Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

사용자 지정 피드 만들기

사용자 지정 피드 만들기 페이지를 사용하여 동적 주소, 허용 목록, 차단 목록, 감염된 호스트, DDoS 및 C&C 서버 사용자 지정 피드를 구성할 수 있습니다. 이러한 피드는 시행 정책을 만드는 데 사용할 수 있는 관련성 있고 시기적절한 인텔리전스를 제공합니다.

시작하기 전에

  • 어떤 유형의 피드를 구성하고 있는지 파악하고 필요한 모든 정보를 준비하십시오. 로컬 피드는 로컬 시스템에서 만들어지고 거기에서 업로드됩니다.

  • 감염된 호스트는 감염된 것으로 알려진 호스트입니다. 감염된 호스트 사용자 지정 피드의 경우 호스트 IP 주소를 수동으로 입력하거나 감염된 호스트의 IP 주소가 포함된 텍스트 파일을 업로드합니다.

  • 허용 목록, 차단 목록 또는 감염된 호스트 피드를 생성하면 해당 주니퍼 ATP 클라우드/ATP 어플라이언스 피드보다 우선합니다.

  • ATP 클라우드/ATP 어플라이언스 전용 모드를 위협 방지 유형으로 선택하면 감염된 호스트 및 DDoS 사용자 지정 피드를 사용할 수 없습니다.

로컬 파일 및 원격 파일 사용자 지정 피드를 만들려면:To create local file and remote file custom feeds:

  1. 구성>Threat Prevention> 피드 소스를 선택합니다.

    피드 소스 페이지가 나타납니다. Policy Enforcer 설정 페이지에서 ATP 클라우드/ATP 어플라이언스 구성 유형을 선택하지 않은 경우 위협 방지 유형으로 사용할 수 있는 사용자 지정 피드만 표시됩니다.

  2. 만들기를 클릭하고 다음 중 하나를 선택합니다.

    • 로컬 파일이 있는 피드 - 제공된 필드에 데이터를 수동으로 입력하거나 위치 머신의 텍스트 파일에서 업로드합니다.

    • 원격 파일 서버와의 피드 - 원격 서버와의 통신을 구성하여 데이터 피드를 가져옵니다.

  3. 1 또는 표 2의 지침을 사용하여 구성을 완료합니다.
  4. 확인을 클릭합니다.
참고:

  • 동적 주소 유형의 사용자 지정 피드를 사용하려면 방화벽 규칙의 소스 또는 대상 주소에 적용합니다. 방화벽 규칙에서 사용자 지정 피드만 표시하도록 주소를 필터링할 수 있습니다.

    동적 주소를 사용하여 생성된 방화벽 정책 규칙이 있는 경우 피드 소스 페이지에서 동일한 동적 주소를 삭제할 수 없습니다. 먼저 방화벽 정책 규칙을 삭제한 다음 피드 소스 페이지에서 동적 주소를 삭제해야 합니다.

  • ATP 클라우드/ATP 어플라이언스 구성 유형을 선택하지 않은 경우(선택 안 함) ATP 클라우드/ATP 어플라이언스 영역이 비활성화됩니다. 사이트 선택은 일반적으로 ATP 클라우드/ATP 어플라이언스 영역 페이지에서 수행되므로 "선택 없음" 모드인 경우 사용자 지정 피드 만들기 페이지에서 사이트를 선택해야 합니다. 그런 다음 사용자 지정 피드가 선택한 사이트의 장치에 다운로드됩니다. 사용자 지정 피드 만들기 페이지에서 사이트를 선택할 수 있는 유일한 시간입니다.
표 1: 사용자 지정 피드 만들기 페이지의 필드, 로컬 파일이 있는 피드

필드

설명

이름

영숫자로 시작해야 하고 대시와 밑줄만 포함할 수 있는 고유한 문자열을 입력합니다. 공백이 허용되지 않습니다. 최대 32자.

설명

사용자 지정 피드에 대한 설명을 입력합니다. 최대 길이는 64자입니다. 이 설명은 모든 관리자에게 가능한 한 유용하게 만들어야 합니다.

피드 유형

다음 사용자 지정 피드 중 하나를 위협 방지 유형으로 선택합니다.

  • 동적 주소

  • 허용 목록

  • 차단 목록

  • 감염된 호스트

  • Ddos

  • Cc

사이트

목록에서 필수 사이트를 선택하여 동적 주소 또는 허용 목록, 차단 목록 또는 C&C 서버 피드와 연결합니다.

기본 모드(ATP 클라우드 없음)에서는 ATP 클라우드가 없기 때문에 사이트만 나열됩니다. 동적 주소, 허용 목록, 차단 목록 및 C&C Server에 대해 동일한 피드 유형에서 사이트를 공유할 수 있습니다. 감염된 호스트 및 DDoS의 경우 동일한 피드 유형에서 사이트를 공유할 수 없습니다. 그러나 다양한 피드 유형에서 사이트를 공유할 수 있습니다.

영역/영역

클라우드 피드 전용, ATP 클라우드/JATP 또는 주니퍼 커넥티드 보안 모드의 ATP 클라우드/ATP 어플라이언스에 있는 경우 목록에서 필요한 영역을 선택합니다.

이러한 범주를 동적 주소 또는 허용 목록, 차단 목록 및 C&C 서버 피드와 연관시키십시오. 동적 주소, 허용 목록, 차단 목록 및 참조에 대해 동일한 피드 유형에서 영역을 공유할 수 있습니다. 감염된 호스트 및 DDoS의 경우 동일한 피드 유형에서 영역을 공유할 수 없습니다. 그러나 서로 다른 피드 유형에서 영역을 공유할 수 있습니다.

할당된 사이트가 없는 ATP 클라우드/ATP 어플라이언스 영역은 여기에 나열되지 않습니다. 연결된 사이트가 있는 영역만 여기에 나열됩니다.

참고:

사이트가 테넌트와 연결된 경우 ATP 클라우드/ATP 어플라이언스 영역은 <realm-name>(Tenant:<tenant-name>) 형식으로 목록을 표시합니다.

사용자 입력 유형

(허용 목록 및 차단 목록에 사용 가능)

허용 목록 및 차단 목록에 대해 다음 입력 유형 중 하나를 선택합니다.

  • IP, 서브넷 및 범위 - IPV4 주소를 표준 4옥텟 형식으로 입력합니다. CIDR 표기법 및 IP 주소 범위도 허용됩니다. 1.2.3.4, 1.2.3.4/30 또는 1.2.3.4-1.2.3.6 형식이 유효합니다.

  • URL 및 도메인: 유효한 형식은 다음과 같습니다.

    • http://www.yourfeed.com

    • https://www.yourfeed.com

    • www.yourfeed.com

    • yourfeed.com

    • yourfeed.com/abc

    와일드카드와 프로토콜은 유효한 항목이 아닙니다.

사용자 지정 목록

다음 중 하나를 수행합니다.

  • 파일 업로드를 클릭하여 IP 주소 목록이 있는 텍스트 파일을 업로드 합니다. 추가 단추를 클릭하여 사용자 지정 목록에 주소 목록을 포함합니다.

    감염된 호스트 및 DDoS의 경우 업로드 파일의 시작 부분에 문자열 add 이 있어야 하며 그 뒤에 IP 주소가 와야 합니다. 특정 IP 주소를 삭제하려면 문자열을 delete 입력한 다음 삭제할 IP 주소를 입력합니다.

    파일에는 한 줄에 하나의 항목만 포함되어야 합니다(쉼표 또는 세미콜론 제외). 모든 항목은 사용자 지정 목록에 추가되기 전에 유효성이 검사됩니다.

    파일에는 500개 이상의 항목이 포함될 수 없습니다. 500개 이상의 IP 주소가 포함된 파일을 업로드하려고 하면 오류 메시지가 표시됩니다. 원격 파일 서버가 있는 피드 옵션을 사용하여 500개 이상의 IP 주소가 포함된 파일을 업로드합니다.

  • 항목과 임계값을 Custom List(사용자 지정 목록) 섹션에 제공된 공간에 수동으로 입력합니다. 항목을 더 추가하려면 + 를 클릭하여 공백을 더 추가합니다.

    구문에 IPv4 주소를 표준 4옥텟 형식으로 입력합니다. CIDR 표기법 및 IP 주소 범위도 허용됩니다. 1.2.3.4, 1.2.3.4/30 또는 1.2.3.4-1.2.3.6 형식이 유효합니다.
표 2: 사용자 지정 피드 만들기 페이지의 필드, 원격 파일 서버가 있는 피드

필드

설명

이름

영숫자로 시작해야 하고 대시와 밑줄만 포함할 수 있는 고유한 문자열을 입력합니다. 공백이 허용되지 않습니다. 최대 32자.

설명

사용자 지정 피드에 대한 설명을 입력합니다. 최대 길이는 64자입니다. 이 설명은 모든 관리자에게 가능한 한 유용하게 만들어야 합니다.

피드 유형

다음 사용자 지정 피드 중 하나를 위협 방지 유형으로 선택합니다.

  • 동적 주소

  • 허용 목록

  • 차단 목록

  • 감염된 호스트

  • Ddos

  • Cc

서버 URL 유형

다음 중 하나를 선택합니다.

  • http (영문)

  • https (영어)

서버 파일 URL

원격 파일 서버의 URL을 입력합니다.

인증서 업로드

(URL 유형이 HTTPS인 경우)

찾아보기를 클릭하고 업로드할 CA 인증서를 선택합니다.

https 서버 URL에 대한 인증서를 업로드하지 않으면 인증서가 업로드되지 않았으며 계속 진행할지 여부에 대한 경고 메시지가 표시됩니다. Yes(예 )를 클릭하여 인증서를 업로드하지 않고 계속 진행하거나 No(아니요 )를 클릭하여 돌아가서 인증서를 업로드합니다.

사용자

원격 파일 서버에 대한 자격 증명을 입력합니다.

이 필드는 필수 필드가 아닙니다. 사용자 이름을 입력하지 않고도 맞춤 피드를 만들 수 있습니다.

암호

원격 파일 서버에 대한 자격 증명을 입력합니다.

사용자 이름을 제공한 경우 필수 필드입니다.

업데이트 간격

원격 파일 서버에서 업데이트를 검색하는 빈도(매시간, 매일, 매주, 매월, 안 함)를 선택합니다.

사이트

목록에서 필요한 사이트를 선택하여 사용자 지정 피드와 연결합니다.

감염된 호스트에서 사이트를 등록 해제하려고 하면 사이트 내의 각 엔드포인트에서 현재 감염된 모든 호스트를 확인하라는 경고 메시지가 표시됩니다. 감염된 호스트를 해결하려면 ATP 클라우드 UI에 로그인하고 호스트를 확인한 다음 Policy Enforcer에서 사이트 할당을 취소합니다. 사이트 할당을 해제하기 전에 항상 감염된 호스트를 해결해야 합니다. 사이트 할당을 취소하면 호스트를 확인할 수 없습니다.

관련 문서