自适应威胁分析概述和配置
概述
瞻博网络 ATP 云自适应威胁分析允许 SRX 系列防火墙根据其自身的高级检测和策略匹配事件生成、传播和使用威胁源。
此功能允许您配置安全或 IDP 策略,这些策略在匹配时,会将源 IP 地址、目标 IP 地址、源身份或目标身份注入威胁源,其他设备可将其用作动态地址组 (DAG)。虽然此功能侧重于跟踪和缓解网络中的威胁参与者,但您也可以将其用于与威胁无关的活动,例如设备分类。
借助自适应威胁分析,瞻博网络 ATP 云服务可充当源聚合器,在整个企业中整合来自 SRX 的源,并将重复数据删除后的结果定期共享回域中的所有 SRX 系列防火墙。然后,SRX 系列防火墙可以使用这些源对流量执行进一步的操作。
此功能需要 SecIntel 许可证(高级型号)才能运行。其他检测功能可能需要将 AppID、IDP 和增强型 Web 过滤许可证添加到您的设备(如果尚不存在)。有关其他许可功能的信息,请参阅 瞻博网络高级威胁防御云许可证类型。
自适应威胁分析的优势
-
支持新的部署架构,从而可以将低成本的 SRX 系列防火墙作为传感器部署在整个网络中的 Tap 端口上,从而识别情报并将其共享到在线设备以进行实时实施。
-
使管理员能够近乎无限地适应不断变化的威胁和网络状况。可以使用自适应威胁分析源暂存安全策略,在发生入侵或恶意软件爆发时,这些源会自动填充条目。
-
提供执行终结点分类的功能。您可以根据网络行为和/或深度包检测 (DPI) 结果对端点进行分类。例如,您可以利用 AppID、Web 过滤或 IDP 将与 Ubuntu 更新服务器通信的主机放入动态地址组中,该组可用于控制网络上的 Ubuntu 服务器行为。
从 配置 自适应 威胁分析访问此页面>。
领域 |
指引 |
---|---|
源名称 |
自适应威胁分析源的名称。 |
项目 |
源中的条目数。 |
馈送类型 |
源的内容类型。支持以下选项:
|
已添加到受感染的主机 |
显示源内容(例如,源或目标 IP 地址)是否已添加到受感染的主机源中。
注意:
目前,您只能将 IP 地址源类型添加到受感染的主机源。 |
生存时间(天) |
定义条目在源中的“生存”时间。达到 TTL 后,将自动删除该条目。 |
-
源只能用作动态地址组 (DAG) /IP 筛选器。
您可以从此页面执行以下任务:
-
添加新源 - 请参阅 创建自适应威胁分析源。
-
修改源 - 选择源,然后单击编辑图标(铅笔)。此时将显示“编辑 <feed-name> ”页面,其中显示的字段与创建 Feed 时显示的字段相同。根据需要修改字段。单击 “确定 ”保存更改。
注意:您无法修改 Feed 名称和 Feed 类型。
-
删除源 - 选择一个源,然后单击标题栏中的删除图标。此时将显示一个弹出窗口,请求确认删除。单击 是 以确认您要删除 Feed。
-
过滤或搜索源 - 单击过滤器图标。在搜索栏中输入关键字的部分文本或全文,然后单击搜索按钮或按 Enter 键。将显示搜索结果。您还可以按 Feed 类型和生存时间(天)进行过滤。
-
查看有关 Feed 的详细信息 - 点击 Feed 名称可查看以下信息:
-
源项目 - 列出与源关联的所有 IP 地址或用户 ID。要从源中排除 IP 地址或用户 ID,请选择 IP 地址或用户 ID,然后单击 添加到排除的项目。
-
排除的项目 - 列出从源中排除的所有 IP 地址或用户 ID。要删除排除项列表的 IP 地址或用户 ID,请选择 IP 地址或用户 ID,然后单击删除图标。
要从源中手动排除 IP 地址或用户 ID,请执行以下操作:
-
单击“排除的项目”选项卡中的加号 (+) 图标。
此时将显示“添加到排除列表”页。
-
输入要从源中排除的 IP 地址或用户 ID。
-
单击“确定”。
IP 地址或用户 ID 列在“排除的项目”页面中。
-
-
配置自适应威胁分析
已在瞻博网络 ATP 云中注册的 SRX 系列防火墙应包含开始利用自适应威胁分析所需的所有配置。
首先,验证设备是否已包含安全智能的 URL。
-
检查源服务器的网址。
输出应类似于以下内容:
show services security-intelligence url https://cloudfeeds.sky.junipersecurity.net/api/manifest.xml
注意:如果配置中没有 URL,请尝试在瞻博网络 ATP 云中重新注册设备。请参阅 使用瞻博网络 ATP 云 Web 门户注册 SRX 系列防火墙。
-
在瞻博网络 ATP 云中创建自适应威胁分析源。登录瞻博网络 ATP 云用户界面,选择 配置 > 自适应威胁分析。此时将显示“自适应威胁分析”页面,如图 1 所示。在此示例中,我们将使用生存时间 (TTL) 为 7 天的 Feed 名称 High_Risk_Users 。
图 1:添加新源 -
单击 “确定 ”保存更改。有关详细信息,请参阅 创建自适应威胁分析源。
-
确保源已由 SRX 系列防火墙下载。这是定期自动完成的,但可能需要几秒钟。
如有必要,手动下载安全智能数据库可以加快此过程。
有关更多信息,请参阅 《瞻博网络高级威胁防御云管理指南 》。