Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

自适应威胁分析概述和配置

概述

瞻博网络 ATP 云自适应威胁分析允许 SRX 系列防火墙根据其自己的高级检测和策略匹配事件生成、传播和使用威胁源。

此功能允许您配置安全或 IDP 策略,匹配时,将以下内容注入威胁信息源:

  • 源 IP 地址

  • 目标 IP 地址

  • 源身份

  • 目标身份

其他设备可以将此威胁源用作动态地址组 (DAG)。虽然此功能侧重于跟踪和缓解网络中的威胁行为者,但您也可以将其用于与威胁无关的活动,例如设备分类。

借助自适应威胁分析,瞻博网络 ATP 云服务充当信息源聚合器。该服务会整合整个企业的 SRX 系列防火墙源,并定期将复制结果共享回组织中的所有 SRX 系列防火墙。然后,SRX 系列防火墙可以使用这些源对流量执行进一步的作。

注意:

此功能需要 SecIntel 许可证(高级型号)才能运行。其他检测功能可能需要将 AppID、IDP 和增强型 Web 筛选 (EWF) 许可证添加到设备(如果尚不存在)。有关其他许可功能的信息,请参阅 ATP 云的软件许可

自适应威胁分析的优势

  • 支持新的部署架构,从而可以将低成本 SRX 系列防火墙作为传感器部署在整个网络的 Tap 端口上,识别情报并将其共享到内联设备以进行实时实施。

  • 使管理员能够对不断变化的威胁和网络状况进行近乎无限的适应。安全性策略可以通过自适应威胁分析源来分段,在发生入侵或恶意软件爆发时,这些源会自动填充条目。

  • 提供执行端点分类的能力。您可以根据网络行为和/或深度包检测 (DPI) 结果对端点进行分类。例如,可以利用 AppID、Web 过滤或 IDP 将与 Ubuntu 更新服务器通信的主机放入可用于控制网络上的 Ubuntu-Server 行为的 DAG 中。

从配置>自适应威胁分析访问此页面。

表 1:自适应威胁分析

字段

指南

源名称

自适应威胁分析源的名称。

项目

信息源中的条目数。

饲料类型

源的内容类型。支持以下选项:

  • IP

  • USER_ID

已添加到受感染的主机

显示源内容(例如,源或目标 IP 地址)是否已添加到受感染的主机源中。

  • True - 信息源内容将添加到“已感染”主机信息源中。

  • False - 源内容不会添加到受感染的主机源中。

注意:

目前,您只能将 IP 地址源类型添加到受感染的主机源中。

生存时间(天)

定义条目在源中“存在”多长时间。一旦达到 TTL,条目就会自动删除。

注意:

  • 源只能用作动态地址组 (DAG)/IP 过滤器。

您可以从此页面执行以下任务:

  • 添加新源 - 请参阅 创建自适应威胁分析源

  • 修改源 - 选择源并单击编辑图标(铅笔)。此时将显示“编辑” <feed-name> 页面,其中显示创建源时显示的相同字段。根据需要修改字段。单击 “确定 ”以保存更改。

    注意:

    您无法编辑 Feed 名称和 Feed 类型。

  • 删除源 - 选择源并单击标题栏中的删除图标。此时将出现一个弹出窗口,要求确认删除。单击 以确认您要删除 Feed。

  • 过滤或搜索源 - 点击过滤器图标。在搜索栏中输入关键字的部分文本或全文,然后单击搜索按钮或按 Enter。将显示搜索结果。您还可以按 Feed 类型和生存时间(天)进行过滤。

  • 查看有关 Feed 的详细信息 - 单击 Feed 名称以查看以下信息:

    • 源项 - 列出与源关联的所有 IP 地址或用户 ID。要从 Feed 中排除 IP 地址或用户 ID,请选择该 IP 地址或用户 ID,然后单击 添加到排除的项目

    • 排除的项 - 列出从 Feed 中排除的所有 IP 地址或用户 ID。要删除排除项目列表的 IP 地址或用户 ID,请选择 IP 地址或用户 ID,然后单击删除图标。

      要从 Feed 中手动排除某个 IP 地址或用户 ID,请执行以下作:

      1. 单击“排除的项”选项卡中的加号 (+) 图标。

        此时将显示“添加到排除列表”页面。

      2. 输入要从 Feed 中排除的 IP 地址或用户 ID。

      3. 单击 确定

        IP 地址或用户 ID 列在“排除的项目”页中。

配置自适应威胁分析

已在瞻博网络 ATP 云中注册的 SRX 系列防火墙应包含所有必要的配置,以便开始利用自适应威胁分析。

首先,验证设备是否已包含安全智能 (SecIntel) 的 URL。

  1. 检查源服务器的 URL。

    您的输出应类似于以下内容:

    注意:

    如果配置中没有该 URL,请尝试在瞻博网络 ATP 云中重新注册设备。请参阅 使用瞻博网络 ATP 云门户注册 SRX 系列防火墙

  2. 在瞻博网络 ATP 云中创建自适应威胁分析信息源。登录瞻博网络 ATP 云 UI,选择 配置 > 自适应威胁分析。自适应威胁分析页面随即显示,如 图 1 所示。在此示例中,我们将使用生存时间 (TTL) 为 7 天的 Feed 名称 High_Risk_Users

    图 1:添加新源 Add New Feed

  3. 单击 “确定 ”以保存更改。有关详细信息,请参阅 创建自适应威胁分析源

  4. 确保 SRX 系列防火墙已下载源。这是定期自动完成的,但可能需要几秒钟。

    如有必要,手册下载 SecIntel 数据库可以加快此过程。

    有关详细信息,请参阅 瞻博网络高级威胁防御云管理指南

相关文档