Création de flux personnalisés

Utilisez la page Créer un flux personnalisé pour configurer les flux personnalisés Adresse dynamique, Liste d’autorisation, Liste de blocage, Hôtes infectés, DDoS et Serveur C&C. Ces flux fournissent des informations pertinentes et opportunes que vous pouvez utiliser pour créer des stratégies d’application.

Avant de commencer

Sachez quel type de flux vous configurez et ayez toutes les informations nécessaires à portée de main. Les flux locaux sont créés sur votre système local et importés à partir de là.
Notez que les hôtes infectés sont des hôtes connus pour être compromis. Dans le cas d’un flux personnalisé d’hôte infecté, saisissez manuellement les adresses IP des hôtes ou importez un fichier texte contenant les adresses IP des hôtes infectés.
Si vous créez une liste d’autorisation, une liste de blocage ou un flux d’hôtes infectés, il remplacera le flux Juniper ATP Cloud/ATP Appliance correspondant.
Notez que lorsque le mode ATP Cloud/ATP Appliance uniquement est sélectionné comme type de prévention des menaces, l’hôte infecté et les flux personnalisés DDoS ne sont pas disponibles.

Pour créer des flux personnalisés de fichiers locaux et distants :

Sélectionnez Configurer >Prévention des menaces> Sources de flux.

La page Sources de flux s’affiche. Seuls les flux personnalisés sont disponibles en tant que type de prévention des menaces si vous ne sélectionnez pas le type de configuration d’ATP Cloud/ATP Appliance dans la page Paramètres de Policy Enforcer.
Cliquez sur Create (Créer ) et sélectionnez l’une des options suivantes :
- Flux contenant des fichiers locaux : saisissez vos données manuellement dans les champs prévus à cet effet ou importez-les à partir d’un fichier texte sur votre machine de localisation.
- Flux avec serveur de fichiers distant : configurez la communication avec le serveur distant pour récupérer le flux de données à partir de celui-ci.
Complétez la configuration en suivant les instructions du Tableau 1 ou du Tableau 2.
Cliquez sur OK.

Note:

Pour utiliser un flux personnalisé de type adresse dynamique, appliquez-le à l’adresse source ou de destination dans une règle de pare-feu. Dans la règle de pare-feu, vous pouvez filtrer les adresses pour n’afficher que les flux personnalisés.

Si une règle de stratégie de pare-feu a été créée à l’aide de l’adresse dynamique, vous ne pouvez pas supprimer la même adresse dynamique de la page Sources du flux. Vous devez d’abord supprimer la règle de stratégie de pare-feu, puis supprimer l’adresse dynamique de la page Sources du flux.
Lorsqu’aucun type de configuration de l’appliance ATP Cloud/ATP n’est sélectionné (Aucune sélection), les domaines ATP Cloud/Appliance ATP sont désactivés. Étant donné que la sélection des sites se fait généralement à partir de la page du domaine ATP Cloud/ATP Appliance, vous devez sélectionner des sites à partir de la page Créer un flux personnalisé lorsque vous êtes en mode « Aucune sélection ». Les flux personnalisés sont ensuite téléchargés sur les appareils des sites sélectionnés. Il s’agit de la seule sélection de site disponible sur la page Créer un flux personnalisé.

Tableau 1 : Champs de la page Créer un flux personnalisé, Flux contenant des fichiers locaux
Champ	Description
Nom	Saisissez une chaîne unique qui doit commencer par un caractère alphanumérique et qui ne peut inclure que des tirets et des traits de soulignement. aucun espace n’est autorisé ; 32 caractères maximum.
Description	Saisissez une description pour votre flux personnalisé ; La longueur maximale est de 64 caractères. Vous devez faire en sorte que cette description soit aussi utile que possible pour tous les administrateurs.
Type d’alimentation	Sélectionnez l’un des flux personnalisés suivants comme type de prévention des menaces : Adresse dynamique Liste d’autorisation Liste de blocage Hôtes infectés DDoS (DDoS) CC
Sites	Sélectionnez les sites requis dans la liste pour les associer aux adresses dynamiques ou aux listes d’autorisation, aux listes de blocage ou aux flux C&C Server. Dans le mode par défaut (pas d’ATP Cloud), seuls les sites sont répertoriés, car il n’y a pas d’ATP Cloud. Vous pouvez partager un site sur le même type de flux pour l’adresse dynamique, la liste d’autorisation, la liste de blocage et C&C Server. Pour les hôtes infectés et les DDoS, les sites ne peuvent pas être partagés sur le même type de flux. Toutefois, vous pouvez partager un site entre différents types de flux.
Zones/Royaumes	Sélectionnez les domaines requis dans la liste, si vous êtes dans les flux Cloud uniquement, ATP Cloud/JATP ou ATP Cloud/ATP Appliance avec le mode Juniper Connected Security. Associez ces domaines à des adresses dynamiques ou à des listes d’autorisation, des listes de blocage et des flux C&C Server. Vous pouvez partager un domaine sur le même type de flux pour les adresses dynamiques, la liste d’autorisation, la liste de blocage et les CC. Pour les hôtes infectés et les DDoS, les domaines ne peuvent pas être partagés sur le même type de flux. Toutefois, vous pouvez partager un domaine entre différents types de flux. Les domaines ATP Cloud/ATP Appliance sans sites attribués ne sont pas répertoriés ici. Seuls les royaumes auxquels des sites sont associés sont répertoriés ici. Note: Si un site est associé à un locataire, le domaine ATP Cloud/ATP Appliance affiche la liste au format <nom-domaine>(Locataire :<nom-du-locataire>).
Type d’entrée utilisateur (Disponible pour la liste d’autorisation et la liste de blocage)	Sélectionnez l’un des types d’entrée suivants pour Liste d’autorisation et Liste de blocage : IP, Subnet and Range (IP, sous-réseau et plage) : saisissez une adresse IPV4 au format standard de quatre octets. La notation CIDR et les plages d’adresses IP sont également acceptées. N’importe lequel des formats suivants est valide : 1.2.3.4, 1.2.3.4/30 ou 1.2.3.4-1.2.3.6. URL et domaine : les formats suivants sont valides : http://www.yourfeed.com https://www.yourfeed.com www.yourfeed.com yourfeed.com yourfeed.com/abc Les caractères génériques et les protocoles ne sont pas des entrées valides.
Liste personnalisée	Effectuez l’une des opérations suivantes : Cliquez sur Télécharger le fichier pour télécharger un fichier texte avec une liste d’adresses IP. Cliquez sur le bouton Ajouter pour inclure la liste d’adresses dans votre liste personnalisée. Pour l’hôte infecté et DDoS, le fichier téléchargé doit comporter la chaîne `add` au début, suivie des adresses IP. Si vous souhaitez supprimer certaines adresses IP, saisissez la chaîne `delete` suivie des adresses IP à supprimer. Notez que le fichier ne doit contenir qu’un seul élément par ligne (pas de virgules ni de points-virgules). Tous les éléments sont validés avant d’être ajoutés à la liste personnalisée. Le fichier ne doit pas contenir plus de 500 entrées. Un message d’erreur s’affiche si vous essayez de télécharger un fichier contenant plus de 500 adresses IP. Utilisez l’option Flux avec serveur de fichiers distant pour télécharger un fichier contenant plus de 500 adresses IP. Saisissez manuellement votre valeur d’élément et de seuil dans l’espace prévu à cet effet dans la section Liste personnalisée. Pour ajouter d’autres éléments, cliquez sur + pour ajouter d’autres espaces. Pour la syntaxe, entrez une adresse IPv4 au format standard de quatre octets. La notation CIDR et les plages d’adresses IP sont également acceptées. N’importe lequel des formats suivants est valide : 1.2.3.4, 1.2.3.4/30 ou 1.2.3.4-1.2.3.6.

Tableau 2 : Champs de la page Créer un flux personnalisé, Flux avec serveur de fichiers distant
Champ	Description
Nom	Saisissez une chaîne unique qui doit commencer par un caractère alphanumérique et qui ne peut inclure que des tirets et des traits de soulignement. aucun espace n’est autorisé ; 32 caractères maximum.
Description	Saisissez une description pour votre flux personnalisé ; La longueur maximale est de 64 caractères. Vous devez faire en sorte que cette description soit aussi utile que possible pour tous les administrateurs.
Type d’alimentation	Sélectionnez l’un des flux personnalisés suivants comme type de prévention des menaces : Adresse dynamique Liste d’autorisation Liste de blocage Hôtes infectés DDoS (DDoS) CC
Type d’URL du serveur	Sélectionnez l’une des options suivantes : http (en anglais) https (en anglais seulement)
URL du fichier serveur	Entrez l’URL du serveur de fichiers distant.
Téléchargement de certificats (Si le type d’URL est HTTPS)	Cliquez sur Parcourir et sélectionnez le certificat d’autorité de certification à télécharger. Si vous ne téléchargez pas de certificat pour l’URL du serveur https, un message d’avertissement s’affiche indiquant qu’un certificat n’est pas téléchargé et que vous souhaitez poursuivre ou non. Cliquez sur Oui pour continuer sans télécharger de certificat ou sur Non pour revenir en arrière et télécharger le certificat.
Nom d’utilisateur	Entrez les informations d’identification du serveur de fichiers distant. Ce champ n’est pas obligatoire. Vous pouvez toujours créer un flux personnalisé sans saisir le nom d’utilisateur.
Mot de passe	Entrez les informations d’identification du serveur de fichiers distant. Il s’agit d’un champ obligatoire, si vous avez fourni le nom d’utilisateur.
Intervalle de mise à jour	Sélectionnez la fréquence à laquelle les mises à jour sont récupérées à partir du serveur de fichiers distant : Horaire, Quotidien, Hebdomadaire, Mensuel, Jamais
Sites	Sélectionnez les sites requis dans la liste pour les associer aux flux personnalisés.

Si vous essayez de désinscrire un site d’un hôte infecté, un message d’avertissement s’affiche pour résoudre tous les hôtes infectés actuels à partir des points de terminaison respectifs d’un site. Pour résoudre les hôtes infectés, connectez-vous à l’interface utilisateur d’ATP Cloud, résolvez les hôtes, puis annulez l’affectation des sites de Policy Enforcer. Assurez-vous de toujours résoudre les hôtes infectés avant d’annuler l’attribution de sites. Une fois que vous avez annulé l’attribution de sites, vous ne pouvez pas résoudre les hôtes.

Création de flux personnalisés

Documentation connexe