Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des sources de flux personnalisées

Policy Enforcer utilise les flux de menaces pour fournir des renseignements exploitables aux stratégies sur divers types de menaces. Ces flux peuvent provenir de différentes sources, telles que Juniper ATP Cloud, et de listes que vous pouvez personnaliser en ajoutant des adresses IP, des domaines et des URL.

Remarque :

Les flux Juniper ATP Cloud et les flux personnalisés s’excluent mutuellement. Vous ne pouvez avoir qu’une seule source pour l’adresse dynamique, la liste d’autorisation, la liste de blocage, les flux d’hôtes infectés et le serveur C&C.
Remarque :

Lorsque des flux personnalisés d’adresses dynamiques sont disponibles, vous ne pouvez pas utiliser les flux office_365 de Juniper ATP Cloud.

Les types de flux de menaces personnalisés suivants sont disponibles :

  • Une adresse dynamique est un groupe d’adresses IP qui peuvent être importées à partir de sources externes. Ces adresses IP concernent des domaines spécifiques ou des entités qui ont un attribut commun, tel qu’un emplacement indésirable particulier qui constitue une menace. Vous pouvez ensuite configurer les stratégies de sécurité pour utiliser les adresses dynamiques dans une stratégie de sécurité.

  • Une liste d’autorisation contient des adresses IP, des URL et des domaines de confiance connus. Le contenu téléchargé à partir d’emplacements figurant sur la liste d’autorisation n’a pas besoin d’être inspecté pour détecter les logiciels malveillants.

  • Une liste de blocage contient des adresses IP, des URL et des domaines connus comme non fiables. L’accès aux emplacements de la liste de blocage est bloqué et aucun contenu ne peut donc être téléchargé à partir de ces sites.

  • Les hôtes infectés sont des hôtes dont on sait qu’ils sont compromis. Entrez manuellement les adresses IP des hôtes ou téléchargez un fichier texte avec les adresses IP des hôtes infectés.

  • À l’aide du flux de menaces DDoS, Policy Enforcer bloque les adresses IP sources dans le flux, limite le débit du trafic à partir des adresses IP sources et prend l’action BGP Flowspec pour appliquer un filtrage de route nulle ou rediriger le trafic vers des centres de nettoyage.

  • Le serveur de commande et de contrôle (serveur C&C) est un ordinateur centralisé qui envoie des commandes à des botnets (réseaux d’ordinateurs compromis) et reçoit des rapports de leur part. Les botnets peuvent être utilisés pour collecter des informations sensibles, telles que des numéros de compte ou des informations de carte de crédit, ou pour participer à une attaque DDoS distribuée.

Pour que les stratégies de gestion des menaces utilisent ces flux, vous devez entrer des informations de configuration pour chaque type de flux.

Avantages des sources de flux personnalisées

  • Fournit des informations pertinentes et opportunes que vous pouvez utiliser pour créer des stratégies d’application. Vous permet de personnaliser les flux de menaces spécifiques à votre secteur ou organisation.

  • Fournit des mécanismes flexibles pour synchroniser les informations sur les menaces afin de :

    • Configurez Policy Enforcer pour interroger les flux personnalisés de fichiers locaux et distants.

    • Envoyez les flux de menaces à Policy Enforcer à l’aide de l’API Threat Feed .

Documentation connexe