Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

streaming de metadados de segurança

Sintaxe

Nível de hierarquia

Descrição

Configure a política de streaming de metadados de segurança em dispositivos da Série SRX para enviar os metadados e padrões de conexão de um tráfego de rede para o ATP Cloud da Juniper Networks para obter insights de tráfego criptografado. Depois de configurar a política de streaming de metadados de segurança, anexe-a à política de segurança em nível de zona.

set security policies from-zone from-zone to-zone to-zone application-services security-metadata-streaming-policy dns-policy

Opções

dns-cache Configure uma lista de domínios estáticos benignos e de comando e controle (C2) no cache do Domain Name System (DNS) para tomar medidas imediatas em domínios configurados. Somente domínios curinga são permitidos. O formato de domínio deve ser *.domain_name.domain_ending . As entradas configuradas no Cache DNS via CLI permanecerão no Cache DNS até que essa configuração seja excluída do dispositivo. Você pode configurar um máximo de 500 domínios cada um na lista benigna e na lista c2.
  • Por padrão, a ação para o tráfego originário de um domínio benigno (permitido) é permit.
  • A ação para o tráfego originário de um domínio C2 (bloqueado) baseia-se na ação configurada sob detecções de DNS.
policy policy-name Configure a política de streaming de metadados de segurança.
dns Configure opções de DNS.
cache Armazene DNS em cache até o tempo de vida (TTL). O TTL fornecido pelo dispositivo da Série SRX substitui o Juniper ATP Cloud fornecido pela TTL.
Nota:

Você deve configurar pelo menos um método de detecção de DNS para configurar o cache DNS.
  • benigno — (opcional) Definir valor de TTL benigno. O intervalo é de 60 a 172800 segundos. O valor padrão é 86400.
  • c2 —(Opcional) Definir valor de TTL C2. O intervalo é de 60 a 172800 segundos. O valor padrão é 86400.
detections Configure o tipo de detecção para solicitações de DNS. As opções disponíveis são todas, dga e tunelamento. Você pode configurar qualquer uma das seguintes detecções.
  • todas as detecções
  • detecção de dga e tunelamento
  • detecção de dga ou tunelamento
Você não pode configurar todas as detecções e detecções personalizadas (dga e/ou tunelamento) juntas. As detecções são mutuamente exclusivas.
Nota:

Cada método de detecção tem uma opção de recuo que é usada caso nada seja detectado em um determinado número de pacotes (em caso de tunelamento) ou dentro de um determinado período de tempo (em caso de DGA).

all Configure todas as detecções.
  • ação — Especifique a ação que o dispositivo SRX tomará quando uma detecção for feita. As opções disponíveis são deny, permitou sinkhole.
  • opções de retorno — opções de retorno para detecções de DNS. A ação de recuo é acionada quando ataques baseados em DNS não são detectados (o veredicto da DGA não é recebido dentro de 100ms (valor padrão do tempo de saída do veredicto) e o túnel DNS não é detectado em 4 pacotes (valor padrão de profundidade de inspeção)). A opção disponível é para Log as solicitações de DNS.
  • notificação — ações de notificação global tomadas para métodos de detecção de DNS. As opções disponíveis são:
    • log — gera log para solicitações de DNS e detecções de DNS.
    • detecções de log — (recomendado) Gera log apenas para detecções de DNS maliciosas.
  • tempo limite de veredicto — (não configurável) Hora de esperar por um veredicto de DGA sobre pacotes DNS (milissegundos). O tempo limite padrão é de 100ms para todas as detecções.
  • profundidade de inspeção — (não configurável) Número de pacotes a serem inspecionados para detecção de túneis. Padrão são 4 pacotes para todas as detecções.
dga Configure para detectar ataques baseados em DGA em pacotes DNS.
  • ação — Especifique a ação que o dispositivo SRX tomará quando uma detecção for feita. As opções disponíveis são deny, permitou sinkhole.
  • opções de retorno — opções de retorno para detecção de DGA de DNS. As opções de recuo são acionadas se o veredicto da DGA não for recebido do Juniper ATP Cloud dentro do valor configurado do tempo de saída do veredicto. A opção disponível é registrar a solicitação de DNS.
  • notificação— Medidas de notificação tomadas para detecção de DNS DGA. As opções disponíveis são:
    • log — gera log por solicitação de DNS e detecções de DNS.
    • detecções de log — (recomendado) Gera log apenas para detecções de DNS maliciosas.
  • tempo limite de veredicto — (Opcional) Tempo para esperar por um veredicto sobre dNS Packet (milissegundos). A faixa é de 50 a 500. O tempo limite padrão é de 100ms.
tunneling Configure para detectar tunelamento de DNS.
  • ação — Especifique a ação que o dispositivo SRX tomará quando uma detecção for feita. As opções disponíveis são deny (gotas de sessão de túnel), permit (permite sessão de túnel) ou sinkhole (derruba a sessão do túnel e faz buracos no domínio).
  • opções de retorno — opções de retorno para detecção de tunelamento de DNS. As opções de recuo são acionadas se um túnel não for detectado no número especificado de pacotes (profundidade de inspeções). A opção disponível é registrar a solicitação de DNS.
  • profundidade de inspeção — (Opcional) Número de pacotes a serem inspecionados para detecção de túneis. A faixa é de 0 a 10. O padrão é de 4 pacotes. 0 indica para sempre.
  • notificação — Medidas de notificação tomadas para detecção de tunelamento de DNS. As opções disponíveis são:
    • log — gera log por solicitação de DNS e detecções de DNS.
    • detecções de log — (recomendado) Gera log apenas para detecções de DNS maliciosas.
dynamic-filter Configure opções de filtragem dinâmica para política de streaming de metadados de segurança em dispositivos da Série SRX.
http Configure opções de HTTP.

  • ação — define a ação tomada no tráfego. A ação padrão é a permissão.

  • notificação — define as ações de notificação tomadas para o tráfego. A opção disponível é registrar todas as ações de streaming de metadados de segurança.

Nível de privilégio necessário

segurança — Para ver essa declaração na configuração.

controle de segurança — para adicionar essa declaração à configuração.

Informações de lançamento

Declaração introduzida no Junos OS Release 20.2R1 nos gateways de serviços da Série SRX com o Juniper Advanced Threat Prevention Cloud (Juniper ATP Cloud).

Documentação relacionada