Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

security-metadata-streaming

语法

层次结构级别

描述

在 SRX 系列防火墙上配置安全元数据流策略,将网络流量的元数据和连接模式发送到瞻博网络 ATP 云,以获取加密流量洞察。配置安全元数据流策略后,将其附加到区域级别的安全策略。

set security policies from-zone from-zone to-zone to-zone application-services security-metadata-streaming-policy dns-policy

选项

dns-cache 在域名系统 (DNS) 缓存中配置静态良性和命令与控制 (C2) 域的列表,以便立即对配置的域执行操作。仅允许通配符域。域格式必须为 *.domain_name.domain_ending 。通过 CLI 在 DNS 缓存中配置的条目将保留在 DNS 缓存中,直到从设备中删除该配置。您最多可以在良性列表和 c2 列表中各配置 500 个域。
  • 默认情况下,对源自良性(列入允许列表)域的流量的操作为 permit
  • 来自 C2(列入阻止列表)域的流量的操作基于在“DNS 检测”下配置的操作。
policy policy-name 配置安全元数据流策略。
dns 配置 DNS 选项。
cache 将 DNS 存储在缓存中,直到生存时间 (TTL)。SRX 系列防火墙提供的 TTL 会覆盖瞻博网络 ATP 云提供的 TTL。
注意:

必须至少配置一种 DNS 检测方法才能配置 DNS 缓存。
  • 良性 - (可选)设置良性 TTL 值。范围为 60 到 172800 秒。默认值为 86400。
  • c2 —(可选)设置 C2 TTL 值。范围为 60 到 172800 秒。默认值为 86400。
detections 配置 DNS 请求的检测类型。可用选项包括全部、dga 和隧道。您可以配置以下任何检测。
  • 所有检测
  • DGA 和隧道检测
  • DGA 或隧道检测
不能同时配置所有检测和自定义检测(dga 和/或隧道)。这些检测是互斥的。
注意:

每种检测方法都有一个回退选项,用于在一定数量的数据包(隧道的情况下)或特定时间段内(在 DGA 的情况下)内未检测到任何内容的情况。

all 配置所有检测。
  • 操作 — 指定 SRX 设备在进行检测时将采取的操作。可用选项为 denypermitsinkhole
  • 回退选项 - DNS 检测的回退选项。当未检测到基于 DNS 的攻击(100 毫秒内未收到 DGA 判定(判定超时默认值)且 4 个数据包内未检测到 DNS 隧道(检测深度默认值))时,将触发回退操作。可用的选项是 Log DNS 请求。
  • 通知 - 针对 DNS 检测方法采取的全局通知操作。可用的选项包括:
    • log - 为 DNS 请求和 DNS 检测生成日志。
    • 日志检测 -(推荐)仅为恶意 DNS 检测生成日志。
  • 判定超时 -(不可配置)等待 DNS 数据包的 DGA 判定的时间(毫秒)。所有检测的默认超时为 100 毫秒。
  • 检查深度 -(不可配置)要检查以进行隧道检测的数据包数。所有检测默认为 4 个数据包。
dga 配置为检测针对 DNS 数据包的基于 DGA 的攻击。
  • 操作 — 指定 SRX 设备在进行检测时将采取的操作。可用选项为 denypermitsinkhole
  • 回退选项 - DNS DGA 检测的回退选项。如果在判定超时配置值内未从瞻博网络 ATP 云收到 DGA 判定,则会触发回退选项。可用的选项是记录 DNS 请求。
  • 通知— — 对 DNS DGA 检测采取的通知操作。可用的选项包括:
    • log - 根据 DNS 请求和 DNS 检测生成日志。
    • 日志检测 -(推荐)仅为恶意 DNS 检测生成日志。
  • 判定超时 -(可选)等待 DNS 数据包判定的时间(毫秒)。范围为 50 到 500。默认超时为 100 毫秒。
tunneling 配置为检测 DNS 隧道。
  • 操作 — 指定 SRX 设备在进行检测时将采取的操作。可用选项包括 deny (丢弃隧道会话)、 permit (允许隧道会话)或 sinkhole (丢弃隧道会话并对域造成沉洞)。
  • 回退选项 — DNS 隧道检测的回退选项。如果在指定数量的数据包(检查深度)内未检测到隧道,则会触发回退选项。可用的选项是记录 DNS 请求。
  • 检查深度 —(可选)要检查以进行隧道检测的数据包数。范围为 0 到 10。默认值为 4 个数据包。0 表示永久。
  • 通知 - 对 DNS 隧道检测采取的通知操作。可用的选项包括:
    • log - 根据 DNS 请求和 DNS 检测生成日志。
    • 日志检测 -(推荐)仅为恶意 DNS 检测生成日志。
dynamic-filter 为 SRX 系列防火墙上的安全元数据流策略配置动态过滤选项。
http 配置 HTTP 选项。

  • 检测 - 配置 HTTP 请求的检测类型。可用选项为 all 和 encryptedc2。您可以配置以下任何检测:

    • 所有检测 - 仅当未配置其他检测时,才能配置所有检测。

    • encryptedc2 - Encryptedc2可以配置为检测命令和控制(C&C)通信。

  • 操作 — 定义对流量执行的操作。默认操作为“允许”。

  • 通知 - 定义对流量采取的通知操作。可用的选项包括:

    • log - 根据 HTTP 请求和检测生成日志。

    • 日志检测 -(推荐)仅为恶意检测生成日志。

  • 回退选项 - HTTP 流量的回退选项。如果未检测到 HTTP 流量,则会触发回退选项。可用的选项是记录安全元数据流操作。

所需权限级别

安全性 - 在配置中查看此语句。

安全控制 — 将此语句添加到配置中。

发布信息

在采用瞻博网络高级威胁防御云(瞻博网络 ATP 云)的 SRX 系列防火墙上的 Junos OS 20.2R1 版中引入的声明。

相关文档