Oracle Cloud Infrastructureドキュメント

脅威インテリジェンス

WAFには、毎日更新される、既知のIPアドレスの脅威のソースがいくつかあります。 次の表に、IPアドレスの脅威が表示されます:

ソース 説明
ABUSE|ch

abuse.chで特定される不正なSSL証明書を、マルウェアまたはネット・アクティビティに関連付けることをブラックリストに記載。

Bambenek Consulting

アクティブおよび非シンク・ホールCommand&Control (C&C) IPアドレス。

BlockList.de

フィッシング・サイトのホストとその他の種類の不正アクティビティ(adクリックや不正のゲームなど)のためのIPアドレスが含まれます。

BruteForceBlocker Project

ブロックされたSSH総当たり攻撃からの既知のIPアドレスのフィード。

Proofpoint ET Labs

疑わしい不審なアクティビティに関与するIPアドレス。

Feodo IP Blocklist Feodo TrojanによってC&C通信チャネルとして使用されるIPアドレス。
Palevo Palevo crimewareのネットC&Cとして使用されているIPアドレス。
Webroot BotNets Botマスターによって制御されるBotnet C&Cチャネルおよび感染したゾンビ・マシン。
Webrootサービスの拒否 DOS、DDOS、異常な同期フラッドおよび異常なトラフィック検出が含まれます。
Webrootモバイルの脅威 悪意のあるモバイル・アプリケーションおよび不要なモバイル・アプリケーションのIPアドレス。 このカテゴリは、Webrootモバイル脅威の調査teaからデータを利用します。
Webrootフィッシング フィッシング・サイトおよびその他の種類の疾病アクティビティをホストするIPアドレス(adクリックや不正のゲームなど)。
Webルート・プロキシ プロキシ・サービスおよびデフォルト・サービスを提供するIPアドレス。
Webroot評判 現在、不正製品に感染していることがわかっているIPアドレス。 このカテゴリには、平均低Webroot評判指数スコアのIPアドレスも含まれます。
Webrootスキャナ すべての再推奨(プローブ、ホスト・スキャン、ドメイン・スキャン、パスワードの総当たり攻撃など)が含まれます。
Webrootスパム・ソース プロキシ、異常なSMTPアクティビティおよびフォーラム・スパム・アクティビティを介したトンネルスパム・メッセージが含まれます。
Webroot Torプロキシ Tor Networkの終了ノードとして機能するIPアドレスを含みます。 終了ノードは、プロキシ・チェーンの最後のポイントであり、発信元の宛先に直接接続します。
Webroot Web攻撃 クロスサイト・スクリプティング、iFrameインジェクション、SQLインジェクション、クロス・ドメインのインジェクションまたはドメイン・パスワードの総当たり攻撃に関連する既知のIPアドレスが含まれます。
Webroot Windowsのエクスプローラ アクティブなIPアドレスを提供するか、マルウェア、シェル・コード、ルート・キット、ワーム、またはウイルスを配布します。
ZueS 既知のC&Cサーバー/ホストを含むIPブロック・リスト。

CLIの使用

CLIを使用して、脅威のインテリジェンス・ソースをブロックできるようにします。

コマンド・プロンプトを開き、次のコマンドを実行してすべての脅威インテリジェンスのキーをリストします:

oci waas threat-feed list --waas-policy-id <policy_ocid>

次に、キーを解析してブロックし、JSONに追加します:

oci waas threat-feed update --threat-feeds '[{"key":"<key_id>","action":"BLOCK"}]' --waas-policy-id <policy_ocid>

次に例を示します。

oci waas threat-feed update --threat-feeds '[{"key":"0998d237-bce8-4612-82c8-a1ca126c0492","action":"BLOCK"}]' --waas-policy-id ocid1.waaspolicy.oc1..aaaaaaaapfa5zrwnns75kru7mrlzkkmcdevp7w55ld3phjxtgl4s2phuepjq

APIの使用

脅威インテリジェンスの有効化は、現時点ではAPIを使用してのみ実行できます。

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

脅威インテリジェンスに対してキーのセットを返すには:

ノート

次の例のキーは、キーが各ポリシーで一意であるため、使用しないでください。

    {
    	"8d3f7f1b-673f-4e3a-ba49-08226f385df3": "OFF",
    	"0ff7b308-6afe-4b83-91e0-e3ca04afed6e": "OFF",
    	"ea5d7c67-1326-43c9-ac31-1df034b9c063": "OFF",
    	"87b420ca-5fbb-4ad4-aeba-1b02a9e60b30": "OFF",
    	"2168fc70-2d05-466a-9db5-c13c0e32177d": "OFF",	
    	"7d080a4a-58ce-4370-a02c-f600b3a84e7b": "OFF",
    	"a36c7c50-e99e-4b84-9140-5653fc68ce8d": "OFF",
    	"5de7bbc1-313f-4995-9810-f6f77cfd30c9": "OFF",
    	"fd2152cc-14f5-4471-a58b-d94cc8a61444": "OFF",
    	"cfacd3d3-65d9-4368-93e0-62c906e7a748": "OFF",
    	"6eb86368-01ea-4e94-ac1b-49bf0e551443": "OFF",
    	"aabb45d9-0d75-481d-9568-58ecad217e1e": "OFF",
    	"3805ecc2-1d6d-428b-a03e-2a0fe77fd46f": "OFF",
    	"c3452861-4910-4f3a-9872-22cf92d424eb": "OFF",
    	"4cf31deb-11af-460e-a46a-ecc1946a6688": "OFF",
    	"eff34d63-6235-4081-976d-acd39248bdc3": "OFF",
    	"1d1c94d9-038b-45eb-acd4-fb422e281f4c": "OFF",
    	"687b5ff4-b1b6-4d12-8dba-3ea90b4536a1": "OFF",
    	"65cf274d-991b-41f8-adda-6fe60ba2704f": "OFF"
    }		

すべての脅威をDETECTに設定するには:

  • UpdateThreatFeeds
  • 本文:

    [
    {"action":"DETECT","key":"8d3f7f1b-673f-4e3a-ba49-08226f385df3"},
    {"action":"DETECT","key":"0ff7b308-6afe-4b83-91e0-e3ca04afed6e"},
    {"action":"DETECT","key":"ea5d7c67-1326-43c9-ac31-1df034b9c063"},
    {"action":"DETECT","key":"87b420ca-5fbb-4ad4-aeba-1b02a9e60b30"},
    {"action":"DETECT","key":"2168fc70-2d05-466a-9db5-c13c0e32177d"},
    {"action":"DETECT","key":"7d080a4a-58ce-4370-a02c-f600b3a84e7b"},
    {"action":"DETECT","key":"a36c7c50-e99e-4b84-9140-5653fc68ce8d"},
    {"action":"DETECT","key":"5de7bbc1-313f-4995-9810-f6f77cfd30c9"},
    {"action":"DETECT","key":"fd2152cc-14f5-4471-a58b-d94cc8a61444"},
    {"action":"DETECT","key":"cfacd3d3-65d9-4368-93e0-62c906e7a748"},
    {"action":"DETECT","key":"6eb86368-01ea-4e94-ac1b-49bf0e551443"},
    {"action":"DETECT","key":"aabb45d9-0d75-481d-9568-58ecad217e1e"},
    {"action":"DETECT","key":"3805ecc2-1d6d-428b-a03e-2a0fe77fd46f"},
    {"action":"DETECT","key":"d9cfc537-dd50-427d-830e-a612f535c11f"},
    {"action":"DETECT","key":"c3452861-4910-4f3a-9872-22cf92d424eb"},
    {"action":"DETECT","key":"4cf31deb-11af-460e-a46a-ecc1946a6688"},
    {"action":"DETECT","key":"eff34d63-6235-4081-976d-acd39248bdc3"},
    {"action":"DETECT","key":"1d1c94d9-038b-45eb-acd4-fb422e281f4c"},
    {"action":"DETECT","key":"687b5ff4-b1b6-4d12-8dba-3ea90b4536a1"},
    {"action":"DETECT","key":"65cf274d-991b-41f8-adda-6fe60ba2704f"}
    ]			

    これにより、202 Accepted HTTPステータスが返されます。つまり、エッジ・ノードに変更がプロビジョニングされるまで、ポリシーはUPDATING状態になります。