セキュリティ インテリジェンスについて
セキュリティ インテリジェンス ポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。システムは、この望ましくないトラフィックをアクセス制御ポリシーで評価する前にドロップすることにより、使用されるシステムリソースの量を減らします。
次のものに基づいてトラフィックをブロックできます。
-
Cisco Talos Intelligence Group(Talos) フィード:Talos は、定期的に更新されるセキュリティ インテリジェンス フィードへのアクセスを提供します。セキュリティに対する脅威(マルウェア、スパム、ボットネット、スパム、フィッシングなど)を表すサイトが現れては消えるペースが早すぎて、カスタム設定を更新して導入するのが間に合わないことがあります。システムはフィードの更新を定期的にダウンロードするため、設定を再導入する必要なく新しい脅威インテリジェンスを利用できます。
(注)
Talos フィードはデフォルトで1時間ごとに更新されます。 ページからは、更新頻度を変更するだけでなく、オンデマンドでフィードを更新することもできます。
-
ネットワークおよび URL オブジェクト:ブロック対象の IP アドレスまたは URL が既知の場合は、それらのオブジェクトを作成し、それらをブロックリストまたは例外リストに追加することができます。FQDN または範囲指定によりネットワーク オブジェクトを使用できないことに注意してください。
IP アドレス(ネットワーク)と URL で別のリストを作成します。
![]() (注) |
HTTP/HTTPS リクエストの宛先が、ホスト名ではなく IP アドレスを使用する URL の場合は、ネットワークアドレスリストにある IP アドレスのレピュテーションが検索されます。ネットワークおよび URL リストで IP アドレスを重複させる必要はありません。 |
ブロックリストの例外の作成
ブロックリストごとに、関連する例外リスト(ブロック禁止リストとも呼ばれる)を作成できます。例外リストの唯一の目的は、ブロックリストに表示される IP アドレスまたは URL を除外することです。つまり、使用する必要があり、安全であることがわかっているアドレスや URL が、ブロックリストに設定されているフィードにある場合、ブロックリストから完全にカテゴリを削除せずに、そのネットワーク/URL を除外できます。
除外されたトラフィックは、以後アクセス制御ポリシーによって評価されます。接続が許可またはドロップされたかどうかの最終決定は、接続に一致するアクセス制御ルールに基づきます。アクセス ルールはまた、接続に侵入やマルウェア検査を適用するかどうかも判断します。
セキュリティ インテリジェンス フィード カテゴリ
次の表では、Cisco Talos Intelligence Group(Talos) フィードで使用可能なカテゴリについて説明します。これらのカテゴリは、ネットワークブロッキングと URL ブロッキングの両方で使用できます。
これらのカテゴリは時間とともに変化する可能性があるため、新しくダウンロードしたフィードのカテゴリが変更される場合があります。セキュリティインテリジェンスを設定する際は、カテゴリ名の横にある情報アイコンをクリックして説明を表示できます。
セキュリティ インテリジェンス カテゴリ | 説明 | ||
---|---|---|---|
攻撃者 |
悪意のある発信アクティビティが知られているアクティブスキャナやホスト |
||
Banking_fraud |
電子バンキングに関連する詐欺行為を行うサイト |
||
Bogon |
Bogon ネットワークおよび割り当てられていない IP アドレス |
||
Bots |
バイナリ マルウェア ドロッパをホストするサイト |
||
CnC |
botnets 用のホスト C & C サーバを有するサイト |
||
仮想通貨マイニング |
プールと財布へのリモートアクセスを提供するホスト (cryptocurrency のマイニングのため) |
||
Dga |
C & C サーバのランデブー ポイントとして機能するさまざまなドメイン名を生成するために使用されるマルウェア アルゴリズム |
||
Exploitkit |
クライアントのソフトウェアの脆弱性を特定するために設計されたソフトウェア キット |
||
High_risk |
セキュリティグラフからの OpenDNS 予測セキュリティアルゴリズムと一致するドメインとホスト名 |
||
Ioc |
侵害の兆候(IOC)に関与していることが観察されているホスト |
||
Link_sharing |
権限のないファイルを共有する web サイト |
||
悪意のある(Malicious) |
他のより詳細な脅威カテゴリに必ずしも適合しているわけではない、悪意のある動作を示しているサイト |
||
Malware |
マルウェアバイナリまたはエクスプロイト キットを有するサイト |
||
Newly_seen |
最近登録されたドメイン、またはテレメトリでまだ認識されていないドメイン
|
||
Open_proxy |
匿名 Web ブラウジングを許可するオープン プロキシ |
||
Open_relay |
スパム用に使用されることが既知のオープン メール リレー |
||
Phishing |
フィッシング ページを有するサイト |
||
応答 |
悪意があるか疑わしいアクティブに積極的に参加している IP アドレスと URL |
||
Spam |
スパムを送信することが知られているメール ホスト |
||
スパイウェア |
スパイウェアおよびアドウェアのアクティビティを含む、提供する、またはサポートすることが知られているサイト |
||
Suspicious |
疑いがあり、既知のマルウェアと同様の特性を持つようなファイル |
||
Tor_exit_node |
Tor アノニマイザー ネットワークの出口ノード サービスを提供することが知られているホスト |