Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SecIntel 源概述和优势

SecIntel 提供来自瞻博网络 ATP 云、瞻博网络威胁实验室、动态地址组 (DAG) 的精心策划和验证的威胁情报,以及行业领先的威胁源到 MX 系列路由器、SRX 系列防火墙和 NFX 系列网络服务平台,以线速阻止命令和控制 (C&C) 通信。SecIntel 通过启用自动化和响应式流量过滤,提供实时威胁情报。

SecIntel 与 EX 系列和 QFX 系列交换机集成,使这些交换机能够订阅 SecIntel 受感染的主机源。这使您能够在交换机端口上阻止遭到入侵的主机。您现在可以将 SecIntel 扩展到整个网络,并增加安全实施点的数量。

SecIntel 源的优势

您可以查看当前许可证提供的所有默认源。

使用此页面,您可以启用以下源以与瞻博网络 ATP 云集成。

  • 瞻博网络威胁源

  • 第三方威胁源 — IP 威胁源和 URL 威胁源。

  • 动态地址组源 - 瞻博网络 DAG 源和第三方 DAG 源。

注意:

SecIntel 源的过期取决于生存时间 (TTL) 值,该值对于每个源都不同。

注意:

CC 源总数为 32 个,其中 4 个源预留给 cc_ip、cc_url、cc_ipv6 和 cc_cert_sha1。因此,您最多可以为 CC 类别启用 28 个源,其中包括 CC 自定义源和 CC 第三方源。如果您使用可用的开放式 API 注入额外的源,则此限制适用。

要了解的是否启用外部源的信息:

  • 如果在已启用的外部源上检测到命中,则此事件将显示在威胁级别为 10 的 “监视 > 威胁源 ”下。

  • 在注册的 SRX 系列防火墙上,您可以使用每个源的允许或阻止操作配置策略。请注意,C&C 和受感染的主机源需要在 SRX 系列防火墙上启用安全智能策略才能正常工作。

  • 外部源每 24 小时更新一次。

警告:

请注意,这些都是由第三方管理的开源源,源的准确性由瞻博网络 ATP 云管理员自行决定。瞻博网络不会调查这些信息源产生的误报。

警告:

配置的 SRX 系列策略将基于启用的第三方源阻止恶意 IP 地址,但这些事件不会影响主机威胁评分。只有来自瞻博网络 ATP 云源的事件才会影响主机威胁评分。

要启用可用源,请执行以下操作:

  1. 导航到配置>配置> SecIntel 源。

  2. 对于每个源,选择切换按钮以启用源。请参阅 表 1 中的指南。

    注意:

    已为所有许可证层启用受感染的主机源。有关所有其他瞻博网络 SecIntel 源的许可信息,请参阅 ATP 云软件许可

    点击 转到 Feed 网站 链接,即可查看 Feed 信息,包括 Feed 的内容。

    表 1:SecIntel 源

    指引

    瞻博网络威胁源

    命令与控制

    显示是否启用了 C&C 源。

    恶意域

    显示是否启用了 DNS 源。

    受感染的主机信息源

    显示是否启用了受感染的主机信息源。

    第三方威胁源

    IP 威胁信息源

    阻止列表

    单击切换按钮,将阻止列表源启用为第三方源。

    预定义的云源名称 — cc_ip_blocklist。

    威胁fox IP

    单击切换按钮以将 Threatfox 源启用为第三方源。

    预定义的云源名称 — cc_ip_threatfox。

    Feodo 追踪器

    单击切换按钮以将 Feodo 提要启用为第三方提要。

    预定义的云信息源名称 — cc_ip_feodotracker。

    DShield

    单击切换按钮,将 DShield 源启用为第三方源。

    预定义的云信息源名称 — cc_ip_dhield。

    托尔

    单击切换按钮以将 tor 源启用为第三方源。

    预定义的云源名称 — cc_ip_tor。

    URL 威胁信息源

    Threatfox URL

    单击切换按钮以将 Threatfox 源启用为第三方源。ThreatFox 是 abuse.ch 提供的免费平台,旨在与信息安全社区、AV 供应商和威胁情报提供商共享与恶意软件相关的入侵指标 (IOC)。IOC 可以是 IP 地址、域名或 URL。

    预定义的云源名称 — cc_url_threatfox。

    URLhaus URL 威胁信息源

    单击切换按钮以将 URLhaus 源启用为第三方源。URLhaus 是一个威胁情报源,可共享用于分发恶意软件的恶意 URL。

    预定义的云源名称 — cc_url_urlhaus。

    开放式网络钓鱼

    单击切换按钮以将 OpenPhish 源启用为第三方源。OpenPhish 是一个完全自动化的独立网络钓鱼情报平台。它可识别网络钓鱼站点并实时执行情报分析,无需人工干预,也无需使用任何外部资源(如黑名单)。对于恶意软件检查,SecIntel 将使用此源中的 URL 分析流量。

    预定义的云源名称 — cc_url_openphish。

    域威胁源

    Threatfox 域

    单击切换按钮以将 Threatfox 源启用为第三方源。

    预定义的云信息源名称 — cc_domain_threatfox。

    动态地址组源

    瞻博网络 DAG 源

    GeoIP 源

    显示是否启用了 GeoIP 源。GeoIP 源是 IP 地址到地理区域的最新映射。这使您能够过滤往返于世界特定地理位置的流量。

    第三方 DAG 源

    Office365

    单击切换按钮,将 office365 IP 筛选器源启用为第三方源。office365 IP 筛选器源是可在安全策略中使用的 Office 365 服务终结点的已发布 IP 地址的最新列表。此源的工作方式与此页面上的其他源不同,需要特定的配置参数,包括预定义的云源名称“ipfilter_office365”。请参阅本页底部的更多说明,包括使用此源的命令 set security dynamic-address 用法。

    预定义的云信息源名称 — ipfilter_office365

    脸书

    点击切换按钮以启用来自 Facebook 的 Feed。

    预定义的云信息源名称 — ipfilter_facebook

    谷歌

    点击切换按钮以启用来自 Google 的 Feed。

    预定义的云信息源名称 — ipfilter_google

    Atlassian

    单击切换按钮以启用来自 Atlassian 的源。

    预定义的云信息源名称 — ipfilter_atlassian

    Zscaler

    单击切换按钮以启用来自 Zscaler 的提要。

    预定义的云信息源名称 — ipfilter_zscaler

    zpa zscaler

    单击切换按钮以启用来自 Zscaler Private Access (ZPA) 的源。ZPA 服务提供对组织内应用和服务的安全访问。

    预定义的云信息源名称 — ipfilter_zscaler_zpa

    甲骨文

    单击切换按钮以启用来自 Oracle oci 的源。

    预定义的云信息源名称 — ipfilter_oracleoci

    Cloudflare

    单击切换按钮以启用来自 Cloudflare 的提要。

    预定义的云信息源名称 — ipfilter_cloudflare

    缩放

    单击切换按钮以启用来自 Zoom 的提要。

    预定义的云源名称 — ipfilter_zoom

    微软Azure

    单击切换按钮以启用来自 Microsoft Azure 的源。

    预定义的云信息源名称 — ipfilter_microsoftazure

    亚马逊

    单击切换按钮以启用来自 Amazon AWS 的源。

    预定义的云源名称 — ipfilter_amazonaws

    您可以筛选和查看与您相关的 AWS 区域和服务中的 DAG 源。要配置 DAG 筛选器,请执行以下操作:

    1. 单击 配置

      此时将显示“DAG 筛选器”页面。有关详细信息,请参阅 配置 DAG 筛选器

    Okta

    单击切换按钮以启用来自 Okta 的提要。

    预定义的云信息源名称 — ipfilter_okta

    PayPal

    单击切换按钮以启用来自 PayPal 的 Feed。

    预定义的云信息源名称 — ipfilter_PayPal

    注意:
    • 从 Junos OS 19.4R1 版开始,瞻博网络 ATP 云支持第三方 URL 源。

    • 由于不推荐使用勒索软件跟踪器和恶意软件域列表,因此瞻博网络 ATP 云不支持勒索软件跟踪器和恶意软件域列表 IP 源。如果您之前启用了此 Feed,则可能会停止接收这些 Feed。

    • 第三方 Internet 服务源的更新间隔为一天。
  3. 与其他 C&C 和受感染的主机源一样,启用的第三方源需要在 SRX 系列防火墙上安装安全智能策略才能正常工作。此处提供了示例命令。有关更多信息,请参阅《 瞻博网络高级威胁防御云 CLI 参考指南 》。

    • 在 SRX 系列防火墙上: 配置安全智能配置文件

      set services security-intelligence profile secintel_profile category CC

      set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

      set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

      set services security-intelligence profile secintel_profile rule secintel_rule then action block close

      set services security-intelligence profile secintel_profile rule secintel_rule then log

      set services security-intelligence profile secintel_profile default-rule then action permit

      set services security-intelligence profile secintel_profile default-rule then log

      set services security-intelligence profile ih_profile category Infected-Hosts

      set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

      set services security-intelligence profile ih_profile rule ih_rule then action block close

      set services security-intelligence profile ih_profile rule ih_rule then log

      set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

      set services security-intelligence policy secintel_policy CC secintel_profile

  4. 还必须将安全智能策略添加到 SRX 系列防火墙策略中。

    • 在 SRX 系列防火墙上: 配置安全策略(输入以下命令可在 SRX 系列防火墙上为检查配置文件创建安全策略。)

      set security policies from-zone trust to-zone untrust policy 1 match source-address any

      set security policies from-zone trust to-zone untrust policy 1 match destination-address any

      set security policies from-zone trust to-zone untrust policy 1 match application any

      set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

      set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

    有关使用可用 CLI 命令将 SRX 系列与瞻博网络 ATP 云进行配置的更多信息,请参阅 《瞻博网络高级威胁防御云 CLI 参考指南》。

使用 office365 源

  1. 在瞻博网络 ATP 云中启用使用office365 源 复选框,将 Microsoft Office 365 服务端点信息(IP 地址)推送到 SRX 系列防火墙。office365 源的工作方式与此页上的其他源不同,需要某些配置参数,包括预定义的名称“ipfilter_office365”。

  2. 启用该复选框后,必须在 SRX 系列 防火墙上创建一个动态地址对象,该对象引用ipfilter_office365源,如下所示:

    • set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

      注意:

      然后,安全策略可以引用源地址或目标地址中的动态地址条目名称(此例中为“office365”)。

    示例安全策略如下:

使用以下命令验证 office365 源是否已推送到 SRX 系列防火墙。Update status ( 应显示 Store succeeded.

  • show services security-intelligence category summary

使用以下命令显示 IPFILTER 下的所有单个源。

  • show security dynamic-address category-name IPFilter