Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SecIntel Feeds – Übersicht und Vorteile

SecIntel sammelt sorgfältig kuratierte und verifizierte Bedrohungsdaten von:

  • Juniper ATP-Cloud

  • Juniper Threat Labs

  • Dynamische Adressgruppe (DAG)

  • Branchenführende Bedrohungs-Feeds

SecIntel liefert diese Intelligenz an Router der MX-Serie, Firewalls der SRX-Serie und die Netzwerkserviceplattform der NFX-Serie, um die C&C-Kommunikation (Command and Control) mit Leitungsgeschwindigkeit zu blockieren. SecIntel liefert Bedrohungsdaten in Echtzeit, indem es eine automatische und reaktionsschnelle Filterung des Datenverkehrs ermöglicht.

SecIntel lässt sich in Switches der EX-Serie und Switches der QFX-Serie integrieren und ermöglicht es diesen Switches, den infizierten Host-Feed von SecIntel zu abonnieren. Diese Integration ermöglicht es Ihnen, kompromittierte Hosts am Switch-Port zu blockieren. Sie können SecIntel jetzt auf Ihr gesamtes Netzwerk ausweiten und die Anzahl der Sicherheitsdurchsetzungspunkte erhöhen.

Vorteile von SecIntel Feeds

Sie können alle Standard-Feeds anzeigen, die mit Ihrer aktuellen Lizenz verfügbar sind.

Auf dieser Seite können Sie die folgenden Feeds für die Integration mit der Juniper ATP-Cloud aktivieren.

  • Bedrohungs-Feeds von Juniper

  • Bedrohungs-Feeds von Drittanbietern: IP-Bedrohungs-Feeds und URL-Bedrohungs-Feeds.

  • Dynamische Adressgruppen-Feeds: DAG-Feeds von Juniper und DAG-Feeds von Drittanbietern.

Hinweis:

Der Ablauf der SecIntel-Feeds hängt vom Time-to-Live-Wert (TTL) ab, der für jeden Feed unterschiedlich ist.
Hinweis:

Die Gesamtzahl der C&C-Feeds beträgt 32, von denen vier Feeds für cc_ip, cc_url, cc_ipv6 und cc_cert_sha1 reserviert sind. Sie können also bis zu 28 Feeds für die C&C-Kategorie aktivieren, die benutzerdefinierte C&C-Feeds und Feeds von Drittanbietern umfasst. Dieser Grenzwert gilt, wenn Sie zusätzliche Feeds über die verfügbare offene API einfügen.

Informationen, um zu wissen, ob Sie externe Feeds aktivieren:

  • Wenn ein Treffer in einem aktivierten externen Feed erkannt wird, wird dieses Ereignis unter > Bedrohungsquellen überwachen mit der Bedrohungsstufe 10 angezeigt.

  • Auf registrierten Firewalls der SRX-Serie können Sie Richtlinien mit der Aktion "Zulassen" oder "Blockieren" für jeden Feed konfigurieren. Beachten Sie, dass C&C- und infizierte Host-Feeds eine aktivierte SecIntel-Richtlinie auf der Firewall der SRX-Serie erfordern, um zu funktionieren.

  • Externe Feeds werden einmal alle 24 Stunden aktualisiert.

Warnung:

Diese Open-Source-Feeds werden von Dritten verwaltet und die Bestimmung der Genauigkeit des Feeds bleibt dem Juniper ATP Cloud-Administrator überlassen. Juniper untersucht keine Fehlalarme, die durch diese Feeds generiert werden.
Warnung:

Konfigurierte Firewall-Richtlinien der SRX-Serie blockieren bösartige IP-Adressen basierend auf den aktivierten Feeds von Drittanbietern, aber diese Ereignisse haben keinen Einfluss auf die Bedrohungsbewertungen des Hosts. Nur Ereignisse aus dem Juniper ATP-Cloud-Feed beeinflussen die Host-Bedrohungsbewertungen.

Gehen Sie wie folgt vor, um die verfügbaren Feeds zu aktivieren:

  1. Navigieren Sie zu Konfiguration > Feeds konfigurieren > SecIntel Feeds.

  2. Wählen Sie für jeden Feed die Umschalttaste aus, um den Feed zu aktivieren. Siehe die Richtlinien in Tabelle 1.

    Hinweis:

    Der Feed "Infizierte Hosts" ist für alle Lizenzstufen aktiviert. Lizenzierungsinformationen zu allen anderen Juniper SecIntel-Feeds finden Sie unter Software-Lizenzen für ATP-Cloud.

    Klicken Sie auf den Link Zur Feed-Website , um Feed-Informationen, einschließlich des Inhalts des Feeds, anzuzeigen.

    Tabelle 1: SecIntel-Feeds

    Feld

    Richtlinien
    Bedrohungs-Feeds von Juniper

    Command and Control

    Zeigt an, ob der C&C-Feed aktiviert ist oder nicht.

    Bösartige Domains

    Zeigt an, ob der DNS-Feed aktiviert ist oder nicht.

    Infizierter Host-Feed

    Zeigt an, ob der infizierte Host-Feed aktiviert ist oder nicht.
    Bedrohungs-Feeds von Drittanbietern

    IP-Bedrohungs-Feeds

    Sperrliste

    Klicken Sie auf die Umschaltschaltfläche, um Blockierlisten-Feeds als Drittanbieter-Feeds zu aktivieren.

    Vordefinierter Cloud-Feed-Name— cc_ip_blocklist.

    Threatfox IP

    Klicken Sie auf die Umschaltfläche, um Threatfox-Feeds als Drittanbieter-Feeds zu aktivieren.

    Vordefinierter Name Cloud Feeds – cc_ip_threatfox.

    Feodo Tracker

    Klicken Sie auf die Umschaltfläche, um Feodo-Feeds als Drittanbieter-Feeds zu aktivieren.

    Vordefinierter Cloud Feedname— cc_ip_feodotracker.

    DShield

    Klicken Sie auf die Umschaltfläche, um DShield-Feeds als Drittanbieter-Feeds zu aktivieren.

    Vordefinierter Name Cloud Feed— cc_ip_dhield.

    Tor

    Klicken Sie auf die Umschaltschaltfläche, um Tor-Feeds als Drittanbieter-Feeds zu aktivieren.

    Vordefinierter Cloud Feedname— cc_ip_tor.

    URL-Bedrohungs-Feeds

    Threatfox URL

    Klicken Sie auf die Umschaltfläche, um den Threatfox-Feed als Drittanbieter-Feeds zu aktivieren. ThreatFox ist eine kostenlose Plattform von abuse.ch mit dem Ziel, Indicators of Compromise (IoC) im Zusammenhang mit Malware mit der Infosec-Community, Antiviren-Anbietern und Threat-Intelligence-Anbietern zu teilen. Der IOC kann eine IP-Adresse, ein Domänenname oder eine URL sein.

    Vordefinierter Name Cloud Feeds – cc_url_threatfox.

    URLhaus URL Threat Feed

    Klicken Sie auf die Umschaltfläche, um URLhaus-Feeds als Drittanbieter-Feeds zu aktivieren. URLhaus ist ein Bedrohungserkennungs-Feed, der bösartige URLs weitergibt, die zur Verbreitung von Malware verwendet werden.

    Vordefinierter Cloud Feedname— cc_url_urlhaus.

    Phishing öffnen

    Klicken Sie auf die Umschaltschaltfläche, um OpenPhish-Feeds als Drittanbieter-Feeds zu aktivieren. OpenPhish ist eine vollautomatische, in sich geschlossene Plattform für Phishing-Intelligenz. Es identifiziert Phishing-Sites und führt Intelligence-Analysen in Echtzeit durch, ohne menschliches Eingreifen und ohne externe Ressourcen wie Blocklisten. Zur Überprüfung von Malware analysiert SecIntel den Datenverkehr mithilfe von URLs in diesem Feed.

    Vordefinierter Cloud-Feed-Name— cc_url_openphish.

    Domain-Bedrohungs-Feeds

    Threatfox Domains

    Klicken Sie auf die Umschaltfläche, um den Threatfox-Feed als Drittanbieter-Feeds zu aktivieren.

    Vordefinierter Name Cloud Feeds – cc_domain_threatfox.
    Dynamische Adressgruppen-Feeds

    DAG-Feeds von Juniper

    GeoIP-Feed

    Zeigt an, ob der GeoIP-Feed aktiviert ist oder nicht. GeoIP-Feed ist eine aktuelle Zuordnung von IP-Adressen zu geografischen Regionen. Auf diese Weise können Sie den Datenverkehr von und zu bestimmten Regionen der Welt filtern.

    DAG-Feeds von Drittanbietern

    Büro365

    Klicken Sie auf die Umschaltfläche, um den Office365-IP-Filterfeed als Drittanbieterfeed zu aktivieren. Der Office365-IP-Filterfeed ist eine aktuelle Liste veröffentlichter IP-Adressen für Office 365-Dienstendpunkte, die Sie in Sicherheitsrichtlinien verwenden können. Dieser Feed funktioniert anders als die anderen auf dieser Seite und erfordert bestimmte Konfigurationsparameter, einschließlich des vordefinierten Cloud Feednamens "ipfilter_office365". Weitere Anweisungen finden Sie unten auf dieser Seite, einschließlich der set security dynamic-address Verwendung des Befehls für die Verwendung dieses Feeds.

    Vordefinierter Name Cloud Feed— ipfilter_office365

    Facebook (Englisch)

    Klicken Sie auf die Umschalttaste, um Feeds von Facebook zu aktivieren.

    Vordefinierter Cloud-Feed-Name— ipfilter_facebook

    von Google

    Klicken Sie auf die Umschaltfläche, um Feeds von Google zu aktivieren.

    Vordefinierter Cloud-Feed-Name— ipfilter_google

    Atlassian

    Klicken Sie auf die Umschaltfläche, um Feeds von Atlassian zu aktivieren.

    Vordefinierter Cloud Feedname— ipfilter_atlassian

    Zscaler

    Klicken Sie auf die Umschaltschaltfläche, um Feeds von Zscaler zu aktivieren.

    Vordefinierter Cloud-Feed-Name— ipfilter_zscaler

    zpa zscaler

    Klicken Sie auf die Umschaltfläche, um Feeds von Zscaler Private Access (ZPA) zu aktivieren. Der ZPA-Dienst bietet sicheren Zugriff auf die Anwendungen und Dienste in Ihrer Organisation.

    Vordefinierter Cloud Feedname— ipfilter_zscaler_zpa

    OracleOCI

    Klicken Sie auf die Umschaltschaltfläche, um Feeds von Oracle OCI zu aktivieren.

    Vordefinierter Name Cloud Feed— ipfilter_oracleoci

    Cloudflare (englisch)

    Klicken Sie auf die Umschaltfläche, um Feeds von Cloudflare zu aktivieren.

    Vordefinierter Cloud-Feed-Name— ipfilter_cloudflare

    zoomen

    Klicken Sie auf die Umschalttaste, um Feeds von Zoom zu aktivieren.

    Vordefinierter Cloud-Feed-Name— ipfilter_zoom

    MicrosoftAzure

    Klicken Sie auf die Umschaltfläche, um Feeds von Microsoft Azure zu aktivieren.

    Vordefinierter Name Cloud Feed— ipfilter_microsoftazure

    Sie können die DAG-Feeds aus Azure-Regionen und -Diensten filtern und anzeigen, die für Sie relevant sind. Um DAG-Filter für Azure-Feeds zu konfigurieren, klicken Sie auf Konfigurieren, und befolgen Sie die Anweisungen unter Hinzufügen und Verwalten von DAG-Filtern.

    Amazonaws

    Klicken Sie auf die Umschaltfläche, um Feeds von AWS zu aktivieren.

    Vordefinierter Cloud Feedname – ipfilter_amazonaws

    Sie können die DAG-Feeds aus AWS-Regionen und -Services filtern und anzeigen, die für Sie relevant sind. Um DAG-Filter für AWS-Feeds zu konfigurieren, klicken Sie auf Konfigurieren und befolgen Sie die Anweisungen unter Hinzufügen und Verwalten von DAG-Filtern.

    Okta

    Klicken Sie auf die Umschalttaste, um Feeds von Okta zu aktivieren.

    Vordefinierter Name Cloud Feed— ipfilter_okta

    PayPal

    Klicken Sie auf die Umschaltfläche, um Feeds von PayPal zu aktivieren.

    Vordefinierter Name des Cloud-Feeds – ipfilter_PayPal
    Hinweis:

    • Ab Junos OS Version 19.4R1 werden URL-Feeds von Drittanbietern in der Juniper ATP Cloud unterstützt.

    • Da Ransomware Tracker und Malware Domain List veraltet sind, werden die IP-Feeds von Ransomware Tracker und Malware Domain List in der Juniper ATP Cloud nicht unterstützt. Wenn Sie diesen Feed früher aktiviert hatten, erhalten Sie diese Feeds möglicherweise nicht mehr.

    • Das Aktualisierungsintervall für einen Internetservice-Feed eines Drittanbieters beträgt einen Tag.

  3. Wie andere C&C- und infizierte Host-Feeds erfordern auch aktivierte Feeds von Drittanbietern eine SecIntel-Richtlinie auf der Firewall der SRX-Serie, um zu funktionieren. Beispielbefehle finden Sie hier. Weitere Informationen finden Sie im Juniper Advanced Threat Prevention Cloud CLI-Referenzhandbuch .

    Konfigurieren Sie auf der Firewall der SRX-Serie ein SecIntel-Profil

    set services security-intelligence profile secintel_profile category CC

    set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

    set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

    set services security-intelligence profile secintel_profile rule secintel_rule then action block close

    set services security-intelligence profile secintel_profile rule secintel_rule then log

    set services security-intelligence profile secintel_profile default-rule then action permit

    set services security-intelligence profile secintel_profile default-rule then log

    set services security-intelligence profile ih_profile category Infected-Hosts

    set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

    set services security-intelligence profile ih_profile rule ih_rule then action block close

    set services security-intelligence profile ih_profile rule ih_rule then log

    set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

    set services security-intelligence policy secintel_policy CC secintel_profile

  4. Die SecIntel-Richtlinie muss auch zu einer Firewall-Richtlinie der SRX-Serie hinzugefügt werden.

    Konfigurieren Sie auf der Firewall der SRX-Serie eine Sicherheitsrichtlinie. Geben Sie die folgenden Befehle ein, um eine Sicherheitsrichtlinie auf der Firewall der SRX-Serie für die Inspektionsprofile zu erstellen.

    set security policies from-zone trust to-zone untrust policy 1 match source-address any

    set security policies from-zone trust to-zone untrust policy 1 match destination-address any

    set security policies from-zone trust to-zone untrust policy 1 match application any

    set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

    set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

    Weitere Informationen zur Konfiguration der SRX-Serie mit Juniper ATP Cloud mithilfe der verfügbaren CLI-Befehle finden Sie im CLI-Referenzhandbuch zu Juniper Advanced Threat Prevention Cloud.

Verwenden des Office365-Feeds

  1. Aktivieren Sie das KontrollkästchenVerwenden des Office365-Feeds in der Juniper ATP-Cloud, um Informationen zum Microsoft Office 365-Service-Endgerät (IP-Adressen) an die Firewall der SRX-Serie zu übertragen. Der Office365-Feed funktioniert anders als andere Feeds auf dieser Seite und erfordert bestimmte Konfigurationsparameter, einschließlich eines vordefinierten Namens "ipfilter_office365".

  2. Nachdem Sie das Kontrollkästchen aktiviert haben, müssen Sie ein dynamisches Adressobjekt auf der SRX-Serie Firewall erstellen, das wie folgt auf den ipfilter_office365-Feed verweist:

    set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

    Hinweis:

    Eine Sicherheitsrichtlinie kann dann auf den dynamischen Adresseintragsnamen (in diesem Beispiel "office365") in der Quell- oder Zieladresse verweisen.

    Ein Beispiel für eine Sicherheitsrichtlinie lautet wie folgt:

Verwenden Sie den folgenden Befehl, um zu überprüfen, ob der Office365-Feed an die Firewall der SRX-Serie gepusht wurde. Update Status sollte anzeigen Store succeeded..

show services security-intelligence category summary

Mit dem folgenden Befehl können Sie alle einzelnen Feeds unter IPFILTER anzeigen.

show security dynamic-address category-name IPFilter

Zugehörige Dokumentation