Juniper SRX Firewall インテグレーションガイド🔗
Juniper SRXシリーズ サービスゲートウェイファイアウォールは、syslogを介してTaegis™ XDR Collectorにログを送信するように設定する必要があります。ファイアウォールログは、拒否されたトラフィックログの相関、ポートスキャン、広範なスキャン、内部ネットワークでのアウトブレイク、ピアツーピアファイル共有アクティビティ、既知の不正IPアドレス(Secureworks Counter Threat Unitが監視している既知のAPTターゲットエンドポイントを含む)へのアウトバウンドトラフィックなど、さまざまなセキュリティイベントの観測のためにリアルタイムでフィルタリングおよび相関されます。
以下の手順に従ってSRXのログ設定を行い、Secureworksによる監視を有効にしてください。
ファイアウォール要件🔗
| ソース | 宛先 | ポート/プロトコル |
|---|---|---|
| Firewall_mgmt_interface | XDR Collector (mgmt IP) | UDP/514 |
インテグレーションから提供されるデータ🔗
| 正規化されたデータ | 汎用的な検知 | ベンダー固有の検知 | |
|---|---|---|---|
| Juniper SRX Firewall | ファイル | Auth, HTTP, Netflow | NIDS |
注意
XDR検知機は、データソースのログが特定の検知機に関連付けられたスキーマに正規化されていても、必ずしもトリガーされるとは限りません。ただし、カスタム検出ルールを作成することで、データソースから正規化されたデータに基づいて検出を生成することができます。
ログ設定手順🔗
コマンドライン手順🔗
ファイアウォールのセットアップに応じて、以下のコマンドラインインターフェース(CLI)コマンドを実行し、Juniper SRXシリーズのログを有効にします。
コード例の変数🔗
以下のコード例の変数は山括弧( <xxx> )で示されています。これらはお客様の環境に合わせた情報に置き換えてください。
以下のコードサンプルで使用されている主な変数は次の通りです。
<TDR_DC_IP>— 宛先のIPアドレス。TDR-FWLOGS— ストリーム名の変数。
Juniper SRXの設定コミットコマンドの詳細については、Juno OSドキュメントのSetting the System to Stream Security Logsを参照してください。
スタンドアロンファイアウォール🔗
set system syslog host <TDR_DC_IP> any any
set system syslog source-address <MANAGEMENT_INTERFACE_IP>
set security log mode stream
set security log utc-timestamp
set security log source-address <MANAGEMENT_INTERFACE_IP>
set security log stream TDR-FWLOGS format syslog
set security log stream TDR-FWLOGS category all
set security log stream TDR-FWLOGS host <TDR_DC_IP> any any
set security log stream TDR-FWLOGS host port 514
commit check
commit
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
set system syslog file default-log-messages any any
set system syslog file default-log-messages match "(requested 'commit' operation)|(copying configuration to juniper.save)|(commit complete)|ifAdminStatus|(FRU power)|(FRU removal)|(FRU insertion)|(link UP)|transitioned|Transferred|transfer-file|(license add)|(license delete)|(package -X update)|(package -X delete)|(FRU Online)|(FRU Offline)|(plugged in)|(unplugged)|GRES|(AIS_DATA_AVAILABLE)"
set system syslog file RTFLOW match RT_FLOW
set system syslog time-format
HAファイアウォールペア🔗
HA syslog format
set groups node0 system syslog file default-log-messages any info
set groups node0 system syslog file default-log-messages match "(requested 'commit' operation)|(copying configuration to juniper.save)|(commit complete)|ifAdminStatus|(FRU power)|(FRU removal)|(FRU insertion)|(link UP)|transitioned|Transferred|transfer-file|(license add)|(license delete)|(package -X update)|(package -X delete)|(FRU Online)|(FRU Offline)|(plugged in)|(unplugged)|GRES|(AIS_DATA_AVAILABLE)"
set system syslog host <TDR_DC_IP> any any
set security log mode stream
set security log source-address <RETH_INTERFACE_IP>
set security log stream TDR-FWLOGS format syslog
set security log stream TDR-FWLOGS host <TDR_DC_IP> any any
set groups node0 system host-name <HOSTNAME1>
set groups node1 system host-name <HOSTNAME2>
set groups node0 system backup-router <GATEWAY_IP> destination <TDR_DC_IP>
set groups node1 system backup-router <GATEWAY_IP> destination <TDR_DC_IP>
set groups node0 system syslog source-address <FXP0 INTERFACE_IP>
set groups node1 system syslog source-address <FXP0_INTERFACE_IP>
commit check
commit
セキュリティポリシーでのログ有効化🔗
ログはポリシーごとに設定されます。トラフィックログは、セッションがクローズしたとき(session-close)およびセッションが開始したとき(session-init)に生成するよう指定できます。Secureworksでは、分析のためにできるだけ多くの情報を収集するため、セッション開始時とクローズ時の両方でトラフィックログを生成することを推奨します。
以下は、default-permitという名前のセキュリティポリシーでログを有効にする例です。
セキュリティポリシーでログを有効にするには:
-
セッションがクローズしたときにトラフィックログを生成するよう指定します。
-
セッションが開始したときにトラフィックログを生成するよう指定します。
-
すべてのセキュリティログを取得するため、すべてのポリシーについて手順1と2を繰り返してください。
-
ログ設定が完了したら、実装チケットを更新し、プロビジョニングエンジニアに通知してください。
設定コミットコマンド🔗
このセクションでは、設定を保存するために必要な基本的なCLIコマンドを示します。
コミットチェック🔗
変更を加えた後、commit checkで内容を確認し、その後commitで適用できます。
コミット確認🔗
commit confirmedコマンドは、候補設定を10分間コミットします。その後、2回目のcommitコマンドを実行しない場合、デバイスは自動的に前の設定にロールバックされます。設定の問題に備えて安全策を講じたい場合、commit confirmedコマンドをいつでも使用できます。このコマンドはリモートデバイスの設定時に非常に有用です。
[edit]
root@juniper1# commit confirmed
commit confirmed will be automatically rolled back in 10 minutes
unless confirmed
commit complete
すべての確認が完了したら、新しい設定を永続化するために2回目のcommitコマンドを実行してください。
2回目のcommitコマンドを入力して設定を確定しない場合、CLIは10分後にデバイスを前回のアクティブな設定にロールバックします。ロールバックが自動的に完了すると、メッセージが表示されます。