Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Juniper ATP-Cloud

Über Juniper ATP Cloud

Juniper® Advanced Threat Prevention Cloud (Juniper ATP Cloud) ist ein Sicherheits-Framework, das alle Hosts in Ihrem Netzwerk vor sich weiterentwickelnden Sicherheitsbedrohungen schützt, indem es Cloud-basierte Bedrohungserkennungssoftware mit einem Firewall-System der nächsten Generation einsetzt. Siehe Abbildung 1.

Abbildung 1: Juniper ATP-Cloud – Übersicht Juniper ATP Cloud Overview

Juniper ATP Cloud schützt Ihr Netzwerk, indem es die folgenden Aufgaben ausführt:

  • Die Firewall der SRX-Serie extrahiert potenziell schädliche Objekte und Dateien und sendet sie zur Analyse an die Cloud.

  • Bekannte bösartige Dateien werden schnell identifiziert und gelöscht, bevor sie einen Host infizieren können.

  • Mehrere Techniken identifizieren neue Malware und fügen sie der Liste der bekannten Malware hinzu.

  • Eine Korrelation zwischen neu identifizierter Malware und bekannten C&C-Standorten (Command and Control) hilft bei der Analyse.

  • Die Firewall der SRX-Serie blockiert bekanntermaßen bösartige Dateidownloads und ausgehenden C&C-Datenverkehr.

Juniper ATP-Cloud unterstützt die folgenden Modi:

  • Layer-3-Modus (L3)

  • Tipp-Modus

  • Transparenter Modus mit MAC-Adresse

    Weitere Informationen finden Sie unter Transparenter Modus auf Geräten der SRX-Serie.

  • Secure Wire-Modus (transparenter Modus auf hoher Ebene, bei dem die Schnittstelle für die direkte Weiterleitung von Datenverkehr und nicht über die MAC-Adresse verwendet wird.) Weitere Informationen finden Sie unter Grundlegendes zu Secure Wire.

Juniper ATP Cloud-Funktionen

Juniper ATP Cloud ist eine Cloud-basierte Lösung. Cloud-Umgebungen sind flexibel und skalierbar, und eine gemeinsam genutzte Umgebung stellt sicher, dass alle Benutzer nahezu in Echtzeit von neuen Bedrohungsdaten profitieren. Ihre sensiblen Daten sind geschützt, obwohl sie sich in einer gemeinsam genutzten Cloud-Umgebung befinden. Sicherheitsanalysten können ihre Abwehrmaßnahmen aktualisieren, wenn neue Angriffstechniken entdeckt werden, und die Bedrohungsinformationen mit sehr geringer Verzögerung weitergeben.

Darüber hinaus bietet Juniper ATP Cloud die folgenden Funktionen:

  • Integriert in die Firewall der SRX-Serie, um die Bereitstellung zu simplifizieren und die Anti-Bedrohungs-Fähigkeiten der Firewall zu verbessern.

  • Bietet Schutz vor "Zero-Day"-Bedrohungen durch eine Kombination von Tools, um eine robuste Abdeckung gegen ausgeklügelte, verschleierte Bedrohungen zu bieten

  • KI-gestützte prädiktive Threat Prevention, eine intelligente und schnelle Lösung zur Malware-Erkennung und -Prävention, schützt Ihr Netzwerk überall dort, von wo aus sich Benutzer verbinden. Diese Lösung nutzt Flow-basiertes Antivirus und auf maschinellem Lernen basierende Zero-Day-Bedrohungserkennung, um Benutzer vor Malware-Angriffen zu schützen und die Verbreitung von Malware in Ihrem System zu verhindern. Weitere Informationen finden Sie unter Konfigurieren einer Flow-basierten Antivirenrichtlinie und Konfigurieren einer auf maschinellem Lernen basierenden Bedrohungserkennung.

  • Prüft ein- und ausgehenden Datenverkehr mit erweiterten Richtlinien, die es Benutzern ermöglichen, Malware zu stoppen, infizierte Systeme unter Quarantäne zu stellen, Datenexfiltration zu verhindern und laterale Bewegungen zu unterbrechen.

  • Hohe Verfügbarkeit für unterbrechungsfreien Service.

  • Skalierbar für steigende Lasten, die mehr Rechenressourcen, eine erhöhte Netzwerkbandbreite, um mehr Kundeneinsendungen zu erhalten, und einen großen Speicher für Malware erfordern.

  • Bietet gründliche Inspektionen, umsetzbare Berichte und Inline-Malware-Blockierung

  • API für C&C-Feeds, Zulassungslisten- und Blocklistenvorgänge und Dateiübermittlung. Weitere Informationen finden Sie im Threat Intelligence Open API-Setup-Handbuch .

  • Sicherheit des Domainnamensystems (DNS), Encrypted Traffic Insights (ETI) und Internet der Dinge (IoT). Lizenzierungsinformationen zu diesen Funktionen finden Sie unter Softwarelizenzen für ATP Cloud.

Abbildung 2 listet die Juniper ATP-Cloud-Komponenten auf.

Abbildung 2: Juniper ATP-Cloud-Komponenten Juniper ATP Cloud Components

In Tabelle 1 wird der Betrieb der einzelnen ATP-Cloud-Komponenten von Juniper kurz beschrieben.

Tabelle 1: ATP-Cloud-Komponenten von Juniper

Bestandteil

Operation

C&C-Cloud-Feeds

C&C-Feeds sind im Wesentlichen eine Liste von Servern, die als C&C für Botnets bekannt sind. Die Liste enthält auch Server, die bekannte Quellen für Malware-Downloads sind.

GeoIP-Cloud-Feeds

GeoIP-Feeds sind eine aktuelle Zuordnung von IP-Adressen zu geografischen Regionen. Auf diese Weise können Sie den Datenverkehr von und zu bestimmten Regionen der Welt filtern.

Infizierte Host-Cloud-Feeds

Infizierte Hosts weisen auf lokale Geräte hin, die potenziell kompromittiert sind, weil sie Teil eines C&C-Netzwerks zu sein scheinen oder andere Symptome aufweisen.

Zulassungslisten, Blocklisten und benutzerdefinierte Cloud-Feeds

Eine Zulassungsliste ist einfach eine Liste bekannter IP-Adressen, denen Sie vertrauen, und eine Sperrliste ist eine Liste, der Sie nicht vertrauen.

Firewall der SRX-Serie

Sendet extrahierte Dateiinhalte zur Analyse und erkannte C&C-Treffer innerhalb des Kundennetzwerks.

Führt Inline-Blockierung basierend auf einer Dateisignaturdatenbank durch, die von Juniper ATP Cloud bereitgestellt wird.

Pipeline zur Malware-Überprüfung

Führt Malware-Analysen und Bedrohungserkennung durch

Erkennung interner Kompromittierungen

Überprüft Dateien, Metadaten und andere Informationen.

Serviceportal (Web-UI)

Grafikschnittstelle, die Informationen über erkannte Bedrohungen innerhalb des Kundennetzwerks anzeigt.

Konfigurationsmanagement-Tool, mit dem Kunden verfeinern können, welche Dateikategorien zur Verarbeitung an die Cloud übermittelt werden können.

Einblick in verschlüsselten Datenverkehr

Encrypted Traffic Insights stellt die Sichtbarkeit wieder her, die aufgrund des verschlüsselten Datenverkehrs verloren gegangen ist, und das ohne aufwendige TLS/SSL-Entschlüsselung.

SecIntel

Bietet kuratiertes SecIntel in Form von Bedrohungs-Feeds, die bösartige Domänen, URLs und IP-Adressen enthalten, die in bekannten Angriffskampagnen verwendet werden. SecIntel ermöglicht es Kunden auch, ihre eigenen Bedrohungsinformationen für die Inline-Blockierung einzuspeisen und zu verteilen.

Adaptive Erstellung von Bedrohungsprofilen

Automatisch SecIntel-Bedrohungs-Feeds erstellen, die darauf basieren, wer und was gerade das Netzwerk angreift, um den kontinuierlichen Ansturm neuer Bedrohungen abzuwehren. Adaptive Threat Profiling nutzt die Sicherheitsservices von Juniper, um das Verhalten von Endgeräten zu klassifizieren und benutzerdefinierte Bedrohungserkennungs-Feeds zu erstellen, die für weitere Überprüfungen oder Blockierungen an mehreren Durchsetzungspunkten verwendet werden können.

DNS-Sicherheit

Bietet Bedrohungsschutz vor Angriffen, die DGA- und DNS-Tunneling-Techniken nutzen. Schutz vor DNS-Exploits für C&C-Kommunikation, Datenexfiltration, Phishing-Angriffe und Ransomware, die DNS häufig mit einer Vielzahl von Techniken ausnutzen.

IoT Threat Prevention

ATP Cloud ermöglicht es Kunden, die IoT-Angriffsfläche in ihrem Netzwerk zu kontrollieren, indem eine einfache Möglichkeit zur Identifizierung und Kategorisierung der IoT-Geräte bereitgestellt wird

Wie die Firewall der SRX-Serie den Datenverkehr behebt

Die Firewalls der SRX-Serie nutzen die von Juniper ATP Cloud bereitgestellten Informationen, um schädliche Inhalte durch die Verwendung von Sicherheitsrichtlinien zu entfernen. Falls konfiguriert, blockieren Sicherheitsrichtlinien diese Inhalte möglicherweise, bevor sie an die Zieladresse übermittelt werden.

Bei eingehendem Datenverkehr suchen die Sicherheitsrichtlinien auf der SRX-Serie Firewall nach bestimmten Dateitypen, z. B. .exe Dateien, die überprüft werden sollen. Wird eine solche erkannt, sendet die Sicherheitsrichtlinie die Datei zur Prüfung an die Juniper ATP-Cloud-Cloud. Die Firewall der SRX-Serie speichert die letzten paar KB der Datei vom Zielclient, während die Juniper ATP Cloud prüft, ob diese Datei bereits analysiert wurde. Wenn dies der Fall ist, wird ein Urteil zurückgegeben, und die Datei wird entweder an den Client gesendet oder blockiert, abhängig von der Bedrohungsstufe der Datei und der geltenden benutzerdefinierten Richtlinie. Wenn die Cloud diese Datei noch nicht geprüft hat, wird sie an den Client gesendet, während die Juniper ATP-Cloud eine umfassende Analyse durchführt. Wenn die Bedrohungsstufe der Datei auf Malware hindeutet (und abhängig von den benutzerdefinierten Konfigurationen), wird das Client-System als infizierter Host markiert und für ausgehenden Datenverkehr blockiert. Weitere Informationen finden Sie unter Wie wird Malware analysiert und erkannt?.

Abbildung 3 zeigt ein Beispiel für einen Client, der einen Datei-Download mit Juniper ATP Cloud anfordert.

Abbildung 3: Untersuchen eingehender Dateien auf Malware Inspecting Inbound Files for Malware
Tabelle 2: Workflow für die Malware-Inspektion

Schritt

Beschreibung

1

Ein Client-System hinter einer Firewall der SRX-Serie fordert einen Datei-Download aus dem Internet an. Die Firewall der SRX-Serie leitet diese Anfrage an den entsprechenden Server weiter.

2

Die Firewall der SRX-Serie empfängt die heruntergeladene Datei und prüft ihr Sicherheitsprofil, um festzustellen, ob weitere Maßnahmen ergriffen werden müssen.

3

Der heruntergeladene Dateityp befindet sich in der Liste der Dateien, die überprüft werden müssen, und wird zur Analyse an die Cloud gesendet.

4

Juniper ATP-Cloud hat diese Datei bereits geprüft und die Analyse im Cache gespeichert. In diesem Beispiel handelt es sich bei der Datei nicht um Malware, und das Urteil über die Bedrohungsstufe wird an die Firewall der SRX-Serie zurückgesendet.

5

Basierend auf den benutzerdefinierten Richtlinien und der Beurteilung der Bedrohungsstufe sendet die Firewall der SRX-Serie die Datei an den Client.

Bei ausgehendem Datenverkehr überwacht die Firewall der SRX-Serie den Datenverkehr, der mit den empfangenen C&C-Feeds übereinstimmt, blockiert diese C&C-Anfragen und meldet sie an die Juniper ATP Cloud. Eine Liste der infizierten Hosts ist verfügbar, damit die Firewall der SRX-Serie ein- und ausgehenden Datenverkehr blockieren kann.

Juniper ATP Cloud – Anwendungsfälle

Juniper ATP Cloud kann überall in einer Bereitstellung der SRX-Serie verwendet werden. Siehe Abbildung 4

Abbildung 4: Anwendungsszenarien Juniper ATP Cloud Use Cases für Juniper ATP Cloud

  • Campus-Edge-Firewall: Juniper ATP Cloud analysiert Dateien, die aus dem Internet heruntergeladen wurden, und schützt die Endbenutzergeräte.

  • Datencenter-Edge: Wie die Campus-Edge-Firewall verhindert auch die Juniper ATP-Cloud, dass infizierte Dateien und Anwendungs-Malware auf Ihren Computern ausgeführt werden.

  • Zweigstellenrouter – Juniper ATP Cloud bietet Schutz vor Split-Tunneling-Bereitstellungen. Ein Nachteil von Split-Tunneling besteht darin, dass Benutzer die von der Infrastruktur Ihres Unternehmens eingerichtete Sicherheit umgehen können.

Zulassung

Informationen zu Juniper ATP-Cloud-Lizenzen finden Sie unter Softwarelizenzen für ATP-Cloud. Weitere Informationen erhalten Sie in den Produktdatenblättern oder bei Ihrem Juniper Kundenteam oder Juniper Partner.