SecIntel 源概述和优势
SecIntel 提供来自瞻博网络 ATP 云、瞻博网络威胁实验室、动态地址组 (DAG) 的精心策划和验证的威胁情报,以及行业领先的威胁源到 MX 系列路由器、SRX 系列防火墙和 NFX 系列网络服务平台,以线速阻止命令和控制 (C&C) 通信。SecIntel 通过启用自动化和响应式流量过滤,提供实时威胁情报。
SecIntel 与 EX 系列和 QFX 系列交换机集成,使这些交换机能够订阅 SecIntel 受感染的主机源。这使您能够在交换机端口上阻止遭到入侵的主机。您现在可以将 SecIntel 扩展到整个网络,并增加安全实施点的数量。
SecIntel 源的优势
您可以查看当前许可证提供的所有默认源。
使用此页面,您可以启用以下源以与瞻博网络 ATP 云集成。
-
瞻博网络威胁源
-
第三方威胁源 — IP 威胁源和 URL 威胁源。
-
动态地址组源 - 瞻博网络 DAG 源和第三方 DAG 源。
SecIntel 源的过期取决于生存时间 (TTL) 值,该值对于每个源都不同。
CC 源总数为 32 个,其中 4 个源预留给 cc_ip、cc_url、cc_ipv6 和 cc_cert_sha1。因此,您最多可以为 CC 类别启用 28 个源,其中包括 CC 自定义源和 CC 第三方源。如果您使用可用的开放式 API 注入额外的源,则此限制适用。
要了解的是否启用外部源的信息:
-
如果在已启用的外部源上检测到命中,则此事件将显示在威胁级别为 10 的 “监视 > 威胁源 ”下。
-
在注册的 SRX 系列防火墙上,您可以使用每个源的允许或阻止操作配置策略。请注意,C&C 和受感染的主机源需要在 SRX 系列防火墙上启用安全智能策略才能正常工作。
-
外部源每 24 小时更新一次。
请注意,这些都是由第三方管理的开源源,源的准确性由瞻博网络 ATP 云管理员自行决定。瞻博网络不会调查这些信息源产生的误报。
配置的 SRX 系列策略将基于启用的第三方源阻止恶意 IP 地址,但这些事件不会影响主机威胁评分。只有来自瞻博网络 ATP 云源的事件才会影响主机威胁评分。
要启用可用源,请执行以下操作:
-
导航到配置>源配置> SecIntel 源。
-
对于每个源,选择切换按钮以启用源。请参阅 表 1 中的指南。
注意:已为所有许可证层启用受感染的主机源。有关所有其他瞻博网络 SecIntel 源的许可信息,请参阅 ATP 云软件许可。
点击 转到 Feed 网站 链接,即可查看 Feed 信息,包括 Feed 的内容。
表 1:SecIntel 源 田
指引
瞻博网络威胁源 命令与控制
显示是否启用了 C&C 源。
恶意域
显示是否启用了 DNS 源。
受感染的主机信息源
显示是否启用了受感染的主机信息源。
第三方威胁源 IP 威胁信息源
阻止列表
单击切换按钮,将阻止列表源启用为第三方源。
预定义的云源名称 — cc_ip_blocklist。
威胁fox IP
单击切换按钮以将 Threatfox 源启用为第三方源。
预定义的云源名称 — cc_ip_threatfox。
Feodo 追踪器
单击切换按钮以将 Feodo 提要启用为第三方提要。
预定义的云信息源名称 — cc_ip_feodotracker。
DShield
单击切换按钮,将 DShield 源启用为第三方源。
预定义的云信息源名称 — cc_ip_dhield。
托尔
单击切换按钮以将 tor 源启用为第三方源。
预定义的云源名称 — cc_ip_tor。
URL 威胁信息源
Threatfox URL
单击切换按钮以将 Threatfox 源启用为第三方源。ThreatFox 是 abuse.ch 提供的免费平台,旨在与信息安全社区、AV 供应商和威胁情报提供商共享与恶意软件相关的入侵指标 (IOC)。IOC 可以是 IP 地址、域名或 URL。
预定义的云源名称 — cc_url_threatfox。
URLhaus URL 威胁信息源
单击切换按钮以将 URLhaus 源启用为第三方源。URLhaus 是一个威胁情报源,可共享用于分发恶意软件的恶意 URL。
预定义的云源名称 — cc_url_urlhaus。
开放式网络钓鱼
单击切换按钮以将 OpenPhish 源启用为第三方源。OpenPhish 是一个完全自动化的独立网络钓鱼情报平台。它可识别网络钓鱼站点并实时执行情报分析,无需人工干预,也无需使用任何外部资源(如黑名单)。对于恶意软件检查,SecIntel 将使用此源中的 URL 分析流量。
预定义的云源名称 — cc_url_openphish。
域威胁源
Threatfox 域
单击切换按钮以将 Threatfox 源启用为第三方源。
预定义的云信息源名称 — cc_domain_threatfox。
动态地址组源 瞻博网络 DAG 源
GeoIP 源
显示是否启用了 GeoIP 源。GeoIP 源是 IP 地址到地理区域的最新映射。这使您能够过滤往返于世界特定地理位置的流量。
第三方 DAG 源
Office365
单击切换按钮,将 office365 IP 筛选器源启用为第三方源。office365 IP 筛选器源是可在安全策略中使用的 Office 365 服务终结点的已发布 IP 地址的最新列表。此源的工作方式与此页面上的其他源不同,需要特定的配置参数,包括预定义的云源名称“ipfilter_office365”。请参阅本页底部的更多说明,包括使用此源的命令
set security dynamic-address
用法。预定义的云信息源名称 — ipfilter_office365
脸书
点击切换按钮以启用来自 Facebook 的 Feed。
预定义的云信息源名称 — ipfilter_facebook
谷歌
点击切换按钮以启用来自 Google 的 Feed。
预定义的云信息源名称 — ipfilter_google
Atlassian
单击切换按钮以启用来自 Atlassian 的源。
预定义的云信息源名称 — ipfilter_atlassian
Zscaler
单击切换按钮以启用来自 Zscaler 的提要。
预定义的云信息源名称 — ipfilter_zscaler
zpa zscaler
单击切换按钮以启用来自 Zscaler Private Access (ZPA) 的源。ZPA 服务提供对组织内应用和服务的安全访问。
预定义的云信息源名称 — ipfilter_zscaler_zpa
甲骨文
单击切换按钮以启用来自 Oracle oci 的源。
预定义的云信息源名称 — ipfilter_oracleoci
Cloudflare
单击切换按钮以启用来自 Cloudflare 的提要。
预定义的云信息源名称 — ipfilter_cloudflare
缩放
单击切换按钮以启用来自 Zoom 的提要。
预定义的云源名称 — ipfilter_zoom
微软Azure
单击切换按钮以启用来自 Microsoft Azure 的源。
预定义的云信息源名称 — ipfilter_microsoftazure
亚马逊
单击切换按钮以启用来自 Amazon AWS 的源。
预定义的云源名称 — ipfilter_amazonaws
您可以筛选和查看与您相关的 AWS 区域和服务中的 DAG 源。要配置 DAG 筛选器,请执行以下操作:
-
单击 配置。
此时将显示“DAG 筛选器”页面。有关详细信息,请参阅 配置 DAG 筛选器。
Okta
单击切换按钮以启用来自 Okta 的提要。
预定义的云信息源名称 — ipfilter_okta
PayPal
单击切换按钮以启用来自 PayPal 的 Feed。
预定义的云信息源名称 — ipfilter_PayPal
注意:-
从 Junos OS 19.4R1 版开始,瞻博网络 ATP 云支持第三方 URL 源。
-
由于不推荐使用勒索软件跟踪器和恶意软件域列表,因此瞻博网络 ATP 云不支持勒索软件跟踪器和恶意软件域列表 IP 源。如果您之前启用了此 Feed,则可能会停止接收这些 Feed。
- 第三方 Internet 服务源的更新间隔为一天。
-
-
与其他 C&C 和受感染的主机源一样,启用的第三方源需要在 SRX 系列防火墙上安装安全智能策略才能正常工作。此处提供了示例命令。有关更多信息,请参阅《 瞻博网络高级威胁防御云 CLI 参考指南 》。
-
在 SRX 系列防火墙上: 配置安全智能配置文件
set services security-intelligence profile secintel_profile category CC
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9
set services security-intelligence profile secintel_profile rule secintel_rule then action block close
set services security-intelligence profile secintel_profile rule secintel_rule then log
set services security-intelligence profile secintel_profile default-rule then action permit
set services security-intelligence profile secintel_profile default-rule then log
set services security-intelligence profile ih_profile category Infected-Hosts
set services security-intelligence profile ih_profile rule ih_rule match threat-level 10
set services security-intelligence profile ih_profile rule ih_rule then action block close
set services security-intelligence profile ih_profile rule ih_rule then log
set services security-intelligence policy secintel_policy Infected-Hosts ih_profile
set services security-intelligence policy secintel_policy CC secintel_profile
-
-
还必须将安全智能策略添加到 SRX 系列防火墙策略中。
-
在 SRX 系列防火墙上: 配置安全策略(输入以下命令可在 SRX 系列防火墙上为检查配置文件创建安全策略。)
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut
set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy
有关使用可用 CLI 命令将 SRX 系列与瞻博网络 ATP 云进行配置的更多信息,请参阅 《瞻博网络高级威胁防御云 CLI 参考指南》。
-
使用 office365 源
-
在瞻博网络 ATP 云中启用使用office365 源 复选框,将 Microsoft Office 365 服务端点信息(IP 地址)推送到 SRX 系列防火墙。office365 源的工作方式与此页上的其他源不同,需要某些配置参数,包括预定义的名称“ipfilter_office365”。
-
启用该复选框后,必须在 SRX 系列 防火墙上创建一个动态地址对象,该对象引用ipfilter_office365源,如下所示:
-
set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365
注意:然后,安全策略可以引用源地址或目标地址中的动态地址条目名称(此例中为“office365”)。
示例安全策略如下:
policy o365 { match { source-address any; destination-address office365; application any; } then { deny; log { session-init; } } }
-
使用以下命令验证 office365 源是否已推送到 SRX 系列防火墙。Update status
( 应显示 Store succeeded.
)
-
show services security-intelligence category summary
Category name :IPFilter Status :Enable Description :IPFilter data Update interval :3600s TTL :3456000s Feed name :ipfilter_office365 Version :20180405.1 Objects number:934 Create time :2018-04-16 07:05:33 PDT Update time :2018-04-16 12:17:47 PDT Update status :Store succeeded Expired :No Options :N/A
使用以下命令显示 IPFILTER 下的所有单个源。
-
show security dynamic-address category-name IPFilter
No. IP-start IP-end Feed Address 1 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 2 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 3 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 4 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 5 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 6 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 7 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 8 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 9 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 10 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 11 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 12 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 13 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365