Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Création de listes d’autorisation et de listes de blocage

Accédez à ces pages à partir de Configure > Allowlists ou blocklists.

Utilisez ces pages pour configurer des listes de confiance personnalisées et non fiables. Vous pouvez également télécharger des fichiers de hachage.

Le contenu téléchargé depuis des sites de la liste d’autorisation est fiable et n’a pas à être inspecté pour détecter les logiciels malveillants. Les hôtes ne peuvent pas télécharger de contenu à partir d’emplacements de la liste de blocage, car ces emplacements ne sont pas fiables.

  • Lisez le sujet de présentation de la liste d’autorisation et de la liste de blocage .

  • Choisissez le type d’élément que vous souhaitez définir : URL, IP, hachage, expéditeur d’e-mail, C&C, ETI ou DNS,

  • Examinez les entrées de liste actuelles pour vous assurer que l’élément que vous ajoutez n’existe pas déjà.

  • Si vous téléchargez des fichiers de hachage, les fichiers doivent être dans un fichier texte avec chaque hachage sur sa propre ligne.

Pour créer des listes d’autorisation ou de blocage Juniper ATP Cloud :

  1. Sélectionnez Configurer > des listes d’autorisation ou des listes de blocage.
  2. Pour la liste d’autorisation ou la liste de blocage, sélectionnez l’un des onglets suivants : Anti-Malware ou SecIntel. Saisissez les informations requises. Consultez les tableaux ci-dessous.

    Les listes d’autorisation prennent en charge les types suivants :

    • Anti-malware : adresse IP, URL, hachage des fichiers et expéditeur d’e-mail
    • SecIntel —C&C

    • ETI

    • DNS

    Les listes de blocage prennent en charge les types suivants :

    • Anti-malware : adresse IP, URL, hachage des fichiers et expéditeur d’e-mail
    • SecIntel —C&C
  3. Cliquez sur OK.

Reportez-vous aux tableaux suivants pour obtenir les données requises par chaque onglet.

IP

Lorsque vous créez un nouvel élément de liste IP, vous devez sélectionner le Type de liste en tant qu’ADRESSE IP. Vous devez saisir les informations requises. Consultez le tableau suivant.

Tableau 1 : Configuration IP

Réglage

Ligne directrice

IP

Saisissez l’adresse IP IPv4 ou IPv6. Par exemple : 1.2.3.4 ou 0:0:0:0:0:FFFF:0102:0304. Les notations CIDR et les plages d’adresses IP sont également acceptées.

Tous les formats IPv4 suivants sont valables : 1.2.3.4, 1.2.3.4/30 ou 1.2.3.4-1.2.3.6.

Tous les formats IPv6 suivants sont valables : 1111::1, 1 111::1-1111::9 ou 1 111:1::0/64.

Note:

Plages d’adresses : pas plus qu’un bloc de /16 adresses IPv4 et /48 adresses IPv6 sont acceptés. Par exemple, 10.0.0.0-10.0.255.255 est valide, mais 10.0.0.0-10.1.0.0 ne l’est pas.

Masques bit : le nombre maximal d’adresses IP couvertes par le masque de bit dans un enregistrement de sous-réseau pour IPv4 est de 16 et de 48 pour IPv6. Par exemple, 10.0.0.0/15 et 1234::/47 ne sont pas valides.
Note:

Pour modifier une entrée IP de liste d’autorisation ou de blocklist existante, cochez la case en regard de l’entrée à modifier, cliquez sur l’icône du crayon et cliquez sur OK.

URL

Lorsque vous créez un nouvel élément de liste d’URL, vous devez choisir le Type de liste : URL. Saisissez les informations requises. Consultez le tableau suivant.

Tableau 2 : Configuration des URL

Réglage

Ligne directrice

URL

Saisissez l’URL au format suivant : juniper.net. Les caractères génériques et les protocoles ne sont pas des entrées valides. Le système ajoute automatiquement un caractère générique au début et à la fin des URL. Par conséquent, juniper.net correspond également à a.juniper.net, a.b.juniper.net et a.juniper.net/abc. Si vous saisissez explicitement a.juniper.net, il correspond à b.a.juniper.net, mais pas c.juniper.net. Vous pouvez saisir un chemin spécifique. Si vous saisissez juniper.net/abc, il correspond à x.juniper.net/abc, mais pas x.juniper.net/123.

Note:

Pour modifier une entrée d’URL de liste d’autorisation ou de liste de blocage existante, cochez la case en regard de l’entrée à modifier, cliquez sur l’icône du crayon et cliquez sur OK.

Fichier de hachage

Lorsque vous téléchargez un fichier de hachage, il doit être dans un fichier texte avec chaque hachage sur sa propre ligne. Vous ne pouvez avoir qu’un seul fichier de hachage en cours d’exécution. Pour l’ajouter ou le modifier, consultez les instructions dans le tableau suivant.

Tableau 3 : Configuration de téléchargement et de modification des fichiers de hachage

Champ

Ligne directrice

Vous pouvez ajouter des hachages de liste d’autorisation et de blocklist personnalisés pour le filtrage, mais ils doivent être répertoriés dans un fichier texte avec chaque entrée sur une seule ligne. Vous ne pouvez avoir qu’un seul fichier de hachage en cours d’exécution contenant jusqu’à 15 000 hachages de fichiers. Il s’agit de la liste actuelle, mais vous pouvez l’ajouter, la modifier et la supprimer à tout moment.

Élément de hachage SHA-256

Pour ajouter des entrées de hachage, vous pouvez télécharger plusieurs fichiers texte qui seront automatiquement combinés en un seul fichier. Voir toutes les options ci-dessous, fusionner, supprimer et remplacer.

Télécharger : cliquez sur ce bouton pour télécharger le fichier texte si vous souhaitez le consulter ou le modifier.

Vous pouvez sélectionner l’une des options suivantes dans la liste déroulante Select Hash File Upload Option (Select Hash File Upload Option ) :

  • Remplacer la liste actuelle : utilisez cette option lorsque vous souhaitez modifier la liste existante, mais ne souhaitez pas la supprimer complètement. Téléchargez le fichier existant, modifiez-le, puis téléchargez-le à nouveau.

  • Fusionner avec la liste actuelle : utilisez cette option lorsque vous téléchargez un nouveau fichier texte et que vous souhaitez le combiner avec le fichier texte existant. Les hachages des deux fichiers se combinent pour former un fichier texte contenant tous les hachages.

  • Supprimer de la liste actuelle : utilisez cette option pour supprimer seulement une partie de la liste actuelle. Dans ce cas, vous créez un fichier texte contenant uniquement les hachages que vous souhaitez supprimer de la liste actuelle. Téléchargez le fichier à l’aide de cette option et seuls les hachages du fichier téléchargé sont supprimés de la liste active actuelle.

Supprimer tout ou supprimer la liste sélectionnée : il est parfois plus efficace de supprimer la liste actuelle plutôt que de la télécharger et de la modifier. Cliquez sur ce bouton pour supprimer la liste sélectionnée actuelle ou toutes les listes qui ont été ajoutées et accumulées ici.

Source

Il s’agit d’une liste d’autorisation ou d’une liste de blocage.

Date d’ajout

Le mois, la date, l’année et l’heure à laquelle le fichier de hachage a été téléchargé ou modifié pour la dernière fois.

Expéditeur de l’e-mail

Ajoutez des adresses e-mail à autoriser ou à bloquer si elles se trouvent dans l’expéditeur ou le destinataire d’une communication par e-mail. Ajoutez des adresses une à la fois à l’aide de l’icône + .

Tableau 4 : Configuration de l’expéditeur d’e-mail

Champ

Ligne directrice

Adresse e-mail

Saisissez une adresse e-mail au format name@domain.com. Les caractères génériques et les correspondances partielles ne sont pas pris en charge, mais si vous souhaitez inclure un domaine entier, vous pouvez entrer uniquement le domaine comme suit : domain.com

Si un e-mail correspond à la liste de blocage, il est considéré comme malveillant et est traité de la même manière qu’un e-mail avec une pièce jointe malveillante. L’e-mail est bloqué et un e-mail de remplacement est envoyé. Si un e-mail correspond à la liste d’autorisation, cet e-mail est autorisé sans aucune analyse. Voir présentation de la quarantaine SMTP : e-mails bloqués.

Il est intéressant de noter que les attaquants peuvent facilement simuler l’adresse e-mail « De » d’un e-mail, ce qui rend les listes de blocage un moyen moins efficace d’arrêter les e-mails malveillants.

Serveur C&C

Lorsque vous autorisez la liste d’un serveur C&C, l’ADRESSE IP ou le nom d’hôte est envoyé aux équipements SRX Series pour être exclu de toute liste de blocs d’informations de sécurité ou flux C&C (à la fois le flux global sur les menaces de Juniper et les flux tiers). Le serveur sera également répertorié sous la page de gestion des listes d’autorisation C&C.

Vous pouvez saisir manuellement les données du serveur C&C ou télécharger une liste de serveurs. Cette liste doit être un fichier texte avec chaque IP ou domaine sur sa propre ligne. Le fichier texte doit inclure toutes les adresses IP ou tous les domaines, chacun dans son propre fichier. Vous pouvez télécharger plusieurs fichiers, un à la fois.

Note:

Vous pouvez également gérer les entrées de liste d’autorisation et de liste de blocage à l’aide de l’API Threat Intelligence. Lorsque vous ajoutez des entrées à la liste d’autorisation/blocklist, elles seront disponibles dans l’API Threat Intelligence sous les noms de flux suivants : « whitelist_domain » ou « whitelist_ip » et « blacklist_domain » ou « blacklist_ip ». Consultez le guide de configuration open API juniper ATP Cloud Threat Intelligence pour plus d’informations sur l’utilisation de l’API pour gérer les flux personnalisés.
Tableau 5 : Configuration C&C

Champ

Ligne directrice

Type

Sélectionnez IP pour saisir l’adresse IP d’un serveur C&C que vous souhaitez ajouter à la liste d’autorisation. Sélectionnez Domaine pour autoriser la mise en liste d’un domaine entier sur la liste des serveurs C&C.

IP ou domaine

Pour IP, saisissez une adresse IPv4 ou IPv6. Une ADRESSE IP peut être une adresse IP, une plage IP ou un sous-réseau IP. Pour le domaine, utilisez la syntaxe suivante : juniper.net. Les wildcards ne sont pas pris en charge.

Description

Saisissez une description qui indique pourquoi un élément a été ajouté à la liste.

Vous pouvez également autoriser la liste des serveurs C&C directement à partir de la page de surveillance C&C. Voir les détails du serveur de commande et de contrôle.

Avertissement:

L’ajout d’un serveur C&C à la liste d’autorisation déclenche automatiquement un processus de correction pour mettre à jour tous les hôtes concernés (dans ce domaine) qui ont contacté le serveur C&C whiltelisé. Tous les événements C&C liés à ce serveur autorisé seront supprimés des événements des hôtes concernés et un nouveau calcul du niveau de menace de l’hôte sera effectué.

Si le score de l’hôte change lors de ce recalcul, un nouvel événement d’hôte apparaît pour expliquer pourquoi il a été re-noté. (Par exemple, « niveau de menace de l’hôte mis à jour après que le serveur C&C 1.2.3.4 a été autorisé. ») En outre, le serveur n’apparaîtra plus dans la liste des serveurs C&C parce qu’il a été autorisé.

Eti (Encrypted Traffic Insights)

Vous pouvez spécifier l’adresse IP ou les noms de domaine à autoriser à partir de l’analyse du trafic chiffré. Utilisez cet onglet pour ajouter, modifier ou supprimer les listes d’autorisation pour l’analyse du trafic chiffré.

Tableau 6 : Configuration du trafic chiffré

Champ

Ligne directrice

Type

Sélectionnez si vous souhaitez spécifier l’adresse IP ou le nom de domaine de la liste d’autorisation.

IP ou domaine

Saisissez l’adresse IP ou le nom de domaine de la liste d’autorisation.

Système de noms de domaine (DNS)

Vous pouvez spécifier les domaines que vous souhaitez autoriserlist à partir du filtrage DNS. Utilisez cet onglet pour ajouter, modifier ou supprimer les listes d’autorisation pour le filtrage DNS.

Tableau 7 : Configuration des domaines

Champ

Ligne directrice

URL

Saisissez l’URL du domaine à autoriser.

Commentaires

Saisissez une description qui indique pourquoi le domaine a été ajouté à la liste.
Note:

Juniper ATP Cloud interroge régulièrement des contenus nouveaux et mis à jour et les télécharge automatiquement sur votre équipement SRX Series. Il n’est pas nécessaire de pousser manuellement vos fichiers de liste d’autorisation ou de blocklist.

Utilisez la show security dynamic-address instance advanced-anti-malware commande pour afficher la liste d’autorisation et de blocage personnalisée sur les équipements SRX Series.

Exemple : afficher l’instance d’adresse dynamique de sécurité advanced-anti-malware

Documentation connexe