Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral e benefícios dos feeds do SecIntel

A SecIntel coleta inteligência de ameaças cuidadosamente selecionada e verificada de:

  • Nuvem ATP da Juniper

  • Laboratórios de ameaças da Juniper

  • Grupo de Endereço Dinâmico (DAG)

  • Feeds de ameaças líderes do setor

A SecIntel oferece essa inteligência aos roteadores da Série MX, firewalls da Série SRX e Plataforma de serviços de rede da Série NFX para bloquear comunicações de comando e controle (C&C) na taxa de linha. O SecIntel oferece inteligência de ameaças em tempo real, permitindo a filtragem de tráfego automática e responsiva.

A SecIntel se integra com os Switches da Série EX e os Switches da Série QFX e permite que esses switches assinem o feed de host infectado da SecIntel. Essa integração permite bloquear hosts comprometidos na porta do switch. Agora você pode estender o SecIntel por toda a sua rede e aumentar o número de pontos de aplicação de segurança.

Benefícios dos feeds SecIntel

Você pode visualizar todos os feeds padrão disponíveis com sua licença atual.

Usando esta página, você pode habilitar os seguintes feeds para integração com o Juniper ATP Cloud.

  • Feeds de ameaças da Juniper

  • Feeds de ameaças de terceiros — feeds de ameaças de IP e feeds de ameaças de URL.

  • Feeds dinâmicos de grupos de endereços — feeds do Juniper DAG e feeds do DAG de terceiros.

Observação:

A expiração dos feeds SecIntel depende do valor de vida útil (TTL), que é diferente para cada feed.
Observação:

O número total de feeds C&C é 32, dos quais quatro feeds são reservados para cc_ip, cc_url, cc_ipv6 e cc_cert_sha1. Assim, você pode habilitar até 28 feeds para a categoria C&C, que inclui feeds personalizados C&C e feeds de terceiros. Esse limite será aplicável se você estiver injetando feeds adicionais usando a API aberta disponível.

Informações para saber se você está habilitando feeds externos:

  • Se um hit for detectado em um feed externo habilitado, esse evento aparecerá em Monitorar > Fontes de Ameaças com um nível de ameaça de 10.

  • Nos firewalls da Série SRX inscritos, você pode configurar políticas com a ação de permissão ou bloqueio para cada feed. Observe que os feeds de C&C e host infectado exigem uma política SecIntel habilitada no firewall da Série SRX para funcionar.

  • Os feeds externos são atualizados uma vez a cada 24 horas.

Atenção:

Esses feeds de código aberto são gerenciados por terceiros e a determinação da precisão do feed é deixada para o administrador do Juniper ATP Cloud. A Juniper não investigará falsos positivos gerados por esses feeds.
Atenção:

As políticas de firewall da Série SRX configuradas bloquearão endereços IP mal-intencionados com base nos feeds de terceiros habilitados, mas esses eventos não afetam as pontuações de ameaças ao host. Somente os eventos do feed do Juniper ATP Cloud afetam as pontuações de ameaças do host.

Para habilitar os feeds disponíveis, faça o seguinte:

  1. Navegue até Configurar > Feeds de Configuração > SecIntel Feeds.

  2. Para cada feed, selecione o botão de alternância para ativar o feed. Consulte as diretrizes na Tabela 1.

    Observação:

    O feed de host infectado é habilitado para todos os níveis de licença. Para obter informações de licenciamento sobre todos os outros feeds do Juniper SecIntel, consulte Licenças de software para o ATP Cloud.

    Clique no link Ir para o site do feed para exibir informações do feed, incluindo o conteúdo do feed.

    Tabela 1: Feeds do SecIntel

    Âmbito de aplicação

    Diretrizes
    Feeds de ameaças da Juniper

    Comando e controle

    Exibe se o feed C&C está ativado ou não.

    Domínios maliciosos

    Exibe se o feed DNS está habilitado ou não.

    Feed de host infectado

    Exibe se o feed de host infectado está ativado ou não.
    Feeds de ameaças de terceiros

    Feeds de ameaças de IP

    Lista de bloqueio

    Clique no botão de alternância para ativar os feeds da lista de bloqueios como feeds de terceiros.

    Nome do feed nuvem predefinido — cc_ip_blocklist.

    Threatfox IP

    Clique no botão de alternância para ativar os feeds do Threatfox como feeds de terceiros.

    Nome do feed nuvem predefinido — cc_ip_threatfox.

    Feodo Tracker

    Clique no botão de alternância para ativar os feeds do Feodo como feeds de terceiros.

    Nome do feed nuvem predefinido — cc_ip_feodotracker.

    DShield

    Clique no botão de alternância para ativar os feeds DShield como feeds de terceiros.

    Nome do feed nuvem predefinido — cc_ip_dhield.

    Tor

    Clique no botão de alternância para habilitar os feeds do tor como feeds de terceiros.

    Nome do feed nuvem predefinido — cc_ip_tor.

    Feeds de ameaças de URL

    Threatfox URL

    Clique no botão de alternância para habilitar o feed Threatfox como feeds de terceiros. ThreatFox é uma plataforma gratuita da abuse.ch com o objetivo de compartilhar indicadores de comprometimento (IoC) associados a malware com a comunidade de segurança da informação, fornecedores de antivírus e provedores de inteligência de ameaças. O IOC pode ser um endereço IP, nome de domínio ou URL.

    Nome do feed nuvem predefinido — cc_url_threatfox.

    Feed de ameaças de URL da URLhaus

    Clique no botão de alternância para ativar o feed URLhaus como feeds de terceiros. URLhaus é um feed de inteligência de ameaças que compartilha URLs maliciosas usadas para distribuição de malware.

    Nome do feed nuvem predefinido — cc_url_urlhaus.

    Open Phish

    Clique no botão de alternância para ativar o feed OpenPhish como feeds de terceiros. O OpenPhish é uma plataforma totalmente automatizada e independente para inteligência de phishing. Ele identifica sites de phishing e realiza análises de inteligência em tempo real sem intervenção humana e sem usar nenhum recurso externo, como listas de bloqueio. Para inspeção de malware, a SecIntel analisará o tráfego usando URLs neste feed.

    Nome do feed nuvem predefinido — cc_url_openphish.

    Feeds de ameaças de domínio

    Domínios Threatfox

    Clique no botão de alternância para habilitar o feed Threatfox como feeds de terceiros.

    Nome do feed nuvem predefinido — cc_domain_threatfox.
    Feeds dinâmicos de grupos de endereços

    Juniper DAG Feeds

    GeoIP Feed

    Exibe se o feed GeoIP está habilitado ou não. O feed GeoIP é um mapeamento atualizado de endereços IP para regiões geográficas. Isso permite que você filtre o tráfego de e para regiões geográficas específicas no mundo.

    Feeds DAG de terceiros

    Office365

    Clique no botão de alternância para habilitar o feed de filtro de IP do Office365 como um feed de terceiros. O feed de filtro de IP do Office365 é uma lista atualizada de endereços IP publicados para pontos de extremidade de serviço do Office 365 que você pode usar em políticas de segurança. Esse feed funciona de maneira diferente dos outros nesta página e requer determinados parâmetros de configuração, incluindo um nome de feed de nuvem predefinido de "ipfilter_office365". Veja mais instruções na parte inferior desta página, incluindo o uso do set security dynamic-address comando para usar esse feed.

    Nome do feed de nuvem predefinido — ipfilter_office365

    Linkedin

    Clique no botão de alternância para ativar os feeds do Facebook.

    Nome do feed nuvem predefinido — ipfilter_facebook

    Google

    Clique no botão de alternância para ativar os feeds do Google.

    Nome do feed nuvem predefinido — ipfilter_google

    Atlassian

    Clique no botão de alternância para ativar feeds da Atlassian.

    Nome do feed nuvem predefinido — ipfilter_atlassian

    Zscaler

    Clique no botão de alternância para ativar os feeds do Zscaler.

    Nome do feed de nuvem predefinido — ipfilter_zscaler

    ZPA Zscaler

    Clique no botão de alternância para ativar feeds do Zscaler Private Access (ZPA). O serviço ZPA fornece acesso seguro aos aplicativos e serviços em sua organização.

    Nome do feed de nuvem predefinido — ipfilter_zscaler_zpa

    Oráculo

    Clique no botão de alternância para ativar feeds do Oracle oci.

    Nome do feed nuvem predefinido — ipfilter_oracleoci

    Cloudflare

    Clique no botão de alternância para habilitar feeds da Cloudflare.

    Nome do feed nuvem predefinido — ipfilter_cloudflare

    zoom

    Clique no botão de alternância para ativar os feeds do Zoom.

    Nome do feed nuvem predefinido — ipfilter_zoom

    MicrosoftAzure

    Clique no botão de alternância para habilitar feeds do Microsoft Azure.

    Nome do feed nuvem predefinido — ipfilter_microsoftazure

    Você pode filtrar e exibir os feeds do DAG de regiões e serviços do Azure que são relevantes para você. Para configurar filtros DAG para feeds do Azure, clique em Configurar e siga as instruções em Adicionar e gerenciar filtros DAG.

    amazonaws

    Clique no botão de alternância para habilitar feeds da AWS.

    Nome do feed nuvem predefinido — ipfilter_amazonaws

    Você pode filtrar e visualizar os feeds do DAG de regiões e serviços da AWS que são relevantes para você. Para configurar filtros do DAG para feeds da AWS, clique em Configurar e siga as instruções em Adicionar e gerenciar filtros do DAG.

    Okta

    Clique no botão de alternância para ativar feeds do Okta.

    Nome do feed nuvem predefinido — ipfilter_okta

    PayPal

    Clique no botão de alternância para ativar feeds do PayPal.

    Nome predefinido do feed de nuvem— ipfilter_PayPal
    Observação:

    • A partir do Junos OS Release 19.4R1, os feeds de URL de terceiros são suportados no Juniper ATP Cloud.

    • Como o rastreador de ransomware e a lista de domínios de malware estão obsoletos, os feeds de IP do rastreador de ransomware e da lista de domínios de malware não são suportados no Juniper ATP Cloud. Se você tiver habilitado esse feed anteriormente, poderá parar de recebê-los.

    • O intervalo de atualização para um feed de serviço de Internet de terceiros é de um dia.

  3. Como outros feeds de host infectados e C&C, os feeds de terceiros habilitados exigem uma política da SecIntel no firewall da Série SRX para funcionar. Exemplos de comandos são fornecidos aqui. Consulte o Guia de referência da CLI da Juniper Advanced Threat Prevention Cloud para obter mais informações.

    No firewall da Série SRX, configure um perfil SecIntel

    set services security-intelligence profile secintel_profile category CC

    set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

    set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

    set services security-intelligence profile secintel_profile rule secintel_rule then action block close

    set services security-intelligence profile secintel_profile rule secintel_rule then log

    set services security-intelligence profile secintel_profile default-rule then action permit

    set services security-intelligence profile secintel_profile default-rule then log

    set services security-intelligence profile ih_profile category Infected-Hosts

    set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

    set services security-intelligence profile ih_profile rule ih_rule then action block close

    set services security-intelligence profile ih_profile rule ih_rule then log

    set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

    set services security-intelligence policy secintel_policy CC secintel_profile

  4. A política SecIntel também deve ser adicionada a uma política de firewall da Série SRX.

    No firewall da Série SRX, configure uma Política de Segurança. Insira os comandos a seguir para criar uma política de segurança no firewall da Série SRX para os perfis de inspeção.

    set security policies from-zone trust to-zone untrust policy 1 match source-address any

    set security policies from-zone trust to-zone untrust policy 1 match destination-address any

    set security policies from-zone trust to-zone untrust policy 1 match application any

    set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

    set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

    Para obter mais informações sobre como configurar a Série SRX com o Juniper ATP Cloud usando os comandos de CLI disponíveis, consulte o Guia de referência de CLI do Juniper Advanced Threat Prevention Cloud.

Usando o Feed do Office365

  1. Ative a caixa de seleçãoUsando o Office 365 Feed no Juniper ATP Cloud para enviar informações de endpoint de serviços do Microsoft Office 365 (endereços IP) para o Firewall da Série SRX. O feed do office365 funciona de forma diferente de outros feeds nesta página e requer determinados parâmetros de configuração, incluindo um nome predefinido de "ipfilter_office365".

  2. Depois de habilitar a caixa de seleção, você deve criar um objeto de endereço dinâmico no Série SRX Firewall que se refira ao feed ipfilter_office365 da seguinte maneira:

    set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

    Observação:

    Uma política de segurança pode então fazer referência ao nome de entrada de endereço dinâmico ('office365' neste exemplo) no endereço de origem ou destino.

    Um exemplo de política de segurança é o seguinte:

Use o comando a seguir para verificar se o feed do office365 foi enviado por push para o Firewall da Série SRX. Update Status deve exibir Store succeeded..

show services security-intelligence category summary

Use o comando a seguir para mostrar todos os feeds individuais em IPFILTER.

show security dynamic-address category-name IPFilter

Documentação relacionada