Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Über Juniper ATP Cloud

® Juniper Advanced Threat Prevention Cloud (Juniper ATP Cloud) ist ein Sicherheits-Framework, das alle Hosts in Ihrem Netzwerk vor sich entwickelnden Sicherheitsbedrohungen schützt, indem es eine Cloud-basierte Software zur Erkennung von Bedrohungen mit einem Firewall-System der nächsten Generation einsetzt. Siehe Abbildung 1.

Abbildung 1: Juniper ATP Cloud – Übersicht Juniper ATP Cloud Overview

Juniper ATP Cloud schützt Ihr Netzwerk durch die folgenden Aufgaben:

  • Die Firewall der SRX-Serie extrahiert potenziell bösartige Objekte und Dateien und sendet sie zur Analyse an die Cloud.

  • Bekannte schädliche Dateien werden schnell identifiziert und gelöscht, bevor sie einen Host infizieren können.

  • Mehrere Techniken identifizieren neue Malware und fügen sie der bekannten Liste von Malware hinzu.

  • Die Korrelation zwischen neu identifizierter Malware und bekannten Command-and-Control-Standorten (C&C) hilft bei der Analyse.

  • Die Firewall der SRX-Serie blockiert bekannte schädliche Dateidownloads und ausgehenden C&C-Datenverkehr.

Juniper ATP Cloud unterstützt die folgenden Modi:

  • Layer-3-Modus (L3)

  • Tap-Modus

  • Transparenter Modus mit MAC-Adresse

    Weitere Informationen finden Sie unter Transparenter Modus auf Firewalls der SRX-Serie.

  • Secure Wire Mode (High-Level-transparenter Modus, der die Schnittstelle zur direkten Weiterleitung des Datenverkehrs nutzt, nicht über die MAC-Adresse.) Weitere Informationen finden Sie unter Grundlegendes zu Secure Wire.

Juniper ATP Cloud-Funktionen

Juniper ATP Cloud ist eine Cloud-basierte Lösung. Cloud-Umgebungen sind flexibel und skalierbar, und eine gemeinsam genutzte Umgebung stellt sicher, dass jeder nahezu in Echtzeit von den neuen Bedrohungsdaten profitiert. Ihre sensiblen Daten sind geschützt, auch wenn sie sich in einer gemeinsam genutzten Cloud-Umgebung befinden. Sicherheitsanalysten können ihre Abwehrmaßnahmen aktualisieren, wenn neue Angriffstechniken entdeckt werden, und die Bedrohungsinformationen mit sehr geringer Verzögerung verteilen.

Darüber hinaus bietet Juniper ATP Cloud die folgenden Funktionen:

  • Integriert in die Firewall der SRX-Serie, um die Bereitstellung zu vereinfachen und die Anti-Bedrohungsfunktionen der Firewall zu verbessern.

  • Bietet Schutz vor "Zero-Day"-Bedrohungen durch eine Kombination von Tools für eine robuste Abdeckung gegen ausgeklügelte, verschleierte Bedrohungen

  • KI-gestützte prädiktive Threat Prevention, eine intelligente und schnelle Lösung zur Erkennung und Prävention von Malware, schützt Ihr Netzwerk, unabhängig davon, von wo aus sich Benutzer verbinden. Diese Lösung nutzt Flow-basiertes Antivirus und auf maschinellem Lernen basierende Zero-Day-Bedrohungserkennung, um Benutzer vor Malware-Angriffen zu schützen und die Verbreitung von Malware in Ihrem System zu verhindern. Weitere Informationen finden Sie unter Konfigurieren einer ablaufbasierten Antivirenrichtlinie und Konfigurieren einer auf maschinellem Lernen basierenden Bedrohungserkennung.

  • Überprüft eingehenden und ausgehenden Datenverkehr mit Richtlinienerweiterungen, die es Benutzern ermöglichen, Malware zu stoppen, infizierte Systeme unter Quarantäne zu stellen, Datenexfiltration zu verhindern und laterale Bewegungen zu unterbrechen.

  • Hohe Verfügbarkeit für einen unterbrechungsfreien Service.

  • Skalierbar für steigende Lasten, die mehr Rechenressourcen, eine größere Netzwerkbandbreite für den Empfang von mehr Kundenbeiträgen und einen großen Speicher für Malware erfordern.

  • Bietet gründliche Inspektion, umsetzbare Berichte und Inline-Malware-Blockierung

  • API für C&C-Feeds, Vorgänge auf Zulassungs- und Blocklisten sowie Dateiübermittlung. Weitere Informationen finden Sie im Threat Intelligence Open API Setup Guide .

  • Sicherheit des Domainnamensystems (DNS), Encrypted Traffic Insights (ETI) und des Internets der Dinge (IoT). Lizenzierungsinformationen zu diesen Features finden Sie unter Software-Lizenzen für ATP Cloud.

Abbildung 2 listet die Juniper ATP-Cloud-Komponenten auf.

Abbildung 2: Juniper ATP-Cloud-Komponenten Juniper ATP Cloud Components

In Tabelle 1 wird der Betrieb der einzelnen Juniper ATP-Cloud-Komponenten kurz beschrieben.

Tabelle 1: Juniper ATP-Cloud-Komponenten

Komponente

Betrieb

C&C Cloud-Feeds

C&C-Feeds sind im Wesentlichen eine Liste von Servern, die als C&C für Botnets bekannt sind. Die Liste enthält auch Server, die bekannte Quellen für Malware-Downloads sind.

GeoIP Cloud-Feeds

GeoIP-Feeds sind eine aktuelle Zuordnung von IP-Adressen zu geografischen Regionen. Auf diese Weise können Sie den Datenverkehr von und zu bestimmten Regionen der Welt filtern.

Infizierte Host-Cloud-Feeds

Infizierte Hosts weisen auf lokale Geräte hin, die potenziell kompromittiert sind, weil sie Teil eines C&C-Netzwerks zu sein scheinen oder andere Symptome aufweisen.

Zulassungslisten, Blocklisten und benutzerdefinierte Cloud-Feeds

Eine Zulassungsliste ist einfach eine Liste bekannter IP-Adressen, denen Sie vertrauen, und eine Blockliste ist eine Liste, der Sie nicht vertrauen.

Firewall der SRX-Serie

Sendet extrahierte Dateiinhalte zur Analyse und erkannte C&C-Treffer innerhalb des Kundennetzwerks.

Führt Inline-Blockierung auf der Grundlage einer von der Juniper ATP Cloud bereitgestellten Dateisignaturdatenbank durch.

Pipeline zur Malware-Inspektion

Führt Malware-Analysen und Bedrohungserkennung durch

Erkennung interner Kompromisse

Überprüft Dateien, Metadaten und andere Informationen.

Serviceportal (Web-Benutzeroberfläche)

Grafische Oberfläche mit Informationen über erkannte Bedrohungen innerhalb des Kundennetzwerks.

Konfigurationsmanagement-Tool, mit dem Kunden verfeinern können, welche Dateikategorien zur Verarbeitung in die Cloud übermittelt werden können.

Einblick in verschlüsselten Datenverkehr

Encrypted Traffic Insights stellt Visibilität wieder her, die durch verschlüsselten Datenverkehr verloren gegangen ist, und das ohne aufwendige TLS/SSL-Entschlüsselung.

SecIntel

Bietet kuratiertes SecIntel in Form von Bedrohungs-Feeds, die bösartige Domänen, URLs und IP-Adressen enthalten, die in bekannten Angriffskampagnen verwendet werden. SecIntel ermöglicht es Kunden auch, ihre eigenen Bedrohungsinformationen für die Inline-Blockierung zu füttern und zu verteilen.

Adaptive Erstellung von Bedrohungsprofilen

Erstellen Sie automatisch SecIntel-Bedrohungs-Feeds basierend darauf, wer und was das Netzwerk gerade angreift, um den kontinuierlichen Ansturm neuer Bedrohungen zu bekämpfen. Adaptive Threat Profiling nutzt die Sicherheit Services von Juniper, um das Verhalten von Endgeräten zu klassifizieren und benutzerdefinierte Bedrohungserkennungs-Feeds zu erstellen, die zur weiteren Überprüfung oder Blockierung an mehreren Durchsetzungspunkten verwendet werden können.

DNS-Sicherheit

Bietet Bedrohungsprävention durch Angriffe, die DGA- und DNS-Tunneling-Techniken nutzen. Schützen Sie sich vor DNS-Exploits für C&C-Kommunikation, Datenexfiltration, Phishing-Angriffe und Ransomware, die DNS häufig mit einer Vielzahl von Techniken ausnutzen.

IoT Threat Prevention

ATP Cloud ermöglicht es Kunden, die IoT-Angriffsfläche in ihrem Netzwerk zu kontrollieren, indem es eine einfache Möglichkeit bietet, die IoT-Geräte zu identifizieren und zu kategorisieren

Wie die Firewall der SRX-Serie den Datenverkehr beseitigt

Die Firewalls der SRX-Serie nutzen die von der Juniper ATP Cloud bereitgestellten Informationen, um bösartige Inhalte mithilfe von Sicherheitsrichtlinien zu beseitigen. Wenn konfiguriert, können Sicherheitsrichtlinien diesen Inhalt blockieren, bevor er an die Zieladresse übermittelt wird.

Bei eingehendem Datenverkehr suchen die Sicherheitsrichtlinien der SRX-Serie Firewall nach bestimmten Dateitypen, z. B. .exe Dateien, die überprüft werden sollen. Wenn eine solche gefunden wird, sendet die Sicherheitsrichtlinie die Datei zur Überprüfung an die Juniper ATP-Cloud-Cloud. Die Firewall der SRX-Serie speichert die letzten KB der Datei vom Ziel-Client, während die Juniper ATP-Cloud prüft, ob diese Datei bereits analysiert wurde. Wenn dies der Fall ist, wird ein Urteil zurückgegeben und die Datei wird entweder an den Client gesendet oder blockiert, abhängig von der Bedrohungsstufe der Datei und der geltenden benutzerdefinierten Richtlinie. Wenn die Cloud diese Datei noch nicht geprüft hat, wird die Datei an den Client gesendet, während die Juniper ATP-Cloud eine umfassende Analyse durchführt. Wenn die Bedrohungsstufe der Datei auf Malware hinweist (und abhängig von den benutzerdefinierten Konfigurationen), wird das Clientsystem als infizierter Host markiert und für ausgehenden Datenverkehr blockiert. Weitere Informationen finden Sie unter Wie wird Schadsoftware analysiert und erkannt?.

Abbildung 3 zeigt einen Beispielablauf eines Clients, der einen Dateidownload mit der Juniper ATP Cloud anfordert.

Abbildung 3: Überprüfung eingehender Dateien auf Malware Inspecting Inbound Files for Malware
Tabelle 2: Workflow zur Malware-Überprüfung

Schritt

Beschreibung

1

Ein Client-System hinter einer Firewall der SRX-Serie fordert einen Dateidownload aus dem Internet an. Die Firewall der SRX-Serie leitet diese Anfrage an den entsprechenden Server weiter.

2

Die Firewall der SRX-Serie empfängt die heruntergeladene Datei und überprüft ihr Sicherheitsprofil, um festzustellen, ob zusätzliche Maßnahmen ergriffen werden müssen.

3

Der heruntergeladene Dateityp befindet sich in der Liste der Dateien, die überprüft werden müssen, und wird zur Analyse an die Cloud gesendet.

4

Juniper ATP Cloud hat diese Datei schon einmal geprüft und die Analyse im Cache gespeichert. In diesem Beispiel handelt es sich bei der Datei nicht um Malware, und die Bewertung der Bedrohungsstufe wird an die Firewall der SRX-Serie zurückgesendet.

5

Basierend auf benutzerdefinierten Richtlinien und der Beurteilung der Bedrohungsstufe sendet die Firewall der SRX-Serie die Datei an den Client.

In Bezug auf ausgehenden Datenverkehr überwacht die Firewall der SRX-Serie den Datenverkehr, der mit den empfangenen C&C-Feeds übereinstimmt, blockiert diese C&C-Anfragen und meldet sie an die Juniper ATP Cloud. Eine Liste der infizierten Hosts ist verfügbar, sodass die Firewall der SRX-Serie eingehenden und ausgehenden Datenverkehr blockieren kann.

Juniper ATP Cloud – Anwendungsszenarien

Juniper ATP Cloud kann überall in einer Bereitstellung der SRX-Serie verwendet werden. Siehe Abbildung 4

Abbildung 4: Anwendungsszenarien Juniper ATP Cloud Use Cases für Juniper ATP-Cloud

  • Campus-Edge-Firewall – Juniper ATP Cloud analysiert aus dem Internet heruntergeladene Dateien und schützt Endbenutzergeräte.

  • Datencenter-Edge: Wie die Campus-Edge-Firewall verhindert auch die Juniper ATP Cloud, dass infizierte Dateien und Anwendungs-Malware auf Ihren Computern ausgeführt werden.

  • Zweigstellen-Router: Die Juniper ATP-Cloud bietet Schutz vor Split-Tunneling-Bereitstellungen. Ein Nachteil von Split-Tunneling besteht darin, dass Benutzer die von der Infrastruktur Ihres Unternehmens festgelegten Sicherheitsmaßnahmen umgehen können.