セキュリティ インテリジェンスについて
セキュリティ インテリジェンス ポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。システムは、この望ましくないトラフィックをアクセス制御ポリシーで評価する前にドロップすることにより、使用されるシステムリソースの量を減らします。
次のものに基づいてトラフィックをブロックできます。
-
Cisco Talos Intelligence Group(Talos) フィード:Talos定期的に更新されるセキュリティ インテリジェンス フィードへのアクセスを提供します。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。システムはフィードの更新を定期的にダウンロードするため、設定を再導入する必要なく新しい脅威インテリジェンスを利用できます。
(注)
Talos フィードはデフォルトで 1 時間ごとに更新されます。 ページからは、更新頻度を変更するだけでなく、オンデマンドでフィードを更新することもできます。
-
ネットワークおよび URL オブジェクト:ブロック対象の IP アドレスまたは URL が既知の場合は、それらのオブジェクトを作成し、それらをブロックリストまたは例外リストに追加することができます。FQDN または範囲指定によりネットワークオブジェクトを使用できないことに注意してください。
IP アドレス(ネットワーク)と URL で別のリストを作成します。
(注) |
HTTP/HTTPS リクエストの宛先が、ホスト名ではなく IP アドレスを使用する URL の場合は、ネットワークアドレスリストにある IP アドレスのレピュテーションが検索されます。ネットワークおよび URL リストで IP アドレスを重複させる必要はありません。 |
ブロックリストの例外の作成
ブロックリストごとに、関連する例外リスト(ブロック禁止リストとも呼ばれる)を作成できます。例外リストの唯一の目的は、ブロックリストに表示される IP アドレスまたは URL を除外することです。つまり、使用する必要があり、安全であることがわかっているアドレスや URL が、ブロックリストに設定されているフィードにある場合、ブロックリストから完全にカテゴリを削除せずに、そのネットワーク/URL を除外できます。
除外されたトラフィックは、以後アクセス コントロール ポリシーによって評価されます。接続が許可またはドロップされたかどうかの最終決定は、接続に一致するアクセス制御ルールに基づきます。また、アクセス ルールは接続に侵入やマルウェア検査を適用するかどうかも判断します。
セキュリティ インテリジェンス フィード カテゴリ
次の表では、Cisco Talos Intelligence Group(Talos) フィードで使用可能なカテゴリについて説明します。これらのカテゴリは、ネットワークブロッキングと URL ブロッキングの両方で使用できます。
これらのカテゴリは時間とともに変化する可能性があるため、新しくダウンロードしたフィードのカテゴリが変更される場合があります。セキュリティ インテリジェンスを設定する際は、カテゴリ名の横にある情報アイコンをクリックして説明を表示できます。
セキュリティ インテリジェンス カテゴリ | 説明 | ||
---|---|---|---|
Attackers |
悪意のある発信アクティビティが知られているアクティブスキャナやホスト |
||
Banking_fraud |
電子バンキングに関連する詐欺行為を行うサイト |
||
Bogon |
Bogon ネットワークおよび割り当てられていない IP アドレス |
||
Bots |
バイナリ マルウェア ドロッパを有するサイト |
||
CnC |
botnets 用のホスト C & C サーバーを有するサイト |
||
Cryptomining |
プールと財布へのリモートアクセスを提供するホスト (cryptocurrency のマイニングのため) |
||
Dga |
C & C サーバのランデブー ポイントとして機能するさまざまなドメイン名を生成するために使用されるマルウェア アルゴリズム |
||
Exploitkit |
クライアントのソフトウェアの脆弱性を特定するために設計されたソフトウェア キット |
||
High_risk |
セキュリティグラフからの OpenDNS 予測セキュリティアルゴリズムと一致するドメインとホスト名 |
||
Ioc |
侵害の兆候(IOC)に関与していることが観察されているホスト |
||
Link_sharing |
権限のないファイルを共有する web サイト |
||
Malicious |
他のより詳細な脅威カテゴリに必ずしも適合しているわけではない、悪意のある動作を示しているサイト |
||
マルウェア |
マルウェアバイナリまたはエクスプロイト キットを有するサイト |
||
Newly_seen |
最近登録されたドメイン、またはテレメトリでまだ認識されていないドメイン
|
||
Open_proxy |
匿名の web ブラウジングが可能な公開プロキシ |
||
Open_relay |
スパム用に使用されることが既知のオープン メール リレー |
||
Phishing |
フィッシング ページを有するサイト |
||
応答 |
悪意があるか疑わしいアクティブに積極的に参加している IP アドレスと URL |
||
Spam |
スパムを送信することが知られているメール ホスト |
||
Spyware |
スパイウェアおよびアドウェアのアクティビティを含む、提供する、またはサポートすることが知られているサイト |
||
Suspicious |
疑いがあり、既知のマルウェアと同様の特性を持つようなファイル |
||
Tor_exit_node |
Tor アノニマイザー ネットワークの出口ノード サービスを提供することが知られているホスト |