セキュリティ インテリジェンスについて
セキュリティ インテリジェンス ポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。システムは、ブラックリストに登録されたこのトラフィックをアクセス コントロール ポリシーで評価する前にドロップすることにより、使用されるシステム リソースの量を減らします。
次に基づいてトラフィックをブラックリストに登録できます。
-
Cisco Talos Intelligence Group(Talos) フィード:Talos定期的に更新されるセキュリティ インテリジェンス フィードへのアクセスを提供します。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。システムはフィードの更新を定期的にダウンロードするため、設定を再導入する必要なく新しい脅威インテリジェンスを利用できます。
(注)
Talos フィードはデフォルトで 1 時間ごとに更新されます。 ページからは、更新頻度を変更するだけでなく、オンデマンドでフィードを更新することもできます。
-
ネットワークおよび URL オブジェクト:ブロック対象の IP アドレスまたは URL が既知の場合は、それらのオブジェクトを作成し、それらをブラックリスト(またはホワイトリストとも呼ばれる例外リスト)に追加できます。FQDN または範囲指定によりネットワーク オブジェクトを使用できないことに注意してください。
IP アドレス(ネットワーク)と URL で別のブラックリストを作成します。
ブラックリストの例外の作成
各ブラックリストには関連付けられた例外リストを作成でき、これはホワイトリストとも呼ばれます。例外リストの唯一の目的は、ブラックリストに表示される IP アドレスまたは URL を除外することです。つまり、使用する必要があり、安全であることがわかっているアドレスや URL が、ブラックリストに設定されているフィードにある場合、ブラックリストから完全にカテゴリを削除せずに、そのネットワーク/URL を除外できます。
除外された、またはホワイトリストに登録されたトラフィックは、以後アクセス コントロール ポリシーによって評価されます。接続が許可またはドロップされたかどうかの最終決定は、接続に一致するアクセス制御ルールに基づきます。また、アクセス ルールは接続に侵入やマルウェア検査を適用するかどうかも判断します。
セキュリティ インテリジェンス フィード カテゴリ
次の表では、Cisco Talos Intelligence Group(Talos) フィードで使用可能なカテゴリについて説明します。これらのカテゴリは、ネットワークと URL のブラックリストの両方に使用できます。
カテゴリ |
説明 |
---|---|
attackers |
アウトバウンドの悪意のあるアクティビティで知られている、アクティブなスキャナとブラックリストに登録されたホスト。 |
bogon |
bogon ネットワークと未割り当て IP アドレス。 |
bots |
バイナリ マルウェア ドロッパーをホストするサイト。 |
CnC |
ボットネットの指示管理サーバをホストするサイト。 |
dga |
指示管理サーバでランデブー ポイントとして動作する多数のドメイン名の生成に使用されるマルウェア アルゴリズム。 |
exploitkit |
クライアントでのソフトウェアの脆弱性を識別するために設計されたソフトウェア キット。 |
malware |
マルウェア バイナリまたはエクスプロイト キットをホストするサイト。 |
open_proxy |
匿名での Web ブラウジングを許可するオープン プロキシ。 |
open_relay |
スパムに使用されることが知られているオープン メール リレー。 |
phishing |
フィッシング詐欺のページをホストするサイト。 |
response |
悪意のある、または不審なアクティビティに積極的に参加している IP アドレスおよび URL。 |
spam |
スパムの送信で知られているメール ホスト。 |
suspicious |
疑わしく、既知のマルウェアのような特性を持っていると思われるファイル。 |
tor_exit_node |
Tor の出口ノード。 |