Erstellen von Zulassungslisten und Sperrlisten
Greifen Sie über " oder " auf diese Seiten zu.
Verwenden Sie diese Seiten, um benutzerdefinierte vertrauenswürdige und nicht vertrauenswürdige Listen zu konfigurieren. Sie können auch Hash-Dateien hochladen.
Inhalte, die von Speicherorten auf der Zulassungsliste heruntergeladen werden, sind vertrauenswürdig und müssen nicht auf Malware überprüft werden. Hosts können keine Inhalte von Speicherorten auf der Blockierliste herunterladen, da diese Speicherorte nicht vertrauenswürdig sind.
-
Lesen Sie das Thema Übersicht über Zulassungslisten und Sperrlisten .
-
Entscheiden Sie sich für die Art des Elements, das Sie definieren möchten: URL, IP, Hash, E-Mail-Absender, C&C, ETI oder DNS.
-
Überprüfen Sie die aktuellen Listeneinträge, um sicherzustellen, dass das Element, das Sie hinzufügen, nicht vorhanden ist.
-
Wenn Sie Hashdateien hochladen, müssen sich die Dateien in einer Textdatei (TXT) befinden, wobei sich jeder Hash in einer eigenen Zeile befindet.
So erstellen Sie Juniper ATP-Cloud-Zulassungslisten:
Wählen Sie aus.
Wählen Sie einen der Typen aus, die unter Unterstützte Typen für Zulassungslisten aufgeführt sind.
Tabelle 1: Unterstützte Typen für Zulassungslisten Art
Information
Anti-Malware
IP-Adresse, URL, Datei-Hash und E-Mail-Absender
SecIntel
C&C IP-Adresse und -Domain
ETI
IP-Adresse und Hostname
DNS
Domänen
Umgekehrte Schale
Ziel-IP-Adressen und -Domänen
Anmerkung:Domäne bezieht sich auf einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).
Geben Sie die erforderlichen Informationen ein.
Klicken Sie auf OK.
So erstellen Sie Juniper ATP-Cloud-Blocklisten:
Wählen Sie aus.
Wählen Sie einen der Typen aus, die unter Unterstützte Typen in Blocklisten aufgeführt sind.
Tabelle 2: Unterstützte Typen in Blocklisten Art
Information
Anti-Malware
IP-Adresse, URL, Datei-Hash und E-Mail-Absender
SecIntel
C&C IP-Adresse und -Domain
Geben Sie die erforderlichen Informationen ein.
Klicken Sie auf OK.
In den folgenden Tabellen finden Sie die Daten, die für die einzelnen Typen erforderlich sind.
IP
Wenn Sie ein IP-Listenelement erstellen, müssen Sie den Listentyp als IP auswählen. Sie müssen die erforderlichen Informationen eingeben. Weitere Informationen finden Sie in der folgenden Tabelle.
| Einstellung |
Richtlinie |
|---|---|
| IP |
Geben Sie die IPv4- oder IPv6-IP-Adresse ein. Beispiel: 1.2.3.4 oder 0:0:0:0:0:0:FFFF:0102:0304. CIDR-Notation und IP-Adressbereiche werden ebenfalls akzeptiert. Jedes der folgenden IPv4-Formate ist gültig: 1.2.3.4, 1.2.3.4/30 oder 1.2.3.4-1.2.3.6. Jedes der folgenden IPv6-Formate ist gültig: 1111::1, 1111::1-1111::9 oder 1111:1::0/64.
Anmerkung:
Adressbereiche: Es werden nicht mehr als ein Block von /16 IPv4-Adressen und /48 IPv6-Adressen akzeptiert. Beispielsweise ist 10.0.0.0-10.0.255.255 gültig, 10.0.0.0-10.1.0.0 jedoch nicht. Bitmasken: Die maximale Anzahl von IP-Adressen, die von der Bitmaske in einem Subnetzeintrag abgedeckt werden, beträgt für IPv4 16 und für IPv6 48. Beispielsweise sind 10.0.0.0/15 und 1234::/47 ungültig. |
|
Anmerkung:
Um einen IP-Eintrag für die Zulassungs- oder Sperrliste zu bearbeiten, aktivieren Sie das Kontrollkästchen neben dem Eintrag, den Sie bearbeiten möchten, klicken Sie auf das Stiftsymbol und dann auf OK. |
|
Internetadresse
Wenn Sie ein URL-Listenelement erstellen, müssen Sie den Listentyp auswählen: URL. Geben Sie die erforderlichen Informationen ein. Weitere Informationen finden Sie in der folgenden Tabelle.
| Einstellung |
Richtlinie |
|---|---|
| Internetadresse |
Geben Sie die URL im folgenden Format ein: juniper.net. Platzhalter und Protokolle sind keine gültigen Einträge. Das System fügt automatisch einen Platzhalter an den Anfang und das Ende von URLs an. Daher stimmt juniper.net auch mit a.juniper.net, a.b.juniper.net und a.juniper.net/abc überein. Wenn Sie a.juniper.net explizit eingeben, stimmt es mit b.a.juniper.net überein, aber nicht mit c.juniper.net. Sie können einen bestimmten Pfad eingeben. Wenn Sie juniper.net/abc eingeben, stimmt es mit x.juniper.net/abc überein, aber nicht mit x.juniper.net/123. |
|
Anmerkung:
Um einen vorhandenen Zulassungslisten- oder Sperrlisten-URL-Eintrag zu bearbeiten, aktivieren Sie das Kontrollkästchen neben dem Eintrag, den Sie bearbeiten möchten, klicken Sie auf das Stiftsymbol und dann auf OK. |
|
Hash-Datei
Wenn Sie eine Hash-Datei hochladen, muss sie sich in einer TXT befinden, wobei sich jeder Hash in einer eigenen Zeile befindet. Sie können nur eine ausgeführte Hashdatei haben. Informationen zum Hinzufügen oder Bearbeiten finden Sie in den Anweisungen in der folgenden Tabelle.
| Feld |
Richtlinie |
|---|---|
| Sie können benutzerdefinierte Zulassungslisten- und Blocklisten-Hashes zum Filtern hinzufügen, aber diese Hashes müssen in einem TXT mit jedem Eintrag in einer einzigen Zeile aufgeführt werden. Sie können nur eine ausgeführte Hash-Datei mit bis zu 15.000 Datei-Hashes haben. Diese Datei enthält die "aktuelle" Liste, aber Sie können sie jederzeit hinzufügen, bearbeiten und löschen. |
|
| SHA-256 Hash-Element |
Um Hash-Einträge zu ergänzen, können Sie mehrere TXTs hochladen, die automatisch zu einer Datei zusammengefasst werden. Alle Optionen zum Zusammenführen, Löschen und Ersetzen finden Sie unten. Herunterladen: Klicken Sie auf diese Schaltfläche, um die TXT herunterzuladen, wenn Sie sie anzeigen oder bearbeiten möchten. Sie können eine der folgenden Optionen aus der Dropdown-Liste Upload-Option für Hashdateielemente auswählen auswählen:
Alle löschen oder Auswahl löschen: Manchmal ist es effizienter, die aktuelle Liste zu löschen, als sie herunterzuladen und zu bearbeiten. Klicken Sie auf diese Schaltfläche, um die aktuell ausgewählte Liste oder alle Listen zu löschen, die hier hinzugefügt und angesammelt wurden. |
| Quelle |
Dies besagt entweder "Zulassungsliste" oder "Sperrliste". |
| hinzugefügt am: |
Der Monat, das Datum, das Jahr und die Uhrzeit, zu der die Hash-Datei zuletzt hochgeladen oder bearbeitet wurde. |
E-Mail-Absender
Fügen Sie E-Mail-Adressen hinzu, die auf die Zulassungs- oder Sperrliste gesetzt werden sollen, wenn sie entweder im Absender oder Empfänger einer E-Mail-Kommunikation enthalten sind. Fügen Sie Adressen nacheinander hinzu, indem Sie das + -Symbol verwenden.
| Feld |
Richtlinie |
|---|---|
| E-Mail-Adresse |
Geben Sie eine E-Mail-Adresse im Format name@domain.com ein. Platzhalter und Teilübereinstimmungen werden nicht unterstützt, aber wenn Sie eine ganze Domäne einschließen möchten, können Sie nur die Domäne wie folgt eingeben: domain.com |
| Wenn eine E-Mail mit der Blockierungsliste übereinstimmt, wird sie als bösartig eingestuft und auf die gleiche Weise behandelt wie eine E-Mail mit einem bösartigen Anhang. Die E-Mail wird blockiert und eine Ersatz-E-Mail gesendet. Wenn eine E-Mail mit der Zulassungsliste übereinstimmt, wird diese E-Mail ohne Überprüfung durchgelassen. Weitere Informationen finden Sie unter Übersicht über isolierte E-Mails. Es ist erwähnenswert, dass Angreifer die "Von"-E-Mail-Adresse einer E-Mail leicht fälschen können, was Blocklisten zu einer weniger effektiven Methode macht, um bösartige E-Mails zu stoppen. |
|
C&C Server
Wenn Sie einen C&C-Server auf die Zulassungsliste setzen, erhalten die Firewalls der SRX-Serie die IP- oder den Hostnamen. Die Firewalls schließen es dann von allen SecIntel-Blocklisten oder C&C-Feeds aus, einschließlich des globalen Bedrohungs-Feeds von Juniper und von Drittanbieter-Feeds. Der Server wird jetzt auch auf der Seite zur Verwaltung der C&C-Zulassungsliste aufgeführt.
Sie können C&C-Serverdaten manuell eingeben oder eine Liste von Servern hochladen. Bei dieser Liste muss es sich um eine TXT mit jeder IP oder Domäne in einer eigenen Zeile handeln. Die TXT muss alle IPs oder alle Domänen enthalten, jede in einer eigenen Datei. Sie können mehrere Dateien nacheinander hochladen.
Sie können Zulassungslisten- und Blocklisteneinträge auch mithilfe der Threat Intelligence API verwalten. Wenn Sie Einträge zu den Zulassungslisten-/Blocklistendaten hinzufügen, sind diese in der Threat Intelligence-API unter den folgenden Feednamen verfügbar: "whitelist_domain" oder "whitelist_ip" und "blacklist_domain" oder "blacklist_ip". Weitere Informationen zur Verwendung der API zur Verwaltung von benutzerdefinierten Feeds finden Sie im Einrichtungsleitfaden für Juniper ATP Cloud Threat Intelligence Open API .
| Feld |
Richtlinie |
|---|---|
| Art |
Wählen Sie IP aus, um die IP-Adresse eines C&C-Servers einzugeben, den Sie der Zulassungsliste hinzufügen möchten. Wählen Sie Domäne aus, um eine gesamte Domäne auf die Zulassungsliste der C&C-Server zu setzen. |
| IP oder Domäne |
Geben Sie unter IP eine IPv4- oder IPv6-Adresse ein. Eine IP-Adresse kann eine IP-Adresse, ein IP-Bereich oder ein IP-Subnetz sein. Verwenden Sie für die Domäne die folgende Syntax: juniper.net. Platzhalter werden nicht unterstützt. |
| Beschreibung |
Geben Sie eine Beschreibung ein, die angibt, warum ein Element zur Liste hinzugefügt wurde. |
| Sie können C&C-Server auch direkt über die Detailansicht der C&C-Überwachungsseite auf die Zulassungsliste setzen. Weitere Informationen finden Sie unter Command and Control-Server: Weitere Informationen.
Warnung:
Das Hinzufügen eines C&C-Servers zur Zulassungsliste löst automatisch einen Korrekturprozess aus, um alle betroffenen Hosts (in diesem Bereich) zu aktualisieren, die den gelisteten C&C-Server kontaktiert haben. Alle C&C-Ereignisse, die sich auf diesen Server auf der Zulassungsliste beziehen, werden aus den Ereignissen der betroffenen Hosts entfernt, und es wird eine Neuberechnung der Host-Bedrohungsstufe durchgeführt. Wenn sich die Hostbewertung während dieser Neuberechnung ändert, wird ein neues Hostereignis angezeigt, das beschreibt, warum sie neu bewertet wurde. Beispiel: "Host-Bedrohungsstufe aktualisiert, nachdem C&C-Server 1.2.3.4 gelöscht wurde". Außerdem wird der Server nicht mehr in der Liste der C&C-Server angezeigt, da er gelöscht wurde. |
|
Einblick in verschlüsselten Datenverkehr (ETI)
Sie können die IP-Adresse oder die Domänennamen angeben, die Sie für die Analyse des verschlüsselten Datenverkehrs auf die Zulassungsliste setzen möchten. Verwenden Sie diese Registerkarte, um die Zulassungslisten für die Analyse des verschlüsselten Datenverkehrs hinzuzufügen, zu ändern oder zu löschen.
| Feld |
Richtlinie |
|---|---|
| Art |
Wählen Sie aus, ob Sie die IP-Adresse oder den Domänennamen für die Zulassungsliste angeben möchten. |
| IP oder Domäne |
Geben Sie die IP-Adresse oder den Domänennamen für die Zulassungsliste ein. |
Domainnamensystem (DNS)
Sie können die Domänen angeben, die Sie über die DNS-Filterung auf die Zulassungsliste setzen möchten. Verwenden Sie diese Registerkarte, um die Zulassungslisten für die DNS-Filterung hinzuzufügen, zu ändern oder zu löschen.
| Feld |
Richtlinie |
|---|---|
| Internetadresse |
Geben Sie die URL für die Domäne ein, die Sie auf die Zulassungsliste setzen möchten. |
| Kommentare |
Geben Sie eine Beschreibung ein, die angibt, warum die Domäne der Liste hinzugefügt wurde. |
Umgekehrte Schale
Sie können die IP-Adressen oder Domänen angeben, die Sie für die Reverse-Shell-Erkennung auf die Zulassungsliste setzen möchten. Verwenden Sie diese Registerkarte, um die Zulassungslisten für die Reverse-Shell-Erkennung hinzuzufügen, zu ändern oder zu löschen.
| Feld |
Richtlinie |
|---|---|
| IP |
Geben Sie die IP-Adresse für die Zulassungsliste ein. |
| Internetadresse |
Geben Sie die URL für die Domäne ein, die Sie auf die Zulassungsliste setzen möchten. |
Juniper ATP Cloud fragt regelmäßig neue und aktualisierte Inhalte ab und lädt diese automatisch auf Ihre Firewall der SRX-Serie herunter. Sie müssen Ihre Zulassungslisten- oder Blocklistendateien nicht manuell pushen.