Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SecIntel 源概述和优势

SecIntel 从瞻博网络的高级威胁防御 (ATP) 云、瞻博网络威胁实验室、动态地址组 (DAG) 以及行业领先的威胁源,向 MX 系列路由器、SRX 系列防火墙和 NFX 系列网络服务平台提供精心策划和验证的威胁情报,以阻止线速命令与控制 (C&C) 通信。SecIntel 通过启用自动和响应式流量过滤来提供实时威胁情报。

SecIntel 与 EX 系列和 QFX 系列交换机集成,使这些交换机能够订阅 SecIntel 受感染的主机源。这使您能够在交换机端口阻止遭到入侵的主机。现在,您可以将 SecIntel 扩展到整个网络,并增加安全实施点的数量。

SecIntel 源的优势

您可以查看当前许可证提供的所有默认源。

使用此页面,您可以启用以下源以与瞻博网络 ATP 云集成。

  • 瞻博网络威胁源

  • 第三方威胁源 - IP 威胁源和 URL 威胁源。

  • 动态地址组源 — 瞻博网络 DAG 源和第三方 DAG 源。

注意:

SecIntel 源的过期时间取决于生存时间 (TTL) 值,每个源的生存时间 (TTL) 值都不同。

注意:

CC 源的总数为 32,其中 4 个源保留用于 cc_ip、cc_url、cc_ipv6 和 cc_cert_sha1。因此,您最多可以向 CC 类别启用 28 个 Feed,其中包括 CC 自定义 Feed 和 CC 第三方 Feed。如果您使用可用的开放式 API 注入其他源,则此限制适用。

要了解是否启用外部源的信息:

  • 如果在已启用的外部源上检测到命中,则此事件将显示在威胁级别为 10 的“ 监视 > 威胁源 ”下。

  • 在已注册的 SRX 系列防火墙上,您可以为每个源配置允许或阻止操作的策略。请注意,C&C 和受感染主机源需要在 SRX 系列防火墙上启用安全智能策略才能正常工作。

  • 外部源每 24 小时更新一次。

警告:

请注意,这些是由第三方管理的开源源,由瞻博网络 ATP 云管理员自行确定源的准确性。瞻博网络不会调查这些源产生的误报。

警告:

配置的 SRX 系列策略将根据已启用的第三方源阻止恶意 IP 地址,但这些事件不会影响主机威胁分数。只有来自瞻博网络 ATP 云源的事件会影响主机威胁分数。

要启用可用源,请执行以下操作:

  1. 导航到 配置 > 源配置 > SecIntel 源

  2. 对于每个源,选择切换按钮以启用源。请参阅 表 1 中的准则。

    注意:

    已为所有许可层启用受感染主机源。所有其他瞻博网络 SecIntel 源仅通过高级许可证启用。

    单击 转到 Feed 网站 链接以查看 Feed 信息,包括 Feed 的内容。

    表 1:SecIntel 源

    领域

    指引

    瞻博网络威胁源

    命令与控制

    显示 C&C 源是否已启用。

    恶意域

    显示是否启用了 DNS 源。

    受感染的主机源

    显示是否启用了受感染的主机源。

    第三方威胁源

    IP 威胁源

    阻止列表

    单击切换按钮以将阻止列表源启用为第三方源。

    预定义的云源名称— cc_ip_blocklist。

    威胁狐狸 IP

    单击切换按钮以将威胁狐狸源启用为第三方源。

    预定义的云源名称— cc_ip_threatfox。

    费奥多追踪器

    单击切换按钮以启用Feodo源作为第三方源。

    预定义的云源名称— cc_ip_feodotracker。

    德希尔德

    单击切换按钮以将 DShield 源启用为第三方源。

    预定义的云源名称— cc_ip_dhield。

    Tor

    单击切换按钮以启用 tor 源作为第三方源。

    预定义的云源名称— cc_ip_tor。

    URL 威胁源

    威胁狐狸网址

    单击切换按钮以启用威胁狐狸源作为第三方源。ThreatFox 是一个来自 abuse.ch 的免费平台,旨在与信息安全社区、AV 供应商和威胁情报提供商共享与恶意软件相关的入侵指标 (IOC)。IOC 可以是 IP 地址、域名或 URL。

    预定义的云源名称— cc_url_threatfox。

    网址豪斯网址威胁源

    单击切换按钮以启用 URLhaus 源作为第三方源。URLhaus 是一种威胁情报源,用于共享用于恶意软件分发的恶意 URL。

    预定义的云源名称— cc_url_urlhaus。

    开放网络钓鱼

    单击切换按钮以启用 OpenPhish 源作为第三方源。OpenPhish 是一个用于网络钓鱼情报的全自动独立平台。它可以识别网络钓鱼站点并实时执行情报分析,无需人工干预,也无需使用任何外部资源,例如阻止列表。对于恶意软件检查,SecIntel 将使用此源中的 URL 分析流量。

    预定义的云源名称— cc_url_openphish。

    域威胁源

    威胁狐狸域

    单击切换按钮以启用威胁狐狸源作为第三方源。

    预定义的云源名称— cc_domain_threatfox。

    动态地址组源

    瞻博网络 DAG 源

    地理 IP 源

    显示 GeoIP 源是否已启用。GeoIP 源是 IP 地址到地理区域的最新映射。这使您能够过滤进出全球特定地理位置的流量。

    第三方 DAG 源

    办公室365

    单击切换按钮以启用 Office365 IP 筛选器源作为第三方源。Office365 IP 筛选器源是可在安全策略中使用的 Office 365 服务终结点的已发布 IP 地址的最新列表。此源的工作方式与此页面上的其他源不同,并且需要某些配置参数,包括预定义的云源名称“ipfilter_office365”。请参阅本页底部的更多说明,包括使用此源的 set security dynamic-address 命令的用法。

    预定义的云源名称— ipfilter_office365

    Facebook

    点击切换按钮以启用来自 Facebook 的动态。

    预定义的云源名称— ipfilter_facebook

    谷歌

    点击切换按钮以启用来自 Google 的 Feed。

    预定义的云源名称— ipfilter_google

    阿特拉斯语

    单击切换按钮以启用来自 Atlassian 的源。

    预定义的云源名称 — ipfilter_atlassian

    zscaler

    单击切换按钮以启用来自 Zscaler 的源。

    预定义的云源名称 — ipfilter_zscaler

    zpa zscaler

    单击切换按钮以启用来自 Zscaler 专用访问 (ZPA) 的源。ZPA 服务提供对组织内应用程序和服务的安全访问。

    预定义的云源名称 — ipfilter_zscaler_zpa

    甲骨文

    单击切换按钮以启用来自 Oracle oci 的源。

    预定义的云源名称— ipfilter_oracleoci

    Cloudflare

    单击切换按钮以启用来自 Cloudflare 的源。

    预定义的云源名称— ipfilter_cloudflare

    缩放

    单击切换按钮以启用来自 Zoom 的源。

    预定义的云源名称 — ipfilter_zoom

    Microsoft Azure

    单击切换按钮以启用来自 Microsoft Azure 的源。

    预定义的云源名称 — ipfilter_microsoftazure

    亚马逊

    单击切换按钮以启用来自亚马逊 AWS 的源。

    预定义的云源名称— ipfilter_amazonaws

    您可以筛选和查看与您相关的 AWS 区域和服务的 DAG 源。若要配置 DAG 筛选器,请执行以下操作:

    1. 单击 配置

      此时将显示“DAG 筛选器”页。有关详细信息,请参阅 配置 DAG 筛选器

    奥克塔

    单击切换按钮以启用来自 Okta 的源。

    预定义的云源名称 — ipfilter_okta

    贝 宝

    单击切换按钮以启用来自贝宝的提要。

    预定义的云源名称— ipfilter_paypal

    注意:
    • 从 Junos OS 19.4R1 版开始,瞻博网络 ATP 云支持第三方 URL 源。

    • 由于勒索软件跟踪器和恶意软件域列表已弃用,因此瞻博网络 ATP 云不支持勒索软件跟踪器和恶意软件域列表 IP 源。如果您之前启用了此 Feed,则可能会停止接收这些 Feed。

    • 第三方互联网服务源的更新间隔为一天。
  3. 与其他C&C和受感染的主机源一样,启用的第三方源需要在SRX系列防火墙上具有安全智能策略才能正常工作。此处提供了示例命令。有关更多信息,请参阅 瞻博网络高级威胁防御云 CLI 参考指南

    • 在 SRX 系列防火墙上:配置安全智能配置文件

      set services security-intelligence profile secintel_profile category CC

      set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

      set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

      set services security-intelligence profile secintel_profile rule secintel_rule then action block close

      set services security-intelligence profile secintel_profile rule secintel_rule then log

      set services security-intelligence profile secintel_profile default-rule then action permit

      set services security-intelligence profile secintel_profile default-rule then log

      set services security-intelligence profile ih_profile category Infected-Hosts

      set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

      set services security-intelligence profile ih_profile rule ih_rule then action block close

      set services security-intelligence profile ih_profile rule ih_rule then log

      set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

      set services security-intelligence policy secintel_policy CC secintel_profile

  4. 还必须将安全智能策略添加到 SRX 系列防火墙策略中。

    • 在 SRX 系列防火墙上:配置安全策略(输入以下命令,在 SRX 系列防火墙上为检查配置文件创建安全策略。)

      set security policies from-zone trust to-zone untrust policy 1 match source-address any

      set security policies from-zone trust to-zone untrust policy 1 match destination-address any

      set security policies from-zone trust to-zone untrust policy 1 match application any

      set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

      set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

    有关使用可用 CLI 命令将 SRX 系列与瞻博网络 ATP 云进行配置的更多信息,请参阅 瞻博网络高级威胁防御云 CLI 参考指南

使用 office365 源

  1. 在瞻博网络 ATP 云中启用“使用 office365 源 ”复选框,将 Microsoft Office 365 服务端点信息(IP 地址)推送到 SRX 系列防火墙。office365 源的工作方式与此页面上的其他源不同,并且需要某些配置参数,包括预定义的名称“ipfilter_office365”。

  2. 启用该复选框后,必须在 SRX 系列防火墙上创建一个引用ipfilter_office365源的动态地址对象,如下所示:

    • set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

      注意:

      然后,安全策略可以引用源地址或目标地址中的动态地址条目名称(在本例中为“office365”)。

    安全策略示例如下:

使用以下命令验证 office365 源是否已推送到 SRX 系列防火墙。Update status ( 应显示 Store succeeded.

  • show services security-intelligence category summary

使用以下命令显示 IPFILTER 下的所有单个源。

  • show security dynamic-address category-name IPFilter