瞻博网络高级威胁防御云配置概述
表 1 列出了配置瞻博网络 ATP 云的基本步骤。
这些步骤假定您已在现场安装、配置并运行 SRX 系列防火墙。
任务 |
描述 |
有关信息,请参阅 |
|---|---|---|
| (选答)更新管理员配置文件 |
更新您的管理员配置文件,将更多具有管理员权限的用户添加到您的安全领域,并设置接收警报电子邮件的阈值。注册帐户时,将创建默认管理员配置文件。 此步骤在 Web UI 中完成。 |
|
注册 SRX 系列防火墙 |
选择要与瞻博网络 ATP 云通信的 SRX 系列防火墙。只有管理界面中列出的那些才能将文件发送到云端进行检查并接收结果。 此步骤将在 Web UI 和 SRX 系列防火墙上完成。 |
|
设置杂项配置 |
选择 “配置>杂项配置” 以设置默认阈值,并在达到某些阈值时(可选)设置电子邮件帐户。例如,当达到阈值 5 时,您可以向 IT 部门发送电子邮件,当阈值达到阈值 9 时,可以向上报部门发送电子邮件。 |
Web UI 工具提示和联机帮助 |
(选答)创建许可名单和屏蔽名单 |
创建允许列表和阻止列表以列出您信任和不信任的网络节点。列入许可名单的网站是受信任的网站,无需检查从中下载的文件。列入黑名单的网站是应阻止下载的位置。从未在允许列表或阻止列表中的网站下载的文件将被发送到云进行检查。 此步骤在 Web UI 中完成。 |
|
(选答)创建瞻博网络 ATP 云配置文件 |
瞻博网络 ATP 云配置文件定义要发送到云进行检查的文件类型。例如,您可能希望检查可执行文件,但不希望检查文档。如果不创建配置文件,则使用默认配置文件。 此步骤在 Web UI 中完成。 |
|
(选答)识别受损主机 |
受攻击的主机是攻击者获得未经授权的访问权限有高度可信度的系统。识别之后,瞻博网络 ATP 云会建议采取相应措施,您可以创建安全策略,对这些受感染主机上的入站和出站流量采取强制措施。 此步骤在 SRX 系列防火墙上完成。 |
|
(选答)阻止对 C&C 主机的出站请求 |
当网络上的主机试图与互联网上可能的 C&C 服务器建立联系时,SRX 系列防火墙可以拦截并执行强制作。 此步骤在 SRX 系列防火墙上完成。
注意:
需要瞻博网络 ATP 云许可证。有关详细信息,请参阅 ATP 云的软件许可证。 |
|
在 SRX 系列防火墙上配置高级反恶意软件策略 |
高级反恶意软件安全策略驻留在 SRX 系列防火墙上,用于确定将文件发送到云的情况,以及当文件收到的判定编号高于配置阈值时应执行的作。 此步骤在 SRX 系列防火墙上完成。 |
|
在 SRX 系列防火墙上配置安全智能策略 |
在 SRX 系列防火墙上创建安全智能策略,以作受感染的主机并尝试与 C&C 服务器连接。 此步骤在 SRX 系列防火墙上完成。 |
|
启用防火墙策略 |
创建 SRX 系列防火墙策略,以使用 此步骤在 SRX 系列防火墙上完成。 |
您可以选择性地将 API 用于 C&C 源、允许列表和阻止列表作以及文件提交。有关详细信息,请参阅 威胁情报开放式 API 设置指南 。
云每隔几秒钟就会向 SRX 系列防火墙发送一次数据,例如瞻博网络 ATP 云白名单、黑名单和配置文件。您无需手动将数据从云推送到 SRX 系列防火墙。仅发送新的和更新的信息;云不会持续发送所有数据。