política avançada contra malware | Junos OS

Sintaxe

Nível de hierarquia

Descrição

A conexão com o Juniper Advanced Threat Prevention Cloud é lançada sob demanda. Ele só é estabelecido quando uma condição é atendida e um arquivo ou URL deve ser enviado para a nuvem. A nuvem inspeciona o arquivo e retorna um número de veredicto (1 a 10). Um número de veredicto é uma pontuação ou nível de ameaça. Quanto maior o número, maior a ameaça de malware. O firewall da Série SRX compara este número de veredicto com as configurações de políticas de nuvem de prevenção de ameaças avançadas da Juniper e permite ou nega a sessão. Se a sessão for negada, um pacote de reset é enviado ao cliente e os pacotes são retirados do servidor.

As políticas de nuvem de prevenção de ameaças avançadas da Juniper se anexam às políticas de segurança do Junos OS, definindo as ações a serem tomadas quando um arquivo é considerado malware ou quando uma tentativa é feita para baixar um arquivo de um local que esteja em uma lista de bloqueio ou lista personalizada.

Use este comando para configurar a política de nuvem avançada contra ameaças da Juniper.

Opções

policy-name	Nome da política de nuvem avançada contra ameaças da Juniper. Nota: A partir do Junos OS Release 18.2R1, para políticas unificadas, pode `default-policy` ser usado para políticas anti-malware e inteligência de segurança. Os comandos são: `set services security-intelligence default-policy` e `set services advanced-anti-malware default-policy`. Durante a fase inicial de pesquisa de políticas, que ocorre antes de um aplicativo dinâmico ser identificado, se houver várias políticas presentes na lista de políticas potenciais que contém diferentes políticas de inteligência de segurança ou anti-malware, o firewall da Série SRX aplica a política padrão até que ocorra uma correspondência mais explícita. Consulte o Guia de administração de nuvem do Juniper ATP e sua documentação da Série SRX para obter mais detalhes sobre políticas unificadas.
blacklist-notification	(Opcional) Crie uma entrada de log do sistema quando uma tentativa de acessar um site listado no arquivo de blocklist for feita. Use `blacklist-notification log` para criar uma entrada de log. Se você não quiser criar uma entrada de log, não especifique a opção `blacklist-notification` .
default-notification	Crie uma entrada de log do sistema se a nuvem devolver um veredito número menor do que o limiar de veredito. Use `default-notification log` para criar uma entrada de log. Se você não quiser criar uma entrada de log, não especifique a opção `default-notification` .
fallback-options (action block \| action permit)	A ação a ser tomada quando o firewall da Série SRX fica sem recursos ou a conexão com a nuvem é perdida. O padrão é `action permit`.
fallback-options	(Opcional) Crie uma entrada de log do sistema quando ocorrer o fallback. Use `fallback-options notification log` para criar uma entrada de log. Se você não quiser criar uma entrada de log, não especifique a opção `fallback-options notification` .
http	Este comando permite que você inspecione arquivos avançados anti-malware (AAMW) baixados por hosts através do protocolo Hypertext Transfer Protocol (HTTP). Os arquivos AAMW são então enviados ao Juniper ATP Cloud para triagem de malwares.
http action (permit \| block)	Esse comando permite que você permita ou bloqueie malwares com base no malware detectado. A partir da versão 21.3R1 do Junos OS, quando a ação http for definida como bloco, o arquivo de malware detectado será bloqueado imediatamente após a assinatura da correspondência. O Juniper ATP Cloud não receberá o arquivo completo para análise, em vez disso, receberá uma notificação do evento atingido por malware. Você pode visualizar as informações de malware Juniper ATP Cloud Portal. A guia parcial do arquivo exibe as informações de eventos de sucesso do malware para todas as detecções de correspondência de assinaturas bloqueadas.
http(s) client-notify (message \| file \| redirect-url)	(A partir do lançamento do Junos OS 19.3R1) Esse comando permite configurar o redirecionamento de URL HTTP para uma notificação personalizada do cliente com base em malware detectado com a ação do bloco.
http(s) file-verdict-unknown (permit \| block)	(A partir do Junos 19.3R1) Esse comando permite que você permita ou bloqueie malwares com base no malware detectado tendo um veredito de "desconhecido". Por padrão, é permitido um malware "desconhecido".
smb	(A partir do Junos 21.1R1) Este comando permite que você inspecione arquivos avançados anti-malware (AAMW) baixados por hosts através do protocolo Server Message Block (SMB). Os arquivos AAMW são então enviados ao Juniper ATP Cloud para triagem de malwares. Nota: A partir do Junos OS Release 21.3R1, o SMB oferece suporte ao modo de bloqueio, além do modo de permissão. A criptografia SMBv3 não é suportada. A SMB multicanal não é suportada.
inspection-profile	Nome do perfil da Juniper Advanced Threat Prevention Cloud. Este perfil define quais tipos de arquivo ou categorias de arquivo devem ser enviadas à nuvem para inspeção.
match verdict-threshold	O limiar de veredicto define o número em que você deseja rotular um arquivo como malware. Por exemplo, se você definir o limiar de veredicto para 7 e a nuvem retornar um número de veredicto de 7 ou maior, então esse arquivo é considerado malware. o limiar de veredicto pode ser qualquer número entre 1 e 10, inclusive.
then notification	(Opcional) Crie uma entrada de log do sistema se a nuvem devolver um número de veredito igual ou maior do que o limiar de veredito. Use `then notification log` para criar uma entrada de log. Se você não quiser criar uma entrada de log, não especifique a opção `then notification` .
whitelist-notification	(Opcional) Crie uma entrada de log do sistema quando uma tentativa de acessar um site listado no arquivo de lista de permitidos for feita. Use `whitelist-notification log` para criar uma entrada de log. Se você não quiser criar uma entrada de log, não especifique a opção `whitelist-notification` .

A Tabela 1 mostra exemplos de uso das opções de políticas de nuvem do Juniper Advanced Threat Prevention.

Tabela 1: Adições da política de segurança de nuvem do Juniper Advanced Threat Prevention
Adição	Descrição
Ação e notificação com base no número e limite do veredicto	Define o valor limiar e o que fazer quando o número de veredicto é maior ou igual ao limite. Por exemplo, se o limite for de 7 e o Juniper Advanced Threat Prevention Cloud devolver um veredito de 9 para um arquivo, esse arquivo será bloqueado de ser baixado e uma entrada de log é criada. set services advanced-anti-malware policy aamwpol1 match verdict-threshold 7 set services advanced-anti-malware policy aamwpol1 then action block set services advanced-anti-malware policy aamwpol1 then notification log
Ação e notificação padrão	Define o que fazer quando o número do veredicto é menor que o limite. Por exemplo, se o limite for de 7 e o Juniper Advanced Threat Prevention Cloud devolver um veredito de 3 para um arquivo, esse arquivo pode ser baixado e criar uma entrada de log. set services advanced-anti-malware policy aamwpol1 default-notification log
Nome do perfil da inspeção	Nome do perfil da Juniper Advanced Threat Prevention Cloud que define os tipos de arquivo para digitalizar. set services advanced-anti-malware policy aamwpol1 inspection-profile profile1
Opções de fallback	Define o que fazer quando ocorrem condições de erro ou quando há falta de recursos. As seguintes opções de fallback estão disponíveis: ação — permitir ou bloquear o arquivo, independentemente de seu nível de ameaça. notificação — Adicione ou não adicione este evento ao arquivo de log. set services advanced-anti-malware policy aamwpol1 fallback-options action block set services advanced-anti-malware policy aamwpol1 fallback-options notification log As seguintes opções de fallback estão disponíveis: tamanho de conteúdo inválido — o tamanho do conteúdo excede o intervalo suportado sem recursos — o serviço está sem recursos serviço não pronto — o serviço ainda não está pronto tempo limite de envio — o envio é cronometrado arquivo desconhecido — O tipo de arquivo é desconhecido tempo limite do veredicto — O veredicto está esgotado Se nenhuma das condições de recuo listada for atingida, a opção de recuo padrão será aplicada.
Notificação da lista de bloqueio	Define se criará uma entrada de log ao tentar baixar um arquivo de um site listado no arquivo blocklist. set services advanced-anti-malware policy aamwpol1 blacklist-notification log
Notificação da Whitelist	Define se deve criar uma entrada de log ao tentar baixar um arquivo de um site listado no arquivo de lista de habilitação. set services advanced-anti-malware policy aamwpol1 whitelist-notification log
Notificação do usuário de malware em ação em bloco	(A partir do Junos 19.3R1) Esse comando permite configurar o redirecionamento de URL HTTP e HTTPS para uma notificação personalizada do cliente com base em malware detectado com a ação do bloco. Uma mensagem de bloqueio só pode ser enviada quando uma ação em bloco é configurada. Nota: Consulte os serviços de solicitação de um arquivo de redirecionamento avançado anti-malware para obter detalhes sobre a inclusão de um arquivo personalizado. set services advanced-anti-malware policy p1 http client-notify message set services advanced-anti-malware policy p1 http client-notify file set services advanced-anti-malware policy p1 http client-notify redirect-url <enter URL>
Bloqueie ou permita malware quando o veredito do arquivo for "desconhecido"	(A partir do Junos 19.3R1) Este comando permite que você permita ou bloqueie malware com base no arquivo detectado tendo um veredito de "desconhecido". Por padrão, um veredito de arquivo "desconhecido" é permitido. (Observe que isso só se aplica ao tráfego HTTP e HTTPS.) set services advanced-anti-malware policy p1 http file-verdict-unknown <block\|permit>

Nível de privilégio exigido

Ver

Informações de versão

Comando introduzido no Junos OS Release 15.1X49-D33.

A opção SMB é introduzida no Junos OS Release 21.1R1.

NESTA PÁGINA

advanced-anti-malware policy