Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Criar listas de permitidores e blocos

Acesse essas páginas a partir de Configure > permite listas ou configure blocos de >.

Use essas páginas para configurar listas personalizadas confiáveis e não confiáveis. Você também pode carregar arquivos de hash.

O conteúdo baixado de locais na lista de permitidos é confiável e não precisa ser inspecionado por malware. Os hosts não podem baixar conteúdo de locais na lista de bloqueio, porque esses locais não são confiáveis.

  • Leia o tópico de visão geral da lista de permitidores e blocos .

  • Decida sobre o tipo de item que pretende definir: URL, IP, Hash, remetente de e-mail, C&C, ETI ou DNS,

  • Analise as entradas da lista atual para garantir que o item que você está adicionando não exista.

  • Se você estiver carregando arquivos hash, os arquivos devem estar em um arquivo de texto (TXT) com cada hash em sua própria linha única.

Para criar as listas de permitem o Juniper ATP Cloud:

  1. Selecione configure > listas de permite.

  2. Selecione um dos tipos mencionados em Tipos de Suporte para Listas de Permite.

    Tabela 1: Permite que listas de suporte

    Tipo

    Informação

    Anti-malware

    IPaddress, URL, hash de arquivo e remetente de e-mail

    SecIntel

    Endereço e domínio de IP C&C

    ETI

    Endereço IP e nome de host

    DNS

    Domínios

    Shell reversa

    Endereços e domínios de IP de destino
    Nota:

    Domínio refere-se a um nome de domínio totalmente qualificado (FQDN).

  3. Insira as informações necessárias.

  4. Clique em OK.

Para criar os blocos de nuvem ATP da Juniper:

  1. Selecione Configure > blocklists.

  2. Selecione um dos tipos mencionados em Tipos de Suporte para Blocklists.

    Tabela 2: Tipos de suporte a blocklists

    Tipo

    Informação

    Anti-malware

    IPaddress, URL, hash de arquivo e remetente de e-mail

    SecIntel

    Endereço e domínio de IP C&C

  3. Insira as informações necessárias.

  4. Clique em OK.

Veja as tabelas a seguir para os dados exigidos por cada tipo.

IP

Ao criar um item da lista de IP, você deve selecionar o tipo de lista como IP. Você deve inserir as informações necessárias. Veja a tabela a seguir.

Tabela 3: Configuração de IP

Ambiente

Regra

IP

Digite o endereço IP IPv4 ou IPv6. Por exemplo: 1.2.3.4 ou 0:0:0:0:FFFF:0102:0304. As faixas de notação e endereço IP da CIDR também são aceitas.

Qualquer um dos seguintes formatos IPv4 é válido: 1.2.3.4, 1.2.3.4/30 ou 1.2.3.4-1.2.3.6.

Qualquer um dos seguintes formatos IPv6 é válido: 1111:1, 1111:1-1111:9 ou 1111:1:0/64.

Nota:

Faixas de endereço: Não são aceitos mais do que um bloco de endereços IPv4 /16 e /48 IPv6. Por exemplo, 10.0.0.0-10.0.255.255 é válido, mas 10.0.0.0-10.1.0.0 não é.

Bitmasks: A quantidade máxima de endereços IP cobertos por massa bit em um registro de sub-rede para IPv4 é de 16 e para IPv6 é de 48. Por exemplo, 10.0.0.0/15 e 1234::/47 não são válidos.
Nota:

Para editar uma lista de permitidos ou uma entrada IP em lista de bloqueio, selecione a caixa de verificação ao lado da entrada que você deseja editar, clique no ícone de lápis e clique em OK.

URL

Ao criar um item de lista de URL, você deve escolher o tipo de lista: URL. Insira as informações necessárias. Veja a tabela a seguir.

Tabela 4: Configuração de URL

Ambiente

Regra

URL

Insira a URL usando o seguinte formato: juniper.net. Curingas e protocolos não são entradas válidas. O sistema adiciona automaticamente um curinga ao início e ao fim das URLs. Portanto, juniper.net também corresponde a a.juniper.net, a.b.juniper.net e a.juniper.net/abc. Se você entrar explicitamente em a.juniper.net, ela combina com b.a.juniper.net, mas não c.juniper.net. Você pode entrar em um caminho específico. Se você entrar em juniper.net/abc, ele combina com x.juniper.net/abc, mas não x.juniper.net/123.

Nota:

Para editar uma entrada de URL existente ou de lista de bloqueio, selecione a caixa de seleção ao lado da entrada que você deseja editar, clique no ícone de lápis e clique em OK.

Arquivo hash

Quando você envia um arquivo hash, ele deve estar em um TXT com cada hash em sua própria linha única. Você só pode ter um arquivo hash em execução. Para adicioná-lo ou editá-lo, veja as instruções na tabela a seguir.

Tabela 5: Configuração de upload e edição de arquivos de hash

Campo

Regra

Você pode adicionar hashes personalizados de lista de permitidores e blocklist para filtragem, mas esses hashes devem ser listados em um TXT com cada entrada em uma única linha. Você só pode ter um arquivo hash em execução contendo até 15.000 hashes de arquivo. Este arquivo contém a lista "atual", mas você pode adicioná-la, editá-la e deletá-la a qualquer momento.

SHA-256 Hash Item

Para adicionar a entradas de hash, você pode carregar vários TXTs e eles serão combinados automaticamente em um arquivo. Veja tudo, mesclar, excluir e substituir opções abaixo.

Baixe — Clique neste botão para baixar o TXT se quiser visualizá-lo ou editá-lo.

Você pode selecionar qualquer uma das seguintes opções na lista de retirada de itens de arquivo de Hash Select Hash:

  • Substitua a lista atual — Use essa opção quando quiser alterar a lista existente, mas não queira deletá-la por completo. Baixe o arquivo existente, edite-o e depois carregue-o novamente.

  • Mescle com a lista atual — Use essa opção quando carregar um novo TXT e quiser que ele se combine com o arquivo TXT existente. Os hashes em ambos os arquivos se combinam para formar um arquivo de texto contendo todos os hashes.

  • Exclua a lista atual — use essa opção quando quiser excluir apenas uma parte da lista atual. Neste caso, você criaria um arquivo TXT contendo apenas os hashes que deseja remover da lista atual. Faça o upload do arquivo usando essa opção e apenas os hashes do arquivo carregado são excluídos da lista ativa atual.

Exclua tudo ou exclua os selecionados — às vezes, é mais eficiente excluir a lista atual em vez de baixá-la e editá-la. Clique neste botão para excluir a lista selecionada atual ou todas as listas que foram adicionadas e acumuladas aqui.

Fonte

Isso diz a lista de permitidores ou a lista de bloqueios.

Data adicionada

O mês, data, ano e hora em que o arquivo de hash foi carregado ou editado pela última vez.

Remetente de e-mail

Adicione endereços de e-mail para permitir a lista ou a lista de bloqueios se for encontrado no remetente ou destinatário de uma comunicação de e-mail. Adicione endereços um de cada vez usando o ícone + .

Tabela 6: Configuração do remetente de e-mail

Campo

Regra

Endereço eletrônico

Insira um endereço de e-mail no formato name@domain.com. Curingas e partidas parciais não são suportados, mas se você quiser incluir um domínio inteiro, você só pode entrar no domínio da seguinte forma: domain.com

Se um e-mail corresponde à lista de bloqueio, ele é considerado malicioso e é tratado da mesma maneira que um e-mail com um anexo malicioso. O e-mail está bloqueado e um e-mail de substituição é enviado. Se um e-mail corresponde à lista de permissão, esse e-mail é permitido passar sem qualquer digitalização. Veja a visão geral dos e-mails em quarentena.

Vale a pena notar que os invasores podem falsificar facilmente o endereço de e-mail "A partir" de um e-mail, tornando os bloqueios uma maneira menos eficaz de parar e-mails maliciosos.

Servidor C&C

Quando você permite listar um servidor C&C, os firewalls da Série SRX recebem o nome de IP ou host. Os firewalls então o excluem de quaisquer blocklists secIntel ou feeds C&C, incluindo o feed global de ameaças da Juniper e feeds de terceiros. Agora, o servidor também estará listado na página de gerenciamento da lista de habilitação da C&C.

Você pode inserir dados do servidor C&C manualmente ou enviar uma lista de servidores. Essa lista deve ser um TXT com cada IP ou Domínio em sua própria linha única. O TXT deve incluir todos os IPs ou todos os Domínios, cada um em seu próprio arquivo. Você pode carregar vários arquivos, um de cada vez.

Nota:

Você também pode gerenciar entradas de lista de permitidores e blocos usando a API da Inteligência contra ameaças. Ao adicionar entradas aos dados de lista de acesso/bloqueio, elas estarão disponíveis na API de Inteligência de Ameaças nos seguintes nomes de feed: "whitelist_domain" ou "whitelist_ip", e "blacklist_domain" ou "blacklist_ip". Consulte o Guia de configuração da API Aberta de Inteligência de Ameaças do ATP da Juniper para obter detalhes sobre o uso da API para gerenciar quaisquer feeds personalizados.
Tabela 7: Configuração da C&C

Campo

Regra

Tipo

Selecione IP para inserir o endereço IP de um servidor C&C que você deseja adicionar à lista de habilitação. Selecione o Domínio para permitir listar um domínio inteiro na lista de servidores C&C.

IP ou domínio

Para IP, insira um endereço IPv4 ou IPv6. Um IP pode ser endereço IP, intervalo IP ou sub-rede IP. Para domínio, use a seguinte sintaxe: juniper.net. Os curingas não são suportados.

Descrição

Insira uma descrição que indica por que um item foi adicionado à lista.

Você também pode permitir a visualização de servidores C&C da lista diretamente da visualização dos detalhes da página de monitoramento da C&C. Veja servidores de comando e controle: mais informações.

Aviso:

Adicionar um servidor C&C à lista de habilitação aciona automaticamente um processo de correção para atualizar quaisquer hosts afetados (nesse reino) que entraram em contato com o servidor C&C enquanto listado. Todos os eventos de C&C relacionados a este servidor autorizado serão removidos dos eventos dos hosts afetados, e ocorrerá um recálculo de nível de ameaça de host.

Se a pontuação do host mudar durante este recalculamento, um novo evento de host aparece descrevendo por que ele foi recalculado. Por exemplo, "O nível de ameaças do host foi atualizado após a liberação do servidor C&C 1.2.3.4". Além disso, o servidor não aparecerá mais na lista de servidores C&C porque foi liberado.

Insights de tráfego criptografado (ETI)

Você pode especificar o endereço IP ou os nomes de domínio que deseja permitir na análise de tráfego criptografado. Use esta guia para adicionar, modificar ou excluir as listas de habilitação para análise de tráfego criptografado.

Tabela 8: Configuração de tráfego criptografado

Campo

Regra

Tipo

Selecione se deseja especificar o endereço IP ou o nome do domínio para a lista de permitidos.

IP ou domínio

Digite o endereço IP ou o nome do domínio para a lista de permitidos.

Sistema de nomes de domínio (DNS)

Você pode especificar os domínios que deseja permitir a lista da filtragem de DNS. Use esta guia para adicionar, modificar ou excluir as listas de habilitação para filtragem de DNS.

Tabela 9: Configuração de domínios

Campo

Regra

URL

Insira a URL para o domínio que você deseja permitir a lista.

Comentários

Digite uma descrição que indica por que o domínio foi adicionado à lista.

Shell reversa

Você pode especificar os endereços ou domínios IP que deseja permitir a lista a partir da detecção reversa de shells. Use esta guia para adicionar, modificar ou excluir as listas de habilitação para detecção reversa de shells.

Tabela 10: Configuração de shell reversa

Campo

Regra

IP

Insira o endereço IP para a lista de habilitação.

URL

Insira a URL para o domínio que você deseja permitir a lista.
Nota:

O Juniper ATP Cloud pesquisa periodicamente conteúdo novo e atualizado e o baixa automaticamente em seu firewall da Série SRX. Você não precisa empurrar manualmente sua lista de permitedores ou arquivos de blocklist.

Documentação relacionada