Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

sécurité-métadonnées-streaming

Syntaxe

Niveau hiérarchique

Description

Configurez la stratégie de diffusion en continu des métadonnées de sécurité sur les équipements SRX Series pour envoyer les métadonnées et les modèles de connexion d’un trafic réseau à Juniper Networks ATP Cloud pour obtenir des informations sur le trafic chiffré. Après avoir configuré la stratégie de diffusion de métadonnées de sécurité, attachez-la à la stratégie de sécurité au niveau de la zone.

set security policies from-zone from-zone to-zone to-zone application-services security-metadata-streaming-policy dns-policy

Options

dns-cache Configurez une liste de domaines statiques bénins et de commande et de contrôle (C2) dans le cache DNS (Domain Name System) pour prendre des mesures immédiates sur les domaines configurés. Seuls les domaines génériques sont autorisés. Le format du domaine doit être *.domain_name.domain_ending . Les entrées configurées dans le cache DNS via l’interface de ligne de commande resteront dans le cache DNS jusqu’à ce que cette configuration soit supprimée de l’équipement. Vous pouvez configurer un maximum de 500 domaines chacun dans liste bénigne et liste C2.
  • Par défaut, l’action pour le trafic provenant d’un domaine bénin (autorisé) est permit.
  • L’action du trafic provenant d’un domaine C2 (blocklisted) est basée sur l’action configurée dans les détections DNS.
policy policy-name Configurez la stratégie de streaming de métadonnées de sécurité.
dns Configurez les options DNS.
cache Stockez les DNS dans le cache jusqu’au délai de vie (TTL). Le TTL fourni par l’équipement SRX Series remplace juniper ATP Cloud fourni par TTL.
Note:

Vous devez configurer au moins une méthode de détection DNS pour configurer le cache DNS.
  • bénigne : (Facultatif) Définir la valeur TTL bénigne. La portée est de 60 à 172800 secondes. La valeur par défaut est 86400.
  • c2 — (Facultatif) Définir la valeur TTL C2. La portée est de 60 à 172800 secondes. La valeur par défaut est 86400.
detections Configurez le type de détection pour les requêtes DNS. Les options disponibles sont toutes, dga et tunnelisation. Vous pouvez configurer l’une des détections suivantes.
  • toutes les détections
  • détection dga et tunnelisation
  • détection DGA ou tunnelisation
Vous ne pouvez pas configurer toutes les détections et les détections personnalisées (dga et/ou tunnelisation) ensemble. Les détections sont mutuellement exclusives.
Note:

Chaque méthode de détection dispose d’une option de repli qui est utilisée au cas où rien n’est détecté dans un certain nombre de paquets (en cas de tunnelisation) ou dans un certain laps de temps (en cas de DGA).

all Configurez toutes les détections.
  • action : spécifiez l’action que l’équipement SRX effectuera lorsqu’une détection est effectuée. Les options disponibles sont deny, permitou sinkhole.
  • options de repli : options de repli pour les détections DNS. L’action de repli est déclenchée lorsque les attaques dns ne sont pas détectées (le verdict DGA n’est pas reçu dans les 100 ms (valeur par défaut du verdict-timeout) et le tunnel DNS n’est pas détecté dans 4 paquets (valeur par défaut de profondeur d’inspection)). L’option disponible est aux Log requêtes DNS.
  • notification : action globale de notification pour les méthodes de détection DNS. Les options disponibles sont les suivantes :
    • journal : génère un journal pour les requêtes DNS et les détections DNS.
    • détections de journaux : (recommandé) Génère un journal uniquement pour les détections DNS malveillantes.
  • verdict-timeout : (Non configurable) Délai d’attente d’un verdict DGA sur le paquet DNS (millisecondes). Le délai par défaut est de 100 ms pour toutes les détections.
  • profondeur d’inspection : (Non configurable) Nombre de paquets à inspecter pour détecter les tunnels. La valeur par défaut est de 4 paquets pour toutes les détections.
dga Configurez pour détecter les attaques basées sur les DGA sur les paquets DNS.
  • action : spécifiez l’action que l’équipement SRX effectuera lorsqu’une détection est effectuée. Les options disponibles sont deny, permitou sinkhole.
  • options de repli : options de repli pour la détection des DGA DNS. Les options de repli sont déclenchées si le verdict DGA n’est pas reçu de Juniper ATP Cloud dans le cadre de la valeur configurée pour le verdict-timeout. L’option disponible est de consigner la demande DNS.
  • notification : action de notification pour détecter les DGA DNS. Les options disponibles sont les suivantes :
    • journal : génère le journal par requête DNS et par détection DNS.
    • détections de journaux : (recommandé) Génère un journal uniquement pour les détections DNS malveillantes.
  • verdict-timeout : (Facultatif) Délai d’attente pour un verdict sur DNS Packet (millisecondes). La gamme est de 50 à 500. Le délai par défaut est de 100 ms.
tunneling Configurez pour détecter la tunnelisation DNS.
  • action : spécifiez l’action que l’équipement SRX effectuera lorsqu’une détection est effectuée. Les options disponibles sont deny (gouttes session tunnel), permit (permet la session de tunnel) ou sinkhole (abandonne la session du tunnel et gouffre le domaine).
  • options de repli : options de repli pour la détection de tunnelisation DNS. Les options de repli sont déclenchées si un tunnel n’est pas détecté dans le nombre de paquets spécifié (inspection-profondeur). L’option disponible est de consigner la demande DNS.
  • profondeur d’inspection : (Facultatif) Nombre de paquets à inspecter pour détecter les tunnels. La gamme est de 0 à 10. Par défaut, 4 paquets. 0 indique pour toujours.
  • notification : action de notification pour la détection de tunnelisation DNS. Les options disponibles sont les suivantes :
    • journal : génère le journal par requête DNS et par détection DNS.
    • détections de journaux : (recommandé) Génère un journal uniquement pour les détections DNS malveillantes.
dynamic-filter Configurez des options de filtrage dynamique pour la stratégie de diffusion de métadonnées de sécurité sur les équipements SRX Series.
http Configurez les options HTTP.

  • action : définit l’action effectuée sur le trafic. L’action par défaut est autorisée.

  • notification : définit l’action de notification effectuée pour le trafic. L’option disponible est de consigner toutes les actions de streaming de métadonnées de sécurité.

Niveau de privilège requis

sécurité : pour afficher cette déclaration dans la configuration.

contrôle de sécurité : pour ajouter cette déclaration à la configuration.

Informations de publication

Déclaration introduite dans la version 20.2R1 de Junos OS sur les passerelles de services SRX Series avec Juniper Advanced Threat Prevention Cloud (Juniper ATP Cloud).

Documentation connexe