从 Spotlight Secure 转向策略实施器
Spotlight 安全威胁情报平台聚合来自多个来源的威胁源,为整个组织的 SRX 系列防火墙提供开放、整合且可操作的情报。该产品现已被瞻博网络 Connected Security 策略实施器取代。瞻博网络 Connected Security 框架通过将安全性和网络设备作为一个连贯的安全系统来增强安全性,以抵御外部和内部攻击。
策略实施器是一种编排解决方案,可协调用户意图策略实施,以实现整个网络的威胁修复和微分段。本文档讨论从 Spotlight Secure 迁移到策略实施器的后勤工作。
瞻博网络 ATP 云中的 Spotlight Secure 和策略实施器是两个不同的平台,因此不支持将威胁策略从 Spotlight Secure 直接迁移到策略实施器。相反,建议您先从 Space Fabric 中删除 Spotlight 连接器,并在 Security Director 上删除与威胁相关的配置,然后再安装策略实施器。然后,您需要重新配置数据和威胁源。以下各节概述了通过瞻博网络 ATP 云从 Spotlight Secure 过渡到策略实施器的过渡过程。
Spotlight 安全和策略实施器部署比较
Spotlight Secure 连接器的功能是汇集所有可用的威胁情报并使其可用于安全策略,现在通过采用瞻博网络 ATP 云的策略实施器来完成。此外,策略实施器也是瞻博网络 Connected Security 解决方案的关键部分。
Spotlight Secure 被安装到一个单独的虚拟机上,然后作为专用节点添加到 Junos Space 上的 Junos Space 交换矩阵中,直到版本 15.1。策略实施器作为独立部署的虚拟机提供。无需将新虚拟机添加为 Junos Space 节点,而是通过使用 Security Director 用户界面的工作流程简化了配置。
Spotlight Secure 支持 HA 部署。当前版本的策略实施器仅支持作为单个独立部署。
许可证要求
对于现有的 Spotlight Secure 客户,不需要新的额外许可证。如果您有 Spot-CC 许可证,它也可以与策略实施器和瞻博网络 ATP 云一起使用。仅当您希望将整套 Juniper Connected Security 功能与瞻博网络 ATP 云配合使用时,才需要策略实施器许可证。Juniper Connected Security/Policy Enforcer 功能包括所有威胁防御类型:C&C、受感染的主机、恶意软件、GeoIP 以及策略管理和部署功能,如安全交换矩阵和威胁防御策略。有关详细信息,请参阅 按瞻博网络 ATP 云配置类型划分的功能 。
瞻博网络 ATP 云和 Spotlight 安全比较表
下表提供了产品比较:
特征 |
Spotlight Secure 中的支持 |
通过策略实施器和瞻博网络 ATP 云提供支持 |
使用瞻博网络 ATP 云、Security Director 和策略实施器的工作流程 |
---|---|---|---|
命令和控制源 |
完全支持 |
完全支持 |
|
自定义源 |
完全支持阻止列表、允许列表和动态地址功能。 |
完全支持阻止列表、允许列表、受感染主机和动态地址功能 |
|
受感染的主机 |
不受 Spotlight 直接支持。您必须创建自定义源 |
瞻博网络 ATP 云支持受感染主机源,并与策略实施器和 Security Director 原生集成。 |
瞻博网络 ATP 云支持受感染主机源,并与策略实施器和 Security Director 原生集成。 |
接入网络级别的受感染主机修复 |
不支持使用 Spotlight 和 Security Director |
瞻博网络 ATP 云支持与策略实施器本机集成的受感染主机源。策略实施器可以在接入网络级别执行阻止/隔离操作。
注意:
这需要策略实施器许可证,并且不附带SPOT_CC许可证。 |
瞻博网络 ATP 云支持与策略实施器本机集成的受感染主机源。策略实施器可以在交换机端口级别执行阻止/隔离操作。 |
将 Spotlight Secure 迁移到策略实施器配置概述
在本节中,并排比较了 Security Director 15.1 上的 Spotlight Secure 和 Security Director 16.1 及更高版本上的策略实施器的功能配置,以帮助重新配置威胁策略。
以下是迁移所需任务的概述:
记录当前版本的 Security Director 中的当前数据和源配置。
从 Junos Space 交换矩阵中移除 Spotlight 连接器,并移除威胁防御配置。
升级到最新版本的 Junos Space 和 Security Director。
注意:由于底层操作系统已在 Junos Space 16.1 版上升级到 Centos6.8,因此请先将 Junos Space 和应用程序升级到 15.2R2,然后按照文档恢复数据库,然后再部署 16.1 或更高版本。有关详细信息,请参阅 Junos Space 16.1 发行说明 。
部署策略实施器虚拟机。请参阅下一节中的说明。
部署 Security Director 并将策略实施器安装到 Security Director。
配置瞻博网络 ATP 云领域并将 SRX 系列设备注册到该领域。对于所有部署模型,都必须配置 ATP Cloud Realm 并注册防火墙。
配置源和威胁策略。
安装策略实施器
策略实施器为您的所有安全设备(物理和虚拟)提供集中的集成管理,使您能够组合来自不同解决方案的威胁情报,并从单一管理点根据这些情报采取行动。使用策略实施器及其通过瞻博网络 ATP 云提供的情报源,您可以创建威胁防御策略,为威胁类型(如已知恶意软件、命令和控制服务器、受感染的主机以及基于 Geo IP 的服务器数据)提供监控和可操作情报。
策略实施器作为 OVA 文件提供,应部署在 VMware ESX 上。
从瞻博网络软件 下载页面下载策略实施器虚拟机 OVA 映像。建议在与 Junos Space 相同的 ESX 服务器上部署策略实施器。
注意:请勿更改从瞻博网络支持站点下载的策略实施器虚拟机映像文件的名称。如果更改映像文件的名称,则创建策略实施器虚拟机可能会失败。
图 1:部署策略实施器 OVF 文件 1图 2:部署策略实施器 OVF 文件 2注意:有关完整的策略实施器安装文档,请参阅 使用 OVA 文件部署和配置策略实施器 。
初始配置通过控制台完成。除了网络和主机配置之外,您还必须设置客户 ID 并重置 root 密码。策略实施器的默认登录名是用户名: root,密码: abc123
图 3:策略实施器配置摘要部署策略实施器后,必须通过 Security Director 用户界面将其添加到 Security Director。从 Security Director UI 中,导航到“ 管理 ”>“ 策略实施器 ”> “设置”。
注意:与 Spotlight Secure 不同,策略实施器不需要添加到 Junos Space 交换矩阵中。添加只能通过 Security Director UI 完成。
在“设置”页上,有三种 ATP 云配置类型可供选择。
具有瞻博网络 Connected Security 的 ATP 云 — 提供所有策略实施器功能和威胁防御类型
ATP 云 — 所有威胁防御类型都可用:命令和控制服务器、Geo IP 和受感染的主机。
仅限云源 — 命令和控制服务器以及 Geo IP 是唯一可用的威胁防御类型。
无选择(无 ATP 云)— 您可以选择不进行选择。如果不进行任何选择,则瞻博网络 ATP 云不提供源,但可以使用策略实施器提供的安全交换矩阵、策略实施组和威胁防御策略的优势。受感染的主机是唯一可用的防御类型
注意:您可以使用瞻博网络 Connected Security 从仅云源切换到 ATP 云,或从 ATP 云切换到 ATP 云,但不支持反向操作。
注意:如果仅从云源升级到 ATP 云,则无法再次回滚。升级会重置之前参与威胁防御的所有设备,您必须向 ATP 云重新注册这些设备。对于使用瞻博网络 Connected Security 从 ATP 云升级到 ATP 云而言,情况就是如此。“具有 Juniper Connected Security 的 ATP 云”适用于 Juniper Connected Security 解决方案,本节未介绍。
注意:有关此主题的策略实施器文档,请参阅 瞻博网络 ATP 云配置类型概述 。
带有 ATP 云的策略实施器不支持用于删除策略实施器的工作流。要切换到其他策略实施器,请替换“策略实施器设置”页中的 IP 和登录信息。
配置高级威胁防御功能:聚焦安全/策略实施器比较
以下部分并排比较了在 Spotlight Secure 上配置高级威胁防御功能的方式与使用策略实施器配置高级威胁防御功能的方式。
配置命令和控制以及受感染的主机
Spotlight Secure:C&C 和受感染的主机
以下是使用 Spotlight Secure 在 Security Director 15.1 上配置 C&C 和受感染主机源的方式:
在“ 安全智能 > 信息源”下,单击 + 添加新的信息源。选择 Spotlight Secure Cloud 作为源。
图 4:Spotlight Secure:添加信息源从 安全智能>配置文件 创建安全智能配置文件。选择命令和控制作为源类别,并设置阻止阈值。配置块选项和日志记录。
图 5:Spotlight Secure:创建安全智能配置文件完成工作流以创建配置文件。
图 6:Spotlight Secure:创建配置文件创建安全智能策略。
图 7:Spotlight Secure:创建安全智能策略将安全智能策略应用于防火墙策略。
图 8:聚焦安全:将安全智能策略应用于防火墙策略
使用 ATP 云的策略实施器:C&C 和受感染的主机
以下是使用 Policy Enforcer 在 Security Director 16.1 及更高版本上配置 C&C 和受感染主机源的方式:
策略实施器可以配置瞻博网络 ATP 云或云源,以便仅启用命令和控制源。以下说明仅适用于云源。
除了此处提供的说明外,还可以将“ 配置 > 引导式设置 ”>“ 威胁防护 ”下的“威胁防护引导式设置”用于向导驱动的工作流。
通过导航到 配置 >威胁 防御 > ATP 云领域来配置瞻博网络 ATP 云领域。单击 + 以创建领域。
(您必须拥有瞻博网络 ATP 云帐户才能配置领域。如果您还没有帐户,请单击瞻博网络 ATP 云领域窗口中提供的链接,在瞻博网络 ATP 云帐户页面上创建一个帐户。有关详细信息,请参阅 创建瞻博网络 ATP 云领域和注册设备或关联站点 )。
注意:您无需瞻博网络 ATP 云高级许可证即可创建帐户或领域。
创建 ATP 云领域后,通过导航到 配置 > 威胁防御 >策略来添加 策略。单击 + 创建策略。启用复选框以 在策略中包括 C&C 配置文件 ,并设置威胁分数阈值、操作和日志记录。
图 9:策略实施器:创建威胁防御策略图 10:策略实施器:创建威胁防御策略,选择威胁分数和日志记录将威胁防御策略应用于防火墙策略。
图 11:策略实施器:将威胁防御策略应用于防火墙策略发布、验证配置并更新到防火墙。
图 12:策略实施器:更新防火墙策略注意:如果在“ 管理 > 策略实施器 > 设置”下选择 ATP 云作为 ATP 云配置类型,则工作流保持不变,但其他参数可用于配置反恶意软件。
配置自定义源
聚光灯安全:自定义源
以下是在 Security Director 15.1 上使用 Spotlight Secure 配置自定义源的方式:
通过导航到“ 安全智能 > 信息源 ”来创建信息源。单击 + 添加源。(请注意,不再支持 WebApp Secure。
图 13:聚光灯安全:添加信息源从自定义文件上传。选择 “源 ”作为 “自定义文件上传 ”,然后指向本地文件。
图 14:Spotlight Secure:配置自定义文件上传配置从远程文件服务器的定期上载。提供要轮询的纯文本文件的完整 URL,并输入服务器登录信息、用户名和密码。
图 15:Spotlight Secure:输入服务器登录以进行自定义文件上传通过导航到“ 安全智能 ”> 动态地址组来创建动态对象。将源配置为在上一步中创建的自定义源。
图 16:聚光灯安全:在动态地址组中选择自定义源
在安全策略中使用动态对象。
图 17:Spotlight Secure:在安全策略中选择动态地址
通过导航到 安全智能 > 配置文件,将自定义源配置为允许列表或阻止列表。编辑全局 允许 列表或 全局后备列表 以添加在前面步骤中创建的自定义源。
使用 ATP 云的策略实施器:自定义源
以下是在 Security Director 16.1 及更高版本上使用策略实施器配置自定义源的方式:
除了此处提供的说明外,还可以将“ 配置 > 引导式设置 ”>“ 威胁防护 ”下的“威胁防护引导式设置”用于向导驱动的工作流。
策略实施器支持从文件服务器手动添加或上载自定义源信息。自定义源可以是动态对象、受感染主机列表、允许列表或阻止列表,然后可以在防火墙规则的匹配标准中使用。
通过导航到 配置 > 威胁防御 > 自定义源,创建自定义源。点击 + 创建新的 Feed。
为自定义源提供名称和描述,然后选择源类型的选项卡:“ 动态地址”、“ 阻止列表”、“ 允许列表 ”或 “受感染的主机”。
手动配置 IP 列表或从本地文件上传。IP 列表可以定义为单个 IP 地址、IP 地址范围或子网。有关完整详细信息 ,请参阅创建自定义源 。
注意:可以在防火墙策略中使用动态对象来匹配作为源地址或目标地址对象的条件。
注意:策略实施器仅支持基于云的 C&C 源,不支持自定义 C&C 源。策略实施器 API 可用于扩展此功能。
上传本地文件。选择页面右上角的 上传文件 选项。
如果您已配置允许列表,则从这些 IP 地址下载的内容将被视为受信任。对于阻止列表,来自这些 IP 地址的所有下载都将被阻止。动态对象可在防火墙策略匹配标准中用作源或目标地址对象。
图 18:策略实施器:在防火墙策略中使用动态地址
配置地理 IP
聚焦安全:地理 IP
以下是使用 Spotlight Secure 在 Security Director 15.1 上配置 Geo IP 源的方式:
通过导航到“动态地址组”安全智能>动态对象,在动态对象下创建 GeoIP 对象。选择源作为GeoIP,然后从下拉列表中选择国家/地区。
图 19:聚焦安全:使用动态地址组创建地理 IP
在防火墙策略中使用 Geo IP 对象。
图 20:Spotlight Secure:在防火墙策略中使用 Geo IP
使用 ATP 云的策略实施器:地理 IP
以下是在 Security Director 16.1 及更高版本上使用策略实施器配置 Geo IP 源的方式:
通过导航到配置>共享对象> Geo IP,定义随后可在防火墙策略的匹配标准中使用的 GeoIP 对象。创建地理位置 IP 源,然后从列表中选择要包含的国家/地区。(此功能需要 SecIntel 或瞻博网络 ATP 云许可证。)
图 21:策略实施器:创建地理 IP使用创建的地理位置 IP 源作为防火墙策略中的源地址或目标地址。
图 22:策略实施器:在防火墙策略中使用 Geo IP