Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general y ventajas de los feeds de SecIntel

SecIntel recopila inteligencia de amenazas cuidadosamente seleccionada y verificada a partir de:

  • Nube ATP de Juniper

  • Laboratorios de amenazas de Juniper

  • Grupo de direcciones dinámico (DAG)

  • Fuentes de amenazas líderes en la industria

SecIntel ofrece esta inteligencia a los enrutadores de la serie MX, los firewalls de la serie SRX y la plataforma de servicios de red de la serie NFX para bloquear las comunicaciones de comando y control (C&C) a velocidad de línea. SecIntel ofrece inteligencia de amenazas en tiempo real mediante la habilitación de un filtrado de tráfico automático y responsivo.

SecIntel se integra con serie EX Conmutadores y Conmutadores de la serie QFX y permite que estos conmutadores se suscriban a la fuente del host infectado de SecIntel. Esta integración le permite bloquear hosts comprometidos en el puerto del conmutador. Ahora puede extender SecIntel a toda su red y aumentar la cantidad de puntos de cumplimiento de seguridad.

Beneficios de las fuentes de SecIntel

Puede ver todas las fuentes predeterminadas disponibles con su licencia actual.

Con esta página, puede habilitar las siguientes fuentes para la integración con ATP Cloud de Juniper.

  • Fuentes de amenazas de Juniper

  • Fuentes de amenazas de terceros: fuentes de amenazas de IP y fuentes de amenazas de URL.

  • Fuentes de grupos de direcciones dinámicas: fuentes de DAG de Juniper y fuentes de DAG de terceros.

Nota:

La caducidad de las fuentes de SecIntel depende del valor de tiempo de vida (TTL), que es diferente para cada fuente.
Nota:

El número total de feeds de C&C es de 32, de los cuales cuatro están reservados para cc_ip, cc_url, cc_ipv6 y cc_cert_sha1. Por lo tanto, puede habilitar hasta 28 fuentes para la categoría C&C, que incluye fuentes personalizadas de C&C y fuentes de terceros. Este límite se aplica si está inyectando fuentes adicionales mediante la API abierta disponible.

Información que debe saber si está habilitando fuentes externas:

  • Si se detecta una visita en una fuente externa habilitada, este evento aparece en Supervisar > fuentes de amenazas con un nivel de amenaza de 10.

  • En los firewalls de la serie SRX inscritos, puede configurar políticas con la acción permitir o bloquear para cada fuente. Tenga en cuenta que las fuentes de C&C y de host infectado requieren una política de SecIntel habilitada en el firewall de la serie SRX para funcionar.

  • Las fuentes externas se actualizan una vez cada 24 horas.

Advertencia:

Estas fuentes de código abierto son administradas por terceros y la determinación de la precisión de la fuente se deja en manos del administrador de ATP Cloud de Juniper. Juniper no investigará los falsos positivos generados por estas fuentes.
Advertencia:

Las políticas configuradas del firewall de la serie SRX bloquearán las direcciones IP maliciosas en función de las fuentes de terceros habilitadas, pero estos eventos no afectan las puntuaciones de amenazas del host. Solo los eventos de la fuente ATP Cloud de Juniper afectan las puntuaciones de amenazas del host.

Para habilitar las fuentes disponibles, haga lo siguiente:

  1. Vaya a Configurar la configuración de > feeds > SecIntel feeds.

  2. Para cada fuente, seleccione el botón de alternancia para habilitar la fuente. Consulte las pautas en la Tabla 1.

    Nota:

    La fuente de host infectado está habilitada para todos los niveles de licencia. Para obtener información sobre las licencias de todas las demás fuentes de Juniper SecIntel, consulte Licencias de software para ATP Cloud.

    Haga clic en el vínculo Ir al sitio de la fuente para ver la información de la fuente, incluido el contenido de la fuente.

    Tabla 1: Feeds de SecIntel

    Campo

    Directrices
    Fuentes de amenazas de Juniper

    Mando y control

    Muestra si la fuente de C&C está habilitada o no.

    Dominios maliciosos

    Muestra si la fuente DNS está habilitada o no.

    Fuente de host infectado

    Muestra si la fuente del host infectado está habilitada o no.
    Fuentes de amenazas de terceros

    Fuentes de amenazas de IP

    Lista de bloqueo

    Haga clic en el botón de alternancia para habilitar las fuentes de la lista de bloqueo como fuentes de terceros.

    Nombre de fuente de nube predefinido: cc_ip_blocklist.

    Threatfox IP

    Haga clic en el botón de alternancia para habilitar las fuentes de Threatfox como fuentes de terceros.

    Nombre de fuente de nube predefinido: cc_ip_threatfox.

    Rastreador de Feodo

    Haga clic en el botón de alternancia para habilitar los feeds de Feodo como feeds de terceros.

    Nombre de fuente de nube predefinido: cc_ip_feodotracker.

    DShield

    Haga clic en el botón de alternancia para habilitar las fuentes de DShield como fuentes de terceros.

    Nombre de fuente de nube predefinido: cc_ip_dhield.

    Tor

    Haz clic en el botón de alternancia para habilitar los feeds de tor como feeds de terceros.

    Nombre de fuente de nube predefinido: cc_ip_tor.

    Fuentes de amenazas de URL

    Threatfox URL

    Haga clic en el botón de alternancia para habilitar la fuente de Threatfox como fuentes de terceros. ThreatFox es una plataforma gratuita de abuse.ch con el objetivo de compartir indicadores de compromiso (IoC) asociados con malware con la comunidad de seguridad de la información, proveedores de antivirus y proveedores de inteligencia de amenazas. El IOC puede ser una dirección IP, un nombre de dominio o una URL.

    Nombre de fuente de nube predefinido: cc_url_threatfox.

    Fuente de amenazas de URL de URLhaus

    Haga clic en el botón de alternancia para habilitar el feed de URLhaus como feeds de terceros. URLhaus es una fuente de inteligencia de amenazas que comparte URL maliciosas que se utilizan para la distribución de malware.

    Nombre de fuente de nube predefinido: cc_url_urlhaus.

    phishing abierto

    Haga clic en el botón de alternancia para habilitar el feed de OpenPhish como feeds de terceros. OpenPhish es una plataforma autónoma totalmente automatizada para la inteligencia de phishing. Identifica sitios de phishing y realiza análisis de inteligencia en tiempo real sin intervención humana y sin utilizar ningún recurso externo, como listas de bloqueo. Para la inspección de malware, SecIntel analizará el tráfico utilizando las URL de esta fuente.

    Nombre de fuente de nube predefinido: cc_url_openphish.

    Fuentes de amenazas de dominio

    Dominios de Threatfox

    Haga clic en el botón de alternancia para habilitar la fuente de Threatfox como fuentes de terceros.

    Nombre de fuente de nube predefinido: cc_domain_threatfox.
    Feeds de grupos de direcciones dinámicos

    Juniper DAG Feeds

    Fuente GeoIP

    Muestra si la fuente GeoIP está habilitada o no. El feed GeoIP es una asignación actualizada de direcciones IP a regiones geográficas. Esto le da la capacidad de filtrar el tráfico hacia y desde geografías específicas del mundo.

    Feeds DAG de terceros

    oficina365

    Haga clic en el botón de alternancia para habilitar la fuente de filtro IP de Office365 como fuente de terceros. La fuente de filtros IP de Office365 es una lista actualizada de direcciones IP publicadas para los puntos de conexión de servicio de Office 365 que puede usar en directivas de seguridad. Esta fuente funciona de forma diferente a otras en esta página y requiere ciertos parámetros de configuración, incluido un nombre de fuente de nube predefinido de "ipfilter_office365". Consulte más instrucciones al final de esta página, incluido el set security dynamic-address uso del comando para usar esta fuente.

    Nombre de fuente de nube predefinido: ipfilter_office365

    Facebook

    Haz clic en el botón de alternancia para habilitar los feeds de Facebook.

    Nombre de fuente de nube predefinido: ipfilter_facebook

    Google

    Haga clic en el botón de alternancia para habilitar los feeds de Google.

    Nombre de fuente de nube predefinido: ipfilter_google

    Atlassian

    Haga clic en el botón de alternancia para habilitar las fuentes de Atlassian.

    Nombre de fuente de nube predefinido: ipfilter_atlassian

    Zscaler

    Haga clic en el botón de alternancia para habilitar las fuentes de Zscaler.

    Nombre de fuente de nube predefinido: ipfilter_zscaler

    ZPA Zscaler

    Haga clic en el botón de alternancia para habilitar las fuentes desde Zscaler Private Access (ZPA). El servicio ZPA proporciona acceso seguro a las aplicaciones y servicios de su organización.

    Nombre del feed de nube predefinido: ipfilter_zscaler_zpa

    oracleoci

    Haga clic en el botón de alternancia para activar las fuentes de Oracle oci.

    Nombre de fuente de nube predefinido: ipfilter_oracleoci

    llamarada de nube

    Haz clic en el botón de alternancia para habilitar los feeds de Cloudflare.

    Nombre de fuente de nube predefinido: ipfilter_cloudflare

    Ampliar

    Haga clic en el botón de alternancia para habilitar las noticias en tiempo real desde Zoom.

    Nombre de fuente de nube predefinido: ipfilter_zoom

    MicrosoftAzure

    Haga clic en el botón de alternancia para habilitar las fuentes de Microsoft Azure.

    Nombre de fuente de nube predefinido: ipfilter_microsoftazure

    Puede filtrar y ver las fuentes de DAG de las regiones y servicios de Azure que sean relevantes para usted. Para configurar filtros DAG para fuentes de Azure, haga clic en Configurar y siga las instrucciones de Agregar y administrar filtros DAG.

    Amazonaws

    Haga clic en el botón de alternancia para habilitar las fuentes de AWS.

    Nombre del feed de nube predefinido: ipfilter_amazonaws

    Puede filtrar y ver las fuentes de DAG de las regiones y servicios de AWS que sean relevantes para usted. Para configurar filtros DAG para fuentes AWS, haga clic en Configurar y siga las instrucciones de Agregar y administrar filtros DAG.

    okta

    Haga clic en el botón de alternancia para habilitar los feeds de Okta.

    Nombre de fuente de nube predefinido: ipfilter_okta

    PayPal

    Haga clic en el botón de alternancia para habilitar los feeds de PayPal.

    Nombre de fuente de nube predefinido: ipfilter_PayPal
    Nota:

    • A partir de la versión 19.4R1 de Junos OS, se admiten fuentes de URL de terceros en la nube ATP de Juniper.

    • Dado que el rastreador de ransomware y la lista de dominios de malware están obsoletos, el rastreador de ransomware y las fuentes de IP de la lista de dominios de malware no son compatibles con la nube ATP de Juniper. Si había habilitado esta fuente anteriormente, es posible que deje de recibirla.

    • El intervalo de actualización de una fuente de servicio de Internet de terceros es de un día.

  3. Al igual que otras fuentes de C&C y de hosts infectados, las fuentes de terceros habilitadas requieren una política de SecIntel en el firewall de la serie SRX para funcionar. Aquí se proporcionan comandos de ejemplo. Consulte la Guía de referencia de la CLI de la nube de prevención de amenazas avanzadas de Juniper para obtener más información.

    En el firewall de la serie SRX, configure un perfil de SecIntel

    set services security-intelligence profile secintel_profile category CC

    set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

    set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

    set services security-intelligence profile secintel_profile rule secintel_rule then action block close

    set services security-intelligence profile secintel_profile rule secintel_rule then log

    set services security-intelligence profile secintel_profile default-rule then action permit

    set services security-intelligence profile secintel_profile default-rule then log

    set services security-intelligence profile ih_profile category Infected-Hosts

    set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

    set services security-intelligence profile ih_profile rule ih_rule then action block close

    set services security-intelligence profile ih_profile rule ih_rule then log

    set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

    set services security-intelligence policy secintel_policy CC secintel_profile

  4. La política de SecIntel también se debe agregar a una política de firewall de la serie SRX.

    En el firewall de la serie SRX, configure una política de seguridad. Ingrese los siguientes comandos para crear una política de seguridad en el firewall de la serie SRX para los perfiles de inspección.

    set security policies from-zone trust to-zone untrust policy 1 match source-address any

    set security policies from-zone trust to-zone untrust policy 1 match destination-address any

    set security policies from-zone trust to-zone untrust policy 1 match application any

    set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

    set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

    Para obtener más información acerca de cómo configurar la serie SRX con ATP Cloud de Juniper mediante los comandos de CLI disponibles, consulte la Guía de referencia de la CLI de la nube de prevención de amenazas avanzadas de Juniper.

Uso de la fuente de Office365

  1. Active la casillade verificación Uso de la fuente de Office365 en ATP Cloud de Juniper para insertar información del punto de conexión de servicios de Microsoft Office 365 (direcciones IP) en el firewall de la serie SRX. La fuente de Office365 funciona de forma diferente a otras fuentes de esta página y requiere ciertos parámetros de configuración, incluido un nombre predefinido de "ipfilter_office365".

  2. Después de activar la casilla de verificación, debe crear un objeto de dirección dinámica en el firewall de serie SRX que haga referencia a la fuente de ipfilter_office365 de la siguiente manera:

    set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

    Nota:

    A continuación, una política de seguridad puede hacer referencia al nombre de entrada de dirección dinámica ("office365" en este ejemplo) en la dirección de origen o destino.

    Un ejemplo de política de seguridad es el siguiente:

Use el siguiente comando para comprobar que la fuente de office365 se ha insertado en el firewall de la serie SRX. Update Status debería mostrar Store succeeded..

show services security-intelligence category summary

Utilice el siguiente comando para mostrar todas las fuentes individuales en IPFILTER.

show security dynamic-address category-name IPFilter

Documentación relacionada