Visão geral e benefícios do SecIntel feeds
O SecIntel oferece inteligência de ameaças cuidadosamente curada e verificada da nuvem Advanced Threat Prevention (ATP) da Juniper Networks, Juniper Threat Labs, Dynamic Address Group (DAG) e feeds de ameaças líderes do setor para roteadores da Série MX, firewalls da Série SRX e plataforma de serviços de rede da Série NFX para bloquear comunicações de comando e controle (C&C) na taxa de linha. O SecIntel oferece inteligência de ameaças em tempo real, permitindo a filtragem de tráfego automática e responsiva.
O SecIntel se integra aos switches da Série EX e da Série QFX e permite que esses switches se inscrevam no feed de host infectado do SecIntel. Isso permite bloquear hosts comprometidos na porta do switch. Agora, você pode estender o SecIntel por toda a sua rede e aumentar o número de pontos de aplicação de segurança.
Benefícios dos feeds SecIntel
Você pode visualizar todos os feeds padrão que estão disponíveis com sua licença atual.
Usando esta página, você pode habilitar os seguintes feeds para integração com o Juniper ATP Cloud.
-
Feeds de ameaças da Juniper
-
Feeds de ameaças de terceiros — feeds de ameaças IP e feeds de ameaças de URL.
-
Feeds dinâmicos do grupo de endereços — feeds DAG da Juniper e feeds DAG de terceiros.
A expiração dos feeds SecIntel depende do valor do tempo de vida (TTL), que é diferente para cada feed.
O número total de feeds CC é de 32, dos quais quatro feeds estão reservados para cc_ip, cc_url, cc_ipv6 e cc_cert_sha1. Assim, você pode habilitar até 28 feeds para a categoria CC, que inclui feeds personalizados CC e feeds cc de terceiros. Esse limite é aplicável se você estiver injetando feeds adicionais usando a API aberta disponível.
Informações para saber se você está habilitando feeds externos:
-
Se um ataque for detectado em um feed externo habilitado, este evento aparece no Monitor > Fontes de ameaças com um nível de ameaça de 10.
-
Em firewalls da Série SRX inscritos, você pode configurar políticas com a permissão ou bloquear a ação para cada feed. Observe que os feeds de C&C e Host infectado exigem uma política de inteligência de segurança habilitada no firewall da Série SRX para funcionar.
-
Os feeds externos são atualizados uma vez a cada 24 horas.
Entenda que estes são feeds de código aberto gerenciados por terceiros e a precisão do feed é deixada até o administrador de nuvem do Juniper ATP Cloud. A Juniper não investigará falsos positivos gerados por esses feeds.
As políticas configuradas da Série SRX bloquearão endereços IP maliciosos com base em feeds de terceiros habilitados, mas esses eventos não afetam as pontuações de ameaças do host. Apenas os eventos dos feeds de nuvem ATP da Juniper afetam as pontuações de ameaças do host.
Para habilitar os feeds disponíveis, faça o seguinte:
-
Navegar para configurar a configuração de feeds > > feeds SecIntel.
-
Para cada feed, selecione o botão de alternar para habilitar o feed. Consulte as diretrizes da Tabela 1.
Nota:O feed do Host Infectado está habilitado para todos os níveis de licença. Todos os outros feeds SecIntel da Juniper são habilitados apenas com uma licença avançada.
Clique em Ir para alimentar o link do site para visualizar informações do feed, incluindo o conteúdo do feed.
Tabela 1: Feeds SecIntel Campo
Diretrizes
Feeds de ameaças da Juniper Comando e controle
Exibe se o feed de C&C está habilitado ou não.
Domínios maliciosos
Exibe se o feed de DNS está habilitado ou não.
Feed de host infectado
Exibe se o feed do host infectado está habilitado ou não.
Feeds de ameaças de terceiros Feeds de ameaças IP
Lista de blocos
Clique no botão de alternar para habilitar feeds de lista de blocos como feeds de terceiros.
Nome do feed de nuvem pré-definido: cc_ip_blocklist.
Threatfox IP
Clique no botão de alternar para habilitar feeds do Threatfox como feeds de terceiros.
Nome do feed de nuvem pré-definido: cc_ip_threatfox.
Feodo Rastreador
Clique no botão de alternar para habilitar feeds feodo como feeds de terceiros.
Nome do feed de nuvem pré-definido: cc_ip_feodotracker.
DShield
Clique no botão de alternar para habilitar feeds DShield como feeds de terceiros.
Nome do feed de nuvem pré-definido: cc_ip_dhield.
Tor
Clique no botão de alternar para permitir feeds de tor como feeds de terceiros.
Nome do feed de nuvem pré-definido— cc_ip_tor.
Feeds de ameaças de URL
Threatfox URL
Clique no botão de alternar para habilitar o feed do Threatfox como feeds de terceiros. O ThreatFox é uma plataforma gratuita de abuse.ch com o objetivo de compartilhar indicadores de comprometimento (IOCs) associados a malwares com a comunidade infosec, fornecedores de AV e provedores de inteligência contra ameaças. O IOC pode ser um endereço IP, nome de domínio ou URL.
Nome do feed de nuvem pré-definido: cc_url_threatfox.
URLhaus URL Threat Feed
Clique no botão de alternar para habilitar o feed de URLhaus como feeds de terceiros. URLhaus é um feed de inteligência contra ameaças que compartilha URLs maliciosas que são usadas para distribuição de malware.
Nome de feed de nuvem pré-definido— cc_url_urlhaus.
Phish aberto
Clique no botão de alternar para habilitar o feed OpenPhish como feeds de terceiros. O OpenPhish é uma plataforma totalmente automatizada e autônoma para inteligência de phishing. Ele identifica sites de phishing e realiza análises de inteligência em tempo real sem intervenção humana e sem usar recursos externos, como bloqueios. Para inspeção de malware, o SecIntel analisará o tráfego usando URLs neste feed.
Nome do feed de nuvem pré-definido: cc_url_openphish.
Feeds de ameaças de domínio
Domínios de Threatfox
Clique no botão de alternar para habilitar o feed do Threatfox como feeds de terceiros.
Nome do feed de nuvem pré-definido: cc_domain_threatfox.
Feeds dinâmicos do grupo de endereços Juniper DAG Feeds
GeoIP Feed
Exibe se a alimentação GeoIP está habilitada ou não. O feed geoIP é um mapeamento atualizado de endereços IP para regiões geográficas. Isso oferece a capacidade de filtrar tráfego de e para geografias específicas do mundo.
Feeds DAG de terceiros
escritório365
Clique no botão de alternar para habilitar o feed do filtro IP office365 como um feed de terceiros. O feed de filtro IP office365 é uma lista atualizada de endereços IP publicados para endpoints de serviços office 365 que você pode usar em políticas de segurança. Este feed funciona de forma diferente de outros nesta página e requer determinados parâmetros de configuração, incluindo um nome de feed de nuvem pré-definido de "ipfilter_office365". Veja mais instruções na parte inferior desta página, incluindo o uso do
set security dynamic-address
comando para usar este feed.Nome de feed de nuvem pré-definido — ipfilter_office365
Facebook
Clique no botão de alternar para habilitar feeds do Facebook.
Nome do feed de nuvem pré-definido— ipfilter_facebook
Google
Clique no botão de alternar para habilitar feeds do Google.
Nome de feed de nuvem pré-definido — ipfilter_google
Atlassian
Clique no botão de alternar para habilitar feeds da Atlassian.
Nome de feed de nuvem pré-definido— ipfilter_atlassian
zscaler
Clique no botão de alternar para habilitar feeds do Zscaler.
Nome de feed de nuvem pré-definido — ipfilter_zscaler
zpa zscaler
Clique no botão de alternar para habilitar feeds do Zscaler Private Access (ZPA). O serviço ZPA oferece acesso seguro aos aplicativos e serviços da sua organização.
Nome do feed de nuvem pré-definido— ipfilter_zscaler_zpa
oracleoci
Clique no botão de alternar para habilitar feeds da Oracle oci.
Nome de feed de nuvem pré-definido — ipfilter_oracleoci
cloudflare
Clique no botão de alternar para habilitar feeds do Cloudflare.
Nome de feed de nuvem pré-definido — ipfilter_cloudflare
Zoom
Clique no botão de alternar para habilitar feeds do Zoom.
Nome de feed de nuvem pré-definido — ipfilter_zoom
microsoftazure
Clique no botão de alternar para habilitar feeds do Microsoft Azure.
Nome de feed de nuvem pré-definido— ipfilter_microsoftazure
amazonaws
Clique no botão de alternar para habilitar feeds do Amazon AWS.
Nome de feed de nuvem pré-definido— ipfilter_amazonaws
Você pode filtrar e visualizar os feeds DAG de regiões e serviços AWS que são relevantes para você. Para configurar os filtros DAG, faça o seguinte:
-
Clique em Configurar.
A página do FILTRO DAG aparece. Para obter mais informações, veja Configurar o filtro DAG.
okta
Clique no botão de alternar para habilitar feeds da Okta.
Nome de feed de nuvem pré-definido— ipfilter_okta
Paypal
Clique no botão de alternar para habilitar feeds do Paypal.
Nome do feed de nuvem pré-definido— ipfilter_paypal
Nota:-
A partir do Junos OS Release 19.4R1, feeds de URL de terceiros são suportados no Juniper ATP Cloud.
-
Como a lista de domínios do Ransomware Ransomware E Malware está preterida, os feeds IP da lista de domínios de ransomware e malware não são suportados no Juniper ATP Cloud. Se você tivesse habilitado esse feed antes, poderia parar de receber esses feeds.
- O intervalo de atualização para um feed de serviço de Internet de terceiros é de um dia.
-
-
Como outros feeds de host C&C e infectados, feeds habilitados para terceiros exigem uma política de inteligência de segurança no firewall da Série SRX para funcionar. Comandos de exemplo são fornecidos aqui. Consulte o Guia de referência do CLI da Juniper Advanced Threat Prevention para obter mais informações.
-
No firewall da Série SRX: configure um perfil de inteligência de segurança
set services security-intelligence profile secintel_profile category CC
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9
set services security-intelligence profile secintel_profile rule secintel_rule then action block close
set services security-intelligence profile secintel_profile rule secintel_rule then log
set services security-intelligence profile secintel_profile default-rule then action permit
set services security-intelligence profile secintel_profile default-rule then log
set services security-intelligence profile ih_profile category Infected-Hosts
set services security-intelligence profile ih_profile rule ih_rule match threat-level 10
set services security-intelligence profile ih_profile rule ih_rule then action block close
set services security-intelligence profile ih_profile rule ih_rule then log
set services security-intelligence policy secintel_policy Infected-Hosts ih_profile
set services security-intelligence policy secintel_policy CC secintel_profile
-
-
A política de inteligência de segurança também deve ser adicionada a uma política de firewall da Série SRX.
-
No firewall da Série SRX: Configure uma política de segurança (Insira os seguintes comandos para criar uma política de segurança no firewall da Série SRX para os perfis de inspeção.)
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut
set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy
Para obter mais informações sobre a configuração da Série SRX com o Juniper ATP Cloud usando os comandos CLI disponíveis, consulte o Guia de referência de CLI da Juniper Advanced Threat Prevention.
-
Usando o feed do office365
-
Habilite a caixa deverificação do feed do office365 na Juniper ATP Cloud para levar as informações de endpoint de serviços (endereços IP) do Microsoft Office 365 para o firewall da Série SRX. O feed do office365 funciona de forma diferente de outros feeds nesta página e requer determinados parâmetros de configuração, incluindo um nome pré-definido de "ipfilter_office365".
-
Depois de habilitar a caixa de verificação, você deve criar um objeto de endereço dinâmico no firewall da Série SRX que se refere ao feed de ipfilter_office365 da seguinte forma:
-
set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365
Nota:Uma política de segurança pode então fazer referência ao nome dinâmico de entrada de endereço ('office365' neste exemplo) no endereço de origem ou destino.
Uma política de segurança de amostra é a seguinte:
policy o365 { match { source-address any; destination-address office365; application any; } then { deny; log { session-init; } } }
-
Use o comando a seguir para verificar se o feed do office365 foi empurrado para o firewall da Série SRX. (Update status
deve exibir Store succeeded.
)
-
show services security-intelligence category summary
Category name :IPFilter Status :Enable Description :IPFilter data Update interval :3600s TTL :3456000s Feed name :ipfilter_office365 Version :20180405.1 Objects number:934 Create time :2018-04-16 07:05:33 PDT Update time :2018-04-16 12:17:47 PDT Update status :Store succeeded Expired :No Options :N/A
Use o comando a seguir para mostrar todos os feeds individuais em IPFILTER.
-
show security dynamic-address category-name IPFilter
No. IP-start IP-end Feed Address 1 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 2 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 3 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 4 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 5 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 6 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 7 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 8 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 9 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 10 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 11 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 12 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 13 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365