Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

自适应威胁分析概述和配置

概述

瞻博网络 ATP 云自适应威胁分析允许 SRX 系列防火墙根据其自身的高级检测和策略匹配事件生成、传播和使用威胁源。

此功能允许您配置安全或 IDP 策略,这些策略在匹配时,会将源 IP 地址、目标 IP 地址、源身份或目标身份注入威胁源,其他设备可将其用作动态地址组 (DAG)。虽然此功能侧重于跟踪和缓解网络中的威胁参与者,但您也可以将其用于与威胁无关的活动,例如设备分类。

借助自适应威胁分析,瞻博网络 ATP 云服务可充当源聚合器,在整个企业中整合来自 SRX 的源,并将重复数据删除后的结果定期共享回域中的所有 SRX 系列防火墙。然后,SRX 系列防火墙可以使用这些源对流量执行进一步的操作。

注意:

此功能需要 SecIntel 许可证(高级型号)才能运行。其他检测功能可能需要将 AppID、IDP 和增强型 Web 过滤许可证添加到您的设备(如果尚不存在)。有关其他许可功能的信息,请参阅 瞻博网络高级威胁防御云许可证类型

自适应威胁分析的优势

  • 支持新的部署架构,从而可以将低成本的 SRX 系列防火墙作为传感器部署在整个网络中的 Tap 端口上,从而识别情报并将其共享到在线设备以进行实时实施。

  • 使管理员能够近乎无限地适应不断变化的威胁和网络状况。可以使用自适应威胁分析源暂存安全策略,在发生入侵或恶意软件爆发时,这些源会自动填充条目。

  • 提供执行终结点分类的功能。您可以根据网络行为和/或深度包检测 (DPI) 结果对端点进行分类。例如,您可以利用 AppID、Web 过滤或 IDP 将与 Ubuntu 更新服务器通信的主机放入动态地址组中,该组可用于控制网络上的 Ubuntu 服务器行为。

配置 自适应 威胁分析访问此页面>。

表 1:自适应威胁分析

领域

指引

源名称

自适应威胁分析源的名称。

项目

源中的条目数。

馈送类型

源的内容类型。支持以下选项:

  • Ip

  • USER_ID

已添加到受感染的主机

显示源内容(例如,源或目标 IP 地址)是否已添加到受感染的主机源中。

  • True — 源内容将添加到受感染的主机源中。

  • False — 源内容不会添加到受感染的主机源中。

注意:

目前,您只能将 IP 地址源类型添加到受感染的主机源。

生存时间(天)

定义条目在源中的“生存”时间。达到 TTL 后,将自动删除该条目。

注意:

  • 源只能用作动态地址组 (DAG) /IP 筛选器。

您可以从此页面执行以下任务:

  • 添加新源 - 请参阅 创建自适应威胁分析源

  • 修改源 - 选择源,然后单击编辑图标(铅笔)。此时将显示“编辑 <feed-name> ”页面,其中显示的字段与创建 Feed 时显示的字段相同。根据需要修改字段。单击 “确定 ”保存更改。

    注意:

    您无法修改 Feed 名称和 Feed 类型。

  • 删除源 - 选择一个源,然后单击标题栏中的删除图标。此时将显示一个弹出窗口,请求确认删除。单击 以确认您要删除 Feed。

  • 过滤或搜索源 - 单击过滤器图标。在搜索栏中输入关键字的部分文本或全文,然后单击搜索按钮或按 Enter 键。将显示搜索结果。您还可以按 Feed 类型和生存时间(天)进行过滤。

  • 查看有关 Feed 的详细信息 - 点击 Feed 名称可查看以下信息:

    • 源项目 - 列出与源关联的所有 IP 地址或用户 ID。要从源中排除 IP 地址或用户 ID,请选择 IP 地址或用户 ID,然后单击 添加到排除的项目

    • 排除的项目 - 列出从源中排除的所有 IP 地址或用户 ID。要删除排除项列表的 IP 地址或用户 ID,请选择 IP 地址或用户 ID,然后单击删除图标。

      要从源中手动排除 IP 地址或用户 ID,请执行以下操作:

      1. 单击“排除的项目”选项卡中的加号 (+) 图标。

        此时将显示“添加到排除列表”页。

      2. 输入要从源中排除的 IP 地址或用户 ID。

      3. 单击“确定”。

        IP 地址或用户 ID 列在“排除的项目”页面中。

配置自适应威胁分析

已在瞻博网络 ATP 云中注册的 SRX 系列防火墙应包含开始利用自适应威胁分析所需的所有配置。

首先,验证设备是否已包含安全智能的 URL。

  1. 检查源服务器的网址。

    输出应类似于以下内容:

    注意:

    如果配置中没有 URL,请尝试在瞻博网络 ATP 云中重新注册设备。请参阅 使用瞻博网络 ATP 云 Web 门户注册 SRX 系列防火墙

  2. 在瞻博网络 ATP 云中创建自适应威胁分析源。登录瞻博网络 ATP 云用户界面,选择 配置 > 自适应威胁分析。此时将显示“自适应威胁分析”页面,如图 1 所示。在此示例中,我们将使用生存时间 (TTL) 为 7 天的 Feed 名称 High_Risk_Users

    图 1:添加新源 Add New Feed

  3. 单击 “确定 ”保存更改。有关详细信息,请参阅 创建自适应威胁分析源

  4. 确保源已由 SRX 系列防火墙下载。这是定期自动完成的,但可能需要几秒钟。

    如有必要,手动下载安全智能数据库可以加快此过程。

    有关更多信息,请参阅 《瞻博网络高级威胁防御云管理指南 》。

相关文档