ Pre-Admission Authorization Tab
  4. をクリック Add して、ルールに複数の条件を追加します。
    図 24:入場前の許可条件 Pre-Admission Authorization Conditions
  5. 認証属性を追加します。トンネルタイプとして、トンネル31プライベートグループとして を入力VLANします。をクリックしますOK
    図 25:認証属性の Adding Authorization Attributes追加
  6. タブを Server Certificate クリックします。オプションを Use self-signed certificate 有効にします。
    図 26:サーバー証明書オプション Server Certificate Options
  7. タブを RADIUS Settings クリックします。オプションを有効に CounterACT RADIUS Logging して、その他のデフォルト設定をすべて受け入れます。
    図 27:RADIUS 設定 RADIUS Settings
  8. をクリック Apply して、構成設定を保存して適用します。
    図 28:802.1X 構成設定 Applying 802.1X Configuration Settingsの適用

Windows 7 サプリカントを構成する

既にマイクロソフト Windows サーバーと Active Directory をインストールしている必要があります。手順を確認するには、[ Microsoft Windows Server と Active Directory のインストールと構成 ] をクリックします。

Windows 7 サプリカントを構成するには、次の手順にしたがっています。

  1. Windows 7 サプリカントが、以前に作成した Active Directory ドメインで構成されていることを確認します。
    図 29:Windows サプリカントの設定検証 Windows Supplicant Configuration Verification
  2. Wired AutoConfig サービスが実行されていることを確認します。
    図 30:有線自動構成サービスの設定確認 Wired AutoConfig Service Configuration Confirmation
  3. ローカル エリア接続の 802.1X PEAP 認証を有効にします。
    図 31:802.1X PEAP 認証確認 802.1X PEAP Authentication Confirmation
  4. をクリック Settings して、オプションが選択されていないことを Validate server certificate 確認します。
    図 32:保護された EAP プロパティ Protected EAP Properties
  5. ユーザー資格情報の設定を構成します。Active Directory で Automatically use my Windows login name and password 以前に設定したユーザー資格情報を使用する場合は、このオプションを選択します。
    図 33:Windows ログインとパスワードの確認 Windows Login and Password Confirmation
  6. Active Directory で作成したユーザーの資格情報をクリック Authentication > Additional Settings > Replace credentials して入力します。
    図 34:資格情報の Replacing Credentials置き換え
  7. 802.1X 認証が Windows 7 サプリカントで動作し、ユーザー VLAN(vlan31)に正しく配置されていることを確認するには、 および show vlans vlan31 コマンドをshow dot1x interface入力します。
    図 35:dot1X インターフェイスと show vlans 出力 show dot1X interface and show vlans Output
  8. CounterACT コンソールでセッション情報(ユーザー名、IP アドレス、MAC-ID)を確認するには、ホストを右クリックして、 を選択します Information > Details
    図 36:セッション情報の検証 Session Information Verification

802.1X認証のテストとトラブルシューティング

ForeScout CounterACTに対して802.1X認証をテストするには、次の手順にしたがっています。

  1. ユーザー ディレクトリで作成したドメイン アカウント(ユーザー)の資格情報を使用してログインします。
    図 37:拒否された認証の Troubleshoot Rejected Authenticationsトラブルシューティング
  2. EX4300 スイッチが 802.1X 認証用に正しく構成されていることを確認します。 EX4300スイッチのCLI設定 をクリックして、設定ファイルを確認します。

802.1X 認証の問題をトラブルシューティングするには、次の手順に示します。

  1. ForeScout CounterACT コンソールから、[ポリシー] タブをクリックし、テンプレートを使用してポリシーを作成します(の下802.1X EnforcementTroubleshoot Rejected Authentications表示されます)。

  2. ポリシーを開始して問題のトラブルシューティングを行います。

ForeScout CounterACT コンソールからログを表示するには、次の手順にしたがっています。

  1. を選択します Log > Policy Log。[ポリシー ログ] ページで、Windows 7 サプリカントの MAC または IP アドレスを入力します。

    図 38:ポリシー ログ設定 Policy Log Settings

  2. をクリックします OK。ポリシー ログファイルが表示されます。

    図 39:ポリシー ログ ファイル Policy Log Files

  3. 802.1X 認証が機能し、Windows 7 サプリカントが SRX で実行されている DHCP サーバーから IP アドレスを取得した場合、一部のトラフィックを生成して、Windows 7 サプリカント(10.10.30.69 など)が [ホーム] タブのホスト リストに表示されていることを確認できます。

    図 40:ポリシー ログ 802.1X 認証確認 Policy Log 802.1X Authentication Confirmation
    メモ:

    さらに、QFX スイッチに接続された別のホスト(Windows または Linux システム)をすでに設定し、SRX で実行されている DHCP サーバーから IP アドレスを取得した場合、そのトラフィックを生成し、ホスト アドレス(10.10.30.99 など)もホスト リストに表示されます。

データ交換プラグインを設定する

Data Exchange(DEX)プラグインを使用すると、CounterACT は Web サービスを使用して外部エンティティと通信できます。CounterACT は外部サービスにクエリーを実行し、プラグインによってホストされている CounterACT Web サービスを介して更新を受信します。この場合、DEX を ForeScout コネクタと組み合わせて使用すると、PE があらゆる通信を監視します。

データ交換(DEX)プラグインを設定するには:

  1. を選択します Tools > Options > Data Exchange (DEX)
  2. データ交換(DEX)ページから、タブを選択 CounterACT Web Service > Accounts します。
    図 41:データ交換アカウント Data Exchange Accounts
  3. をクリック Add して、以下の情報を入力します。

    1. フィールドに Name 、CounterACT Web サービス アカウントの名前を入力します。

    2. フィールドに Description 、Web サービス アカウントの目的の簡単な説明を入力します。

    3. フィールドに Username 、CounterACT が Web サービス アカウントにアクセスすることを許可するために使用するユーザー名を入力します。

    4. フィールドに Password 、CounterACT が Web サービス アカウントにアクセスすることを許可するために使用するパスワードを入力します。

    5. をクリックすると OK 、アカウントが [アカウント] タブに表示されます。

  4. タブを Properties クリックします。[プロパティ] ページで、次のプロパティをクリックして Add 追加します。

    • ブロック

    • 検疫

    • テスト

    メモ:

    Test プロパティを含める必要があります。それ以外の場合は、サードパーティのコネクタとして CounterACT を Policy Enforcer に正常に追加できません。

    図 42:データ交換のプロパティ Data Exchange Properties
  5. タブを Security Settings クリックします。Ip アドレスのホワイト リストは、CounterACT Web サービスへのアクセスを許可するために使用されます。[セキュリティ設定] ページで、Policy Enforcer の IP アドレス範囲をクリックして Add 追加します。をクリックします OK。IP アドレスは IP アドレス範囲リストに現われます。
    図 43:Data Exchange セキュリティ設定 Data Exchange Security Settings
  6. データ交換(DEX)ページから、をクリックして Apply 保存し、構成設定を適用します。
    図 44:Data Exchange Applying Configuration 設定 Data Exchange Applying Configuration Settings

Web APIプラグインを設定する

Web API プラグインを使用すると、外部エンティティは HTTP のやり取りに基づくシンプルかつパワフルな Web サービス要求を使用して CounterACT と通信できます。Policy Enforcer 統合用のアカウントを作成するように Web API プラグインを構成します。

Web APIプラグインを設定するには:

  1. を選択します Tools > Options > Web API
  2. Web API ページの [ユーザー資格情報] セクションで、 をクリックします Add
    図 45:Web API ユーザー認証情報 Web API User Credentials
  3. 以前に Data Exchange(DEX)設定用に作成したのと同じユーザー名とパスワードを入力し、 をクリックします OK
  4. タブを Client IPs クリックし、 をクリックします Add。Policy Enforcer IP アドレスをアクセス リストに追加します。

    をクリックします OK

    図 46:Web API クライアント IP タブ Web API Client IP Tab
  5. Web API ページでをクリックして Apply 、構成設定を保存して適用します。
    図 47:Web API による構成設定 Web API Applying Configuration Settingsの適用

プラグインの検証

必要なすべてのプラグインが実行されていることを確認するには、 を選択します Tools > Options > Plugins。各プラグインのステータスが表示されます。

図 48:プラグイン Verifying Pluginsの検証

自動脅威修復ポリシーの設定

Policy Manager を使用して、自動化された脅威修復ポリシーを作成します。

  • NETCONF ポリシー – ホストを QFX スイッチに接続するために使用します。

  • 802.1Xポリシー – ホストをEX4300スイッチに接続するために使用され、802.1X認証に使用されます。

脅威の自動修復 NETCONF ポリシーまたは 802.1X ポリシーを作成するには、次の手順に基います。

  1. を選択します Policy > Policy Manager
  2. Policy Manager ページから、 をクリックします Add
    図 49:Policy Manager ページ Policy Manager Page
  3. をクリック Custom してクリックします Next

    1. A。要件に基づいて、次の SDSN ブロックと隔離ポリシーを作成して、ホスト間およびスイッチツー 802.1X サーバー トラフィックを保護します。フィールドに Name 、以下のポリシー名を入力します。

      • SDSN ブロック-dot1x

      • SDSN 隔離-dot1x

      • SDSN ブロック—NETCONF

      • SDSN 隔離—NETCONF

      図 50:ブロック ポリシーと隔離ポリシー Block and Quarantine Policies

    2. フィールドに Description 、各ポリシーの説明を入力します。をクリックします Next

  4. ページから Scope 、オプションを選択します IP Range 。このポリシーを検査するエンドポイントとして、LAN セグメントの IP アドレス範囲を入力します。をクリックします OK
    図 51:ブロック ポリシーと隔離ポリシー IP Address Range in Block and Quarantine Policiesの IP アドレス範囲
  5. クリック Next して[Advanced](詳細)セクションをスキップしてページを Main Rule 開きます。ルールには、一連の条件とアクションが含まれます。

    • 条件とは、エンドポイントの評価時に照会されるプロパティのセットです。

    • アクションとは、CounterACT がエンドポイントで実行する指標です。

  6. ページから、ページの Main Rule [条件] セクションからをクリック Add して条件を追加します。
    図 52:ブロック ポリシーと隔離ポリシーの条件の Adding Conditions to Block and Quarantine Policies追加
  7. ブロックまたは隔離の条件を定義します。
    図 53:ブロックポリシーと隔離ポリシーの条件の Defining Conditions for Block and Quarantine Policies定義
  8. ページから Main Rule 、ページの [アクション] セクションからをクリックします Add 。ページから、以下の Action アクションを定義します。

    1. SDSN BLOCK - dot1x左ペインで を選択 802.1x Authorize し、アクションとしてオプションを有効にします Deny Access

      図 54:802.1X ブロッキング アクセス 802.1X Blocking Access

    2. SDSN QUARANTINE - dot1x左ペインで を選択 802.1x Authorize し、アクションとしてフィールドに VLAN vlan32 と入力します。

      図 55:802.1X VLAN 802.1X Quarantine Traffic to a VLAN へのトラフィックの隔離

    3. SDSN BLOCK - NETCONF左ペインで を選択 Endpoint Address ACL し、タブにアクションとして ACL を Parameters 入力します。

      図 56:エンドポイント アクセス ACL Endpoint Access ACL

    4. SDSN QUARANTINE - NETCONF左ペインでを選択Assign to VLANし、タブの下ParametersのフィールドにVLAN namevlan32と入力してアクションとして追加します。

      図 57:SDSN 隔離 VLAN への SDSN Quarantine Assign to VLAN割り当て
  9. をクリック OK し、 をクリックします Next。ページのサブルールの設定を Sub-Rules スキップします。
  10. Policy Manager ページでをクリックして Apply 、構成設定を保存して適用します。ポリシーを Status 確認し、それがアクティブであることを矢印と緑色のボックスで示していることを確認します。

サードパーティー製スイッチの Policy Enforcer コネクタの設定

  1. Security Director にログインし、新しいコネクタに Administration > Policy Enforcer > Connectors 移動して作成します。青の読み込み/待機円は、コネクタの作成中であることを示します。
    図 58:コネクタ Connectors
  2. 次の[General](一般)ページの詳細を入力します。

    • Name──一意の文字列を入力します。

    • Description──説明を入力します。

    • ConnectorType──セキュアファブリックに接続し、このネットワークのポリシーを作成するために必要なサードパーティ製デバイスのネットワークを選択します。を選択します ForeScout CounterACT。をクリックします Next

  3. 次の[General](一般)ページの詳細を入力します。

    • IP Address──製品管理サーバーのIP(IPv4またはIPv6)アドレスを入力します。

    • Port──リストから使用するポートを選択します。空白のままにすると、ポート443がデフォルトになります。

    • Username選択した ForeScout CounterACT コネクタ タイプに対して、サーバーのユーザー名を入力します。たとえば、管理者です。

    • Password選択した ForeScout CounterACT コネクタ タイプに対して、サーバーのパスワードを入力します。

    • DEX User Role選択した ForeScout CounterACT コネクタ タイプに対して、サーバーのパスワードを入力します。例えば、管理者です。これは、DEXプラグインの58ページに設定された名前フィールドと一致する必要があります。をクリックします Next

  4. [ネットワークの詳細] ページで、サブネット情報をコネクタ構成に追加して、それらのサブネットをグループに含め、そのグループにポリシーを適用できるようにします。をクリックします Next
  5. [構成] ページで、Web API のユーザー名とパスワードの値を入力します。をクリックします Finish

脅威防御ポリシーを使用したATPクラウドの設定

ATPクラウドを設定し、脅威防御ポリシーを設定するには::

  • セキュアファブリックを設定します。セキュアファブリックとは、ポリシー適用グループで使用されるネットワークデバイス(スイッチ、ルーター、ファイアウォール、その他のセキュリティデバイス)を含むサイトの集合です。

  • サイトを定義し、それにエンドポイント(スイッチとファイアウォール)を追加します。

  • ポリシー適用グループを設定します。ポリシー適用グループは、脅威防御ポリシーが適用されるエンドポイントのグループです。

  • 脅威防御ポリシーを作成します。

  • 脅威防御ポリシーをポリシー適用グループに適用する

メモ:

ATPクラウドで脅威を防止するためにPolicy Enforcerを使用している場合は、初期設定を完了するための最も効率的な方法がガイド付き設定です。

ガイド付きセットアップを使用して設定を実行するには、次の手順に従います。

  1. Security Director で、 に移動します Configure > Guided Setup > Threat Prevention
    図 59:脅威防御ポリシーの設定 Threat Prevention Policy Setup
  2. クリック Start Setup してウィザードに従います。
    図 60:Sky ATP と SDSN の設定 Sky ATP with SDSN Setup
  3. SRX シリーズ デバイスと ForeScout CounterACT コネクタのみのポリシー適用ポイントを含むセキュア ファブリック サイトを作成します。をクリックします Next
    図 61:Secure Fabric Threat Prevention ポリシーの設定 Secure Fabric Threat Prevention Policy Setup
  4. ポリシー適用グループを作成し、サイトを選択します。要件に従って、ポリシー適用グループに含めるエンドポイントのタイプ(IP アドレス、サブネット、場所)を決定します。エンドポイントは、複数のポリシー適用グループに属することはできません。をクリックします Next
    図 62:ポリシー適用グループ Policy Enforcement Groups
  5. ATP クラウド アカウントから関連する詳細を提供して、ATP クラウドのレルムを追加します。

    ATP クラウドのレルムを構成する前に、以下を確認してください。

    • 関連ライセンスを持つATPクラウドアカウントを持っている。

    • 無料、基本、プレミアムのATPクラウドライセンスの種類を理解します。ライセンスによって、利用可能なATPクラウド機能が制御されます。詳細については、 [ATP クラウド ライセンスの取得] をクリックし、ATP クラウド Web ポータル アカウントを作成 します。

    • 作成しているレルムによってカバーされている領域を知る。レルムを構成する場合は、選択したリージョンを指定する必要があります。

      図 63:Sky ATP レルム Sky ATP Realm

    Username (ATP Cloud のユーザー名は電子メール アドレス)Password、、 の名前をRealm入力Locationします。をクリックしますOK

  6. ATP クラウドのレルムが追加されたことを確認します。
    図 64:ATP クラウドレルム作成の検証 ATP Cloud Realm Creation Verification

    この値 1 は列に Perimeter Firewall in Sites 表示され、ATPクラウドがSRXシリーズデバイスを検出したことを示します。

    メモ:

    レルムの追加が成功しなかった場合は、ネットワークに問題があり、Security Director または Policy Enforcer がインターネットに接続できないことを示します。すべてのデバイス/コンポーネントがインターネットと相互に接続できることを確認します。
  7. 要件に従って、脅威防御ポリシーを作成します。脅威防御ポリシーは、コマンド&コントロール(C&C)サーバー、感染したホスト、マルウェアなど、選択した脅威プロファイルの保護と監視を提供します。

    • このポリシーに使用するプロファイルのタイプ(C&C サーバー、感染したホスト、またはマルウェア)を決定します。ポリシーで 1 つ以上の脅威プロファイルを選択できます。

    • 脅威が見つかった場合に実行するアクションを決定します。

    • このポリシーに追加するポリシー適用グループを把握します。

    図 65:脅威防御ポリシー Create Threat Prevention Policyの作成

    をクリックします OK

  8. 脅威防御ポリシーには HTTP ダウンロード用のプロファイルが必要です。このプロファイルは、脅威をスキャンする必要があるファイルの種類を示します。HTTPファイルダウンロード用のプロファイルを追加するには、その Device Profile 領域でを展開 Realm して必要なプロファイルを選択します。をクリックします OK
    図 66:Threat Prevention デバイス プロファイル Threat Prevention Device Profile
  9. をクリックして、脅威防御ポリシーを目的のポリシー適用グループに Assign to Groups割り当てます。
    図 67:ポリシー適用グループへの脅威防御ポリシーの割り当て Assigning a Threat Prevention Policy to a Policy Enforcement Group
  10. ポリシー適用グループを選択し、 をクリックします OK
    図 68:ポリシー適用グループの選択 Policy Enforcement Group Selection
  11. システムはルール分析を実行し、脅威防御ポリシーを含むデバイス設定を準備します。
    図 69:ルール分析 Rule Analysis
  12. 分析が完了したら、 をクリックして更新されたポリシーと設定変更をSRXシリーズ デバイスにプッシュするように指示します Update
    図 70:ポリシーと設定変更 Updating Policy and Configuration Changesの更新
  13. プッシュが完了すると、システムはそのページに Policies 戻ります。をクリックします OK
    図 71:ポリシー更新の確認 Policy Update Confirmation
    メモ:

    更新に失敗した場合は、Threat Preventionポリシーガイド付きセットアップを完了します。SRX をネットワークに Devices > Security Devices ナビゲートして再同期します。次に、 に Configure > Threat Prevention -> Policies移動し、もう一度更新プログラムをクリックして Update Required プッシュします。追加のトラブルシューティングが必要な場合は、 を選択して、SRX シリーズ デバイスにプッシュされた設定変更を Monitor > Job Management表示できます。

    SRXデバイスにプッシュされる設定変更:

    図 72:SRX の設定 SRX Configuration
  14. をクリック Finish して、脅威防御ポリシーガイド付き設定の最終確認を行います。
    図 73:脅威防御ポリシーの設定 Threat Prevent Policy Setup

    設定の概要が表示されます。をクリックします OK

    図 74:脅威防御ポリシー設定の概要 Threat Prevention Policy Configuration Summary

ユースケースの検証

ユースケースの設定を確認するには、以下のアクションを実行します。

SRXシリーズデバイス上のATPクラウド内のデバイスの登録を確認する

目的

SRXシリーズデバイスがATPクラウドサーバーに接続されていることを確認します。

アクション

SRX デバイスで、CLI コマンドを show services advanced-anti-malware status 使用します。

意味

CLI 出力は、 を Connection statusConnected表示します。フィールドに Server hostname ATPクラウドサーバーのホスト名が表示されます。

ATP クラウド内の Policy Enforcer および SRX シリーズ デバイスの登録を確認します。

目的

Policy Enforcer と SRX シリーズ デバイスが ATP クラウドに登録されていることを確認します。

アクション

ATPクラウドでページに Enrolled Devices 移動し、ATPクラウドのシリアル番号、モデル番号、ティアレベル(無料、基本、プレミアム)登録ステータス、前回のテレメトリアクティビティ、最後に表示されたアクティビティなど、登録デバイスの接続情報を確認します。

図 75: ATP クラウド Verifying Enrolled Devices in ATP Cloudでの登録デバイスの確認

意味

フィールドには Host 、登録されているファイアウォール(vSRX_L3_QFX)と Policy Enforcer デバイスの詳細が表示されます。シリアル番号をクリックすると、詳細が表示されます。

Security DirectorでATPクラウドを使用したデバイスの登録を確認する

目的

SRX シリーズ デバイスが Security Director の ATP クラウドに登録されていることを確認します。

アクション

セキュリティ ディレクトリで、 に移動します Devices > Secure Fabric

図 76:Security Director Verifying Device Enrollment in Security Director でのデバイス登録の確認

意味

フィールドにチェックマークが付いた緑のドットが SkyATP Enroll Status 表示され、ATP クラウドのレルムを持つ SRX シリーズ デバイスの登録を確認します。

感染したエンドポイントをブロックするForeScout CounterACT機能を検証する(802.1X認証付き)

目的

エンドポイントに感染した ForeScout CounterACT の統合と機能をテストします。この例では、感染したホストを 802.1X 認証でブロックするようにポリシー適用ポリシーが構成されていることを確認します。

アクション

メモ:

攻撃をトリガーするには、クライアント VM または物理 PC が必要です。

攻撃の前に、以下を確認します。

  • Windowsサプリカントが認証され、ユーザーVLAN(vlan31)で確認します。

  • エンドポイント 10.10.30.69 がインターネット(IP アドレス 8.8.8.8)とレイヤー 2 接続されたデフォルト ゲートウェイ(10.10.30.254)に ping できることを確認します。攻撃の前に、エンドポイントは LAN とインターネット上の他のエンドポイントへの継続的な ping を開始します。

    このエンドポイントは、Windows サプリカントからインターネット上の C&C サーバーに ping を送信します(この例では、IP アドレス 184.75.221.43 から)。

    図 77:Windows サプリカント Confirming Ping from Windows Supplicantからの Ping の確認

攻撃後、802.1X セッションは ForeScout CounterACT によって開始された EX4300 スイッチ上の RADIUS CoA で終了します。

以下を確認します。

  • Windows サプリカントがインターネットまたは LAN にもう接続できないことを確認します。

    図 78:攻撃後に Windows サプリカントからの Ping がブロックされるの確認 Confirming Ping from Windows Supplicant is Blocked After the Attack

  • RADIUS CoA切断メッセージの後、WindowsサプリカントがもうユーザーVLAN(vlan31)ではなくデフォルトVLANであることを確認します。

  • さらに認証要求が ForeScout CounterACT によって拒否されたことを確認します。

  • に移動して、SDSN ブロック(dot1x)ポリシーの一致と自動化された脅威修復アクションの詳細を確認します ForeScout CounterACT > Home

    図 79:802.1X SDSN ブロック ポリシー一致検証 802.1X SDSN Block Policy Match Verification

  • に移動します Log > Host Log。SDSN ブロック(dot1x)ポリシーの詳細を確認します。

    図 80:802.1X ホスト ログ 802.1X Host Log

  • インターネット アクセスをブロックするために、Windows サプリカントの IP アドレスが SRX シリーズ デバイスの感染ホスト フィードにも追加されたことを確認します。

  • ATPクラウドポータルで、 に移動します Monitor > Hosts。Windows サプリカントのホスト IP アドレス(10.10.30.69)、MAC-ID、およびスイッチ ポートを確認します。

    図 81:ATP クラウド ホストの監視 ATP Cloud Host Monitoring

意味

すべての ping セッションは、脅威が検知された後にトラフィックがブロックされたことを示し、自動化された脅威修復のユースケースが正しく機能していることを確認します。

このページには Hosts 、侵害されたホストとそれに関連する脅威レベルが一覧表示されます。この出力結果は、ATP Cloud と Security Director が感染したホストを検知したことを確認します。ホスト単位でマルウェア検知を監視および緩和できます。

感染したエンドポイントを隔離するForeScout CounterACT機能を検証する(802.1X認証付き)

目的

エンドポイントに感染した ForeScout CounterACT の統合と機能をテストします。この例では、感染したホストを 802.1X 認証で隔離するようにポリシー適用ポリシーが構成されていることを確認します。

アクション

メモ:

攻撃をトリガーするには、クライアント VM または物理 PC が必要です。

攻撃の前に、以下を確認します。

  • ATP クラウド ポータルまたは Security Director(Monitor > Threat Prevention > Hosts)で、感染したホストを解放します。

  • Windows サプリカントのインターネットまたは LAN アクセスが復元されていることを確認します。

  • ページで Policy Enforcer > Threat Prevention Policy 、感染したホスト プロファイルのアクションを に Quarantine 変更し、VLAN ID を vlan32 として追加します。をクリックします OK

    図 82:脅威防御ポリシーの攻撃前の設定 Threat Prevention Policy Pre-Attack Configuration

  • Windowsサプリカントが認証され、ユーザーVLAN(vlan31)で確認します。

  • エンドポイント 10.10.30.69 がインターネット(IP アドレス 8.8.8.8)とレイヤー 2 接続されたデフォルト ゲートウェイ(10.10.30.254)に ping できることを確認します。攻撃の前に、エンドポイントは LAN とインターネット上の他のエンドポイントへの継続的な ping を開始します。

    図 83:攻撃前の Windows サプリケーションからの Ping の確認 Confirming Ping from Windows Supplication Before the Attack

    このエンドポイントは、Windows サプリカントからインターネット上の C&C サーバーに ping を送信します(この例では、IP アドレス 184.75.221.43 から)。

攻撃後、802.1X セッションは ForeScout CounterACT によって開始された EX4300 スイッチ上の RADIUS CoA で終了します。

以下を確認します。

  • Windows サプリカントが再認証され、自動的に隔離 VLAN(vlan32)に移動することを確認します。その結果、Windows サプリカントはもうインターネットまたは LAN に接続できません。

    図 84:攻撃後にトラフィックが VLAN の隔離に移動したことを確認する Confirm Traffic is Moved to Quarantine VLAN After Attack

  • RADIUS CoA 切断メッセージと再認証の後、Windows サプリカントが隔離 VLAN(vlan32)に今であることを確認します。

  • さらに認証要求が ForeScout CounterACT によって拒否されたことを確認します。

  • に移動して、SDSN 隔離(dot1x)ポリシーの一致と自動化された脅威修復アクションの詳細を確認します ForeScout CounterACT > Home

    図 85:802.1X SDSN 隔離ポリシーの一致 802.1X SDSN Quarantine Policy Match

  • に移動します Log > Host Log。SDSN 隔離(dot1x)ポリシーの詳細を確認します。

    図 86:802.1X SDSN 隔離ホスト ログ 802.1X SDSN Quarantine Host Log

  • インターネット アクセスをブロックするために、Windows サプリカントの IP アドレスが SRX シリーズ デバイスの感染ホスト フィードにも追加されたことを確認します。

  • ATPクラウドポータルで、 に移動します Monitor > Hosts。Windows サプリカントのホスト IP アドレス(10.10.30.69)、MAC-ID、およびスイッチ ポートを確認します。

    図 87:ATP クラウド Confirming Host Details in ATP Cloudのホストの詳細の確認

意味

この出力結果は、Windows サプリカントの IP アドレス 10.10.30.69 を含む ATP クラウドに感染したホスト フィードが正常にダウンロードされたことを示しています。その結果、SRX デバイスは IP アドレスを隔離するアクションを実行します。

このページには Hosts 、侵害されたホストとそれに関連する脅威レベルが一覧表示されます。この出力結果は、ATP Cloud と Security Director が感染したホストを検知して隔離したことを確認します。ホスト単位でマルウェア検知を監視および緩和できます。また、ホストが感染とマークされた理由(このユースケースでは、C&CサーバーIPアドレス)をドリルダウンして確認することもできます。マルウェアの場合、ダウンロードしたファイルの詳細が表示されます。

感染したエンドポイントをブロックするForeScout CounterACT機能を検証する(NETCONFを使用)

目的

エンドポイントに感染した ForeScout CounterACT の統合と機能をテストします。この例では、ポリシー適用ポリシーが NETCONF であることを確認し、感染したホストをブロックするように設定されています。

アクション

メモ:

攻撃をトリガーするには、クライアント VM または物理 PC が必要です。

攻撃の前に、以下を確認します。

  • ページで Policy Enforcer > Threat Prevention Policy 、感染したホスト プロファイルのアクションを に変更します Drop connection silently。をクリックします OK

    図 88:接続切断通知なしオプション Drop Connection Silently Option

  • [ポリシー] タブに移動します。コンソールから、SDSN ブロック- dot1x と SDSN 隔離 – dot1x ポリシーの両方を停止し、SDSN ブロック - NETCONF ポリシーと SDSN 隔離 - NETCONF ポリシーの両方を開始します。

    図 89:Policy Manager Policies Tab in Policy Manager の [Policys] タブ

  • LinuxホストがIPアドレス10.10.30.99を持つユーザーVLAN(vlan31)にあることを確認します。

    図 90:Linux ホストの確認 Linux Host Confirmation

  • エンドポイント 10.10.30.99 がインターネット(IP アドレス 8.8.8.8)とレイヤー 2 接続デフォルト ゲートウェイ(10.10.30.254)に ping できることを確認します。攻撃の前に、エンドポイントは LAN とインターネット上の他のエンドポイントへの継続的な ping を開始します。

    図 91:Internet Ping Internet Ping

    このエンドポイントは、Linux ホスト(この例では IP アドレス 184.75.221.43)からインターネット上の C&C サーバーに ping を送信します。

    図 92:C&C サーバー Ping C&C Server Ping

攻撃後、ForeScout CounterACT は NETCONF を使用して QFX スイッチに ACL を適用します。以下を確認します。

  • Linux ホストがインターネットまたは LAN にもう接続できないことを確認します。

    図 93:切断された Linux ホスト Confirming Disconnected Linux Hostの確認

  • に移動して、SDSN ブロック(NETCONF)ポリシーの一致と自動化された脅威修復アクションの詳細を確認します ForeScout CounterACT > Home

    図 94:ポリシー一致の確認と自動化された脅威修復の詳細 Confirming Policy Match and Automated Threat Remediation Details

  • に移動します Log > Host Log。SDSN ブロック(NETCONF)ポリシーの詳細を確認します。

    図 95:SDSN ブロック ホスト ログ SDSN Block Host Log

  • Linux ホストの IP アドレスが SRX シリーズ デバイスの感染ホスト フィードにも追加され、インターネット アクセスがブロックされたことを確認します。

  • ATPクラウドポータルで、 に移動します Monitor > Hosts。LinuxホストのホストIPアドレス(10.10.30.99)、MAC-ID、スイッチポートを確認します。

    図 96:ATP クラウド ポータル Confirming Host Information in ATP Cloud Portalでのホスト情報の確認

意味

すべての ping セッションは、脅威が検知された後にトラフィックがブロックされたことを示し、自動化された脅威修復のユースケースが正しく機能していることを確認します。

このページには Hosts 、侵害されたホストとそれに関連する脅威レベルが一覧表示されます。この出力結果は、ATP Cloud と Security Director が感染したホストを検知したことを確認します。ホスト単位でマルウェア検知を監視および緩和できます。

感染したエンドポイントを隔離するための ForeScout CounterACT 機能の検証(NETCONF を使用)

目的

エンドポイントに感染した ForeScout CounterACT の統合と機能をテストします。この例では、ポリシー適用ポリシー NETCONF がいつ感染したホストを隔離するように設定されているかを確認します。

アクション

メモ:

攻撃をトリガーするには、クライアント VM または物理 PC が必要です。

攻撃の前に、以下を確認します。

  • ATP クラウド ポータルまたは Security Director(Monitor > Threat Prevention > Hosts)で、感染したホストを解放します。

  • LinuxホストのインターネットまたはLANアクセスが復元されていることを確認します。

  • ページで Policy Enforcer > Threat Prevention Policy 、感染したホスト プロファイルのアクションを に Quarantine 変更し、VLAN ID を vlan32 として追加します。をクリックします OK

    図 97:脅威防御ポリシーを変更して隔離 Changing Threat Prevention Policy to Quarantineする

  • LinuxホストがIPアドレス10.10.30.99を持つユーザーVLAN(vlan31)にあることを確認します。

    図 98:Linux ホストの詳細 Confirming Linux Host Detailsの確認 Confirming Linux Host Details

  • エンドポイント 10.10.30.99 がインターネット(IP アドレス 8.8.8.8)とレイヤー 2 接続デフォルト ゲートウェイ(10.10.30.254)に ping できることを確認します。攻撃の前に、エンドポイントは LAN とインターネット上の他のエンドポイントへの継続的な ping を開始します。

    図 99:インターネット接続の Confirming Internet Connectivity確認

    このエンドポイントは、Linux ホスト(この例では IP アドレス 184.75.221.43)からインターネット上の C&C サーバーに ping を送信します。

    図 100:C&C サーバー Confirming Connection to C&C Serverへの接続の確認

攻撃後、ForeScout CounterACT は、Linux ホストをユーザー VLAN(vlan31)から NETCONF を使用して QFX スイッチ上の隔離 VLAN(vlan32)に接続するインターフェイスの VLAN 設定を変更します。

以下を確認します。

  • Linux ホストがインターネットまたは LAN にもう接続できないことを確認します。

    図 101:Linux ホストがインターネットまたは LAN Confirming Linux Host Cannot Connect to Internet or LAN に接続できないことの確認

  • に移動して、SDSN 隔離(NETCONF)ポリシーの一致と自動脅威修復アクションの詳細を確認します ForeScout CounterACT > Home

    図 102:ポリシー一致の確認と自動化された脅威修復の詳細 Confirming Policy Match and Automated Threat Remediation Details

  • に移動します Log > Host Log。SDSN ブロック(NETCONF)ポリシーの詳細を確認します。

    図 103:SDSN ブロック ポリシー ホスト ログ SDSN Block Policy Host Log

  • Linux ホストの IP アドレスが SRX シリーズ デバイスの感染ホスト フィードにも追加され、インターネット アクセスがブロックされたことを確認します。

  • ATPクラウドポータルで、 に移動します Monitor > Hosts。LinuxホストのホストIPアドレス(10.10.30.99)、MAC-ID、スイッチポートを確認します。

    図 104:ATP クラウド ポータル Confirming Host Details in ATP Cloud Portalでのホストの詳細の確認

意味

この出力は、Linux ホストの IP アドレス 10.10.30.99 を含む ATP クラウドに感染したホスト フィードが正常にダウンロードされたことを示しています。その結果、SRX デバイスは IP アドレスを隔離するためのアクションを実行します。

このページには Hosts 、侵害されたホストとそれに関連する脅威レベルが一覧表示されます。この出力結果は、ATP Cloud と Security Director が感染したホストを検知して隔離したことを確認します。ホスト単位でマルウェア検知を監視および緩和できます。

付録 A:デバイスの設定

このセクションでは、以下のデバイス構成について説明します。

SRX シリーズ デバイスの CLI 設定

EX4300スイッチのCLI設定

QFX スイッチの CLI 設定

付録 B:サードパーティー コネクタの追加に関するトラブルシューティング

サードパーティー製コネクタの追加中に問題が発生した場合は、以下のログ ファイルを参照してトラブルシューティング情報を確認してください。

このセクションでは、以下のサードパーティー製コネクタの問題について説明します。

Policy Enforcer のトラブルシューティング

Policy Enforcer をトラブルシューティングするには、以下のログを確認します。

  • /srv/feeder/connectors/forescout/logs/forescout_connector.log

  • /srv/feeder/log/controller.log

  • ファイルに以下のログ メッセージが表示された forescout_connector.log 場合:

    次に ForeScout CounterACT CLI に移動し、次のコマンドを入力します。

ForeScout CounterACTのトラブルシューティング

DEX(eds)および Web API プラグイン用の CLI でデバッグを有効にするには、以下のコマンドを入力します。

  • fstool eds debug 10

  • fstool webapi debug 10

以下のログ ファイルを確認します。

  • /usr/local/forescout/log/plugin/eds

  • /usr/local/forescout/log/plugin/webapi

関連ドキュメント