Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation et avantages des flux SecIntel

SecIntel collecte des informations sur les menaces soigneusement sélectionnées et vérifiées auprès de :

  • Juniper ATP Cloud

  • Laboratoires de lutte contre les menaces de Juniper

  • Groupe d’adresses dynamiques (DAG)

  • Flux de menaces à la pointe du secteur

SecIntel transmet cette intelligence aux routeurs MX Series, aux pare-feu SRX Series et à la plate-forme de services réseau NFX Series afin de bloquer les communications de commande et de contrôle (C&C) au débit de ligne. SecIntel fournit des informations sur les menaces en temps réel en permettant un filtrage automatique et réactif du trafic.

SecIntel s’intègre aux commutateurs EX Series et aux Commutateurs QFX Series et permet à ces commutateurs de s’abonner au flux d’hôtes infectés de SecIntel. Cette intégration vous permet de bloquer les hôtes compromis au niveau du port de commutation. Vous pouvez désormais étendre SecIntel à l’ensemble de votre réseau et augmenter le nombre de points d’application de sécurité.

Avantages des flux SecIntel

Vous pouvez afficher tous les flux par défaut disponibles avec votre licence actuelle.

Cette page vous permet d’activer les flux suivants en vue de leur intégration avec Juniper ATP Cloud.

  • Flux de menaces Juniper

  • Flux de menaces tiers : flux de menaces IP et flux de menaces URL.

  • Flux de groupes d’adresses dynamiques : flux DAG Juniper et flux DAG tiers.

Note:

L’expiration des flux SecIntel dépend de la durée de vie (TTL), qui est différente pour chaque flux.
Note:

Le nombre total de flux C&C est de 32, dont quatre sont réservés à cc_ip, cc_url, cc_ipv6 et cc_cert_sha1. Ainsi, vous pouvez activer jusqu’à 28 flux dans la catégorie C&C, qui comprend les flux personnalisés C&C et les flux tiers. Cette limite s’applique si vous injectez des flux supplémentaires à l’aide de l’API ouverte disponible.

Informations à savoir si vous activez des flux externes :

  • Si un accès est détecté sur un flux externe activé, cet événement s’affiche sous Surveiller > sources de menaces avec un niveau de menace de 10.

  • Sur les pare-feu SRX Series inscrits, vous pouvez configurer des stratégies avec l’action d’autorisation ou de blocage pour chaque flux. Notez que les flux C&C et les flux d’hôtes infectés nécessitent une stratégie SecIntel activée sur le pare-feu SRX Series pour fonctionner.

  • Les flux externes sont mis à jour une fois toutes les 24 heures.

Avertissement:

Ces flux open source sont gérés par des tiers et la détermination de leur exactitude est laissée à l’administrateur Juniper ATP Cloud. Juniper n’enquêtera pas sur les faux positifs générés par ces flux.
Avertissement:

Les stratégies de pare-feu SRX Series configurées bloquent les adresses IP malveillantes en fonction des flux tiers activés, mais ces événements n’affectent pas les scores de menace de l’hôte. Seuls les événements du flux Juniper ATP Cloud affectent les scores de menace de l’hôte.

Pour activer les flux disponibles, procédez comme suit :

  1. Accédez à Configurer les flux > Configuration > Flux SecIntel.

  2. Pour chaque flux, sélectionnez le bouton bascule pour activer le flux. Reportez-vous aux directives du Tableau 1.

    Note:

    Le flux d’hôtes infectés est activé pour tous les niveaux de licence. Pour obtenir des informations sur les licences de tous les autres flux Juniper SecIntel, reportez-vous à la section Licences logicielles pour ATP Cloud.

    Cliquez sur le lien Accéder au site du flux pour afficher les informations du flux, y compris le contenu du flux.

    Tableau 1 : flux SecIntel

    Champ

    Lignes directrices
    Flux de menaces Juniper

    Commande et contrôle

    Indique si le flux C&C est activé ou non.

    Domaines malveillants

    Indique si le flux DNS est activé ou non.

    Flux d’hôte infecté

    Indique si le flux de l’hôte infecté est activé ou non.
    Flux de menaces tierces

    Flux de menaces IP

    Liste de blocage

    Cliquez sur le bouton bascule pour activer les flux de liste de blocage en tant que flux tiers.

    Nom prédéfini du flux cloud : cc_ip_blocklist.

    Threatfox IP

    Cliquez sur le bouton bascule pour activer les flux Threatfox en tant que flux tiers.

    Nom prédéfini du flux cloud : cc_ip_threatfox.

    Traqueur Feodo

    Cliquez sur le bouton bascule pour activer les flux Feodo en tant que flux tiers.

    Nom prédéfini du flux cloud : cc_ip_feodotracker.

    DShield

    Cliquez sur le bouton bascule pour activer les flux DShield en tant que flux tiers.

    Nom prédéfini du flux cloud : cc_ip_dhield.

    Tor

    Cliquez sur le bouton bascule pour activer les flux tor en tant que flux tiers.

    Nom prédéfini du flux cloud : cc_ip_tor.

    Flux de menaces URL

    Threatfox URL

    Cliquez sur le bouton bascule pour activer les flux Threatfox en tant que flux tiers. ThreatFox est une plate-forme gratuite de abuse.ch dont l’objectif est de partager les indicateurs de compromission (IoC) associés aux logiciels malveillants avec la communauté de sécurité de l’information, les fournisseurs d’antivirus et les fournisseurs de renseignements sur les menaces. Il peut s’agir d’une adresse IP, d’un nom de domaine ou d’une URL.

    Nom prédéfini du flux cloud : cc_url_threatfox.

    URL URLhaus Flux de menaces

    Cliquez sur le bouton bascule pour activer le flux URLhaus en tant que flux tiers. URLhaus est un flux de renseignements sur les menaces qui partage des URL malveillantes utilisées pour la distribution de logiciels malveillants.

    Nom prédéfini du flux cloud : cc_url_urlhaus.

    Ouvrir l’hameçonnage

    Cliquez sur le bouton bascule pour activer les flux OpenPhish en tant que flux tiers. OpenPhish est une plate-forme autonome entièrement automatisée pour l’intelligence de phishing. Il identifie les sites d’hameçonnage et effectue une analyse de renseignements en temps réel sans intervention humaine et sans utiliser de ressources externes, telles que des listes de blocage. Pour l’inspection des logiciels malveillants, SecIntel analysera le trafic à l’aide des URL de ce flux.

    Nom prédéfini du flux cloud : cc_url_openphish.

    Flux de menaces de domaine

    Domaines Threatfox

    Cliquez sur le bouton bascule pour activer les flux Threatfox en tant que flux tiers.

    Nom prédéfini du flux cloud : cc_domain_threatfox.
    Flux de groupes d’adresses dynamiques

    Flux DAG Juniper

    Flux GeoIP

    Indique si le flux GeoIP est activé ou non. Le flux GeoIP est un mappage actualisé des adresses IP aux régions géographiques. Cela vous donne la possibilité de filtrer le trafic à destination et en provenance de zones géographiques spécifiques dans le monde.

    Flux DAG tiers

    bureau365

    Cliquez sur le bouton bascule pour activer le flux de filtrage IP office365 en tant que flux tiers. Le flux de filtrage IP office365 est une liste à jour des adresses IP publiées pour les points de terminaison de service Office 365 que vous pouvez utiliser dans les stratégies de sécurité. Ce flux fonctionne différemment des autres sur cette page et nécessite certains paramètres de configuration, notamment un nom de flux cloud prédéfini « ipfilter_office365 ». Voir plus d’instructions au bas de cette page, y compris l’utilisation de la set security dynamic-address commande pour utiliser ce flux.

    Nom prédéfini du flux cloud : ipfilter_office365

    Facebook (en anglais seulement)

    Cliquez sur le bouton bascule pour activer les flux de Facebook.

    Nom prédéfini du flux cloud : ipfilter_facebook

    Google (en anglais)

    Cliquez sur le bouton bascule pour activer les flux de Google.

    Nom prédéfini du flux cloud : ipfilter_google

    Atlassian

    Cliquez sur le bouton bascule pour activer les flux d’Atlassian.

    Nom prédéfini du flux cloud : ipfilter_atlassian

    zscaler

    Cliquez sur le bouton bascule pour activer les flux à partir de Zscaler.

    Nom prédéfini du flux cloud : ipfilter_zscaler

    zpa zscaler

    Cliquez sur le bouton bascule pour activer les flux à partir de Zscaler Private Access (ZPA). Le service ZPA fournit un accès sécurisé aux applications et aux services de votre organisation.

    Nom prédéfini du flux cloud : ipfilter_zscaler_zpa

    Oracleoci

    Cliquez sur le bouton bascule pour activer les flux d’Oracle oci.

    Nom prédéfini du flux cloud : ipfilter_oracleoci

    Cloudflare (en anglais)

    Cliquez sur le bouton bascule pour activer les flux de Cloudflare.

    Nom prédéfini du flux cloud : ipfilter_cloudflare

    zoom

    Cliquez sur le bouton bascule pour activer les flux à partir de Zoom.

    Nom prédéfini du flux cloud : ipfilter_zoom

    MicrosoftAzure

    Cliquez sur le bouton bascule pour activer les flux à partir de Microsoft Azure.

    Nom prédéfini du flux cloud : ipfilter_microsoftazure

    Amazonaws (en anglais seulement)

    Cliquez sur le bouton bascule pour activer les flux d’Amazon AWS.

    Nom prédéfini du flux cloud : ipfilter_amazonaws

    Vous pouvez filtrer et afficher les flux DAG des régions et services AWS qui vous intéressent. Pour configurer les filtres DAG, procédez comme suit :

    1. Cliquez sur Configurer.

      La page Filtre DAG s’affiche. Pour plus d’informations, reportez-vous à la section Configurer le filtre DAG.

    okta

    Cliquez sur le bouton bascule pour activer les flux d’Okta.

    Nom prédéfini du flux cloud : ipfilter_okta

    PayPal

    Cliquez sur le bouton bascule pour activer les flux de PayPal.

    Nom prédéfini du flux cloud : ipfilter_PayPal
    Note:

    • À partir de la version 19.4R1 de Junos OS, les flux d’URL tiers sont pris en charge sur Juniper ATP Cloud.

    • Étant donné que le traqueur de rançongiciels et la liste des domaines de logiciels malveillants sont obsolètes, les flux IP de traqueur de rançongiciels et de liste de domaines de logiciels malveillants ne sont pas pris en charge sur Juniper ATP Cloud. Si vous aviez activé ce flux plus tôt, vous ne recevrez peut-être plus ces flux.

    • L’intervalle de mise à jour d’un flux de services Internet tiers est d’un jour.

  3. À l’instar des autres flux C&C et d’hôtes infectés, les flux tiers activés nécessitent une stratégie SecIntel sur le pare-feu SRX Series pour fonctionner. Des exemples de commandes sont fournis ici. Pour plus d’informations, consultez le Guide de référence de l’interface de ligne de commande cloud Juniper Advanced Threat Prevention .

    Sur le pare-feu SRX Series, configurez un profil SecIntel

    set services security-intelligence profile secintel_profile category CC

    set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

    set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

    set services security-intelligence profile secintel_profile rule secintel_rule then action block close

    set services security-intelligence profile secintel_profile rule secintel_rule then log

    set services security-intelligence profile secintel_profile default-rule then action permit

    set services security-intelligence profile secintel_profile default-rule then log

    set services security-intelligence profile ih_profile category Infected-Hosts

    set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

    set services security-intelligence profile ih_profile rule ih_rule then action block close

    set services security-intelligence profile ih_profile rule ih_rule then log

    set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

    set services security-intelligence policy secintel_policy CC secintel_profile

  4. La stratégie SecIntel doit également être ajoutée à une stratégie de pare-feu SRX Series.

    Sur le pare-feu SRX Series, configurez une stratégie de sécurité. Entrez les commandes suivantes pour créer une stratégie de sécurité sur le pare-feu SRX Series pour les profils d’inspection.

    set security policies from-zone trust to-zone untrust policy 1 match source-address any

    set security policies from-zone trust to-zone untrust policy 1 match destination-address any

    set security policies from-zone trust to-zone untrust policy 1 match application any

    set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

    set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

    Pour plus d’informations sur la configuration de SRX Series avec Juniper ATP Cloud à l’aide des commandes CLI disponibles, consultez le Guide de référence de l’interface de ligne de commande Juniper Advanced Threat Prevention Cloud.

Utilisation du flux office365

  1. Cochezla case Utilisation du flux office365 dans Juniper ATP Cloud pour envoyer les informations de point de terminaison des services Microsoft Office 365 (adresses IP) au pare-feu SRX Series. Le flux office365 fonctionne différemment des autres flux de cette page et nécessite certains paramètres de configuration, notamment un nom prédéfini de « ipfilter_office365 ».

  2. Après avoir coché la case, vous devez créer un objet d’adresse dynamique sur le pare-feu SRX Series qui fait référence au flux ipfilter_office365 comme suit :

    set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

    Note:

    Une stratégie de sécurité peut ensuite référencer le nom de l’entrée d’adresse dynamique (« office365 » dans cet exemple) dans l’adresse source ou de destination.

    Voici un exemple de politique de sécurité :

Utilisez la commande suivante pour vérifier que le flux office365 a été poussé vers le pare-feu SRX Series. Update Status devrait afficher Store succeeded..

show services security-intelligence category summary

Utilisez la commande suivante pour afficher tous les flux individuels sous IPFILTER.

show security dynamic-address category-name IPFilter

Documentation connexe