AUF DIESER SEITE
Adaptive Detection Fabric der Juniper ATP Appliance: Defense-in-Depth
Traffic-Collector-Leistungs-, Zuverlässigkeits- und Diagnoseanzeigen
Registerkarte "Incidents" Kill Chain, Korrelation & Lateral Spreads
Detaillierung und Berichterstellung des Kontexts zwischen Vorfall und Ereignis
Automatische Risikominderung mit vorhandener Sicherheitsinfrastruktur
YARA-Regeln zur Erkennung von lateraler Ausbreitung innerhalb eines Kundennetzwerks
Reverse SSH-Tunneling zur Optimierung des technischen Kundensupports
Manager of Central Managers (MCM) virtuelles oder Hardwaregerät
Einführung
Die folgenden Themen werden in diesem Kapitel behandelt:
Adaptive Detection Fabric der Juniper ATP Appliance: Defense-in-Depth
Sicherheitsexperten sind sich einig, dass Lösungen für Cyberbedrohungen nicht mit den aufkommenden kriminellen Ökosystemen Schritt halten. Sich entwickelnde Bedrohungsstrategien verwenden heimlichere und heimtückischere Mechanismen, um Netzwerke zu infiltrieren und geistiges Eigentum und proprietäre Daten zu stehlen. Der zunehmende Einsatz von Cloud Computing, BYOD und Social Media in plattformübergreifenden Unternehmensumgebungen bedeutet, dass die branchenweite Anforderung an die "Defense in Depth" immer tiefer wird.
Die kontinuierliche Überwachung des Datenverkehrs und die nahtlosen, erweiterbaren, plattformübergreifenden Malware-Detonations-Engine-Kerne der Juniper ATP Appliance bieten eine wirklich umsetzbare, kontextbezogene Erkennung und Intelligenz. Das ist die Adaptive Detection Fabric von Juniper ATP Appliance. Die ATP-Appliance-Produkte von Juniper erkennen ausweichende Bedrohungen, die Sicherheitsverletzungen verursachen, mithilfe einer einzigartigen Kombination aus Smart-Core-Technologie: Verhaltensanalyse und maschinelles Lernen, das das Incident-Response-Team jedes Unternehmens mit priorisierten Warnungen ausstattet, die eine Überlastung verhindern und die Reaktionszeit erheblich verkürzen.
Juniper ATP Appliance ist die branchenweit erste verteilte Lösung zum Schutz vor Bedrohungen, die breit und umfassend eingesetzt wird, um ein kontextbewusstes, plattformübergreifendes, fortschrittliches System zur Erkennung und Abwehr von Bedrohungen bereitzustellen, das gezielte Angriffe und Zero-Day-Angriffe entlang aller Web- und E-Mail-Kill-Chain-Vektoren stoppt. Mit adaptiver Anti-Evasion-Erkennung können die Informationen und Analyseinformationen der Juniper ATP Appliance mit komplexen Bedrohungen Schritt halten.
Web-borne Threats:
Der Web Traffic Collector der Juniper ATP Appliance schützt ein Unternehmen vor Bedrohungen aus dem Internet. Web Traffic Collectors ermöglichen die kontinuierliche Überwachung und Inspektion des Netzwerkverkehrs entweder über einen Spiegel-/Monitor-Port an einem Switch, einen Netzwerk-Tap oder einen Load Balancer. Der Juniper ATP Appliance Web Collector analysiert den Netzwerkverkehr und die Kommunikation, erfasst Pakete und sucht nach Anzeichen von Malware. Nach der anfänglichen Inspektions- und Analysephase liefern die Web Collectors alle Netzwerkobjekte zur Detonation innerhalb der Juniper ATP Appliance Core-Erkennungs-Engines, wobei die Merkmale der erkannten Malware mithilfe von instrumentierten Virtualisierungs- und Emulationstechnologien identifiziert und getestet werden. Der Traffic Collector extrahiert Nutzdaten zusammen mit Hüllkurveninformationen, die an den Core gesendet werden. Web-Collectors erkennen auch CnC-Kommunikation (Command & Control).
Email-borne Threats and Email Phishing Correlation:
Die Juniper ATP Appliance bietet auch Schutz vor E-Mail-Angriffsvektoren und schützt vor Spear-Phishing-Angriffen, indem sie fortschrittliche Malware erkennt und verhindert, dass sie den Endpunkt über Anhänge und URLs in E-Mails infiziert, die darauf abzielen, einen Host zu kompromittieren und/oder die CnC-Extraktion sensibler Unternehmensdaten zu initiieren. Der E-Mail-Datenverkehrssammler kann für BCC oder E-Mail-Journaling über einen Mail Transfer Agent (MTA) Juniper ATP Appliance Receiver konfiguriert werden.
Core Windows & Mac OSX Threat Detonation Engines:
Als Teil des Juniper ATP Appliance Core führen mehrphasige Detonations-Engines mit mehreren Betriebssystemen eine detaillierte, kontextbezogene forensische Analyse von fortschrittlicher Malware, Zero-Day- und gezielten APT-Angriffen durch, die in gängige Dateiformate, E-Mail-Anhänge, URL-Binärdateien und Webobjekte eingebettet sind. Der Core und der Mac OSX Secondary Core führen auch eine Callback-Analyse durch, um fortschrittliche Malware und Exfiltration zu verfolgen.
Flexible Appliance-basierte, rein softwarebasierte VCore für Amazon Web Services (AWS) oder verteilte OVA-VM-Bereitstellungen
Das skalierbare Bedrohungsschutzsystem der Juniper ATP Appliance über Juniper ATP Appliance-Bereitstellungen, SaaS oder VM-Optionen ist für die Integration in und die Nutzung vorhandener Infrastruktur- und Netzwerksicherheitsservices konzipiert. Die Juniper ATP Appliance ermöglicht es Ihnen, die Technologie und Komponenten an Ihre Netzwerkumgebung anzupassen.
SMB Lateral Detection Support:
Mit der Juniper ATP Appliance Advanced-Lizenz umfasst die Überwachung und Analyse des SMB-Protokollstapels die Extraktion von Dateiübertragungen zwischen Clients oder zwischen Clients und Servern, ähnlich wie die Juniper ATP Appliance derzeit den HTTP-Datenverkehr überwacht. Bei der lateralen SMB-Erkennung ist der Endpunkt, der Malware herunterlädt, der Zielendpunkt, und der Host, der die Malware bereitstellt, ist die Bedrohungsquelle. Bei dem Vorfall werden die IP-Adressen der einzelnen Hosts verwendet. Diese "Ost-West"-Überwachung des Datenverkehrs hilft zusätzlich zur etablierten "Nord-Süd"-Überwachung des ein- und ausgehenden Datenverkehrs bei der Identifizierung von Malware, wenn sie sich auf andere Hosts innerhalb eines Unternehmens ausbreitet, und verfolgt den Fortschritt von "Patient Null". Da HTTP selten für die Kommunikation zwischen Endpunkten innerhalb einer Organisation verwendet wird, ist SMB (siehe SMB Lateral Detection) ein bewährter Kandidat für die Übertragung von Malware innerhalb der Organisation und über Dateifreigaben hinweg.
Network and Endpoint Mitigation with Remediation Prioritization:
Die ATP-Appliance von Juniper generiert verwertbare Informationen und bietet Optionen zur Risikominderung für jede ermittelte Bedrohung. Dies ist ein großer Teil des erweiterten Verteidigungssystems von Juniper ATP Appliance. Die Priorisierung von Abwehrmaßnahmen im Netzwerkpfad und am Unternehmensendpunkt, insbesondere für die Bedrohungen, die für Ihr Unternehmen am wichtigsten sind, wird aus einer Kombination von Bedrohungserkennungsbewertungen abgeleitet, die als Juniper ATP Appliance Threat Metric bezeichnet werden:
Threat Severity — Das Verhalten und das Ziel der erkannten Malware
Threat Progression — Die Phase der Kill Chain des Angriffs
Threat Relevance — Ob die Malware von statischen Analysescannern wie VirusTotal erkannt oder blockiert wurde; ob das Zielbetriebssystem auf dem Zielendpunkt verfügbar war; ob die Ausführung eines Downloads am Endpunkt stattgefunden hat; und ob der individuell konfigurierte Ressourcenwert für das angegriffene Netzwerksegment ein erhebliches Risiko für das Unternehmen darstellt
Weitere Informationen finden Sie in diesem Handbuch unter Zuordnung der Priorisierung von Bedrohungsmetriken
Open API Platform Incident Tracking:
Der Juniper ATP Appliance Central Manager bietet außerdem eine umfassende, offene HTTP-basierte API für den Zugriff auf alle Bedrohungs- und Verarbeitungsdaten sowie die Geräte- und Softwarekonfiguration. Weitere Informationen finden Sie unter HTTP-API der Juniper ATP-Appliance.
Die Architektur der Juniper ATP Appliance ermöglicht eine schnellere und genauere Erkennung. Das ATP-Appliance-System von Juniper nutzt vier kooperative Dimensionen der Malware-Analyse mit korreliertem maschinellem Lernen:
Netzwerk
Statische
Ruf
Dynamisch (verhaltensbezogen)
Die Erkennung und Analyse der Juniper ATP Appliance ist kontextsensitiv und identifiziert infizierte Endpunkte und liefert verwertbare Informationen zu jeder Infektion. Juniper ATP Appliance fängt Zero-Day-Bedrohungen, einschließlich gepanzerter und VM-resistenter Malware, gegen mehr Dateitypen und Plattformen mit mehr Verhaltensspuren ab als jede andere Technologie, und nutzt echtes maschinelles Lernen anstelle von heuristischen Abkürzungen.
Die ATP-Appliance-Produkte von Juniper liefern Details zu den Bedrohungsvorfällen, die für einen bestimmten Angriffsvektor erkannt wurden, und unterstützen Benachrichtigungen, Berichte und Echtzeitintegration mit Workflows zur Blockierungsabwehr und Sicherheitsanalyse.
Erweiterte Bedrohungsanalyse (ATA)
Die Advanced Threat Analytics-Funktionen der Juniper ATP Appliance sind für die Reaktion auf Vorfälle von entscheidender Bedeutung und bieten einen umfassenden Überblick über die Bedrohungsaktivitäten. Zwar haben viele Unternehmen SIEM-Plattformen (Security Information and Event Management) implementiert, doch das Fehlen eines einheitlichen Bedrohungskontexts schränkt die Effektivität der operativen Intelligenz ein, die sofortige, fundierte Reaktionen auf Bedrohungen ermöglicht. Juniper ATP Appliance ATA ermöglicht es Ihrem Sicherheitsteam, den Wert der von Ihren vorhandenen Sicherheitstools erfassten Informationen zu maximieren. So können Analysten ihre Fähigkeit zur Analyse und Reaktion auf Daten aus SIEM-Systemen optimieren und gleichzeitig den mit SIEM-Ereignissen verbundenen Vorfallkontext besser verstehen.
Juniper ATP Appliance ATA bietet eine ganzheitliche Sicht auf Bedrohungsaktivitäten aus verschiedenen Informationsquellen, wie z. B.:
Active Directory
Endgeräte-Virenschutz,
Firewalls
Sichere Web-Gateways
Intrusion Detection Systeme
Tools zur Erkennung und Reaktion auf Endpunkte
Herkömmliche Sicherheitsgeräte sammeln wertvolle Informationen, aber das meiste davon bleibt ungenutzt, da die Geräte nicht speziell nach komplexen Bedrohungen suchen. Die ATA der Juniper ATP Appliance analysiert Daten aus verschiedenen Quellen, identifiziert fortgeschrittene bösartige Merkmale und korreliert die Ereignisse, um einen vollständigen Einblick in die Kill Chain einer Bedrohung zu erhalten. Dies ist besonders nützlich bei lauten Geräten wie Intrusion Prevention Systemen. Und auch Kunden, die kein SIEM verwenden, profitieren davon, dass ATA Daten direkt von anderen Sicherheitsgeräten in ihrem Netzwerk aufnimmt, um sie vor Cyberangriffen zu schützen.
Juniper ATP Appliance ATA konzentriert sich auf den täglichen Workflow von Tier-1- und Tier-2-Sicherheitsanalysten, die an der Sichtung und Untersuchung von Malware-Vorfällen arbeiten. Dem Sicherheitsanalysten wird eine Host- und Benutzerzeitachse zur Verfügung gestellt, um die spezifischen Ereignisse anzuzeigen, die auf dem Zielhost aufgetreten sind. Innerhalb von Minuten kann ein Tier-1-Analyst – der kein Erkennungsexperte ist – leicht die für den Vorfall erforderliche Vorgehensweise bestimmen. Mit ATA verfügen Analysten über umfassende Informationen, um die genaue Art der Bedrohung zu bestimmen und festzustellen, ob es sich um eine komplexe Bedrohung handelt, die zur Abwehr an Tier-2-Teams eskaliert werden muss. Der Tier-2-Analyst kann sich auf geprüfte komplexe Bedrohungen konzentrieren und die von ATA bereitgestellte Zeitachsenansicht verwenden, um detaillierte Untersuchungen des Hosts und des Benutzers durchzuführen. Diese ganzheitliche Sicht der Informationen führt dazu, dass den Einsatzteams umfangreiche Daten zur Verfügung gestellt werden, die den Bedrohungskontext, die Hostidentität und die Endbenutzeridentität umfassen – ohne dass eine manuelle Datenaggregation und -analyse erforderlich ist.
Einzelansicht von Advanced Persistent Threats (APTs)
Durch die Bereitstellung einer zentralen Ansicht komplexer Bedrohungen, die sowohl vom Unternehmensperimeter als auch seitlich aus dem Unternehmensnetzwerk kommen, identifizieren die Sichtbarkeit und die korrelierten Informationen der Juniper ATP Appliance eindeutig die nächste Generation von Bedrohungen (die sich anderen Lösungen oft entziehen), sodass ein Administrator oder ein Incident-Response-Team die Bedrohung für das Unternehmen schnell entschärfen kann.
Juniper ATP Appliance Cyber Threat Kill Chain Progressionen
Eine "Kill Chain" ist definiert als jene Angriffsvektoren und Angriffsphasen, die eine Cyberbedrohung charakterisieren. Die Juniper ATP Appliance erkennt und analysiert alle erweiterten Links in der Kill Chain von Cyberbedrohungen und bietet damit eine unverwechselbare Cybersicherheitslösung, die umfassende und umsetzbare Einblicke in den gesamten relevanten Netzwerkverkehr und die Daten entlang der Kill Chain und die damit verbundenen Angriffsvektoren bietet.
Exploits |
XP |
Aktivitäten, die Benutzer schädlichen Objekten aussetzen könnten. |
Downloads |
DL |
Herunterladen eines Objekts, das als bösartig identifiziert wurde. |
Benutzer-Uploads |
UP |
Ein Datenupload, der an einem Endpunkt durchgeführt wird. |
Ausführungen |
EX |
Ausführen von Schadcode auf dem Unternehmensendpunkt [identifiziert durch die Integration der Carbon Black Response API] |
Infektionen |
IN |
Identifizierte Anzeichen einer Infektion (CnC, IVP-Überprüfung). |
Seitliche Spreizung |
LS |
Erkannte Verteilung auf Unternehmenshosts innerhalb des Ost-West-Datenverkehrs. |
Phishing |
PHS |
E-Mail mit bösartiger URL (oft mit Download(s) korreliert) |
Bezeichnungen für Kill Chain Detection der Juniper ATP-Appliance
XP + UP + DL + EX + IN + LS + PHS
Informationen zu den interaktiven Anzeigen Kill Chain, Email Correlation und Lateral Spread finden Sie auch auf der Registerkarte "Incidents" Kill Chain, "Correlation & Lateral Spreads" und im Abschnitt "Kill Chain Breakdown ".
Die einzigartigen Engines für hierarchisches Denken und maschinelles Lernen der Juniper ATP Appliance nutzen sowohl virtualisierte als auch emulierte Objektanalysen in Kombination mit den verteilten Big-Data-Korrelations-Engines der Juniper ATP Appliance, um komplexe Malware-Bedrohungen im Netzwerkverkehr genau und dynamisch zu erkennen und verwertbare Informationen über die Bedrohungen zu generieren, die für Ihr Unternehmen von Bedeutung sind.
Die Multi-OS-Erkennungs-Engines von Juniper ATP Appliance (Windows und Mac OS X) bieten eine Malware-Detonation sowie eine detaillierte, kontextbezogene Abdeckung aller Angriffsvektoren mit einer tiefgreifenden Analyse aller Aktivitäten in der Angriffsphase entlang der Threat Kill Chain. Eine sofortige Verifizierung und automatische Risikominderung erfolgt zusätzlich zur Integration von Carbon Black Response am Netzwerkendpunkt auch über Integrationen von Palo Alto Networks (PAN), Juniper SRX Firewall, Cisco ASA, Check Point Firewalls, Fortinet Firewalls und BlueCoat Proxy SG entlang des Netzwerkpfads. Mit dem On-Demand-Endpunkt-IVP (Infection Verification Package) der Juniper ATP Appliance schließt sich der Kreis des erweiterten Bedrohungsschutzes von Juniper ATP Appliance zur Sicherung der gesamten Infrastruktur Ihres Unternehmens.
Die verteilte Architektur der Juniper ATP Appliance wurde entwickelt, um die Threat Kill Chain zu durchbrechen und sich gleichzeitig an buchstäblich jede Unternehmensnetzwerkarchitektur anzupassen. Die Juniper ATP Appliance trennt die kontinuierliche Prüfung von Verkehrsdaten und Netzwerkobjekten von der Bedrohungserkennung und -analyse, indem sie die einzigartige objektbasierte Traffic Collector-Technologie der Juniper ATP Appliance nutzt. Das verteilte ATP-Appliance-System von Juniper stellt einen erheblichen Vorteil gegenüber bestehenden Analyse- und Detonationstechnologien dar, da es die Bereitstellung verschiedener Datenverkehrskollektoren im gesamten Netzwerk auf wesentlich kostengünstige Weise ermöglicht, weniger Latenzzeiten während dynamischer Verhaltensanalysezyklen verursacht und eine bessere Sichtbarkeit und Abdeckung der Breite eines Unternehmensnetzwerks und seiner Schwachstellen in der Kill Chain ermöglicht.
Die Bedrohungsdaten von Juniper ATP Appliance zeigen auf:
Die Bedrohungsaspekte, die den Fortschritt der Kill Chain ausmachen
Der Angriffsort in der "Kill Chain"
Die kontextbezogenen Metriken darüber, wie nah die Malware am Erreichen einer beabsichtigten Tötung und der Veröffentlichung der Tötungsgefährdung ist
Kontextsensitive Erkennung und Juniper ATP Appliance Intel
In jüngster Zeit gab es eine deutliche Zunahme fortschrittlicher Mechanismen zur Bereitstellung von Nutzlasten, die fortschrittliche Umgehungstechniken verwenden. Diese Bedrohungen sind heimlich so konzipiert, dass sie Netzwerksicherheitslösungen umgehen, indem sie sich während eines laufenden Angriffs dynamisch ändern und durch parallele Ausführungen auf mehreren Protokollebenen stapelbar werden, was es für herkömmliche Sicherheitslösungen schwierig macht, sie zu erkennen. Außerdem wird die Bereitstellung einer Nutzlast meist über mehrere Plattformen wie Mobilgeräte oder das Web oder über einen längeren Zeitraum verteilt.
Ausweichangriffe sind erfolgreich, da es den aktuellen Sicherheitslösungen an Kontextbewusstsein und vollständiger Transparenz mangelt. Die Herausforderung bei der frühzeitigen Erkennung von Advanced Disevasive Threats hängt damit zusammen, dass die Sicherheitslösungen und Analysten zahlreiche Low-Level-Signale finden und die entsprechenden Teile verschiedener Bedrohungen miteinander korrelieren müssen. Dies führt zu Komplexität, da die Daten eine Kombination aus strukturierten und unstrukturierten Signalen sind, die mit verschiedenen Ebenen von Metadaten aus verschiedenen Netzwerksegmenten kombiniert werden. In Anbetracht des Umfangs und der Komplexität der meisten Unternehmensinfrastrukturen erfordert die Validierung, Priorisierung und Abwehr relevanter Bedrohungen die Abdeckung verteilter Architekturen und die kontextbewusste, objektorientierte Intelligenz der Juniper ATP Appliance.
Die Voraussetzung für die Erkennung komplexer Bedrohungen ist die Schaffung vollständiger Transparenz durch die Nutzung einer verteilten Architektur in Kombination mit einer "langen" Datenanalyse in Kombination mit einer eingehenden Bewertung der Auswirkungen der Bedrohung auf das gesamte Ökosystem. Es ist erforderlich zu verstehen, wie verschiedene Aspekte einer Bedrohung miteinander zusammenhängen, um entschlossene Gegner zu stoppen.
Die Produktsuite Juniper ATP Appliance bietet eine einzigartige Lösung, die Intelligence-Technologie von Web-/E-Mail-Traffic-Collectors und Detonations-Engines zu einer Defense-in-Depth-Architektur kombiniert. Diese End-to-End-Korrelation schützt das gesamte Unternehmensnetzwerk und fungiert als Schutzschicht gegen Angriffe, bei denen fortschrittliche Malware zum Einsatz kommt.
der Bedrohungsabwehr
Im Zusammenspiel ergänzt die kontextsensitive Produktsuite Juniper ATP Appliance die Effektivität anderer Ebenen der Unternehmensarchitektur und unterstützt gleichzeitig die vorhandene Sicherheitsinfrastruktur. Die folgende Abbildung zeigt eine verteilte Unternehmensbereitstellung mit Appliances in jeder der verfügbaren Konfigurationen und mit Juniper ATP Appliance Central Manager für die zentralisierte Erfassungs- und Erkennungsverwaltung.
Juniper ATP Appliance Multi-Plattform-Produktsuite
Die Multi-OS-Produktlösungen von Juniper ATP Appliance sind darauf ausgelegt, das gesamte Unternehmen zu überwachen und vor bösartigen Angriffen aller Bedrohungsvektoren zu schützen. Viele Bedrohungen nutzen unterschiedliche Kanäle und inkrementelle Stufen, um herkömmliche Schutzmaßnahmen zu umgehen. Ein Angriff kann in das Netzwerk eindringen, wenn ein Benutzer auf eine URL klickt, was zu einer Reihe von Drive-by-Downloads führt, die den Browser bei der Suche nach Schwachstellen angreifen. Die Komponenten der Produktsuite Juniper ATP Appliance arbeiten zusammen, um solche kombinierten Bedrohungen zu erkennen und zu stoppen.
Produktkomponente |
Bereitstellungsort(e) |
Modell-Optionen |
Juniper ATP Appliance Core Engine (Windows) |
Überall im Unternehmensnetzwerk, in einer Cluster-Bereitstellung und/oder in entfernten Zweigstellen |
Juniper ATP700 Appliance |
Juniper ATP Appliance Virtual oder Secondary Core Engine (Windows) |
Lokalisierung an einer beliebigen Stelle im Unternehmensnetzwerk und/oder in entfernten Zweigstellen; Logisch mit dem primären Kern verbunden. |
Juniper ATP-Appliance, OVA-VM, vCore für AWS oder nur Software |
Juniper ATP Appliance Central Manager |
Platzieren Sie eine beliebige Stelle im Unternehmensnetzwerk als Teil des [primären] Cores; Verwaltet Traffic-Collector-Objekte und plattformübergreifende Erkennung, Analyse und Berichterstellung von Detonations-Engines (Web-UI). |
Im Paket mit der Core-Engine enthalten [Primärer Kern bei Cluster-Bereitstellungen] |
Juniper ATP Appliance Web Traffic Collector |
Lokalisierung an einem beliebigen Netzwerkstandort; Am typischsten: Internet- (oder Netzwerk-) Ausgang. Wenn ein Web-Proxy vorhanden ist, beziehen Sie sich auf optionale Bereitstellungsszenarien im nächsten Kapitel. |
Juniper ATP Appliance Web Collector Appliance, virtuell, OVA oder nur Software |
E-Mail-Traffic-Collector der Juniper ATP-Appliance |
Lokalisieren Sie zwischen dem Antispamgateway und dem/den internen E-Mail-Server(n) des Netzwerks, z. B. MS-Exchange. Der E-Mail-Collector analysiert keine E-Mail-Nachrichten aus einem SPAN-Port. Für die Bereitstellung muss sich ein Konto bei einem speziellen E-Mail-Konto (Journaled oder BCC) anmelden, um E-Mails für die Analyse mit POP oder IMAP zu erhalten. |
Eine Komponente des Juniper ATP Appliance Core oder Allin-One Systems |
Juniper ATP Appliance Secondary Core (Mac OSX-Erkennung) |
Lokalisierung an einer beliebigen Stelle im Unternehmensnetzwerk und/oder in entfernten Zweigstellen; Logisch mit dem primären Kern verbunden. |
Juniper ATP Appliance-Software für Mac Mini-Geräte |
Juniper ATP-Appliance All-in-One |
Platzieren Sie sich an einer beliebigen Stelle im Unternehmensnetzwerk. Schließen Sie logisch einen Mac Mini Secondary Core für die Mac OSX-Erkennungsabdeckung an. (Zentraler Manager | Core (Windows) | Sammler) |
Juniper ATP700 Appliance |
Globale Sicherheitsservices (GSS) |
Konfiguriert für alle Juniper ATP Appliance CM/Core-Appliances oder All-in-One-Appliances. |
Service |
geclustert oder virtuell |
Software- und Cloud-basierte Bereitstellung: Virtual Collector, Virtual Core für AWS und vCore (OVA) |
Viele Optionen; Weitere Informationen finden Sie in der jeweiligen Kurzanleitung für die Juniper ATP Appliance |
- Juniper ATP Appliance Core- und Secondary Core Detonations-Engines
- Schnelle Links zu weiteren Kerninformationen zu Juniper ATP Appliances
Juniper ATP Appliance Core- und Secondary Core Detonations-Engines
Der Core der Juniper ATP Appliance integriert die Malware-Analyse der Windows-Plattform mit Mac OS X-Überwachung und Malware-Erkennung.
Die Windows-Detonations-Engine der Juniper ATP Appliance befindet sich auf dem Core (unabhängig davon, ob Sie eine All-in-One-Bereitstellung oder eine geclusterte, virtuelle oder physische Core/CM-Bereitstellung im Unternehmensnetzwerk oder in der Amazon Cloud implementieren).
Die Juniper ATP Appliance MAC OS X Detonationskammer (Secondary Core) läuft auf einem Mac Mini (nicht von Juniper geliefert) und dient zur Erkennung bekannter und unbekannter Bedrohungen im Web- und E-Mail-Verkehr.
Der Juniper ATP Appliance Core Central Manager koordiniert alle Erkennungs- und Erkennungsdaten in seinen Web-UI-Anzeigen und Bedrohungsansichten in Abstimmung mit dem GSS (Global Security Services) der Juniper ATP Appliance.
Die Detonations-Engines der Juniper ATP Appliance führen verdächtige Datenverkehrsobjekte vollständig aus: Code, Anhänge, Dateien und URLs. Die Automatisierung von Juniper ATP Appliance Collector leitet verdächtigen Datenverkehr durch eine Reihe von statischen, Reputations-, Netzwerk- und Verhaltensfolgesequenzen mit bekannten Regeln und wird dabei durch maschinelles Lernen angepasst, während der Datenverkehr in und durch die instrumentierten Ausführungs-Engines der Juniper ATP Appliance geleitet wird.
Im Core Windows und Mac OS X wird mutmaßliche Malware in der Virtualisierungsumgebung ausgeführt und vollständig untersucht. In der Core-Windows- und Mac OS X-Umgebung der Juniper ATP Appliance kann reale Malware Zero-Day-Angriffe, Eskalationen und andere Funktionen der nächsten Generation auslösen, damit die Juniper ATP Appliance ihr volles Bedrohungspotenzial untersuchen und bewerten kann.
Nach der Detonation in der Virtualisierungskammer wird die Malware als nächstes per Emulation auf Herz und Nieren geprüft. Beispielsweise emuliert der interne Core Windows und Mac OS X der Juniper ATP Appliance Web Appliance die Browser- (Client-)Seite verdächtiger Webtransaktionen zwischen tatsächlichen Netzwerkbenutzern und Webservern, um festzustellen, ob der Webserver versucht, den Browser zu infizieren. Verdächtiger Code wird in der Emulations-Engine wiedergegeben und analysiert, sodass polymorphe Malware oder Zero-Day-Malware entdeckt werden kann, die zuvor möglicherweise noch nicht gesehen wurde. Echte Bedrohungen für das Unternehmen werden von den Malware-Schutzsystem-Engines der Juniper ATP Appliance identifiziert und gestoppt, und die Analysen stehen als detaillierte Berichte im Central Manager-Dashboard, auf der Registerkarte "Vorfälle" und auf den Seiten "Mitigation" für Malware-Behebungs- und Forensik-Teams zur Verfügung.
Die Detonations-Engines der Juniper ATP Appliance sammeln detaillierte Informationen über die untersuchte Bedrohung: Die Ergebnisse der Malware-Analyse liefern die mit der Malware verknüpften IP-Adressen, die verwendeten Netzwerkprotokolle, spezifische Zielports und Informationen darüber, wie Angreifer Nutzlasten tarnen, kommunizieren und verteilen. Anhand dieser Daten erfasst die Juniper ATP Appliance Rückrufe und den gesamten Datenaustausch zwischen der Malware und ihrem Remote Command and Control (CnC)-Center. Mit detaillierten, kontextgesteuerten Malware-Analysen und Berichten zu Bedrohungsmetriken können Administratoren Optionen zur Echtzeit-Abwehr auswählen, die über den Central Manager verfügbar sind, einschließlich der in Juniper ATP Appliance integrierten Abwehrmaßnahmen für PAN OS, SRX, Cisco ASA, Check Point, Fortinet und BlueCoat ProxySG, Überprüfung von Endgeräteinfektionen (Juniper ATP Appliance IVP) und des Reaktionssystems Carbon Black Response Juniper ATP Appliance-Partner für Echtzeit-Abwehrmaßnahmen für Endgeräte-Abwehrmaßnahmen im Inneren. und auch außerhalb, innerhalb des Perimeters des Unternehmensnetzwerks.
Schnelle Links zu weiteren Kerninformationen zu Juniper ATP Appliances
Informationen zur Erstinstallation und Konfiguration von Juniper ATP Appliance Cores finden Sie in den Juniper ATP Appliance Quick Start Guides für Ihre Produkte:
Juniper ATP Appliance All-in-One System – Kurzanleitung
Juniper ATP Appliance Core/CM – Kurzanleitung
Juniper ATP Appliance Virtual Core für AWS – Kurzanleitung
Juniper ATP Appliance Traffic Collectors
Die Traffic Collector-Appliance der Juniper ATP Appliance scannt und analysiert Webobjekte und E-Mails, um bösartige Bedrohungen zu identifizieren. Web Collectors untersuchen Netzwerkrückrufe und führen eine Objekterfassung durch, einschließlich Benutzersitzungsdaten und Link-Tracebacks. E-Mail-Collectors führen das Sammeln von E-Mail-Anhängen und das Überprüfen von E-Mail-Metadaten durch.
Juniper ATP Appliance Collectors können als physische Appliance, als reine Software-ISO oder als VM-OVA bereitgestellt werden. Die Kollektoren werden mit dem SPAN/TAP-Port des Netzwerk-Switches verbunden.
Für mandantenfähige MSSPs können Juniper ATP Appliance Traffic Collectors für mandantenspezifische MSSP-Standorte bereitgestellt werden. Weitere Informationen finden Sie unter Unterstützung für mandantenfähige Web Collector-Zonen: Unterstützung von Managed Security Service Providern (MSSP).
Ein tragbarer Traffic Collector OSI mit kleinem Formfaktor für den Mac Mini ist ebenfalls erhältlich.
der Juniper ATP Appliance
Mandantenfähige Web Collector-Zonen: Unterstützung für Managed Security Service Provider (MSSP)
Juniper ATP Appliance integriert Traffic Collector-Bereitstellungen an Mandantenstandorten. Jeder mandantenkonfigurierte Collector ist mit dem Juniper ATP Appliance Core Cluster verbunden, der am MSSP-Standort gehostet wird. Das gesamte Management von Vorfällen wird vom MSSP durchgeführt. Mandanten haben keinen Zugriff auf den Core-Cluster.
In der Web-Benutzeroberfläche von Juniper ATP Appliance Central Manager wird eine konfigurierte Zone definiert, um Vorfälle und Ereignisse pro Mandant zu identifizieren und zu korrelieren. Der MSSP definiert eine Zone pro Mandant und gruppiert alle Collectors, die einem Mandanten zugeordnet sind, in einer mandantenspezifischen Zone, die dann der Konfigurationsseite Juniper ATP Appliance CM Web UI Zones hinzugefügt wird. Danach verfolgen alle Ereigniskorrelationsverläufe Ereignisse pro Ursprungszone und korrelieren Ereignisse innerhalb derselben Zone. Auf diese Weise verwaltet der mandantenfähige MSSP Vorfälle pro Zone/Mandant mit dem Juniper ATP Appliance Central Manager.
Traffic-Collector-Leistungs-, Zuverlässigkeits- und Diagnoseanzeigen
Leistungsmetriken für Traffic Collector werden in den neuen Collector-Dashboards der Webbenutzeroberfläche von Central Manager (Web und E-Mail) bereitgestellt.
Die Zusammenfassungen der Zustandsindikatoren der obersten Ebene sind farbcodiert, um den Gesamtzustand des Kollektors anzuzeigen. Zum Beispiel:
Der Indikator für einen Offline-Collector ist ROT.
Die Anzeige für einen herabgestuften Kollektor ist GELB.
Wenn alle Elemente nominal sind, ist der Indikator GRÜN.
Wenn Sie auf einer Collector-Dashboard-Seite auf einen Zustandsindikator klicken, wird das System-Dashboard geöffnet. Auf der Seite "Systemzustand" werden alle Systemwarnungen zusammengefasst.
Es ist keine Benutzerkonfiguration oder -aktion erforderlich.
Web-UI Cyber Kill Chain Fortschrittszuordnungen
Das Log Event Extended Format (LEEF) ist ein angepasstes Ereignisformat für IBM® Security QRadar®. Juniper ATP Appliance unterstützt das Senden von SIEM-Bedrohungswarnungen für Malware-Ereignisse im LEEF-Format für die QRadar-Integration.
Die Installation des Erweiterungs-Plug-ins für die DSM-Juniper ATP Appliance auf dem QRadar-Server ist erforderlich.
Konfigurationsinformationen finden Sie unter Konfigurieren von SIEM-Einstellungen und im CEF-, LEEF- und Syslog-Support für SIEM-Benutzerhandbuch.
Integriertes Netzwerk | Abwehr von Endgeräten
Die objektbasierte End-to-End-Malware-Abwehr besteht aus zwei Teilen: Erkennung und Abwehr. Das Blockieren webbasierter Bedrohungen erfordert, dass der Juniper ATP Appliance Core während der Konfiguration mit der IPS/Next Gen Firewall, dem Proxy oder dem Web-Gateway des Netzwerks integriert wird. Darüber hinaus wird der Endgeräteschutz durch die Integrationen von Carbon Black Response und Crowdstrike Endpoint sowie das Juniper ATP Appliance IVP (Infection Verification Package) gesichert. Die Bedrohungsansicht der Juniper ATP-Appliance auf dem Dashboard der Central Manager-Web-Benutzeroberfläche, den Seiten "Vorfälle" und "Schadensbegrenzung" ermöglicht die Reaktion auf Vorfälle in Echtzeit. Und böswillige CnC-Callbacks werden mit diesen integrierten Systemen auch beim ausgehenden Datenverkehr aktiv erkannt und blockiert.
Die Juniper ATP Appliance nutzt ihre detaillierten Bedrohungsinformationen, um Abwehrmaßnahmen unter Verwendung der vorhandenen Sicherheitsinfrastruktur eines Unternehmens detailliert zu beschreiben und zu priorisieren: integrierte automatische Abwehr mit vorhandenen FW, SWG und IPS. Auf diese Weise kann die Juniper ATP-Appliance bösartige Inhalte pro Host-IP-Adresse an bestehende Blockierungsregeln in Palo Alto Networks-Firewalls, Cisco ASA, Check Point, Fortinet- oder Juniper SRX-Firewall-Geräten weiterleiten oder URLs, die mit erkannten Bedrohungen verknüpft sind, an die PAN-Firewall oder einen BlueCoat ProxySG senden.
Optionen zur Abwehr von Endgeräten der Juniper ATP Appliance:
Juniper ATP Appliance Global Security Services (GSS)
Integration in bestehende Sicherheits- und Blockierungsinfrastruktur, einschließlich automatischer und proaktiver Minderungsoptionen und URL-Blockierung
Falsch-positive (FP) und falsch negative (FN) Berichte über die Web-Benutzeroberfläche des Central Managers.
Unterstützung für SIEM-Integration und CEF-Protokollierung
Unterstützung beim Blockieren und Durchsetzen von Juniper ATP Appliances bei ausgewählten Netzwerk- und Endpunktanbietern/-partnern wie Carbon Black Response und Crowdstrike.
Juniper ATP Appliance Infection Verification Package (IVP)
Crowdstrike Endpunkt-Integration
Die "CrowdStrike Endpoint Integration" der Juniper ATP Appliance ergänzt die bewährte Carbon Black Response-Integration der Juniper ATP Appliance zur Erkennung und Abwehr von Bedrohungen auf Endgeräten. Insbesondere bestimmt die Crowdstrike-Endpunktintegration, ob eine Binärdatei, die von der Juniper ATP-Appliance über ein Unternehmensnetzwerk erkannt wurde, an einem Endpunkt ausgeführt wird. Vorfälle an der Juniper ATP Appliance werden dann mit "EX" gekennzeichnet, um auf ein höheres Bedrohungsrisiko hinzuweisen, damit das Incident Response-Team seine Reaktion besser einschätzen kann.
Um die CrowdStrike-Integration in der Web-Benutzeroberfläche von Juniper ATP Appliance Central Manager zu konfigurieren, müssen Benutzer Folgendes eingeben:
Hostname des CrowdStrike Falcon API-Servers
CrowdStrike Falcon API-Benutzer
CrowdStrike Falcon API-Schlüssel
Auf der Seite "Vorfälle an der Juniper ATP Appliance Central Manager" wird ein Exploit-Flag (EX) angezeigt, wenn ein Endpunkt erkannte Malware ausgeführt hat. Die Webbenutzeroberfläche aktualisiert sich selbst, um Informationen vom Endpunkt-Agenten anzuzeigen, wenn eine bestimmte Datei auf einem Endpunkthost ausgeführt wird.
Die AD-Integration muss als Voraussetzung für die Crowdstrike Endpoint Integration aktiviert sein.
Konfigurationsinformationen finden Sie unter Konfigurieren der Endpunktintegration: Crowdstrike und Carbon Black Response .
Seitliche SMB-Erkennung
Juniper bietet Unterstützung für die Überwachung des SMB-Netzwerkprotokolls für die Dateifreigabe, Version 2.1. Dies ermöglicht die Extraktion von Dateiübertragungen zwischen Clients oder zwischen Clients und Servern, ähnlich wie die Juniper ATP-Appliance derzeit den HTTP-Datenverkehr überwacht. Die Unterstützung der Juniper ATP Appliance für die laterale Überwachung und Erkennung des "Ost-West"-SMB-Datenverkehrs sowie die Überwachung des ein- und ausgehenden "Nord-Süd"-Datenverkehrs hilft bei der Identifizierung von Malware, wenn sie sich von einem infizierten Endpunkt auf andere Hosts innerhalb eines Unternehmens ausbreitet. Da HTTP selten für die Kommunikation zwischen Endpunkten innerhalb einer Organisation verwendet wird, ist SMB ein bedeutender Vektor für die Übertragung von Malware und die Verbreitung von Infektionen innerhalb eines Unternehmens.
Unterstützt werden Windows 7, Windows Server 2008 R2 Version 2.1 und Windows 7, Windows Server 2008 R2 Samba Server 2.1. Dies bedeutet, dass entweder auf dem Client oder dem Server Windows 7 oder Windows Server 2008 R2 und auf dem anderen Ende entweder auf dem Client oder dem Server Windows 7/Windows Server 2008 R2 oder höher ausgeführt werden muss. Führen Sie auf Linux-Plattformen für SMB-laterale Erkennungen Samba Server Version 2.1 auf der einen Seite und Windows 7/Windows Server 2008 R2 auf der anderen Seite aus.
Um die SMB-Unterstützung zu aktivieren, muss ein erweiterter Lizenzschlüssel installiert werden.
Informationen zum Anzeigen von SMB-Erkennungen über die Central Manager-Webbenutzeroberfläche finden Sie unter Anzeigen von lateralen SMB-Erkennungen auf der Registerkarte "Incidents" unter Downloads von Übersichtstabellen.
Die Juniper ATP-Appliance unterstützt auch seitliche SSH-Honeypot-Erkennungen. Weitere Informationen finden Sie im nächsten Abschnitt sowie unter Erweiterungen der lateralen Erkennung: SSH-Honeypot .
Verbesserungen bei der lateralen Erkennung: SSH-Honeypot
Die Registerkarte "Vorfälle" der Juniper ATP Appliance Central Manager Web UI enthält Ergebnisse für die SSH-Honeypot-Funktion. Ein Honeypot, der im Unternehmensnetzwerk eines Kunden bereitgestellt wird, kann verwendet werden, um Netzwerkaktivitäten zu erkennen, die von Malware erzeugt werden, die versucht, andere Computer in einem lokalen Netzwerk zu infizieren oder anzugreifen. Versuchte SSH-Login-Honeypots werden verwendet, um die Erkennung von lateraler Ausbreitung zu ergänzen. Ein Honeypot kann auf dem Traffic Collector eines Kunden bereitgestellt werden, von dem Ereignisinformationen zur Verarbeitung an den Juniper ATP Appliance Core gesendet werden. Kunden können einen Honeypot in jedem beliebigen lokalen Netzwerk platzieren.
Ein böswilliger Akteur, der versucht, einen Brute-Force-SSH-Eintrag durchzuführen oder gezielten SSH-Zugriff auf ein "Root"-Konto auszuführen, wird ebenfalls von der SSH-Honeypot-Funktion der Juniper ATP Appliance erkannt.
Die Ergebnisse der SSH-Honeypot-Erkennungen werden auf der Seite "Vorfälle in der Web-Benutzeroberfläche des Central Managers" angezeigt und in den generierten Berichten enthalten. Zu den Daten, die für Honeypot-Erkennungsereignisse an das Juniper ATP Appliance GSS gesendet werden, gehören "Bedrohungsziel" und eine detaillierte Beschreibung aller versuchten "SSH-Sitzungen" (einschließlich Benutzername und Kennwort) mit Zeitstempeln.
Für SSH Honeypot Lateral Detection-Konfigurationen ist eine Juniper ATP Appliance Advanced-Lizenz erforderlich. Die Honeypot-Schnittstelle wird immer als eth3 aufgelistet.
Weitere Informationen:
Weitere Informationen zur Konfiguration von SSH Honeypot finden Sie in der CLI-Befehlsreferenz der Juniper ATP Appliance.
Weitere Informationen finden Sie unter SSH-Honeypot-Anforderungen.
Informationen zum Anzeigen der neuen Lateral Detection-Vorfälle und Details finden Sie unter Anzeigen von SSH Honeypot Lateral Spread Incidents.
Informationen zur Verwendung des eth3-Ports für den gesamten ausgehenden Collector-Datenverkehr finden Sie in der Juniper ATP Appliance Traffic Collector-Kurzanleitung.
Registerkarte "Incidents" Kill Chain, Korrelation & Lateral Spreads
Eine interaktive Kill Chain auf der Seite "Incidents>Details Summary" zeigt visuell das Durchlaufen von Malware im Unternehmensnetzwerk an und verknüpft diese Informationen mit den zugehörigen Kill Chain-Phasen und Incident-Datenseiten.
Zu den Kill Chain-Fortschrittskategorien gehören:
Exploits | Downloads | Hinrichtungen | Infektionen | Seitliche Spreizung | Phishing | Benutzerdefinierte Regeln
Die interaktive, grafische Kill Chain der Juniper ATP Appliance enthält Anzeigen der lateralen Ausbreitung auf der Seite "Zusammenfassungsdetails" auf der Registerkarte "Incidents".
Das Kill Chain Progression-Diagramm zeigt die datierte Vorkommenszuordnung von LS (Lateral Spread), IN (Infektion), DL (Downloads), XP (Exploits), Lateral Spread (LS), Phishing (PHS) usw. Die Kill-Chain-Symbole helfen Administratoren auf einen Blick, schnell festzustellen, welche(s) Ereignis(e) zu welchem Zeitpunkt in welcher Phase der Kill-Chain stattgefunden haben.
Wenn Sie auf die Schaltfläche "Kill Chain-Fortschritt" klicken, wird die entsprechende Seite mit detaillierten Informationen geöffnet. Wenn Sie z. B. auf die Schaltfläche "Infektionen" klicken, wird die Seite "Details zu Infektionen" geöffnet.
Die Erkennungsauslöser für diesen Kill-Chain-Vorfall werden direkt über dem Fortschrittsdiagramm angezeigt. Die blau dargestellten Auslöser wurden während der Überwachung und Analyse aktiv ausgelöst. Zu den Auslösern gehören: Reputation | Verhalten | Netzwerk | Statische.
Wenn die Kill-Chain-Fortschrittsanzeige die Lateral-Spread-Aktivität anzeigt, wie im folgenden Beispiel, kannst du auf das interaktive Lateral-Spread-Schaltflächensymbol in der Kill-Kette klicken, um die Seite "Lateral Spread-Details" zu öffnen:
hin
Downloads und Lateral Spread-Ereignisse können auf der Seite "Vorfälle in der Web-UI der Juniper ATP-Appliance" ähnlich aussehen. Der Unterschied hängt davon ab, ob die Host-IP die Malware-Quelle oder das Ziel ist. Wenn es sich bei der Malware-Quelle um ein laterales Verbreitungsereignis handelt, das auf einen Empfänger abzielt, d. h. auf den Host der Juniper ATP Appliance, der die Malware empfängt, wird dies als Download betrachtet.
Es ist keine Konfiguration erforderlich. Weitere Informationen finden Sie unter Kill Chain Breakdown .
Bei der Integration von Endpunktidentitäten zeigt das Lateral Spread-Diagramm den Hostnamen des Endpunkts als Knotennamen an, sofern dieser verfügbar ist. Andernfalls wird die IP-Adresse des Endpunkts angegeben.
Kill-Chain-Stufen
Die Seite "Incidents" des Central Manager Web UI Incidents von Juniper ATP Appliance enthält eine Zuordnung des Kill-Chain-Fortschritts, die die Übereinstimmung des Vorfalls mit den Gartner-Kill-Chain-Phasen anzeigt.
anzuzeigen
Die verschiedenen Stufen der Tötungskette sind:
Aufklärung
Bewaffnung
Lieferung [Die Fortschritte von Juniper ATP Appliance beginnen hier mit der Kill Chain Delivery-Phase.]
Ausbeutung
Installation
Kommando und Steuerung
Maßnahmen zur Zielvorgabe
Die Progression von Juniper ATP Appliance beginnt mit der Auslieferungsphase. Die Fortschritte der Juniper ATP-Appliances sind wie unten dargestellt den Stufen der Cyber-Kill-Kette zugeordnet:
- Juniper ATP-Appliance-Fortschrittszuordnungen pro Kill-Chain-Phase
- YARA-Regeln und laterale Erkennung
Juniper ATP-Appliance-Fortschrittszuordnungen pro Kill-Chain-Phase
Lieferung > |
Phishing, Exploits, Downloads |
Nutzung und Installation > |
Ausführung |
Command and Control > |
Infektionen, benutzerdefinierte Regeln |
Maßnahmen zu Zielvorgaben > |
Seitliche Spreizung |
Weitere Informationen finden Sie unter Grundlegendes zu Bedrohungen und Vorfällen .
YARA-Regeln und laterale Erkennung
Remote Administration Tools (RATs) können mithilfe von YARA-Regeln erkannt werden. Durch die zusätzliche Möglichkeit, YARA-Regeln auf Juniper ATP-Appliance-Geräte zu übertragen, kann die Juniper ATP-Appliance die laterale Ausbreitung von Remoteverwaltungstools (Remote Administration Tools, RATs) innerhalb eines Netzwerks erkennen.
Jede YARA-Regel der Juniper ATP-Appliance enthält die folgenden zusätzlichen Informationen:
Name der Regel
Beschreibung der Regel
Schweregrad (zwischen 0 und 1)
Dateitypen, auf die die Regel angewendet werden soll
Die Analyse-Engines der Juniper ATP Appliance testen neue Downloads anhand jeder YARA-Regel, und die YARA-Ergebnisse werden von den Komponenten für maschinelles Lernen verwendet, um einen endgültigen Schweregradwert und einen Malware-Namen zu generieren.
YARA-Regeln werden immer installiert und auf Downloads angewendet.
Die YARA-Engine der Juniper ATP Appliance verwendet YARA Version 3 (abwärtskompatibel mit Version 2). Details zu übereinstimmenden YARA-Regeln werden auf der Registerkarte "Downloads" der Seite "Incidents" angezeigt.
Alle übereinstimmenden YARA-Regeln können von der Seite "Incidents" heruntergeladen werden:
Für die Aktivierung von SMB ist eine Advanced-Lizenz erforderlich, aber YARA-Regeln werden unabhängig vom SMB-Status immer installiert und verwendet.
HTTP-API der Juniper ATP-Appliance
Der Juniper ATP Appliance Central Manager unterstützt eine HTTP-API für den Zugriff auf alle Bedrohungs- und Systemverarbeitungsdaten sowie die Geräte- und Softwarekonfiguration. Auf alle Funktionen, die über die Webbenutzeroberfläche von Central Manager verfügbar sind, kann auch über die HTTP-API zugegriffen werden.
Im Rahmen aller API-Anforderungen wird JSON in allen Antworten von der API zurückgegeben, einschließlich Fehlern.
Die Juniper ATP Appliance Smart Core Platform wurde speziell für die nahtlose Zusammenarbeit mit der bestehenden Sicherheitsinfrastruktur entwickelt und bietet Regeln und Optionen zur Risikominderung, die zu einem vollständigen kontextbezogenen Bewusstsein jeder Unternehmensumgebung, einschließlich ihrer Durchsetzungspunkte, beitragen. Diese Integration hilft bei der Priorisierung von Bedrohungen und der Verkürzung der Bedrohungsreaktionszeit (Blockierungs- und situationsbezogene Minderungsregeln) von Stunden oder Tagen auf Minuten.
Die integrierte API der Juniper ATP-Appliance überträgt Schadensbegrenzungsregeln auf die vorhandene Infrastruktur und nutzt vorhandene Durchsetzungslösungen über Firewalls, IPS/IDS (zum Blockieren) oder AV. Und die Infektionsvalidierung mittels IVP und Carbon Black Response ermöglicht es der ATP-Appliance-Plattform von Juniper, zu einem tieferen Teil des Infrastrukturnetzes zu werden und nicht nur eine weitere Sicherheits-Patch-Point-Lösung.
STIX API-Integration
Structured Threat Information Expression (STIX™) ist eine Sprache, die verwendet wird, um Daten und Informationen zu Cyberbedrohungen zu qualifizieren, damit sie ausgetauscht, gespeichert und analysiert werden können. Die Juniper ATP-Appliance enthält eine API, mit der Benutzer die Juniper ATP-Appliance abfragen können, um Indicators of Compromise (IOC) in einem standardmäßigen STIX-Format zu erhalten.
Weitere Informationen und Informationen zur Verwendung finden Sie im HTTP-API-Handbuch der Juniper ATP-Appliance.
Juniper ATP Appliance Global Security Services (GSS)
Juniper ATP Appliance Global Security Service (GSS) stellt Cloud-Services für Juniper ATP Appliance und seine Kunden bereit. Der Global Security Service der Juniper ATP Appliance ist ein Cloud-basierter Abonnementservice, der in Verbindung mit der Juniper ATP Appliance Advanced Threat Defense Platform eine verbesserte Bedrohungserkennung und -migration bietet. Der Juniper ATP Appliance Global Security Service aktualisiert kontinuierlich alle Aspekte der Multi-Methoden-Erkennungs-Engine der Juniper ATP Appliance Advanced Persistent Threat Platform und bietet neue Bedrohungsdaten, Modelle für maschinelles Lernen und statische Analysesignaturen.
Die GSS bietet:
Systemüberwachungs- und Reporting-Services
Automatische Updates und Aktualisierungen von Software- und Sicherheitsinhalten
Automatische Generierung von Berichten und Warnungen
Der Core sucht jeden Tag um Mitternacht nach Core-Image-Upgrades. Außerdem finden alle 30 Minuten Überprüfungen auf neue Software- und Inhaltsupdates (falls aktiviert) statt. Informationen zum Aktivieren von GSS-Updates finden Sie unter Konfigurieren der GSS-Einstellungen.
Automatische Updates werden durchgeführt für:
Modellaktualisierungen für maschinelles Lernen
Laufende Bedrohungsdaten
Aktualisierungen statischer Analysen
Modellaktualisierungen für maschinelles Lernen
Juniper ATP Appliance verwendet Machine-Learning-Analysen zur Analyse des Malware-Verhaltens und zur Bereitstellung einer Analysebewertung. Das Team von Juniper ATP Appliance Labs trainiert die Engine für maschinelles Lernen kontinuierlich mit Millionen neuer Beispiele für bösartigen und nicht bösartigen Code. Auf diese Weise kann die Juniper ATP-Appliance die Effizienz der Erkennung erhöhen und gleichzeitig wichtige Merkmale bekanntermaßen funktionierender Objekte erlernen, sodass die Juniper ATP-Appliance nicht normkonformes Objektverhalten kennzeichnen kann. Als Teil von GSS werden diese Updates für die Juniper ATP-Appliance-Bereitstellungen der Kunden bereitgestellt.
- Signaturaktualisierungen für statische Analysen
- Einweg- und Zweiwege-GSS-Serviceoptionen
- Schneller Link zu weiteren GSS-Informationen zu Juniper ATP Appliances
Signaturaktualisierungen für statische Analysen
Juniper ATP Appliance fügt kontinuierlich neue Signaturen für neu gefundene Malware im gesamten Kundenstamm hinzu. Diese Signaturen werden von GSS aktualisiert.
Aktualisierungen der Bedrohungserkennung
Das Team von Juniper ATP Appliance Labs erstellt und aggregiert Bedrohungsdaten aus verschiedenen Quellen, einschließlich unseres Crawler-Netzwerks, sowie aus öffentlichen und privaten Informations-Feeds. Aktualisierte Bedrohungsinformationen sind unerlässlich, um die erkannten Bedrohungen im Detail zu verstehen. GSS stellt seinen Kunden stets die aktuellsten Bedrohungsdaten zur Verfügung.
Juniper bietet eine automatische Aktualisierung von Freigaben von Sicherheitsinhalten.
Die Software-/Sicherheitsinhaltsaktualisierungen sowie die Integritäts- und Überwachungsfunktionen der Juniper ATP Appliance sind in GSS integriert. Zukünftige GSS-Cloud-Services werden verteilte Detonations- und Analysehandhabung sowie Remote-Debugging umfassen.
Einweg- und Zweiwege-GSS-Serviceoptionen
Um die Vorteile der Echtzeit-Malware-Informationen, die von lokalen Analyse-Engines auf der ganzen Welt gesammelt werden, nutzen zu können, hat Juniper ATP Appliance ein globales Netzwerk aufgebaut, um automatisch generierte Security Intelligence-Berichte über fortschrittliche Malware weltweit zu verteilen, einschließlich aller verdeckten Rückrufkanäle. Während die Juniper ATP Appliance Code und Datenverkehr auf bösartige Objekte analysiert, erstellt sie einen dynamischen Fingerabdruck aller bestätigten Malware. Diese Malware-Fingerabdrücke werden in Echtzeit mit den Abonnenten geteilt.
Die gemeinsame Nutzung lokaler Malware-Informationen in Echtzeit wird erreicht, wenn einzelne Juniper ATP Appliance Traffic-Geräte eine Verbindung herstellen und ihre lokal generierten Malware-Informationen gemeinsam nutzen. Dadurch wird sichergestellt, dass die gesamte Bereitstellung der Juniper ATP-Appliance über einen Schutz gegen die gezielten Bedrohungen verfügt, die das Unternehmensnetzwerk infiltrieren sollen. Wenn der GSS Bedrohungsinformationen sammelt und verteilt, werden diese als Aktualisierungen von Sicherheitsinhalten freigegeben:
Alle Bedrohungsdaten, die in Sicherheitsinhalten enthalten sind, beziehen sich nur auf Malware und bösartige Aktivitäten.
Im Rahmen der gemeinsamen Nutzung von Sicherheitsinhalten und automatischen Aktualisierungen werden keine kundenspezifischen Daten übertragen.
Die Daten werden über ein verschlüsseltes Protokoll (HTTPS) übertragen.
Juniper ATP Appliance GSS wird auf die folgenden zwei optionalen Arten angeboten:
Juniper ATP Appliance GSS two-way option
Mit dieser Option erhalten Kunden alle Vorteile von Juniper ATP Appliance GSS und leisten einen Beitrag zum Service, indem sie GSS automatisch die Metadaten zu neuen Bedrohungen in ihrer Umgebung zur Verfügung stellen. Alle Bedrohungsdaten, die in Metadaten enthalten sind, sind nur spezifisch für Malware und bösartige Aktivitäten. Im Rahmen der Aktualisierung von Sicherheitsinhalten werden keine kundenspezifischen Daten übertragen.
Juniper ATP Appliance GSS one-way option
Mit dieser Option können Kunden von GSS-Updates profitieren, ohne Malware-Informationen an den Dienst zurückzusenden.
Vorteile der bidirektionalen Freigabe:
Nutzung der Bedrohungsdaten der Juniper ATP Appliance Labs, um Bedrohungen frühzeitig in ihrem Lebenszyklus zu erkennen und zu stoppen
Halten Sie die Modelle für maschinelles Lernen auf dem neuesten Stand, um noch unbekannte Bedrohungen zu identifizieren
Verbessern Sie die Kategorisierung und Priorisierung von Bedrohungen
Schnellere Eindämmung und Behebung von Bedrohungen
Schneller Link zu weiteren GSS-Informationen zu Juniper ATP Appliances
Konfigurationsinformationen finden Sie unter Konfigurieren der GSS-Einstellungen .
Siehe auch Konfigurieren der Systemeinstellungen.
Juniper ATP Appliance Dashboard – Bedrohungsansicht
Das Web-UI-Dashboard der Juniper ATP Appliance Central Manager enthält den Bereich "Bedrohungsansicht" auf der Seite "Operations Dashboard" (siehe unten). Die Bedrohungsansicht wurde entwickelt, um Benutzern zu helfen, Prioritäten zu setzen und sich auf die wichtigsten Angriffe innerhalb des Unternehmensnetzwerks zu konzentrieren. Die Blasen der Bedrohungsansicht sind als Blasenansicht oder Blasendiagramm implementiert und stellen grafisch die Bedrohungen dar, die ein Administrator am meisten beachten muss.
Jede Blase steht für einen einzelnen Host, für den die Erkennungs- und Analyse-Engines der Juniper ATP Appliance verdächtige Aktivitäten beobachtet haben. Je höher jede Blase auf der Y-Achse angezeigt wird, desto ernster ist die potenzielle Bedrohung. Je größer die Blase in der Anzeige ist, desto mehr korrelierte oder mehr individuelle Bedrohungen wurden beobachtet und sind für diesen Host im Spiel. Die Farbe ist ein weiterer Indikator für den Schweregrad der Bedrohung, wobei Dunkelorange die größte Bedrohung darstellt.
Verfügbare Dashboards:
Operationen
Forschung
System
Sammler
Zeitleiste der Ereignisse
- Betriebs-Dashboard
- Forschungs-Dashboard
- Dashboard für Datenverkehrssammler
- Dashboard für Ereignis-Zeitleiste
- Verbesserungen bei der E-Mail-Erkennung
- E-Mail-Bedrohungsabwehr: Gmail- und Office 365-Quarantäneoptionen
- Reputationserkennung von E-Mail-URLs
Betriebs-Dashboard
Die Bedrohungsansicht filtert das Rauschen im Netzwerk heraus und zeigt die Bedrohungen an, die für Ihr Unternehmen am wichtigsten sind, und zwar für den Zeitraum, der im Dropdown-Menü über den Diagrammen ausgewählt wurde.
Die Farben des Bedrohungswerts werden wie folgt übersetzt:
Kritisch, Hoch (Rot), Mittel (Orange), Niedrig (Gelb)
Dieses Farbschema für Bedrohungen ist in der gesamten Webbenutzeroberfläche von Juniper ATP Appliance Central Manager konsistent.
Im Bereich "Infizierte Hosts" des Dashboards werden Blasendiagramme aller hostspezifischen Vorfälle angezeigt, die vom gesamten verteilten System erkannt wurden. Die Größe der Blasen stellt die Bestimmung der derzeit schwersten oder weniger schweren Infektionen durch Juniper ATP Appliance dar.
Infizierte Hosts Das Layout des Dashboards und seiner Bedrohungsmetrik ermöglicht es Ihnen, die wichtigsten Bedrohungen zur Abwehr aufzuschlüsseln oder die automatische Abwehr zu überprüfen (falls konfiguriert).
Klicken Sie auf die Schaltfläche Diagramme zurücksetzen, um zur ursprünglichen Ansicht "Alle Bedrohungen" zurückzukehren.
Um die Hostdetails einer Blase anzuzeigen, klicken Sie auf eine Blase. Details werden sofort rechts neben der Bedrohungsansicht des Blasendiagramms angezeigt.
Wenn Sie in der Bedrohungsansicht auf eine Blase doppelklicken, wird die Registerkarte "Vorfall" der Central Manager-Webbenutzeroberfläche geöffnet, um eine Zusammenfassung und Details zu den Vorfällen bereitzustellen, die dem ausgewählten Host zugeordnet sind. Mit anderen Worten, die gesamte Dashboard-Benutzeroberfläche folgt Ihrem Navigationsfokus und zeigt gleichzeitig den Bedrohungskontext und die Relevanz an.
Weitere Informationen zur Verwendung finden Sie unter Verwenden der Dashboard-Ansichten.
Forschungs-Dashboard
Das Research-Dashboard ist ein weiteres kontextspezifisches Analystentool, das auf der Registerkarte "Dashboard" verfügbar ist.
Die längste Zeilendarstellung im Top-Malware-Diagramm stellt in der Regel die größte Bedrohung für das Unternehmen dar. Wenn Sie im Diagramm "Top Malware Threat View" auf diese (oder eine beliebige) einzelne Zeile klicken, werden im Array "Threat Progression" auf der rechten Seite die Hosts angezeigt, die dieser ausgewählten Malware-Bedrohung zugeordnet sind.
Ziehen Sie den Namen der Bedrohung in der Bedrohungsverlaufsansicht, um die Array-Anzeige anzupassen und aufzufächern.
Klicken Sie auf eine Host-IP-Adresse im Array, um Hostdetails direkt unter dem Array anzuzeigen. Das kreisförmige Aufzählungszeichen des Hosts wird im Array orange, wenn es ausgewählt ist.
Wählen Sie diese Option aus, um das gesamte Array zu verschieben und neu zu positionieren oder zu vergrößern/verkleinern, um alle angezeigten IP-Adressen anzuzeigen.
Zur Erinnerung: Wenn Sie auf einen Malware-Namen in der grafischen Liste "Top Malware" klicken, wird die Bedrohungsverlaufsansicht so angepasst, dass alle Hosts angezeigt werden, die von dieser bestimmten Malware angegriffen wurden.
Wenn Sie in der Liste Top-Malware auf die Zeile Top-Malware doppelklicken, wird die Registerkarte "Incident" der Central Manager-Webbenutzeroberfläche geöffnet, um eine Zusammenfassung und Details zu den Vorfällen bereitzustellen, die dieser Malware zugeordnet sind. Mit anderen Worten, die gesamte Dashboard-Benutzeroberfläche folgt Ihrem Navigationsfokus und zeigt gleichzeitig den Bedrohungskontext und die Relevanz an.
Weitere Informationen zur Verwendung finden Sie unter Verwenden der Dashboard-Ansichten.
Die Research- und Operations-Dashboards integrieren Sätze von Vorfällen und Ereignissen zur Erkennung von HTTP-Datenverkehr in Nord-Süd-Richtung (Eingang/Ausgang) sowie laterale Ost-West-Vorfälle und -Ereignisse (die innerhalb des Unternehmens über die SMB-Überwachung erkannt werden). Die Web-UI-Dashboards der Juniper ATP Appliance Central Manager helfen Administratoren dabei, ein infiziertes Endgerät zu identifizieren und den Vektor eines bösartigen Objekts im gesamten Unternehmensnetzwerk von Host zu Host zu verfolgen. Darüber hinaus werden laterale Ost-West-Malware-Ereignisse sorgfältig mit verwandten webbasierten Vorfällen (Downloads, Infektionen, Phishing und Exploits) korreliert.
Für den Zugriff auf die Operations- und Research-Dashboards ist keine Konfiguration erforderlich, für die Zuordnung der lateralen SMB-Überwachungsdaten ist jedoch ein erweiterter Lizenzschlüssel erforderlich. Weitere Informationen zur Verwendung der neu gestalteten Dashboards finden Sie unter Verwenden der Dashboard-Ansichten. Weitere Informationen zu SMB-Lateralerkennungsvorfällen finden Sie auf der Registerkarte "Incidents" Anzeigen von SMB-Lateralerkennungen in diesem Handbuch.
System-Dashboard
Das System-Dashboard ist auch auf der Registerkarte Dashboard verfügbar:
Das System-Dashboard enthält Metriken für Folgendes:
Datenverkehr (Mbit/s)
Der Gesamtdatenverkehr bezieht sich auf den Datenverkehr, der auf der Leitung angezeigt wird.
Analysierter Protokolldatenverkehr bezieht sich auf den gesamten Datenverkehr, der für die Analyse verwendet wird.
Hinweis:In früheren Versionen wurde der Datenverkehr als "Angeboten" und "Geprüft" kategorisiert. "Angeboten" entspricht der aktuellen Metrik "Gesamtverkehr". "Geprüft" ist jedoch nicht dasselbe wie "Analysierter Protokolldatenverkehr". Der analysierte Datenverkehr umfasst den gesamten HTTP-Datenverkehr, einschließlich der Bytes, die keine Objekte bilden. Es kann also zu einem erwarteten Anstieg dieser Kennzahl kommen, als in der Vergangenheit gemessen wurde.
Core-Auslastung (Windows und Mac OSX)
Verarbeitete Objekte
Durchschnittliche Analysezeit (in Minuten) (Windows und Mac OSX)
Malware-Objekte
Systemdiagramme können angezeigt werden für:
Letzte 24 Stunden | Letzte Woche | Letzter Monat | Letzte 3 Monate | Letztes Jahr
Weitere Informationen zur Verwendung finden Sie unter Verwenden der Dashboard-Ansichten.
Dashboard für Datenverkehrssammler
Das Collectors-Dashboard ist ein weiteres Dashboard-Set, das auf der Registerkarte Dashboard verfügbar ist:
Wählen Sie Web- oder E-Mail-Collector-Ansichten aus, um grafische Trends und Details anzuzeigen.
Es können bis zu 5 Web- oder E-Mail-Collectors gleichzeitig für die grafische Darstellung von Vergleichsgrafiken ausgewählt werden.
Das Collectors-Dashboard enthält Metriken für die folgenden Trendanzeigen (Optionen werden aus dem Dropdown-Menü "Trend" ausgewählt):
Aktueller Gesamtdatenverkehr (Mbit/s)
CPU-Auslastung
Speicherauslastung
Analysierte Links
Analysierte Objekte
Bedrohungen
Es gibt auch einen Abschnitt "Sammlerdienste" in den Details. Scrollen Sie auf der Seite "Collector Dashboard" nach unten, um "Services" anzuzeigen. Dieser Abschnitt enthält Daten zu Diensten, die ausgefallen sind oder sich auf die Integrität des Collectors auswirken. Wenn alle Dienste wie erwartet ausgeführt werden, wird eine "OK"-Zeile ausgegeben:
Grafische Datendiagramme können für die letzten 24 Stunden angezeigt werden | Letzte Woche | Letzter Monat
Spalte "Zusammenfassung" |
Beschreibung |
|---|---|
Plot |
Klicken Sie hier, um [mehrere] Diagramme für Vergleiche in der obigen Grafik anzuzeigen. Farben werden für jede ausgewählte grafische Plotlinie angezeigt |
Name des Sammlers |
Name des installierten Traffic Collectors |
IP-Adresse |
IP-Adresse des Collectors |
Speicher |
Statistiken zur Speicherauslastung |
CPU |
Statistiken zur CPU-Auslastung |
Datenträger |
Festplattennutzung |
Aktueller Gesamtverkehr |
Gesamter gescannter Datenverkehr in Kbit/s oder Mbit/s - der gesamte Datenverkehr, der zu einem beliebigen Zeitpunkt von verschiedenen Collectors auf der Leitung angezeigt wird (nicht kumulativ) |
Analysierte Objekte |
Analysierte Objekte - kumulativ |
Analysierte Links |
URL-Extraktion und -Analyse |
Bedrohungen |
Erkannte Malware-Objekte, die alle Arten von Bedrohungen darstellen – Exploit, Malware-Download, Infektion – kumulativ |
Zuletzt gesehen |
Letzter erkannter und analysierter Malware-Vorfall |
Status |
Letzte Statusprüfung am Collector (Beispiel: "vor 83 Sekunden") |
Aktiviert |
Ein grünes Häkchen zeigt an, dass der Collector derzeit aktiviert ist. Ein rotes X zeigt an, dass der Collector deaktiviert oder offline ist. |
Weitere Informationen zu den Dashboards und Verwendungsoptionen der Juniper ATP Appliance finden Sie unter Interagieren mit Dashboard-Ansichten und -Komponenten und Navigieren in der CM-Web-Benutzeroberfläche .
Dashboard für Ereignis-Zeitleiste
Das Dashboard "Ereigniszeitleiste" wurde kürzlich zu den Produkt-Dashboard-Ansichten hinzugefügt, die auf der Registerkarte "Dashboard" verfügbar sind:
für die Ereignis-Zeitleiste
Der Event Collector zeigt jedes Ereignis und jede Aktion, die zum Schutz eines bestimmten Endpunkts oder Hosts ergriffen wurde, entlang einer Zeitachse für jeden integrierten Anbieter sowie für Erkennungen und Aktionen der Juniper ATP Appliance an. Sie können eine Zeitleistenansicht erweitern, um zu sehen, wie und wann der Endbenutzer einen bösartigen Download durchgeführt hat.
Das Dashboard für die Ereignis-Zeitleiste enthält Ereignismetriken für die folgenden Anbieter (für einen HOSTNAME | ENDGERÄTE-IP | BENUTZERNAME | oder die Option E-Mail, die Sie aus dem Dropdown-Menü auswählen, in das entsprechende Feld eingeben und dann auf GO klicken, um Ereignisse zu verarbeiten, die in der Zeitachsenansicht angezeigt werden):
Sicheres Web-Gateway von Bluecoat
Reaktion von Carbon Black
PAN Firewall der nächsten Generation
Symantec EP
McAfee ePO
Verbesserungen bei der E-Mail-Erkennung
Juniper ATP Appliance-MTA-Empfänger und Juniper ATP Appliance-MTA-Cloud
Juniper ATP Appliance bietet mehrere bedeutende Verbesserungen bei der Erkennung und Abwehr von Malware per E-Mail. In dieser Version werden sowohl die Cloud-E-Mail-Bereitstellung der Juniper ATP-Appliance als auch die lokalen Szenarien für die Bereitstellung von E-Mails über die Juniper ATP-Appliance-MTA-Empfänger unterstützt.
Für alle E-Mail-Erkennungskonfigurationen ist eine Juniper ATP Appliance Advanced-Lizenz erforderlich.
On-Premise Juniper ATP Appliance-MTA-Receiver Deployments
Bereitstellungen von Juniper ATP Appliance MTA Receiver unterstützen den Empfang von E-Mails von verschiedenen Servern, darunter Office 365, Gmail und MS Exchange. Es unterstützt auch alle anderen E-Mail-Server/Anti-Spam-Gateways, die das Hinzufügen zusätzlicher SMTP-Empfänger zum Senden von E-Mails an den MTA-Empfänger der Juniper ATP-Appliance unterstützen (ohne Hinzufügen von SMTP-Hüllkopfern, um die ursprüngliche E-Mail zu einem Anhang zu machen).
Der Administrator muss die unterstützten Server so konfigurieren, dass der E-Mail-Stream an den MTA-Empfänger der Juniper ATP-Appliance weitergeleitet wird, wobei er die auf dem MTA-Empfänger eingerichtete E-Mail-Adresse verwendet (z. B. CustomerX@MTA-IP oder CustomerX@DomainName). Wenn Sie einen Domänennamen verwenden, sollten die MX-Einträge von den Servern auflösbar sein). In allen Fällen extrahiert der lokale MTA-Empfänger der Juniper ATP Appliance Objekte/URL-Links und sendet sie zur Analyse an den Juniper ATP Appliance Core.
Auch diese Version unterstützt 1) On-Premise-MTA für Cloud-E-Mails und 2) On-Premise-MTA für Microsoft Exchange usw. Für lokale E-Mail-Bereitstellungen werden folgende E-Mail-Lösungen unterstützt:
Office 365
Google mail
MS Exchange
Jede E-Mail-Lösung, die eine Journalausgabe über SMTP bereitstellt
Ein Administrator muss seine E-Mail-Lösung so konfigurieren, dass der Journaling-Stream an den Juniper ATP Appliance MTA Collector weitergeleitet wird, der vor Ort beim Kunden bereitgestellt wird (z. B. CustomerX@Collector-IP oder CustomerX@Collector-Hostname). Der On-Premise MTA Collector der Juniper ATP Appliance extrahiert Objekte/URL-Links für die Analyse aus der empfangenen E-Mail und leitet den E-Mail-Stream zur Verarbeitung an den Juniper ATP Appliance Core weiter.
E-Mail-Bedrohungsabwehr: Gmail- und Office 365-Quarantäneoptionen
Mit der Juniper ATP-Appliance können Sie E-Mails, die als bösartig erkannt werden, mithilfe von Office 365-APIs oder Gmail-APIs unter Quarantäne stellen.
Beachten Sie, dass alle Inhalte in der E-Mail-Cloud der Juniper ATP Appliance verschlüsselt sind. E-Mail-Quarantäneoptionen erfordern die Verschlüsselung von E-Mail-Anhängen, die auf der Festplatte gespeichert sind, mit einem vom Benutzer bereitgestellten Entschärfungsschlüssel. Der Juniper ATP Appliance Central Manager enthält ein Formular für die Eingabe des erforderlichen Verschlüsselungsschlüssels zur Risikominderung.
Für erweiterte E-Mail-Erkennungskonfigurationen ist eine Juniper ATP Appliance Advanced-Lizenz erforderlich.
Weitere Informationen finden Sie unter:
Unter Konfigurieren der Einstellungen für die E-Mail-Risikominderung finden Sie Informationen zum Festlegen der Gmail-JSON-Schlüsseldatei und zum Generieren neuer Azure Key-Anmeldeinformationen.
Reputationserkennung von E-Mail-URLs
Darüber hinaus wird die Erkennung und Abwehr von Bedrohungen durch das Senden bösartiger URLs an den Reputationsserver der Juniper ATP-Appliance zur Analyse unterstützt. Wenn eine E-Mail einen URL-Link enthält, übermittelt Juniper ATP Appliance diesen an den Reputationsserver und führt eine Reputationssuche durch. Auf diese Weise kann die Juniper ATP-Appliance eine URL proaktiv als bösartig oder als Bedrohung identifizieren, ohne auf einen tatsächlichen Download und Exploit zu warten. Auf der Seite "Vorfälle in der Web-UI von Juniper ATP Appliance Central Manager" werden verdächtige oder bösartige URLs durch die Bezeichnung "Bösartige URL von Juniper ATP Appliance ATA erkannt" dargestellt.
URL-Reputationsergebnisse werden wie folgt kategorisiert:
Malware: Es ist bekannt, dass die URL schädliche Nutzlasten hostet.
Benign: Es ist bekannt, dass die URL sauber ist, oder die URL ist nicht bekannt.
Es ist keine Konfiguration erforderlich. Weitere Informationen finden Sie unter Proaktive Reputationsprüfungen für E-Mail-URLs.
Zuordnung der Priorisierung von Bedrohungsmetriken
Da der "Malware-Schweregrad" allein nicht immer einen tiefen Kontext und eine umsetzbare Bedrohungsrelevanz erkennen lässt, bietet ATP Appliance "Bedrohungsmetriken", die den Schweregrad der Bedrohung mit anderen relevanten Faktoren kombinieren, um Prioritäten zu setzen und zu identifizieren, ob die Bedrohung ein für eine bestimmte Unternehmensumgebung spezifisches Risiko darstellt. Zu diesen Faktoren gehören:
Asset Value— Ein anpassbarer Wert, der es Administratoren ermöglicht, den Wert von Assets in ihrem Unternehmen basierend auf IP-Adressbereichen zu priorisieren, sodass Malware, die in Netzwerksegmenten mit hohem Asset-Wert erkannt wird, sofort erkannt und behoben werden kann.
OS Relevance – Eine Bedrohungsmetrik, die darauf basiert, ob die Bedrohung das Potenzial birgt, das Betriebssystem des Zielendpunkts zu kompromittieren. Beispielsweise kann in der Dashboard-Bedrohungsansicht eine signifikante Bedrohung mit einem niedrigen Schweregrad gemeldet werden, weil es sich um einen Windows-Virus handelt, der auf einen Mac OSX-Host heruntergeladen wurde – eine Nichtübereinstimmung des Betriebssystems führt zu einer Anpassung der Bewertung des Schweregrads.
Virus Scanner Relevance – Legt fest, ob der konfigurierte Virenscanner die identifizierte Bedrohung zum Zeitpunkt eines Downloads erkennt.
Execution Relevance — Die bidirektionale Integration von Carbon Black Response hilft bei der Erkennung, ob ein bösartiges Objekt tatsächlich auf dem Zielendpunkt ausgeführt wird.
Progression — Eine Bedrohungsmetrik, die anzeigt, welche Auslöser der Kill Chain identifiziert wurden: XP+UP+DL+EX+IN
New Severity Range— In der vorherigen Version war der Schweregradbereich ein positiver ganzzahliger Wert zwischen 1 und 4. Der Bereich ist ein Wert (einschließlich Dezimalstellen) zwischen 0 und 1.
Alle Faktoren werden verwendet, um die endgültige Bedrohungsmetrik zu bestimmen. Bedrohungswerte werden in der Web-Benutzeroberfläche von Juniper ATP Appliance Central Manager als "Kritisch", "Hoch" (Rot), "Mittel" (Orange), "Niedrig" (Gelb) und "Sauber" (Grün) übersetzt.
Detaillierung und Berichterstellung des Kontexts zwischen Vorfall und Ereignis
Die Juniper ATP Appliance ist schon früh in ihrem Technologieentwicklungsprozess von einem "ereignisbasierten" Modell zu einem "Incidents"-Modell übergegangen, was bedeutet, dass die Juniper ATP Appliance nun mehrere zusammenhängende Ereignisse zu einem einzigen Vorfall kombiniert, um Angriffsprozesse besser abzubilden.
Die ATP-Appliance von Juniper definiert "Vorfälle" als eine Gruppe von Ereignissen, die sich denselben Endpunkt teilen. Mit anderen Worten: Ein Vorfall enthält Ereignisse, die nach Einschätzung des Bedrohungserkennungssystems der Juniper ATP Appliance wahrscheinlich Teil desselben Angriffs sind. Derzeit ist die Gruppierung von Ereignissen zu einem Ereignis in erster Linie ein Zeitmaß. Die Ereignisse traten am oder vom selben Endpunkt innerhalb einer Zeitspanne von 5 Minuten auf.
Bisher stellte die Juniper ATP-Appliance jeden Download als einzelne Bedrohungsposition dar, aber in dieser Version und in Zukunft integriert die Juniper ATP-Appliance nun verwandte Elemente in einen einzigen Vorfall, um verwandte Ereignisse realistisch darzustellen. Diese Änderung bietet einen besseren Kontext bei der Anzeige einiger Angriffe, die eine große Anzahl von Downloads, CnC-Aktivitäten oder Ereignissen generieren können.
Falsch negativ | Falsch-Positiv-Berichte auf der Registerkarte "Vorfälle"
Die Web-UI-Berichterstellung von falsch positiven (FP) und falsch negativen (FN) Erkennungen von Juniper ATP Appliance Central Manager ist auf der Registerkarte "Incidents" verfügbar. Diese Funktion erleichtert die Berichterstellung von FPs und FNs durch Kunden über die Web-Benutzeroberfläche des Produkts und fügt automatisch alle zugehörigen Details zum Ereignis hinzu, die für die Analyse durch das technische Supportteam der Juniper ATP-Appliance erforderlich sind.
Die Option zum Melden von Fehlalarmen ist auf der Seite "Vorfälle" verfügbar. Bei harmlosen Vorfällen zeigt die Option "Meldelink" die Option "Falsch negativ melden" an.
Es ist keine Konfiguration erforderlich. Weitere Informationen finden Sie unter Melden von falsch positiven oder falsch negativen Vorfällen.
Automatische Risikominderung mit vorhandener Sicherheitsinfrastruktur
Bedrohungsinformationen werden in Echtzeit in Prävention umgesetzt, indem die vorhandene Sicherheitsinfrastruktur Ihres Unternehmens genutzt wird. Mit der automatischen Schadensbegrenzung kann ein Administrator die folgenden integrierten automatischen Schutzmaßnahmen als Teil seiner Reaktion auf die Malwareanalyse konfigurieren:
Palo Alto PAN Firewall-Integration — IP-Adressen von Hosts, die bösartige Objekte enthalten, können an Palo Alto Networks-Appliances übermittelt werden, wo die IP blockiert werden kann. Eine Blockierung basierend auf URLs zu Palo Alto Networks-Firewalls ist ebenfalls verfügbar. Die URL-basierte Blockierung ermöglicht eine präzisere Blockierungssteuerung.
Integration der SRX-Firewall von Juniper – IP-Adressen von Hosts, die als infiziert eingestuft wurden, können an Juniper SRX-Appliances übermittelt werden, wo die IP-Adresse blockiert werden kann.
Cisco ASA-Firewall-Integration – Zusätzlich zur bewährten Unterstützung für die Firewall-Integration von Juniper ATP Appliance ist Unterstützung für die Cisco ASA-Firewall verfügbar. Unternehmen, die ASA-Firewalls verwenden, können jetzt IP-Adressen zur Malware-Blockierung an die Cisco ASA-Firewall-Plattform senden. Juniper ATP Appliance kommuniziert über eine REST-Schnittstelle mit der ASA-Firewall.
Fortinet Firewall-Integration — Die Fortinet Firewall und die Verwaltungsplattform werden ebenfalls unterstützt. Diese Integration umfasst die Übermittlung von Informationen zur Blockierung mithilfe der Management-APIs von Fortinet, einschließlich IP-Adressen und URLs.
Crowdstrike-Integration: Die "CrowdStrike Endpoint Integration" der Juniper ATP Appliance ergänzt die bewährte Carbon Black Response-Integration der Juniper ATP Appliance zur Erkennung und Abwehr von Bedrohungen auf Endgeräten.
Check Point Firewall-Integration – Die Check Point Firewall-Integration ist ebenfalls verfügbar. Die Juniper ATP-Appliance kommuniziert mit konfigurierten Check Point-Appliances, wenn ein Administrator der Juniper ATP-Appliance eine bestimmte Bedrohung entschärfen oder eine zuvor propagierende Abwehrmaßnahme entfernen möchte. Die Kommunikation erfolgt über die SSH-Schnittstelle, über die Check Point-Benutzer auch auf die CLI des Check Point-Geräts zugreifen können.
Blockierungsinformationen werden mithilfe von Check Point-APIs übermittelt. Diese Version unterstützt das Pushen bösartiger IP-Adressen an integrierte Check Point-Appliances. Ähnlich wie bei der bewährten PAN- und Juniper-Integrationsunterstützung der Juniper ATP-Appliance identifiziert ein Administrator Bedrohungen in der Firewall oder im Secure Web Gateway und übermittelt die ausgewählten Objekte über die Central Manager-Webbenutzeroberfläche an die konfigurierte Check Point Firewall.
Für die Integration der Check Point Firewall ist die Check Point GAiA-Betriebssystemversion R76, R77 oder höher erforderlich. Check Point IPSO und Secure Platform (SPLAT), die Vorgänger von GAiA, werden nicht unterstützt.
BlueCoat ProxySG-Integration — Bösartige URLs, die mit Bedrohungen verbunden sind, können an die ProxySG-Geräte von BlueCoat gesendet werden, damit Benutzer die gewünschten Aktionen (einschließlich Blockierung) ausführen können.
Das Blockieren muss nicht Teil eines Vorgangs zur automatischen Risikominderung sein.
Anforderungen an die Integration
Erfordert Microsoft Exchange 2010+ für den E-Mail-Collector
Junos Version 12.1-X47.x für Juniper Firewall
Palo Alto Firewall Version x für Palo Alto
- Integration der PAN-Firewall
- Unterstützung der URL-Blockierung für die Firewall-Integration von Palo Alto Networks
- Zentralisierte Panorama-Integration für PAN-Firewall-Geräte
- Integration der Firewall der SRX-Serie
- Cisco ASA Firewall Integration
- Check Point-Firewall
- BlueCoat ProxySG Integration
Integration der PAN-Firewall
Die Konfiguration der PAN-Integration für die automatische Risikominderung erfolgt in zwei Schritten.
Konfigurieren Sie zunächst die Erkennung der Juniper ATP-Appliance auf den Geräten des Anbieters.
Konfigurieren Sie als Nächstes die automatische Risikominderung auf der Registerkarte Web-UI-Konfiguration von Juniper ATP Appliance Central Manager (CM).
Die vollständigen Informationen zur Vorgehensweise finden Sie unter Konfigurieren der automatischen Firewall-Abwehr in diesem Handbuch.
Unterstützung der URL-Blockierung für die Firewall-Integration von Palo Alto Networks
Die Integration mit Palo Alto Networks (PAN) Firewalls verwendet IP-Adressen zum Blockieren von Malware und bietet Blockierungen basierend auf URLs zu Palo Alto Networks Firewalls. URL-basiertes Blockieren wird ebenfalls unterstützt und ermöglicht eine präzisere Blockierungssteuerung. Darüber hinaus wird auch die zentralisierte Verwaltung der PAN-FW-Abwehr über die Juniper ATP Appliance und die PANORAMA-Integration von Palo Alto Network unterstützt.
Konfigurationsinformationen finden Sie unter:
Zentralisierte Panorama-Integration für PAN-Firewall-Geräte
Die Juniper ATP Appliance-Plattform überwacht und erkennt bösartige IP-Adressen und URLs, die mit Malware verknüpft sind. In früheren Versionen ermöglichte die Integration der Juniper ATP-Appliance in die PAN-Firewalls (Palo Alto Networks), dass die Juniper ATP-Appliance bösartige URLs und IPs blockierte, indem diese IP-Adressen und URLs an einzelne PAN-FW-Geräte weitergeleitet wurden. Da einige Unternehmen jedoch eine Reihe von PAN-Firewalls verwenden, die an verschiedenen Standorten bereitgestellt werden, kann die Integration jeder PAN-FW in die Juniper ATP-Appliance mühsam werden. Aus diesem Grund bietet die Juniper ATP Appliance die Integration mit Panorama von Palo Alto Network, einem Netzwerksicherheitsmanagementgerät, das das verteilte Netzwerk von PAN-Firewalls von einem zentralen Standort aus steuert. Die Juniper ATP-Appliance bietet die Flexibilität, entweder die Integration mit einzelnen PAN-OS-FWs wie gewohnt zu konfigurieren oder die Integration mit einem zentralen Panorama-Gerät als Teil der automatischen Firewall- und Secure Gateway-Optionen der Juniper ATP-Appliance zu konfigurieren.
Siehe Konfigurieren eines PANORAMA-Geräts für die zentrale Verwaltung der PAN-FW-Abwehr.
Integration der Firewall der SRX-Serie
Die Konfiguration der Integration der Juniper SRX Firewall für die automatische Risikominderung erfolgt in zwei Schritten.
Konfigurieren Sie zunächst die SRX-Firewall von Juniper: Erstellen Sie einen Adresssatz, der alle IP-Adressen enthält, die vom Central Manager (CM) der Juniper ATP-Appliance gepusht werden sollen. Aktivieren Sie dann die Remote-Konfiguration über das NETCONF-Protokoll. Erfassen Sie außerdem die entsprechenden Benutzeranmeldeinformationen, die die Juniper ATP-Appliance CM zur Konfiguration der SRX verwendet. Konfigurieren Sie das Adressbuch und die Adresssätze der Sicherheitsrichtlinie über die SRX-CLI.
Adresssätze und zonendefinierte oder zonenangefügte Richtlinien werden im Konfigurationsabschnitt dieses Handbuchs sowie in der Juniper Junos SRX-Dokumentation erläutert.
Konfigurieren Sie als Nächstes die automatische Abwehr über die Web-UI der Juniper ATP Appliance Central Manager (CM) auf der Registerkarte Config>Environmental Settings>Firewall Mitigation Settings.
für die Firewall-Abwehr
Cisco ASA Firewall Integration
Mit der integrierten Unterstützung der Cisco ASA-Firewall können Unternehmen mit bereitgestellten ASA-Firewalls IP-Adressen von Juniper ATP-Appliance-Produkten zur Malware-Blockierung auf die Cisco ASA-Firewall-Plattform übertragen. Juniper ATP Appliance verwendet eine REST-Schnittstelle für die Kommunikation mit der ASA-Firewall.
Weitere Informationen finden Sie unter Konfigurieren einer Cisco ASA-Firewall.
Check Point-Firewall
Die konfigurierte Check Point Firewall-Integration ermöglicht es Juniper ATP Appliance-Produkten, mit Check Point-Firewalls zu kommunizieren und Bedrohungsabwehr durchzuführen. Ein Administrator der Juniper ATP-Appliance kann wählen, ob er eine bestimmte Bedrohung blockiert oder eine zuvor propagierte Risikominderung über die Check Point Firewall-Integration entfernt.
Die Kommunikation erfolgt über die SSH-Schnittstelle, über die Check Point-Benutzer auch auf die CLI des Check Point-Geräts zugreifen können.
Blockierungsinformationen werden mithilfe von Check Point-APIs übermittelt. Durch das Pushen bösartiger IP-Adressen an integrierte Check Point-Appliances, ähnlich wie bei der etablierten PAN- und Juniper-Integrationsunterstützung der Juniper ATP-Appliance, identifiziert ein Administrator Bedrohungen an der Firewall oder am Secure Web Gateway und übermittelt die ausgewählten Objekte über die Central Manager-Webbenutzeroberfläche an die konfigurierte Check Point-Firewall.
Das Blockieren der Firewall der Juniper ATP-Appliance entspricht den Check Point CLI-SAM-Befehlen wie folgt:
fw sam -J any <blocked_address> # Drop and close fw sam -C -i any <blocked_address> fw sam -C -j any <blocked_address> fw sam -s <sam_server> -S <SIC_name> -f <fw_host> -[ i | j | I |J] any <blocked_address> fw_host can be All, localhost, Gateways, or a group or object name fw sam -s <sam_server> -S <SIC_name> -f <fw_host> -C -i any <blocked_address> fw sam -s <sam_server> -S <SIC_name> -f <fw_host> -C -j any <blocked_address>
Der Check Point-Leitfaden "FW SAM CLI Reference" ist online verfügbar.
Nachdem Sie den Check Point-Server konfiguriert haben, richten Sie die Integration mit Juniper ATP-Appliance-Produkten auf der Seite Central Manager Config>Environment Settings>Firewall Mitigation Settings ein:
Weitere Informationen finden Sie unter Konfigurieren einer Check Point-Firewall.
BlueCoat ProxySG Integration
Für die BlueCoat ProxySG-Integration veröffentlicht Juniper ATP Appliance eine "Webseite" mit einer Liste von URLs, an die das BlueCoat-Gerät weitergeleitet wird. ProxySG fragt die Liste der bösartigen URLs regelmäßig ab, um Details zur Blockierung zu sammeln.
BlueCoat kann so konfiguriert werden, dass verschiedene Regeln auf die Liste der Juniper ATP-Appliances angewendet werden, einschließlich der Blockierung, wie gewünscht.
Endgeräteminderung mit Carbon Black Response
Juniper ATP Appliance bietet eine umfassende Closed-Loop-Integration zwischen seinen Bedrohungsanalyse- und Detonationsdiensten und dem Unternehmensendpunkt über den Carbon Black Response-Partnerservice.
Die Integration von Juniper ATP Appliance und Carbon Black Response kombiniert die netzwerkbasierte Bedrohungsabwehr von Juniper ATP Appliance mit dem Endgeräte- und Server-Sicherheitsservice der nächsten Generation von Carbon Black Response, um bidirektionale Visibilität und Unterstützung bei der Risikominderung zu bieten.
Während die Juniper ATP Appliance Malware im Netzwerk erkennt, bewertet Carbon Black Response, wo die erkannte Malware gelandet ist, ob sie ausgeführt wurde und wie viele Host-Computer im Unternehmen betroffen waren. Diese Echtzeit-Visibilität ermöglicht es Sicherheitsanalysten, nicht umsetzbare Ereignisse herauszufiltern, schwerwiegende Warnungen schneller zu priorisieren und die Reaktionszeiten auf potenzielle Eindringlinge zu verbessern.
Die ATP-Appliance von Juniper bestätigt den Ort, das Ausmaß und den Schweregrad einer Bedrohung und fragt gleichzeitig Carbon Black Response ab, um festzustellen, ob die schädliche Datei an den Endpunkten ausgeführt wurde. Auf diese Weise kann die Juniper ATP Appliance Platform effizient genau bestimmen, wo sich ein Angriff in der Kill Chain befindet und ob ein Download zu einer Infektion fortgeschritten ist, was die gezielte Behebung von Maßnahmen im Unternehmen beschleunigt.
Wenn mobile Benutzer potenzielle Malware-Objekte herunterladen, während sie sich außerhalb der Grenzen ihrer Organisation befinden, kann die Carbon Black Response-Software, die auf dem Endpunkt ausgeführt wird, ihre Sperrliste verwenden, um das Öffnen der Datei zuzulassen oder zu verweigern. Im Falle einer Zero-Day-Bedrohung existiert der Sperrlisteneintrag jedoch nicht. In einem solchen Szenario kann die Carbon Black Response-Lösung die Datei an den Juniper ATP Appliance Core übermitteln und ein Urteil einholen, bevor sie die Ausführung der Datei zulässt, und so den mobilen Benutzer schützen.
Wenn neue Dateien auf Ihren Endgeräten und Servern eintreffen, kann Carbon Black Response diese – bei Bedarf oder automatisch – zur Analyse an die Juniper ATP Appliance senden. Wenn die Juniper ATP Appliance feststellt, dass die Datei schädlich ist, stoppt Carbon Black Response die Ausführung der Datei und kann die Ausführung dieser Datei für die gesamte Benutzerbasis des Unternehmens blockieren. Dadurch werden zusätzliche Benutzer, die dieselben Malware-Objekte herunterladen, automatisch vor Malware-Infektionen geschützt.
Die Integration der Juniper ATP Appliance in Carbon Black Response bietet erhebliche Vorteile bei der Abwehr von Bedrohungen:
Kontinuierliche Echtzeit-Transparenz über die Vorgänge auf jedem Computer
Bedrohungserkennung in Echtzeit, ohne auf Signaturen angewiesen zu sein
Sofortige Reaktion, da die gesamte "Kill Chain" eines jeden Angriffs angezeigt wird
Proaktive und anpassbare Prävention
Weitere Informationen finden Sie unter Konfigurieren der Endpunktintegration: Crowdstrike und Carbon Black Response sowie im Integrationshandbuch für Juniper ATP Appliance/Carbon Black Response.
CEF, QRadar LEEF-Protokollierung Unterstützung für SIEM
Die Erkennung bösartiger Ereignisse durch die Juniper ATP Appliance generiert Incident- und Alert-Details, die im CEF- und QRadar-LEEF-Format an verbundene SIEM-Plattformen gesendet werden können.
Die Juniper ATP Appliance Central Manager WebUI Config>System Settings>SIEM Settings bietet die Möglichkeit, Ereignis-, Incident- und Alert-Benachrichtigungen für rSYSLOG-, LEEF- oder CEF-basierte SIEM-Server zu konfigurieren. Die Server wiederum müssen so konfiguriert sein, dass sie die Benachrichtigungen der Juniper ATP Appliance im CEF- oder LEEF-Format empfangen.
Die Installation des Erweiterungs-Plug-ins für die DSM-Juniper ATP Appliance auf dem QRadar-Server ist erforderlich.
Identitätsinformationen werden als Teil von SIEM gesendet, und SIEM-Ereignisse werden zur E-Mail-Erkennung für Downloads+Phishing (DL + PHS), Download (DL) und Phishing (PHS) gesendet.
Konfigurationsinformationen finden Sie unter Konfigurieren von SIEM-Einstellungen. und das Juniper ATP ApplianceCEF, LEEF & Syslog Support for SIEM-Benutzerhandbuch. Siehe auch das Dokument Juniper ATP Appliance CEF, LEEF & Syslog Support for SIEM.
Virtual Collector- und vCore [OVA]-Bereitstellungen
Die Produkte Juniper ATP Appliance Core-CM und Traffic Collector können als virtuelle Maschine, Virtual Core (vCore) und/oder Virtual Collector (vCollector) mit VMWare vSphere (zunächst) über Thick oder Thin Provisioning bereitgestellt werden. Diese Funktion erweitert den Produktbedarf der Juniper ATP Appliance, um die Bereitstellung in virtualisierten Umgebungen zu ermöglichen.
Die virtuelle Bereitstellung wird als . OVA für einfache Bereitstellung, oder . ISO für benutzerdefinierte Bereitstellungen oder vCore für Amazon EC2 AWS (Amazon Web Services).
vCenter ist keine Voraussetzung mehr für die Bereitstellung des virtuellen Collectors. Obwohl Juniper Kunden, die vCenter verwenden, weiterhin eine .ova-Datei bereitstellt, generiert Juniper zusätzlich für jeden Build eine .ovf- und eine .vmdk-Datei. Die .ovf- und .vmdk-Dateien sind in einer .tar-Datei gebündelt, die Sie herunterladen und erweitern.
Für Kunden, die vCenter nicht für die Bereitstellung des virtuellen Collectors verwenden möchten: Laden Sie die .tar-Datei herunter, und erweitern Sie sowohl die OVF als auch die VMDK in dasselbe Verzeichnis. Klicken Sie dann im vSphere-Client auf Datei -> OVF-Vorlage bereitstellen. Wählen Sie die OVF-Datei aus, und schließen Sie dann die Bereitstellung des OVF-Assistenten ab. Der Konfigurationsassistent fordert Sie zur Eingabe von Collector-/Core-Eigenschaften wie IP-Adresse, Hostname und Geräteschlüssel auf. Melden Sie sich bei der CLI an, und konfigurieren Sie die einzelnen Einstellungen.
OVA-vCore-Bereitstellungen enthalten das vollständige Bereitstellungspaket (einschließlich Detonations-Engines).
Kunden stellen Virtual Core und Virtual Collector(s) separat bereit.
Die Leistung von Virtual Core ist vergleichbar mit gleich ausgestatteten physischen Appliances (im Allgemeinen gleiche CPUs, Arbeitsspeicher usw.). Im Gegensatz zu physischen Appliances kann die Juniper ATP Appliance aufgrund von Microsoft-Lizenzbeschränkungen keine MS Windows-Lizenzen für Virtual Cores bereitstellen. Kunden müssen Windows-Lizenzen für den virtuellen Kern bereitstellen.
Installations- und Konfigurationsanweisungen finden Sie unter:
Juniper ATP Appliance Core-CM – Kurzanleitung
Juniper ATP Appliance Traffic Collector – Kurzanleitung
Clustered Core-Bereitstellung
Die Clustered Core-Funktion ermöglicht die gleichzeitige Ausführung mehrerer Core-Erkennungs-Engines, um größere Netzwerke zu unterstützen, und bietet eine erhebliche Verbesserung der Skalierbarkeit des Juniper ATP Appliance Core. Clustering verbessert die Skalierbarkeit, da mehrere Kerne gleichzeitig Malware-Analysen durchführen können. Juniper ATP Appliance unterstützt Windows-basierte sekundäre Kerne (zusätzlich zu den sekundären Mac-Mini-Kernen, die bereits in früheren und aktuellen Versionen verfügbar sind).
Wenn mehrere Kerne bereitgestellt werden, ist nur eine einzige Lizenz erforderlich. Diese Lizenz muss nur auf dem primären Core bereitgestellt werden.
Durch Clustering können mehrere Appliances als Analysekerne konfiguriert werden, um die Analyse-Workload zu erhöhen. Der Prozess funktioniert sowohl für physische als auch für virtuelle Appliances. Tatsächlich können virtuelle Appliances geklont und neu gestartet werden, um die Kapazität sofort zu verbessern.
Das Web UI-Dashboard von Central Manager zeigt an, wenn ein Cluster mehr Kerne benötigt.
Die Installationsverfahren für das Clustering sind die gleichen Installationsverfahren, die für nicht geclusterte Geräte festgelegt wurden.
Die erste Core-Installation (z. B. ein vorhandenes Gerät, das derzeit bereitgestellt wird) wird automatisch als primär registriert und steuert den Central Manager, wenn eine weitere sekundäre Core-Installation stattfindet.
Der zweite (oder zusätzliche) sekundäre Kern oder sekundäre Mac OSX-Kern wird, wenn er installiert ist, automatisch zu einem (weiteren) sekundären Kern.
Installations- und Konfigurationsanweisungen finden Sie in der Kurzanleitung für Juniper ATP Appliance Core-CM. Siehe Kurzanleitung für Core/Central Manager
Virtueller Datenverkehrssammler mit geringem Platzbedarf
Die Juniper ATP Appliance bietet einen platzsparenden Traffic Collector für virtuelle Bereitstellungen. Standardmäßige Virtual Collector OVA-Bereitstellungen erfordern 512 GB Festplattenspeicher plus mindestens 4 Kerne und 16 GB RAM. Der ressourcenschonende Collector bietet eine VM Collector-Instanz, die nur 16 GB HDD, 1 Core und 4 GB RAM benötigt und 25 Mbit/s Datenverkehr unterstützt.
Die Konfiguration ist vom Kunden erforderlich. Weitere Informationen finden Sie in der Kurzanleitung zu Juniper ATP Appliance Traffic Collector. Siehe auch Konfigurieren einer Cisco ASA-Firewall
Dieser kleine, äußerst erschwingliche Traffic Collector mit tragbarem Formfaktor ist ideal für Partner von Juniper ATP Appliances und kleine Unternehmen, Außenstellen und Zweigstellen. Der Collector mit kleinem Formfaktor eignet sich auch für kleine Unternehmen wie Einzelhändler und Beratungsunternehmen und/oder Finanzdienstleister, für die relativ geringe Bandbreitenanforderungen (~ 150 Mbit/s Datenverkehrsdatenerfassung) bestehen.
Die Konfiguration des Collectors auf dem Mac Mini ist für Kunden erforderlich. Konfigurieren Sie den Small Form Factor Collector so, dass er auf den Juniper ATP Appliance Core verweist, der entweder in der Public Domain (AWS) oder in einer privaten Managed Security Service Provider (MSSP)-Datencenter-Cloud gehostet wird. Bei den Kernen kann es sich entweder um einen AWS-Core (gestartet von einem Juniper ATP-Appliance-AMI) oder einen virtuellen Core (z. B. auf einer VMWare vSphere-Plattform) handeln.
Für die ISO-Installation des Mac Mini Collector mit kleinem Formfaktor ist ein DVI-Monitorkabel erforderlich.
Weitere Informationen finden Sie in der Kurzanleitung zu Juniper ATP Appliance Traffic Collector. Management
Unterstützung für Verwaltungsdatenverkehrsproxys
Viele Kunden verlassen sich immer noch auf Proxys und Gateways, um rudimentäre Sicherheit für ihre Endpunkte zu gewährleisten. In solchen Umgebungen muss der CM/Core in der Lage sein, ähnlich wie in einer Umgebung ohne Proxy zu funktionieren und mit externen Diensten zu kommunizieren. Diese Mitteilung umfasst Uploads und Downloads für GSS sowie Software, Sicherheitsinhalte und Signaturaktualisierungen und alle anderen erforderlichen Mitteilungen. Juniper ATP Appliance Cores, die in HTTP- und/oder HTTPS-Proxyumgebungen bereitgestellt werden, können so konfiguriert werden, dass sie mit Juniper ATP Appliance GSS und anderen Internetservices funktionieren und kommunizieren.
Weitere Informationen finden Sie unter Konfigurieren der Proxy-Einstellungen für die Konfigurationen des Management Network für die Web-Benutzeroberfläche und in der CLI-Befehlsreferenz der Juniper ATP-Appliance für CLI-basierte Konfigurationen im Servermodus.
Unterstützung von Span-Traffic-Proxy-Datenpfaden
Die Juniper ATP-Appliance erleichtert jetzt die Bereitstellung von Traffic Collectors an Standorten, an denen die Überwachungsschnittstelle (1) zwischen dem Proxy und dem Ausgangsnetzwerk für Kundenumgebungen platziert wird, in denen der Proxy XFF (X-Forwarded-For) unterstützt, oder (2) [das typischere Bereitstellungsszenario], der Collector wird unter Verwendung des FQDN (falls verfügbar) zwischen dem Proxy und dem internen Netzwerk platziert, um die Bedrohungsquelle für alle Arten von Vorfällen zu identifizieren.
Jetzt kann der Juniper ATP Appliance Traffic Collector den gesamten Datenverkehr überwachen und Quell- und Zielhosts für jedes Glied in der Kill Chain korrekt identifizieren, sofern die Daten dies zulassen. Beachten Sie, dass, wenn der "X-Forwarded-For"-Header in der HTTP-Anforderung angegeben wird, die Erkennung Bedrohungsziele identifiziert, wenn sie außerhalb des Proxys bereitgestellt werden (Kunden können die XFF-Funktion in der Proxy-Einstellung deaktivieren, falls gewünscht).
Proxy im Inneren festlegen
Wenn sich der Web-Proxy zwischen dem Internet und der Überwachungsschnittstelle des Juniper ATP Appliance Traffic Collector befindet, verwenden Sie den CLI-Befehl collector>set proxy inside zum Hinzufügen/Entfernen der Proxy-IP-Adresse. Das folgende Diagramm veranschaulicht dieses Bereitstellungsszenario:
Im folgenden Beispiel wird ein interner Datenpfadproxy festgelegt:
Juniper ATP Appliance (collector)# set proxy inside add 10.1.1.1 8080
Proxy außerhalb festlegen
Wenn sich der Proxy zwischen den internen Netzwerken und der Überwachungsschnittstelle des Traffic Collector der Juniper ATP Appliance befindet, verwenden Sie alternativ den CLI-Befehl collector>set proxy outside zum Hinzufügen/Entfernen der Proxy-IP-Adresse. Das folgende Diagramm veranschaulicht dieses Bereitstellungsszenario:
Im folgenden Beispiel wird ein Proxy für einen externen Datenpfad festgelegt:
Juniper ATP Appliance (collector)# set proxy outside add 10.2.1.1
Single Sign-On SAML-Authentifizierung
SAML (Security Assertion Markup Language) standardisiert die Funktionen zum Empfangen, Übertragen und Teilen von Security Assertion-Informationen. Juniper ATP Appliance unterstützt die SAML-Authentifizierung für Webbrowser-SSO-Vorgänge (Single Sign-On). Weitere Informationen zu SAML finden Sie unter https://en.wikipedia.org/wiki/ SAML_2.0.
Unterstützung von YARA-Regeln
Juniper ATP Appliance unterstützt die Verwendung von YARA-Regeln für die Malware-Analyse. Mit YARA, einem Open-Source-Tool für die statische Analyse, können Sicherheitsanalysten Regeln auf Byteebene definieren, mit denen zahlreiche Objekt- und Datenverkehrsdateien schnell auf relevante Übereinstimmungen analysiert werden. Wenn eine Byte-Musterübereinstimmung festgestellt wird, können Analysten dieses Byte-Muster als YARA-Regel angeben und in den Juniper ATP Appliance Central Manager hochladen, um verwandte schädliche Dateien während der Malware-Detonations- und Analysezyklen der Juniper ATP Appliance zu erkennen.
Sie können YARA-Regeln als Malware-Familien definieren, die auf textuellen oder binären Mustern basieren, die aus Stichproben identifizierter Familien gewonnen werden. Regelbeschreibungen bestehen aus einer Reihe von Zeichenfolgen und einem booleschen Ausdruck, der die Logik der Regel festlegt. Darüber hinaus zeigen die Ergebnisse der YARA-Integration, ob ein Objekt als bösartig eingestuft werden kann. YARA-Regeln werden auch zur Klassifizierung von Malware-Samples verwendet.
YARA-Regeldateien werden von der Seite Juniper ATP Appliance Central Manager Web UI Config>Environmental Settings>YARA Rule Upload hochgeladen und aktiviert, auf der eine Vielzahl verfügbarer YARA-Dateiformate akzeptiert und integriert werden. Konfigurationsinformationen finden Sie unter Konfigurieren von YARA-Regeln.
YARA-Regeln zur Erkennung von lateraler Ausbreitung innerhalb eines Kundennetzwerks
Remote Administration Tools (RATs) können die Fernsteuerung eines Unternehmenssystems ermöglichen, als ob ein physischer Zugriff eingerichtet wäre. Obwohl es sicherlich eine legale Anwendung von RATs gibt, wird diese Software oft mit kriminellen oder böswilligen Aktivitäten in Verbindung gebracht, wenn Software ohne das Wissen des Ziels installiert wird. Remoteverwaltungstools können mithilfe von YARA-Regeln erkannt werden. Die ATP-Appliance von Juniper bietet die Möglichkeit, YARA-Regeln an Geräte der Juniper ATP-Appliance zu übertragen, um die seitliche Ausbreitung von RATs im Kundennetzwerk zu erkennen. Diese Lateral-Spread-Regeln sind im Produkt Juniper ATP Appliance enthalten. Details zu den übereinstimmenden YARA-Regeln werden auf der Webbenutzeroberfläche "Incidents" der Juniper ATP Appliance Central Manager Web UI angezeigt. Übereinstimmende YARA-Regeln können auch von der Web-Benutzeroberfläche heruntergeladen werden.
Eine Advanced-Lizenz ist erforderlich, um die laterale SMB-Überwachung zu aktivieren, aber YARA-Regeln können unabhängig von der SMB-Nutzung installiert und angewendet werden.
Weitere Informationen zu YARA-Regeln für laterale Erkennungen finden Sie unter YARA-Regeln und laterale Erkennung.
Unterstützung von benutzerdefinierten SNORT-Regeln
Kunden können Snort-Regeln hochladen, die mit dem Netzwerkverkehr abgeglichen werden, der von Juniper ATP Appliance Collectors überwacht wird, wobei die Übereinstimmungsergebnisse in der Webbenutzeroberfläche von Juniper ATP Appliance Central Manager angezeigt werden. Darüber hinaus korreliert die Juniper ATP-Appliance ausgelöste Regeln mit Vorfällen, die zum Zeitpunkt des Auslösers aktiv waren. Alle ausgelösten SNORT-Regeln werden auf einer eigenen Hauptregisterkarte "Benutzerdefinierte Regeln" der Webbenutzeroberfläche angezeigt
Weitere Informationen finden Sie unter Konfigurieren von benutzerdefinierten SNORT-Regeln .
E-Mail-Korrelation und -Abwehr
Korrelationsfunktionen für bösartige E-Mails werden implementiert, um nicht nur E-Mail-Anhänge zu analysieren (wie dies in früheren Versionen verfügbar war), sondern auch, um Phishing zu erkennen, indem bösartige URLs in Unternehmens-E-Mails analysiert werden. Die Korrelation zwischen HTTP/SMB-Vorfällen und E-Mail-Ereignissen wird durchgeführt, wenn eine URL zuerst in einer eingehenden E-Mail identifiziert und später auch von einem Endpunkt besucht wird. E-Mail-Benachrichtigungen werden zur Eindämmung von Phishing-Ereignissen generiert.
Für die E-Mail-Korrelation ist eine Active Directory-Konfiguration erforderlich.
Weitere Informationen finden Sie unter E-Mail-Phishing-Korrelation.
Reverse SSH-Tunneling zur Optimierung des technischen Kundensupports
Die Juniper ATP-Appliance bietet eine Reverse-SSH-Tunneling-Funktion, die das direkte Debuggen einer Core/CM-Installation, die in einem Kundennetzwerk ausgeführt wird, durch ein Remote-Team des technischen Supports der Juniper ATP-Appliance ermöglicht. Vom Core/CM aus könnte der technische Support dann eine SSH-Verbindung zu den sekundären Kernen und Web Collectors der Komponenten im selben Subnetz herstellen.
Konfiguration ist erforderlich. Kunden aktivieren/deaktivieren diese Funktionalität und geben die Dauer für den Reverse-SSH-Tunnelvorgang an. Weitere Informationen finden Sie unter Konfigurieren der GSS-Einstellungen.
Manager of Central Managers (MCM) virtuelles oder Hardwaregerät
Der Juniper ATP Appliance Manager of Central Managers (MCM) ist ein Gerät, das eine zentralisierte Webbenutzeroberfläche für Kunden der Juniper ATP Appliance bereitstellt, die mehrere Core/Central Manager (CMs) an verschiedenen geografischen Standorten, einschließlich mandantenfähiger MSSP-Standorte, bereitstellen. Das MCM ermöglicht es Kunden mit verteilten Unternehmen, die Anzeige erkannter Malware-Vorfälle auf mehreren CMs zu konsolidieren, die beim zentralen MCM registriert sind.
Der Gerätetyp der MCM-Plattform wird in der Befehlszeilenschnittstelle der Juniper ATP-Appliance als "mcm" dargestellt. Der MCM empfängt Incident-Daten von mehreren sekundären Central Manager (CM)-Appliances und zeigt diese Daten in der primären MCM-Web-Benutzeroberfläche an.
Die MCM-Web-Benutzeroberfläche ist eine Teilmenge der größeren Juniper ATP Appliance Central Manager-Web-Benutzeroberfläche und enthält nur die Registerkarten "Incidents" und "Config" für Systemprofilkonfigurationen sowie die Optionen "Geräteaktualisierung" und "Abmelden".
Beachten Sie, dass in der Spalte CM-Name der Name des ursprünglichen Central Managers jedes Incidents angegeben ist.
Weitere Informationen finden Sie im Benutzerhandbuch für Juniper ATP Appliance Manager of Central Managers (MCM) und in der CLI-Befehlsreferenz für die Juniper ATP Appliance.
Advanced Threat Analytics (ATA): External Event Collectors and New Events Timeline Dashboard
ATA beschleunigt die Analysebemühungen von Sicherheitsteams, die eine Vielzahl von Warnungen sortieren müssen, um zu bestimmen, welche Ereignisse wichtig sind, welche Bedrohungen damit zusammenhängen und welche Vorfälle sofortige Aufmerksamkeit vom Incident Response (IR)-Team verdienen. Juniper ATP Appliance Advanced Threat Analytics löst dieses Problem, indem es automatisch alle zugehörigen Ereignisse aus anderen Sicherheitsinfrastrukturquellen im Netzwerk filtert und verknüpft, den infizierten Benutzer identifiziert und eine konsolidierte Zeitleistenansicht des gesamten Sicherheitsapparats anzeigt. Dadurch können Sicherheitsteams die Reaktion auf Vorfälle beschleunigen und jeden Tag aussagekräftigere Sicherheitsvorfälle bearbeiten.
Sie können jeden externen Ereigniskollektor für die direkte Aufnahme von Syslogs in einen Juniper ATP Appliance Core oder für die Splunk-Aufnahme konfigurieren.
Rohprotokolle werden gefiltert und auf der Web-UI-Seite Juniper ATP Appliance Incidents angezeigt, und eine detaillierte Hostansicht ist über das Zeitleisten-Dashboard der Juniper ATP-Appliance-Ereignisse verfügbar.
Das folgende Beispiel für die Seite "Incidents" zeigt beispielsweise die Korrelation eines Ereignisses der Juniper ATP-Appliance mit einem externen Quellereignis:
Die folgende Seite "Vorfälle" zeigt beispielsweise, dass die Juniper ATP-Appliance einen Download erkannt hat und die Protokollsammlung der externen Quelle auch ein böswilliges Ereignis in Bezug auf den Endpunkt aufweist:
Beachten Sie in einem anderen Fall, dass die Juniper ATP-Appliance auf dem Dashboard der Ereignis-Zeitachse eine Infektion auf dem Weg zu einem Command and Control-Server erkannt hat und PAN eine VERWEIGERUNGS-Aktion ausgeführt hat:
Die Zeitleistenansicht kann erweitert werden, um alle Ereignisdetails anzuzeigen und zu zeigen, wann und wie der Endbenutzer den bösartigen Download durchgeführt hat:
Konfigurationsinformationen, die für alle Drittanbieter spezifisch sind, finden Sie unter Externe Ereigniskollektoren integrieren.
Splunk-Integration für ATP-Appliance-Ereignisprotokolle und Ereignisdatenmanagement.
Juniper ATP Appliance-seitige Konfiguration
Splunk-seitige Konfiguration
Informationen zur Konfiguration finden Sie unter Konfigurieren der Splunk-Aufnahme der ATP-Appliance.
Identitätskonfigurationsoptionen für Carbon Black Response und Active Directory über Splunk-Aufnahme
Identitätskonfigurationsoptionen ermöglichen den Import aller Carbon Black Response-Protokolle, die über Splunk an die Juniper ATP Appliance gesendet werden, sowie der Zugriffsdaten aller AD-Benutzer über Splunk, um noch detailliertere Berichte über Endpunktereignisse zu erhalten. Diese Funktion ergänzt die bestehende Unterstützung der Juniper ATP Appliance für die direkte Log-Aufnahme von Carbon Black Response zu einem Juniper ATP Appliance Core und fügt die Splunk-Weiterleitungsoptionen für Unternehmen hinzu, die Splunk-Bereitstellungen für die Protokoll- und Ereignisverarbeitung verwenden.
Es sind mehrere Konfigurationen erforderlich:
Sie müssen mehrere Konfigurationen durchführen:
Konfigurieren Sie Splunk über die Webbenutzeroberfläche der Juniper ATP Appliance unter Juniper ATP Appliance Config>Umgebungseinstellungen>Splunk-Integration.
Konfigurieren Sie die Rußantwort über die Juniper ATP-Appliance unter Config>Umgebungseinstellungen>Externe Ereigniskollektoren.
Konfigurieren Sie die Identität für AD und Splunk über die Juniper ATP-Appliance unter Config>Environment Settings>Identity Configurations.
Verbesserte Darstellung des Malware-Verhaltens
Um die Bewertung und Bestimmung der Absicht von Bedrohungen und Malware zu verbessern, kategorisieren die Verbesserungen der Verhaltensanalyse Malware-Indikatoren basierend auf den bösartigen Merkmalen, die sie aufweisen, in Gruppen.