Juniper SRX Firewall インテグレーションガイド🔗
Juniper SRX Series Services Gatewayファイアウォールは、syslog経由でログをTaegis™ XDR Collectorに送信するように設定する必要があります。ファイアウォールログは、拒否されたトラフィックログの相関、ポートスキャン、広範なスキャン、内部ネットワークでのアウトブレイク、ピアツーピアファイル共有アクティビティ、既知の不正IPアドレスへのアウトバウンドトラフィック(Secureworks Counter Threat Unitが監視している既知のAPTターゲットエンドポイントを含む)など、さまざまなセキュリティイベントの観測のためにリアルタイムでフィルタリングおよび相関されます。
以下の手順に従ってSRXのログ設定を行い、Secureworksによる監視を有効にしてください。
ファイアウォール要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Firewall_mgmt_interface | XDR Collector (mgmt IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Juniper SRX Firewall | ファイル | Auth, HTTP, Netflow | NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマへ正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検知を生成することができます。
ログ設定手順🔗
コマンドライン手順🔗
Juniper SRX Seriesのログを有効にするには、ファイアウォールのセットアップに応じて、以下のコマンドラインインターフェース(CLI)コマンドを実行してください。
コード例の変数🔗
以下のコード例の変数は山括弧( <xxx> )で示されています。これらはお客様の環境に合わせて適切な値に置き換えてください。
以下のコードサンプルで使用されている主な変数は次の通りです。
<TDR_DC_IP>— 宛先のIPアドレスTDR-FWLOGS— ストリーム名の変数
Juniper SRXの設定コミットコマンドの詳細については、Juno OSドキュメントのSetting the System to Stream Security Logsを参照してください。
スタンドアロンファイアウォール🔗
set system syslog host <TDR_DC_IP> any any
set system syslog source-address <MANAGEMENT_INTERFACE_IP>
set security log mode stream
set security log utc-timestamp
set security log source-address <MANAGEMENT_INTERFACE_IP>
set security log stream TDR-FWLOGS format syslog
set security log stream TDR-FWLOGS category all
set security log stream TDR-FWLOGS host <TDR_DC_IP>
set security log stream TDR-FWLOGS port 514
commit check
commit
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set system syslog file default-log-messages any any
set system syslog file default-log-messages match "(requested 'commit' operation)|(copying configuration to juniper.save)|(commit complete)|ifAdminStatus|(FRU power)|(FRU removal)|(FRU insertion)|(link UP)|transitioned|Transferred|transfer-file|(license add)|(license delete)|(package -X update)|(package -X delete)|(FRU Online)|(FRU Offline)|(plugged in)|(unplugged)|GRES|(AIS_DATA_AVAILABLE)"
set system syslog file RTFLOW match RT_FLOW
set system syslog time-format
HAファイアウォールペア🔗
HA syslog format
set groups node0 system syslog file default-log-messages any info
set groups node0 system syslog file default-log-messages match "(requested 'commit' operation)|(copying configuration to juniper.save)|(commit complete)|ifAdminStatus|(FRU power)|(FRU removal)|(FRU insertion)|(link UP)|transitioned|Transferred|transfer-file|(license add)|(license delete)|(package -X update)|(package -X delete)|(FRU Online)|(FRU Offline)|(plugged in)|(unplugged)|GRES|(AIS_DATA_AVAILABLE)"
set system syslog host <TDR_DC_IP> any any
set security log mode stream
set security log source-address <RETH_INTERFACE_IP>
set security log stream TDR-FWLOGS format syslog
set security log stream TDR-FWLOGS host <TDR_DC_IP>
set groups node0 system host-name <HOSTNAME1>
set groups node1 system host-name <HOSTNAME2>
set groups node0 system backup-router <GATEWAY_IP> destination <TDR_DC_IP>
set groups node1 system backup-router <GATEWAY_IP> destination <TDR_DC_IP>
set groups node0 system syslog source-address <FXP0 INTERFACE_IP>
set groups node1 system syslog source-address <FXP0_INTERFACE_IP>
commit check
commit
セキュリティポリシーでのログ有効化🔗
ログはポリシーごとに設定されます。トラフィックログは、セッションが終了したとき(session-close)およびセッションが開始したとき(session-init)に生成するよう指定できます。Secureworksでは、分析のためにできるだけ多くの情報を収集するため、セッション開始時と終了時の両方でトラフィックログを生成することを推奨します。
以下は、default-permitという名前のセキュリティポリシーでログを有効にする例です。
セキュリティポリシーでログを有効にするには:
-
セッションが終了したときにトラフィックログを生成するよう指定します。
-
セッションが開始したときにトラフィックログを生成するよう指定します。
-
すべてのセキュリティログを取得するために、すべてのポリシーについて手順1と2を繰り返してください。
-
ログ設定が完了したら、実装チケットを更新し、プロビジョニングエンジニアに通知してください。
設定コミットコマンド🔗
このセクションでは、設定を保存するために必要な基本的なCLIコマンドを示します。
コミットチェック🔗
変更を加えた後、commit checkで内容を確認し、その後commitで適用できます。
コミット確認🔗
commit confirmedコマンドは、候補設定を10分間コミットします。その後、2回目のcommitコマンドを実行しない場合、デバイスは自動的に前の設定にロールバックされます。設定ミスなどに備えて安全策を講じたい場合に、このコマンドは非常に有用です。リモートデバイスの設定時にも便利です。
[edit]
root@juniper1# commit confirmed
commit confirmed will be automatically rolled back in 10 minutes
unless confirmed
commit complete
すべての確認が完了したら、新しい設定を永続化するために2回目のcommitコマンドを実行してください。
2回目のcommitコマンドを入力して設定を確定しない場合、CLIは10分後にデバイスを前回のアクティブな設定にロールバックします。ロールバックが自動的に完了すると、メッセージが表示されます。