自适应威胁分析概述和配置
概述
瞻博网络 ATP 云自适应威胁分析允许 SRX 系列防火墙根据自己的高级检测和策略匹配事件生成、传播和使用威胁信息源。
通过此功能,您可以配置安全策略或 IDP 策略,在匹配时,将源 IP 地址、目标 IP 地址、源身份或目标身份注入威胁源中,其他设备可将其用作动态地址组 (DAG)。虽然此功能侧重于跟踪和缓解网络中的威胁行为者,但您也可以将其用于与威胁无关的活动,例如设备分类。
借助自适应威胁分析,瞻博网络 ATP 云服务可充当源聚合器,将来自 SRX 的源整合到整个企业,并定期将重复数据删除的结果共享回域中的所有 SRX 系列防火墙。然后,SRX 系列防火墙可以使用这些信息源对流量执行进一步的措施。
此功能需要 SecIntel 许可证(高级型号)才能运行。其他检测功能可能需要将 AppID、IDP 和增强型 Web 过滤许可证添加到您的设备(如果尚未存在)。有关其他许可功能的信息,请参阅 ATP 云的软件许可证。
自适应威胁分析的优势
-
支持新的部署架构,借此可以将低成本的 SRX 系列防火墙作为传感器部署在整个网络的 Tap 端口上,识别智能并将其共享到在线设备,以便实时实施。
-
使管理员能够近乎无限地适应不断变化的威胁和网络状况。可以使用自适应威胁分析源暂存安全策略,在发生入侵或恶意软件爆发时,这些信息源会自动填充条目。
-
提供执行端点分类的能力。您可以根据网络行为和/或深度包检测 (DPI) 结果对端点进行分类。例如,您可以利用 AppID、Web 过滤或 IDP 将与 Ubuntu 的更新服务器通信的主机放入动态地址组中,该组可用于控制网络上的 Ubuntu-Server 行为。
通过 配置 > 自适应威胁分析访问此页。
田 |
指引 |
---|---|
源名称 |
自适应威胁分析信息源的名称。 |
项目 |
源中的条目数。 |
饲料类型 |
源的内容类型。支持以下选项:
|
已添加到受感染的主机 |
显示是否将源内容(例如,源或目标 IP 地址)添加到已感染的主机源中。
注意:
目前,您只能将 IP 地址源类型添加到受感染的主机源。 |
生存时间(天) |
定义条目在源中“存活”的时间。到达 TTL 后,该条目将自动删除。 |
-
源只能用作动态地址组 (DAG) /IP 筛选器。
您可以从此页面执行以下任务:
-
添加新源 - 请参阅创建自适应威胁分析源。
-
修改源 - 选择源,然后单击编辑图标(铅笔)。此时将显示“编辑” <feed-name> 页面,其中显示的字段与创建源时显示的字段相同。根据需要修改字段。单击 “确定 ”保存更改。
注意:您无法编辑源名称和源类型。
-
删除 Feed - 选择一个 Feed,然后单击标题栏中的删除图标。此时将显示一个弹出窗口,请求确认删除。单击 “是 ”以确认要删除 Feed。
-
过滤或搜索源 - 点击过滤器图标。在搜索栏中输入关键字的部分文本或全文,然后单击搜索按钮或按 Enter。将显示搜索结果。您还可以按源类型和生存时间(天)进行筛选。
-
查看有关源的详细信息 - 单击源名称可查看以下信息:
-
源项 (Feed Items) - 列出与源关联的所有 IP 地址或用户 ID。要从 Feed 中排除某个 IP 地址或用户 ID,请选择该 IP 地址或用户 ID,然后点击 添加到排除项。
-
排除的项目 - 列出从源中排除的所有 IP 地址或用户 ID。若要删除排除项列表的 IP 地址或用户 ID,请选择 IP 地址或用户 ID,然后单击“删除”图标。
要从 Feed 中手动排除 IP 地址或用户 ID,请执行以下操作:
-
单击“排除的项目”选项卡中的加号 (+) 图标。
此时将显示“添加到排除列表”页面。
-
输入要从 Feed 中排除的 IP 地址或用户 ID。
-
单击 “确定”。
IP 地址或用户 ID 列在“排除的项目”页面中。
-
-
配置自适应威胁分析
已在瞻博网络 ATP 云中注册的 SRX 系列防火墙应包含开始利用自适应威胁分析所需的所有配置。
首先,验证设备是否已包含安全智能 URL。
-
检查 Feed 服务器的网址。
输出应类似于以下内容:Your output should look similar to the following:
show services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml
注意:如果配置中没有该 URL,请尝试在瞻博网络 ATP 云中重新注册设备。请参阅 使用瞻博网络 ATP 云 Web 门户注册 SRX 系列防火墙。
-
在瞻博网络 ATP 云中创建自适应威胁分析信息源。登录到瞻博网络 ATP 云 UI ,选择配置 > 自适应威胁分析。Adaptive Threat Profiling 页面如 图 1 所示。在此示例中,我们将使用生存时间 (TTL) 为 7 天的源名称 High_Risk_Users 。
图 1:添加新 Feed -
单击 “确定 ”保存更改。有关详细信息,请参阅 创建自适应威胁分析源。
-
确保您的 SRX 系列防火墙已下载源。这会定期自动完成,但可能需要几秒钟。
如有必要,手动下载安全情报数据库可以加快这一过程。
有关详细信息,请参阅瞻 博网络高级威胁防御云管理指南 。