Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Erstellen von Zulassungs- und Sperrlisten

Rufen Sie diese Seiten über Konfigurieren > Zulassungslisten oder Konfigurieren > Blocklisten auf.

Verwenden Sie diese Seiten, um benutzerdefinierte vertrauenswürdige und nicht vertrauenswürdige Listen zu konfigurieren. Sie können auch Hash-Dateien hochladen.

Inhalte, die von Speicherorten auf der Zulassungsliste heruntergeladen werden, sind vertrauenswürdig und müssen nicht auf Malware überprüft werden. Hosts können keine Inhalte von Speicherorten auf der Blockierliste herunterladen, da diese Speicherorte nicht vertrauenswürdig sind.

Bevor Sie beginnen

  • Lesen Sie das Thema Übersicht über Zulassungs- und Sperrlisten .

  • Entscheiden Sie sich für den Elementtyp, den Sie definieren möchten:

    • URL

    • IP (IP)

    • Datei-Hash

    • E-Mail-Absender

    • KI-PTP

    • C&C

    • ETI

    • DNS (Englisch)

  • Überprüfen Sie aktuelle Listeneinträge, um sicherzustellen, dass das Element, das Sie hinzufügen, nicht vorhanden ist.

  • Wenn Sie Hash-Dateien hochladen, müssen sich die Dateien in einer Textdatei (TXT) befinden, wobei jeder Hash in einer eigenen Zeile steht.

Zulassungslisten erstellen

  1. Wählen Sie > Zulassungslisten konfigurieren aus.

  2. Wählen Sie einen der Typen aus, die in den Zulassungslisten Unterstützte Typen erwähnt werden.

    Tabelle 1: Unterstützte Typen von Zulassungslisten

    Typ

    Informationen

    Anti-Malware

    IP-Adresse, URL, Dateihash, E-Mail-Absender und KI-PTP

    SecIntel

    C&C IP-Adresse und -Domain

    ETI

    IP-Adresse und Hostname

    DNS (Englisch)

    Domänen

    Reverse Shell

    Ziel-IP-Adressen und -Domänen
    Hinweis:

    Domäne bezieht sich auf einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN).

  3. Geben Sie die erforderlichen Informationen ein.

  4. Klicken Sie auf OK.

Erstellen von Blocklisten

  1. Wählen Sie > Sperrlisten konfigurieren aus.

  2. Wählen Sie einen der Typen aus, die unter Unterstützte Typen von Blocklisten erwähnt werden.

    Tabelle 2: Unterstützte Blocklistentypen

    Typ

    Informationen

    Anti-Malware

    IP-Adresse, URL, Datei-Hash und E-Mail-Absender

    SecIntel

    C&C IP-Adresse und -Domain

  3. Geben Sie die erforderlichen Informationen ein.

  4. Klicken Sie auf OK.

In den folgenden Tabellen finden Sie die Daten, die für jeden Typ erforderlich sind.

IP (IP)

Wenn Sie ein IP-Listenelement erstellen, müssen Sie den Listentyp als IP auswählen. Sie müssen die erforderlichen Informationen eingeben. Siehe folgende Tabelle.

Tabelle 3: IP-Konfiguration

Einstellung

Leitlinie

IP (IP)

Geben Sie die IPv4- oder IPv6-IP-Adresse ein. Zum Beispiel: 1.2.3.4 oder 0:0:0:0:0:0:ffff:0102:0304. Die CIDR-Notation und IP-Adressbereiche werden ebenfalls akzeptiert.

Jedes der folgenden IPv4-Formate ist gültig: 1.2.3.4, 1.2.3.4/30 oder 1.2.3.4-1.2.3.6.

Jedes der folgenden IPv6-Formate ist gültig: 1111::1, 1111::1-1111::9 oder 1111:1::0/64.

Hinweis:

Adressbereiche: Es werden nicht mehr als ein Block von /16 IPv4-Adressen und /48 IPv6-Adressen akzeptiert. Beispielsweise ist 10.0.0.0-10.0.255.255 gültig, aber 10.0.0.0-10.1.0.0 nicht.

Bitmasken: Die maximale Anzahl von IP-Adressen, die von einer Bitmaske in einem Subnetzeintrag abgedeckt werden, beträgt für IPv4 16 und für IPv6 48. Beispielsweise sind 10.0.0.0/15 und 1234::/47 ungültig.
Hinweis:

Um einen IP-Eintrag auf der Zulassungs- oder Sperrliste zu bearbeiten, aktivieren Sie das Kontrollkästchen neben dem Eintrag, den Sie bearbeiten möchten, klicken Sie auf das Stiftsymbol und dann auf OK.

URL

Wenn Sie ein URL-Listenelement erstellen, müssen Sie den Listentyp auswählen: URL. Geben Sie die erforderlichen Informationen ein. Siehe folgende Tabelle.

Tabelle 4: URL-Konfiguration

Einstellung

Leitlinie

URL

Geben Sie die URL im folgenden Format ein: juniper.net. Platzhalter und Protokolle sind keine gültigen Einträge. Das System fügt automatisch einen Platzhalter am Anfang und Ende von URLs hinzu. Daher passt juniper.net auch zu a.juniper.net, a.b.juniper.net und a.juniper.net/abc. Wenn Sie explizit a.juniper.net eingeben, stimmt es mit b.a.juniper.net überein, aber nicht mit c.juniper.net. Sie können einen bestimmten Pfad eingeben. Wenn Sie juniper.net/abc eingeben, stimmt es mit x.juniper.net/abc überein, aber nicht mit x.juniper.net/123.

Um einen URL-Eintrag auf der Zulassungs- oder Sperrliste zu bearbeiten, aktivieren Sie das Kontrollkästchen neben dem Eintrag, den Sie bearbeiten möchten, klicken Sie auf das Stiftsymbol und dann auf OK.

Datei-Hash

Wenn Sie eine Hash-Datei hochladen, muss sie sich in einer TXT befinden, wobei jeder Hash in einer eigenen Zeile steht. Sie können nur eine Hash-Datei ausführen. Informationen zum Hinzufügen oder Bearbeiten finden Sie in den Anweisungen in der folgenden Tabelle.

Tabelle 5: Konfiguration für das Hochladen und Bearbeiten von Hash-Dateien

Feld

Leitlinie

Sie können benutzerdefinierte Hashes für die Zulassungs- und Blockliste zum Filtern hinzufügen, aber diese Hashes müssen in einer TXT mit jedem Eintrag in einer einzelnen Zeile aufgeführt werden. Sie können nur eine Hashdatei mit bis zu 15.000 Dateihashes ausführen. Diese Datei enthält die "aktuelle" Liste, aber Sie können sie jederzeit hinzufügen, bearbeiten und löschen.

SHA-256 Hash-Element

Um Hash-Einträge hinzuzufügen, können Sie mehrere TXT-Dateien hochladen und diese Dateien werden automatisch zu einer Datei kombiniert. Alle Optionen zum Zusammenführen, Löschen und Ersetzen finden Sie unten.

Herunterladen: Klicken Sie auf diese Schaltfläche, um die TXT herunterzuladen, wenn Sie sie anzeigen oder bearbeiten möchten.

Sie können eine der folgenden Optionen aus der Dropdown-Liste Upload-Option für Hashdateielemente auswählen auswählen:

  • Aktuelle Liste ersetzen (Replace current list) – Verwenden Sie diese Option, wenn Sie die vorhandene Liste ändern, aber nicht vollständig löschen möchten. Laden Sie die vorhandene Datei herunter, bearbeiten Sie sie, und laden Sie sie dann erneut hoch.

  • Mit aktueller Liste zusammenführen: Verwenden Sie diese Option, wenn Sie eine neue TXT hochladen und diese mit der vorhandenen TXT-Datei kombinieren möchten. Die Hashes in beiden Dateien bilden zusammen eine Textdatei, die alle Hashes enthält.

  • Aus aktueller Liste löschen (Delete from current list) – Verwenden Sie diese Option, wenn Sie nur einen Teil der aktuellen Liste löschen möchten. In diesem Fall erstellen Sie eine TXT-Datei, die nur die Hashes enthält, die Sie aus der aktuellen Liste entfernen möchten. Laden Sie die Datei mit dieser Option hoch, und nur die Hashes in der hochgeladenen Datei werden aus der aktuell aktiven Liste gelöscht.

Alle löschen oder Auswahl löschen: Manchmal ist es effizienter, die aktuelle Liste zu löschen, als sie herunterzuladen und zu bearbeiten. Klicken Sie auf diese Schaltfläche, um die aktuell ausgewählte Liste oder alle Listen zu löschen, die hier hinzugefügt und gesammelt wurden.

Quelle

Dieses Feld gibt entweder die Zulassungsliste oder die Sperrliste an.

Datum hinzugefügt

Monat, Datum, Jahr und Uhrzeit des letzten Hochladens oder Bearbeitens der Hashdatei.

E-Mail-Absender

Fügen Sie E-Mail-Adressen hinzu, die auf die Zulassungs- oder Sperrliste gesetzt werden sollen, wenn sie entweder im Absender oder Empfänger einer E-Mail-Kommunikation gefunden werden. Fügen Sie Adressen nacheinander mit dem + -Symbol hinzu.

Tabelle 6: Konfiguration des E-Mail-Absenders

Feld

Leitlinie

E-Mail-Adresse

Geben Sie eine E-Mail-Adresse im Format name@domain.com ein. Platzhalter und Teilübereinstimmungen werden nicht unterstützt, aber wenn Sie eine ganze Domäne einschließen möchten, können Sie nur die Domäne wie folgt eingeben: domain.com

Wenn eine E-Mail mit der Sperrliste übereinstimmt, wird sie als bösartig angesehen und genauso behandelt wie eine E-Mail mit einem bösartigen Anhang. Die E-Mail wird blockiert und eine Ersatz-E-Mail wird gesendet. Wenn eine E-Mail mit der Zulassungsliste übereinstimmt, wird diese E-Mail ohne Scannen durchgelassen. Siehe Übersicht über isolierte E-Mails.

Es ist erwähnenswert, dass Angreifer die "Von"-E-Mail-Adresse einer E-Mail leicht fälschen können, was Blocklisten zu einer weniger effektiven Methode macht, um bösartige E-Mails zu stoppen.

KI-PTP

Die KI-gestützte prädiktive Threat Prevention von Juniper Networks ist eine fortschrittliche Lösung zur Erkennung und Prävention von Malware, die Ihr Netzwerk vor Bedrohungen schützt, die von Benutzern ausgehen, die von verschiedenen Standorten aus auf Unternehmensressourcen zugreifen und im Internet zu vielen Zielen surfen. Diese intelligente Sicherheitslösung, die auf KI und ML basiert, verbessert die Fähigkeit, echte Bedrohungen schneller vorherzusagen und zu identifizieren, sodass sich menschliche Experten auf strategische Sicherheitsinitiativen konzentrieren können.

Weitere Informationen zu KI-gestützte prädiktive Threat Prevention (KI-PTP) finden Sie unter Übersicht über KI-gestützte prädiktive Threat Prevention.

Auf der Registerkarte KI-PTP können Sie KI-PTP-Signaturen in den Zulassungslisten hinzufügen, ersetzen, zusammenführen oder löschen. Sie können die Dateisignaturen, die als falsch positiv identifiziert wurden, zu den Zulassungslisten hinzufügen. Dieser Prozess schließt die angegebenen Signaturen von der Malware-Prüfung durch die Firewalls der SRX-Serie aus.

So fügen Sie eine Liste von Signaturen hinzu oder bearbeiten sie:

  1. Wählen Sie > Zulassungslisten konfigurieren > ANTI-MALWARE-> KI-PTP aus.

    Die Seite "KI-PTP-Signatur" wird angezeigt.

  2. Wählen Sie eine der folgenden Optionen aus der Dropdown-Liste Option zum Hochladen der Signaturdatei aus:

    • Aktuelle Liste ersetzen: Laden Sie eine Textdatei (TXT) mit einer Liste von Dateisignaturen hoch oder ändern Sie die vorhandene Liste, ohne sie zu löschen. Laden Sie die Datei herunter, bearbeiten Sie sie und laden Sie sie erneut hoch. Sie können mehrere TXT-Dateien hochladen, die automatisch zu einer Datei kombiniert werden.

      Sie können KI-PTP-Signaturen aus den folgenden Quellen beziehen:

      • HTTP-Dateidownloads: Navigieren Sie zu Überwachung > Dateien > HTTP-Dateidownloads.

        Abbildung 1: KI-PTP-Signaturen AI-PTP Signatures

      • E-Mail-Anhänge: Navigieren Sie zu > Dateien > E-Mail-Anhänge überwachen.

      • SMB-Dateidownloads: Navigieren Sie zu Überwachung > Dateien > SMB-Dateidownloads.

      • Syslogs auf Firewalls der SRX-Serie

    • Mit aktueller Liste zusammenführen: Kombiniert eine neue TXT mit der vorhandenen Datei und erstellt eine einzige Datei mit allen Signaturen.

    • Aus aktueller Liste löschen: Bestimmte Signaturen entfernen. Erstellen Sie eine TXT mit den zu entfernenden Signaturen, laden Sie sie hoch, und nur diese Signaturen werden gelöscht.

    Das Fenster Hashliste hochladen wird angezeigt.

  3. Durchsuchen Sie Ihren Computer und wählen Sie die TXT-Datei aus.

  4. Klicken Sie auf OK.

    Die KI-PTP-Signaturen werden den Zulassungslisten hinzugefügt.

    In Tabelle 7 werden die Felder für die KI-PTP-Signatur beschrieben.

    Tabelle 7: KI-PTP-Signaturfelder

    Feld

    Beschreibung

    Unterschrift

    Anzahl der Dateisignaturen, die den Zulassungslisten hinzugefügt wurden

    Datum hinzugefügt

    Datum und Uhrzeit des letzten Hochladens oder Bearbeitens der Dateisignaturenliste.

  5. Klicken Sie auf Herunterladen , um die TXT herunterzuladen, wenn Sie sie anzeigen oder bearbeiten möchten.

  6. Klicken Sie auf Alle löschen , um alle Listen zu löschen, die den Zulassungslisten hinzugefügt wurden.

Verwenden Sie den CLI-Befehl show services advanced-anti-malware signature-exempt-list, um die Liste der Advanced-Anti-Malware-Signaturen (AAMW) anzuzeigen, die den Zulassungslisten auf Firewalls der SRX-Serie hinzugefügt wurden.

Verwenden Sie den Befehl show services anti-virus signature-exempt-listCLI, um die Liste der Antivirensignaturen anzuzeigen, die den Zulassungslisten der Firewalls der SRX-Serie hinzugefügt wurden.

Um die Zulassungslisten für Dateisignaturen auf den Firewalls der SRX-Serie zu löschen, verwenden Sie den Befehl clear services anti-virus signature-exempt-listCLI .

Sie können auch die folgenden CLI-Befehle auf Ihren Firewalls der SRX-Serie ausführen, um Dateisignaturen hinzuzufügen, zu löschen, zu exportieren und zu importieren:

  • request services anti-virus signature-exempt-list add <signature-id>– Dateisignatur-IDs auf Ihrer Firewall der SRX-Serie hinzufügen. Zum Beispiel request services anti-virus signature-exempt-list add J4660909146742838820.

  • request services anti-virus signature-exempt-list delete <signature-id>– Löschen von Dateisignatur-IDs auf Ihrer Firewall der SRX-Serie. Zum Beispiel request services anti-virus signature-exempt-list delete J4660909146742838820.

  • request services anti-virus signature-exempt-list import <txt-file-with-signature-ids>– Importieren Sie eine TXT-Datei, die Signatur-IDs auf Ihrer Firewall der SRX-Serie enthält. Zum Beispiel request services anti-virus signature-exempt-list import /var/tmp/av-exempt-list.txt.

  • request services anti-virus signature-exempt-list export <txt-file-with-signature-ids>– Exportieren Sie TXT-Dateien, die Signatur-IDs von Ihrer Firewall der SRX-Serie enthalten. Zum Beispiel request services anti-virus signature-exempt-list export /var/tmp/av-exempt-list.txt.

C&C Server

Wenn Sie einen C&C-Server auf die Zulassungsliste setzen, erhalten die Firewalls der SRX-Serie die IP oder den Hostnamen. Die Firewalls schließen ihn dann von allen SecIntel-Blocklisten oder C&C-Feeds aus, einschließlich des globalen Bedrohungs-Feeds von Juniper und von Drittanbieter-Feeds. Der Server wird jetzt auch auf der C&C-Seite zur Verwaltung der Zulassungsliste aufgeführt.

Sie können C&C-Serverdaten manuell eingeben oder eine Liste von Servern hochladen. Diese Liste muss eine TXT sein, wobei jede IP oder Domain in einer eigenen Zeile steht. Die TXT muss alle IPs oder alle Domänen enthalten, jede in einer eigenen Datei. Sie können mehrere Dateien gleichzeitig hochladen.

Hinweis:

Sie können auch Einträge auf der Zulassungs- und Blockliste mit der Threat Intelligence API verwalten. Wenn Sie den Zulassungs-/Blocklistendaten Einträge hinzufügen, sind diese Einträge in der Threat Intelligence API unter den folgenden Feednamen verfügbar: "whitelist_domain" oder "whitelist_ip" und "blacklist_domain" oder "blacklist_ip". Weitere Informationen zur Verwendung der API zur Verwaltung benutzerdefinierter Feeds finden Sie im Leitfaden zur Einrichtung offener APIs für Juniper ATP Cloud Threat Intelligence .
Tabelle 8: C&C-Konfiguration

Feld

Leitlinie

Typ

Wählen Sie IP, um die IP-Adresse eines C&C-Servers einzugeben, den Sie der Zulassungsliste hinzufügen möchten. Wählen Sie Domäne aus, um eine gesamte Domäne in der C&C-Serverliste auf die Zulassungsliste zu setzen.

IP oder Domain

Geben Sie als IP eine IPv4- oder IPv6-Adresse ein. Eine IP kann eine IP-Adresse, ein IP-Bereich oder ein IP-Subnetz sein. Verwenden Sie für Domain die folgende Syntax: juniper.net. Platzhalter werden nicht unterstützt.

Beschreibung

Geben Sie eine Beschreibung ein, die angibt, warum ein Element zur Liste hinzugefügt wurde.

Sie können C&C-Server auch direkt über die Detailansicht der C&C-Überwachungsseite auf die Zulassungsliste setzen. Weitere Informationen finden Sie unter Command And Control Servers.

Warnung:

Das Hinzufügen eines C&C-Servers zur Zulassungsliste löst automatisch einen Korrekturprozess aus, um alle betroffenen Hosts (in dieser Organisation) zu aktualisieren, die diesen C&C-Server kontaktiert haben. Alle C&C-Ereignisse im Zusammenhang mit diesem Server auf der Zulassungsliste werden aus den Ereignissen der betroffenen Hosts entfernt, und es wird eine Neuberechnung der Hostbedrohungsstufe durchgeführt.

Wenn sich die Hostbewertung während dieser Neuberechnung ändert, wird ein neues Hostereignis angezeigt, das beschreibt, warum es neu bewertet wurde. Beispiel: "Host-Bedrohungsstufe aktualisiert, nachdem C&C-Server 1.2.3.4 gelöscht wurde". Außerdem wird der Server nicht mehr in der Liste der C&C-Server angezeigt, da er gelöscht wurde.

Einblick in verschlüsselten Datenverkehr (ETI)

Sie können die IP-Adresse oder Domänennamen angeben, die Sie bei der Analyse des verschlüsselten Datenverkehrs zulassen möchten. Auf dieser Registerkarte können Sie die Zulassungslisten für die Analyse des verschlüsselten Datenverkehrs hinzufügen, ändern oder löschen.

Tabelle 9: Konfiguration des verschlüsselten Datenverkehrs

Feld

Leitlinie

Typ

Wählen Sie aus, ob Sie die IP-Adresse oder den Domänennamen für die Zulassungsliste angeben möchten.

IP oder Domain

Geben Sie die IP-Adresse oder den Domänennamen für die Zulassungsliste ein.

Domain Name System (DNS)

Sie können die Domänen angeben, die Sie bei der DNS-Filterung zulassen möchten. Verwenden Sie diese Registerkarte, um die Zulassungslisten für die DNS-Filterung hinzuzufügen, zu ändern oder zu löschen.

Tabelle 10: Domänenkonfiguration

Feld

Leitlinie

URL

Geben Sie die URL für die Domäne ein, die Sie auf die Zulassungsliste setzen möchten.

Kommentare

Geben Sie eine Beschreibung ein, die angibt, warum die Domain der Liste hinzugefügt wurde.

Reverse Shell

Sie können die IP-Adressen oder Domänen angeben, die Sie von der Reverse-Shell-Erkennung zulassen möchten. Verwenden Sie diese Registerkarte, um die Zulassungslisten für die Reverse-Shell-Erkennung hinzuzufügen, zu ändern oder zu löschen.

Tabelle 11: Reverse-Shell-Konfiguration

Feld

Leitlinie

IP (IP)

Geben Sie die IP-Adresse für die Zulassungsliste ein.

URL

Geben Sie die URL für die Domäne ein, die Sie auf die Zulassungsliste setzen möchten.
Hinweis:

Die Juniper ATP-Cloud fragt regelmäßig neue und aktualisierte Inhalte ab und lädt diese automatisch auf Ihre Firewall der SRX-Serie herunter. Sie müssen Ihre Zulassungs- oder Sperrlistendateien nicht manuell pushen.

Zugehörige Dokumentation