瞻博网络高级威胁防御云
关于瞻博网络高级威胁防御云
瞻博网络®高级威胁防御云(Juniper ATP 云)是一个安全框架,通过采用基于云的威胁检测软件和新一代防火墙系统,保护网络中的所有主机免受不断演变的安全威胁。参见 图 1。
瞻博网络 ATP 云通过执行以下任务保护您的网络:
SRX 系列防火墙提取潜在的恶意对象和文件,并将其发送到云端进行分析。
在已知恶意文件感染主机之前,可以快速识别并丢弃它们。
多种技术可识别新的恶意软件,并将其添加到已知的恶意软件列表中。
新识别的恶意软件与已知的命令和控制(C&C)站点之间的关联有助于分析。
SRX 系列防火墙可阻止已知的恶意文件下载和出站 C&C 流量。
瞻博网络 ATP 云支持以下模式:
第 3 层模式
点击模式
使用 MAC 地址的透明模式。有关更多信息,请参阅 SRX 系列设备上的透明模式。
安全线模式(高级透明模式,使用接口直接传递流量,而不是通过 MAC 地址。有关详细信息,请参阅 了解安全线路。
瞻博网络 ATP 云功能
瞻博网络 ATP 云是一种基于云的解决方案。云环境灵活且可扩展,共享环境可确保每个人都能近乎实时地从新的威胁情报中受益。您的敏感数据即使位于云共享环境中,也会受到保护。安全分析师可以在发现新的攻击技术时更新其防御措施,并在非常短的延迟内分发威胁情报。
此外,瞻博网络 ATP 云还提供以下功能:
-
与 SRX 系列防火墙集成,可简化部署并增强防火墙的防威胁功能。
-
使用多种工具组合提供针对“零日”威胁的防护,以提供针对复杂、隐匿威胁的强大覆盖范围。
-
人工智能预测威胁防御是一种智能、快速的恶意软件检测和防御解决方案,无论用户从何处连接,都能保护您的网络。此解决方案利用基于流的防病毒和基于机器学习的零日威胁检测来保护用户免受恶意软件攻击,并防止恶意软件在您的系统中传播。请参阅 示例:配置基于流的防病毒策略 和 示例:配置基于机器学习的威胁检测。
-
使用允许用户阻止恶意软件、隔离受感染的系统、防止数据泄露和中断横向移动的策略增强功能检查入站和出站流量。
-
高可用性,提供不间断服务。
-
可扩展以处理不断增加的负载,这些负载需要更多计算资源、增加网络带宽以接收更多客户提交内容,以及为恶意软件提供大量存储空间。
-
提供深度检测、切实可行的报告和内联恶意软件拦截。
-
用于 C&C 源、允许列表和阻止列表操作以及文件提交的 API。有关详细信息,请参阅 威胁情报开放 API 设置指南 。
-
如果您拥有 ATP 云高级许可证,请提供 DNS、加密流量洞察 (ETI) 和物联网安全等功能。有关详细信息,请参阅 许可指南 。
图 2 列出了瞻博网络 ATP 云组件。
表 1 简要介绍了每个瞻博网络 ATP 云组件的操作。
元件 |
操作 |
---|---|
命令和控制 (C&C) 云源 |
C&C feed本质上是僵尸网络已知命令和控制的服务器列表。该列表还包括已知恶意软件下载源的服务器。 |
GeoIP 云源 |
GeoIP 源是 IP 地址到地理区域的最新映射。这使您能够过滤进出全球特定地理位置的流量。 |
受感染的主机云源 |
受感染的主机表示本地设备可能受到威胁,因为它们似乎是C&C网络的一部分或其他表现出其他症状。 |
允许列表、阻止列表和自定义云源 |
允许列表只是您信任的已知 IP 地址的列表,而阻止列表是您不信任的列表。 |
SRX 系列防火墙 |
提交提取的文件内容进行分析,并在客户网络内检测到C&C命中。 根据瞻博网络 ATP 云提供的文件签名数据库执行内联阻止。 |
恶意软件检查管道 |
执行恶意软件分析和威胁检测。 |
内部危害检测 |
检查文件、元数据和其他信息。 |
服务门户 (Web UI) |
图形界面显示有关检测到的客户网络内威胁的信息。 配置管理工具,客户可以在其中微调哪些文件类别可以提交到云中进行处理。 |
加密流量洞察 |
加密流量洞察可恢复因加密流量而丢失的可见性,而无需承受完全 TLS/SSL 解密的沉重负担。 |
SecIntel |
以威胁源的形式提供精心策划的安全情报,其中包括已知攻击活动中使用的恶意域、URL 和 IP 地址。SecIntel 还使客户能够提供和分发自己的威胁情报,以实现内联拦截。 |
自适应威胁分析 |
根据当前攻击网络的人员和事物自动创建安全情报威胁源,以应对新威胁的持续冲击。自适应威胁分析利用瞻博网络安全服务对端点行为进行分类,并构建自定义威胁情报源,用于在多个实施点进行进一步检查或阻止。 |
DNS 安全性 |
针对利用 DGA 和 DNS 隧道技术的攻击提供威胁防护。防止 C&C 通信、数据泄露、网络钓鱼攻击和勒索软件的 DNS 漏洞利用,这些攻击通常使用各种技术利用 DNS。 |
物联网威胁防御 | ATP 云通过提供一种简单的方法来识别和分类物联网设备,从而允许客户控制其网络上的物联网攻击面 |
SRX 系列防火墙如何修复流量
SRX 系列防火墙使用瞻博网络 ATP 云提供的智能,通过使用安全策略来修复恶意内容。如果配置了,则安全策略可能会在内容传递到目标地址之前阻止该内容。
对于入站流量,SRX 系列防火墙上的安全策略会查找要检查的特定类型的文件,如.exe文件。遇到这种情况时,安全策略会将文件发送到瞻博网络 ATP 云进行检查。SRX 系列防火墙会保存目标客户端文件中的最后几 KB,而瞻博网络 ATP 云会检查此文件是否已经过分析。如果是这样,则返回判定,并根据文件的威胁级别和用户定义的策略将文件发送到客户端或阻止该文件。如果云之前未检查过此文件,则该文件将发送到客户端,同时瞻博网络 ATP 云执行详尽分析。如果文件的威胁级别指示恶意软件(并且根据用户定义的配置),则客户端系统将被标记为受感染的主机并阻止出站流量。有关详细信息,请参阅 如何分析和检测恶意软件?。
图 3 显示了客户端请求使用瞻博网络 ATP 云下载文件的示例流程。
步 |
描述 |
---|---|
1 |
SRX 系列防火墙后面的客户端系统请求从互联网下载文件。SRX 系列防火墙将该请求转发到相应的服务器。 |
2 |
SRX 系列防火墙接收下载的文件并检查其安全配置文件,以查看是否必须执行任何其他操作。 |
3 |
下载的文件类型位于必须检查的文件列表中,并发送到云进行分析。 |
4 |
瞻博网络 ATP 云之前检查过此文件,并将分析结果存储在缓存中。在此示例中,文件不是恶意软件,威胁级别判定将发送回 SRX 系列防火墙。 |
5 |
根据用户定义的策略和威胁级别判定,SRX 系列防火墙将文件发送到客户端。 |
对于出站流量,SRX 系列防火墙会监控与其收到的 C&C 源匹配的流量,阻止这些 C&C 请求,并将其报告给瞻博网络 ATP 云。提供了受感染主机的列表,以便 SRX 系列防火墙可以阻止入站和出站流量。
瞻博网络 ATP 云用例
瞻博网络 ATP 云可在 SRX 系列部署中的任何位置使用。参见 图 4。
园区边缘防火墙 — 瞻博网络 ATP 云分析从互联网下载的文件并保护最终用户设备。
数据中心边缘 — 与园区边缘防火墙一样,瞻博网络 ATP 云可防止受感染的文件和应用程序恶意软件在您的计算机上运行。
分支路由器 — 瞻博网络 ATP 云针对隧道拆分部署提供保护。拆分隧道的一个缺点是用户可以绕过公司基础结构设置的安全。
发 牌
瞻博网络 ATP 云有三个服务级别:免费、基本(仅限 Feed)和高级。免费版本不需要许可证,但您必须获得基本和高级级别的许可证。
要了解有关瞻博网络 ATP 云许可证的更多信息,请参阅 瞻博网络高级威胁防御 (ATP) 云许可证。有关许可证管理的一般信息,请参阅 许可指南 。有关更多详细信息,请参阅产品产品介绍或联系您的瞻博网络客户团队或瞻博网络合作伙伴。