Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration für infizierte Hosts

Schwellenwert für die Bedrohungsstufe für die Blockierung

Legen Sie die globale Bedrohungsstufe fest, um infizierte Hosts zu blockieren. Wenn ein Host als kompromittiert erkannt wird, wird ihm eine Bedrohungsstufe zugewiesen. Basierend auf der globalen Bedrohungsstufe, die Sie hier festlegen, wobei 1 bis 10 die höchste Bedrohung darstellt, werden kompromittierte Hosts mit der festgelegten Bedrohungsstufe und höher zu den infizierten Hosts hinzugefügt und können anschließend durch Richtlinien blockiert werden, die auf der Firewall der SRX-Serie konfiguriert sind. Weitere Informationen finden Sie unter Host-Übersicht und Konfigurieren der Firewall der SRX-Serie zum Blockieren infizierter Hosts .

Sie können Juniper ATP Cloud so konfigurieren, dass E-Mails gesendet werden, wenn bestimmte Bedrohungsstufen für infizierte Hosts erreicht sind. Sie können z. B. E-Mails an eine IT-Abteilung senden, wenn Schwellenwerte von 5 erreicht werden, und E-Mails an eine Eskalationsabteilung senden, wenn Schwellenwerte von 9 erreicht sind.

Sie können E-Mails an jedes Konto senden; Sie sind nicht auf Administrator-E-Mails beschränkt, die im Fenster Benutzer definiert sind. Die Webbenutzeroberfläche überprüft nicht, ob ein E-Mail-Konto gültig ist.

Konfigurieren des Bedrohungsstufenschwellenwerts für Blockierungs- und E-Mail-Warnungen

Vorteile der Global Infected Hosts Alerts

  • E-Mail-Benachrichtigungen für infizierte Hosts machen Administratoren sofort darauf aufmerksam, wenn ein mögliches Netzwerksicherheitsproblem auftritt.

  • E-Mail-Benachrichtigungen können nur für bestimmte Administratoren und nicht für alle Benutzer des Webportals konfiguriert werden, wodurch Benachrichtigungen enger gefasst werden.

  1. Wählen Sie > infizierte Hosts konfigurieren aus.

  2. (Nur Advanced-Lizenzen) Legen Sie den Standardschwellenwert für die Bedrohungsstufe fest.

  3. Klicken Sie auf das Pluszeichen, um E-Mail-Benachrichtigungen zu erstellen, oder klicken Sie auf das Stiftsymbol, um vorhandene Benachrichtigungen zu bearbeiten. Konfigurieren Sie die in der folgenden Tabelle beschriebenen Felder.

  4. Klicken Sie auf OK.

Tabelle 1: Felder für E-Mail-Benachrichtigungen für infizierte Hosts

Einstellung

Richtlinie

Bedrohungsstufe

Wählen Sie eine Bedrohungsstufe zwischen 1 und 10 aus. Wenn diese Stufe erreicht ist, wird eine E-Mail an die von Ihnen angegebene Adresse gesendet.

E-Mail

Geben Sie eine E-Mail-Adresse ein.

Blockierte Hosts automatisch ablaufen lassen

Wenn ein Host als infiziert markiert und dem Feed infizierter Hosts hinzugefügt wird, wird er durch Richtlinien, die auf der Firewall der SRX-Serie konfiguriert sind, für das Netzwerk blockiert. Optionen zum Entsperren einzelner Hosts finden Sie auf der Seite "Hostdetails " im Juniper ATP-Cloud-Webportal. Weitere Informationen finden Sie unter Übersicht über Hosts . Wenn Sie die Blockierung mehrerer Host-IP-Adressen basierend auf Zeitraum und Bedrohungsstufe aufheben möchten, verwenden Sie die Funktion " Blockierte Hosts automatisch ablaufen lassen " auf der Seite "Infizierte Hosts " im Webportal.

Auf der Seite "Globale infizierte Hosts" können Sie festlegen, dass infizierte Hosts nach einer konfigurierten Zeit basierend auf einer minimalen und maximalen Bedrohungsstufe ablaufen. Sobald der Zeitraum erreicht ist, werden blockierte IP-Adressen nicht mehr als infiziert markiert und somit nicht mehr blockiert.

Ein Beispiel für die Verwendung dieser Funktion ist, wenn Sie DHCP-Adressierung verwenden und Adressen nach einem festgelegten Zeitplan neu zuweisen. In diesem Fall empfiehlt es sich, eine Ablaufzeit für infizierte Hosts festzulegen (basierend auf den Lease-Zeiten von IP-Adressen), nach der Adressen nicht mehr als infiziert markiert werden.

Konfigurieren des automatischen Ablaufs infizierter Hosts

  1. Wählen Sie > infizierte Hosts konfigurieren aus.

  2. (Nur Systemadministratoren und -bediener) Aktivieren Sie "Blockierte Hosts automatisch ablaufen lassen " und wählen Sie eine der folgenden Optionen aus:

    • Alle Hosts ablaufen lassen

    • Bereich von Hosts ablaufen lassen: Geben Sie einen Bereich von IPv4- oder IPv6-Adressen ein.

      Jedes der folgenden IPv4-Formate ist gültig: 1.2.3.4/30, or 1.2.3.4-1.2.3.6

      Jedes der folgenden IPv6-Formate ist gültig: 1111::1-1111::9, or 1111:1::0/64

      Anmerkung:

      Es wird nicht mehr als ein Block von /16 IPv4-Adressen und /48 IPv6-Adressen akzeptiert. Beispiel: 10.0.0.0-10.0.255.255 ist gültig, aber 10.0.0.0-10.1.0.0 nicht.

      Bitmasken: Die maximale Anzahl von IP-Adressen, die von der Bitmaske in einem Subnetzeintrag abgedeckt werden, beträgt für IPv4 16 und für IPv6 48. Beispiel, 10.0.0.0/15 und 1234::/47 sind ungültig. Die CIDR-Notation wird ebenfalls akzeptiert.

  3. Sowohl für "Alle Hosts ablaufen lassen" als auch für "Bereich von Hosts ablaufen lassen" müssen Sie auch die Ablaufzeit und die Bedrohungsstufen festlegen. Klicken Sie auf das Pluszeichen + , um einen Eintrag zu erstellen, und legen Sie Folgendes in der Tabelle Ablaufzeit fest.

    Tabelle 2: Felder für die Ablaufzeit

    Einstellung

    Richtlinie

    Festlegen der minimalen Bedrohungsstufe

    Klicken Sie auf den Tabelleneintrag unter Minimale Bedrohungsstufe , um ein Pulldown-Menü aufzurufen. Wählen Sie eine minimale Bedrohungsstufe (1-10) aus. Die von Ihnen gewählte Stufe ist in der Minimaleinstellung enthalten.

    Festlegen der maximalen Bedrohungsstufe

    Klicken Sie auf den Tabelleneintrag unter Maximale Bedrohungsstufe , um ein Pulldown-Menü aufzurufen. Wählen Sie eine maximale Bedrohungsstufe (1-10) aus. Die von Ihnen gewählte Stufe ist in der maximalen Einstellung enthalten.

    Festlegen der Stunden, um die Blockierung aufzuheben

    Klicken Sie auf den Tabelleneintrag unter Zu entsperrende Stunden. Sie können "Nie", "6", "12", "18" oder "24 Stunden" auswählen. Nach Ablauf der festgelegten Anzahl von Stunden läuft das infizierte Label ab und die Hosts werden nicht mehr blockiert.

    Wenn Sie z. B. das Minimum auf 6 und das Maximum auf 8 festlegen und die Stunden zum Aufheben der Blockierung auf 24 festlegen, würde Folgendes passieren. Alle infizierten Hosts mit einer Bedrohungsstufe von 6 und höher sowie 8 und darunter würden nach 24 Stunden ablaufen.

    Anmerkung:

    Sie können mehrere Einträge in dieser Tabelle erstellen und unterschiedliche Ablaufzeiten für verschiedene Bedrohungsstufen festlegen.

    Sobald die Einstellungen zum Aufheben der Blockierung in die Tabelle eingegeben wurden, können Sie die Tabelle verwenden, um vorhandene Einstellungen zu ändern oder Einstellungen zu löschen.

  4. Klicken Sie auf Speichern , um Ihre Einstellungen zu speichern.

Zugehörige Dokumentation