サードパーティの脅威フィードを設定する

サードパーティの脅威フィードを設定して、外部の脅威インテリジェンスに基づき IoC (不正のインジケータ) を検出し、それに関連するトラフィックをブロックすることができます。

IoC とは、攻撃に関与する IPアドレス、ドメイン、URL です。ファイアウォールは、指定の間隔で脅威フィードソースをポーリングし、IoC の最新リストを維持します。

サードパーティの脅威フィードを設定するには、次の手順を実行してください。

1. 「アクティブな脅威対応 > サードパーティの脅威フィード」に移動し、「追加」をクリックします。
2. 名前を入力します。
3. 任意: 説明を入力します。

4. アクションを選択します。

   • ブロック: 脅威をログして、ブロックします。
   • モニター: 脅威のログのみを行います。

   ブロック対象フィードおよび監視対象フィードの両方が、表示されている順番で評価されます。これらのフィードで最初に一致した項目が記録されます。ブロックリスト内で最初に一致した項目に基づいて、トラフィックがブロックされます。

   ログとその設定方法については、アクティブ脅威対応のログとアラートを参照してください。

5. 位置を選択します。

   • 最上位: 脅威フィードをリストの一番上に配置します。
   • 最下位: 脅威フィードをリストの一番下に配置します。

6. インジケータの種類を選択します。

   • IPv4 アドレス
   • ドメイン
   • URL

   重要

   指定したインジケータの種類 (IPv4 アドレス、ドメイン、URL のいずれか) の IoC のみが評価されます。

   したがって、それぞれの脅威フィードについて、インジケータの種類ごとに設定を追加する必要があります。

7. 脅威フィードファイルがホストされている外部の URL を入力します。

   ファイルはプレーンテキスト形式で、1行に 1つのインジケータが含まれるものとします。

   脅威フィードの記述例

   103.140.73.49
   103.142.86.221
   103173155111
   103.46.186.148
   104131133129
   104.143.77.12
   104.143.77.8
   104.236.201.22
   104.236.202.98
   

   注

   IP アドレスの範囲、IPv6 アドレス、ネットワークアドレス、ワイルドカードドメイン、正規表現には対応していません。

8. 「認証」で、脅威フィードの更新を承認する認証の種類を選択します。

   • 認証なし

   • API キー

     1. キーを入力します。
     2. 値を入力します。最大 64文字まで入力できます。

     3. API キーを追加する場所を選択します。

        • ヘッダー
        • クエリのパラメータ

   • 基本認証

     1. ユーザー名を入力します。
     2. パスワードを入力してください。最大 64文字まで入力できます。

9. サーバー証明書を検証する場合は、「サーバー証明書の検証」を選択します。

   サーバーが公開証明書を使用している場合は、「証明書 > 証明機関」に移動し、ファイアウォールの CA 証明書リストでサーバーの CA 証明書が利用可能な状態になっていることを確認します。

   非公開証明書の場合は、CA 証明書をファイアウォールにアップロードします。

10. 脅威フィードを同期するポーリング間隔を選択します。

    注

    XGS 87(w)、88(w)、107(w) では、24時間、7日間、30日間のポーリング間隔のみがサポートされています。

11. 任意: 「接続のテスト」をクリックし、接続をテストします。

12. 「保存」をクリックします。

その他のリソース

• サードパーティ脅威フィードのストレージの上限