Création de flux personnalisés

Utilisez la page Créer un flux personnalisé pour configurer les flux personnalisés Adresse dynamique, Liste d’autorisation, Liste de blocage, Hôtes infectés, DDoS et C&C Server. Ces flux fournissent des informations pertinentes et opportunes que vous pouvez utiliser pour créer des stratégies d’application.

Avant de commencer

Sachez quel type de flux vous configurez et ayez toutes les informations nécessaires à portée de main. Les flux locaux sont créés sur votre système local et téléchargés à partir de là.
Notez que les hôtes infectés sont des hôtes connus pour être compromis. Dans le cas d’un flux personnalisé d’hôte infecté, saisissez manuellement les adresses IP des hôtes ou importez un fichier texte contenant les adresses IP des hôtes infectés.
Si vous créez une liste d’autorisation, une liste de blocage ou un flux d’hôtes infectés, celui-ci remplacera le flux respectif de Juniper ATP Cloud/ATP Appliance.
Notez que lorsque le mode ATP Cloud/ATP Appliance uniquement est sélectionné comme type de prévention des menaces, l’hôte infecté et les flux personnalisés DDoS ne sont pas disponibles.

Pour créer des flux personnalisés de fichiers locaux et distants, procédez comme suit :

Sélectionnez Configurer>Prévention des menaces> Sources de flux.

La page Sources de flux s’affiche. Seuls les flux personnalisés disponibles en tant que type de prévention des menaces s’affichent si vous ne sélectionnez pas le type de configuration ATP Cloud/ATP Appliance dans la page Paramètres de Policy Enforcer.
Cliquez sur Créer et sélectionnez l’une des options suivantes :
- Flux avec fichiers locaux : saisissez vos données manuellement dans les champs prévus à cet effet ou téléchargez-les à partir d’un fichier texte sur votre machine de localisation.
- Flux avec serveur de fichiers distant : configurez la communication avec le serveur distant pour récupérer le flux de données à partir de celui-ci.
Complétez la configuration en suivant les instructions du Tableau 1 ou du Tableau 2.
Cliquez sur OK.

Note:

Pour utiliser un flux personnalisé de type adresse dynamique, appliquez-le à l’adresse source ou de destination dans une règle de pare-feu. Dans la règle de pare-feu, vous pouvez filtrer les adresses pour n’afficher que les flux personnalisés.

Si une règle de stratégie de pare-feu a été créée à l’aide de l’adresse dynamique, vous ne pouvez pas supprimer la même adresse dynamique de la page Sources du flux. Vous devez d’abord supprimer la règle de stratégie de pare-feu, puis supprimer l’adresse dynamique de la page Sources du flux.
Lorsqu’aucun type de configuration ATP Cloud/ATP Appliance n’est sélectionné (Aucune sélection), les domaines ATP Cloud/ATP Appliance sont désactivés. Étant donné que la sélection des sites s’effectue généralement à partir de la page du domaine ATP Cloud/ATP Appliance, vous devez sélectionner des sites à partir de la page Créer un flux personnalisé lorsque vous êtes en mode « Aucune sélection ». Les flux personnalisés sont ensuite téléchargés sur les appareils des sites choisis. Il s’agit de la seule sélection de site disponible sur la page Créer un flux personnalisé.

Tableau 1 : Champs de la page Créer un flux personnalisé, Flux contenant des fichiers locaux
Champ	Description
Nom	Entrez une chaîne unique qui doit commencer par un caractère alphanumérique et qui ne peut inclure que des tirets et des traits de soulignement. aucun espace n’est autorisé ; 32 caractères maximum.
Description	Saisissez une description pour votre flux personnalisé ; La longueur maximale est de 64 caractères. Vous devez rendre cette description aussi utile que possible pour tous les administrateurs.
Type d’alimentation	Sélectionnez l’un des flux personnalisés suivants comme type de prévention des menaces : Adresse dynamique Liste d’autorisation Liste de blocage Hôtes infectés DDoS (DDoS) CC
Sites	Sélectionnez les sites requis dans la liste pour les associer aux adresses dynamiques ou aux listes d’autorisation, aux listes de blocage ou aux flux C&C Server. Dans le mode par défaut (pas d’ATP Cloud), seuls les sites sont répertoriés car ils n’ont pas d’ATP Cloud. Vous pouvez partager un site sur le même type de flux pour les adresses dynamiques, les listes d’autorisation, les listes de blocage et C&C Server. Pour les hôtes infectés et les attaques DDoS, les sites ne peuvent pas être partagés sur le même type de flux. Toutefois, vous pouvez partager un site entre différents types de flux.
Zones/Royaumes	Sélectionnez les domaines requis dans la liste, si vous utilisez uniquement des flux Cloud, ATP Cloud/JATP ou ATP Cloud/ATP Appliance avec le mode Juniper Connected Security. Associez ces domaines à des adresses dynamiques ou à des listes d’autorisation, des listes de blocage et des flux C&C Server. Vous pouvez partager un domaine sur le même type de flux pour les adresses dynamiques, les listes d’autorisation, les listes de blocage et les CC. Pour les hôtes infectés et les DDoS, les domaines ne peuvent pas être partagés sur le même type de flux. Toutefois, vous pouvez partager un domaine entre différents types de flux. Les domaines ATP Cloud/ATP Appliance sans sites attribués ne sont pas répertoriés ici. Seuls les royaumes associés à des sites sont répertoriés ici. Note: Si un site est associé à un locataire, le domaine ATP Cloud/ATP Appliance affiche la liste au format <nom-domaine>(Locataire :<nom-du-locataire>).
Type d’entrée utilisateur (Disponible pour les listes d’autorisation et de blocage)	Sélectionnez l’un des types d’entrée suivants pour Liste d’autorisation et Liste de blocage : IP, Subnet and Range (IP, sous-réseau et plage) : entrez une adresse IPV4 au format standard de quatre octets. La notation CIDR et les plages d’adresses IP sont également acceptées. Tous les formats suivants sont valides : 1.2.3.4, 1.2.3.4/30 ou 1.2.3.4-1.2.3.6. URL et domaine : les formats suivants sont valides : http://www.yourfeed.com https://www.yourfeed.com www.yourfeed.com yourfeed.com yourfeed.com/abc Les caractères génériques et les protocoles ne sont pas des entrées valides.
Liste personnalisée	Effectuez l’une des opérations suivantes : Cliquez sur Télécharger le fichier pour télécharger un fichier texte avec une liste d’adresses IP. Cliquez sur le bouton Ajouter pour inclure la liste d’adresses dans votre liste personnalisée. Pour l’hôte infecté et DDoS, le fichier de téléchargement doit contenir la chaîne `add` au début, suivie des adresses IP. Si vous souhaitez supprimer certaines adresses IP, saisissez la chaîne `delete` suivie des adresses IP à supprimer. Notez que le fichier ne doit contenir qu’un seul élément par ligne (pas de virgules ni de points-virgules). Tous les éléments sont validés avant d’être ajoutés à la liste personnalisée. Le fichier ne doit pas contenir plus de 500 entrées. Un message d’erreur s’affiche si vous essayez de télécharger un fichier contenant plus de 500 adresses IP. Utilisez l’option Flux avec serveur de fichiers distant pour télécharger un fichier contenant plus de 500 adresses IP. Saisissez manuellement votre valeur d’élément et de seuil dans l’espace prévu à cet effet dans la section Liste personnalisée. Pour ajouter d’autres éléments, cliquez sur + pour ajouter d’autres espaces. Pour la syntaxe, entrez une adresse IPv4 au format standard de quatre octets. La notation CIDR et les plages d’adresses IP sont également acceptées. Tous les formats suivants sont valides : 1.2.3.4, 1.2.3.4/30 ou 1.2.3.4-1.2.3.6.

Tableau 2 : Champs de la page Créer un flux personnalisé, Flux avec serveur de fichiers distant
Champ	Description
Nom	Entrez une chaîne unique qui doit commencer par un caractère alphanumérique et qui ne peut inclure que des tirets et des traits de soulignement. aucun espace n’est autorisé ; 32 caractères maximum.
Description	Saisissez une description pour votre flux personnalisé ; La longueur maximale est de 64 caractères. Vous devez rendre cette description aussi utile que possible pour tous les administrateurs.
Type d’alimentation	Sélectionnez l’un des flux personnalisés suivants comme type de prévention des menaces : Adresse dynamique Liste d’autorisation Liste de blocage Hôtes infectés DDoS (DDoS) CC
Type d’URL du serveur	Sélectionnez l’une des options suivantes : http (en anglais seulement) https (en anglais seulement)
URL du fichier serveur	Entrez l’URL du serveur de fichiers distant.
Téléchargement de certificat (Si le type d’URL est HTTPS)	Cliquez sur Parcourir et sélectionnez le certificat d’autorité de certification à télécharger. Si vous ne téléchargez pas de certificat pour l’URL du serveur https, un message d’avertissement s’affiche indiquant qu’un certificat n’est pas téléchargé et que vous devez continuer ou non. Cliquez sur Oui pour continuer sans télécharger de certificat ou sur Non pour revenir en arrière et télécharger le certificat.
Nom d’utilisateur	Entrez les informations d’identification du serveur de fichiers distant. Il ne s’agit pas d’un champ obligatoire. Vous pouvez toujours procéder à la création d’un flux personnalisé sans saisir le nom d’utilisateur.
Mot de passe	Entrez les informations d’identification du serveur de fichiers distant. Il s’agit d’un champ obligatoire, si vous avez fourni le nom d’utilisateur.
Intervalle de mise à jour	Sélectionnez la fréquence à laquelle les mises à jour sont récupérées à partir du serveur de fichiers distant : Horaire, Quotidienne, Hebdomadaire, Mensuelle, Jamais
Sites	Sélectionnez les sites requis dans la liste pour les associer aux flux personnalisés.

Si vous essayez de désinscrire un site sur un hôte infecté, un message d’avertissement s’affiche pour résoudre tous les hôtes infectés actuels à partir des points de terminaison respectifs au sein d’un site. Pour résoudre les hôtes infectés, connectez-vous à ATP Cloud UI, résolvez les hôtes, puis annulez l’affectation des sites de Policy Enforcer. Assurez-vous de toujours résoudre les problèmes liés aux hôtes infectés avant d’annuler l’attribution de sites. Une fois que vous avez annulé l’attribution de sites, vous ne pouvez pas résoudre les hôtes.

Création de flux personnalisés

Documentation connexe