SecIntel 피드 개요 및 이점

SecIntel은 다음으로부터 신중하게 선별되고 검증된 위협 인텔리전스를 수집합니다.

• 주니퍼 ATP 클라우드

• 주니퍼 위협 연구소

• 동적 주소 그룹(DAG)

• 업계 최고의 위협 피드

SecIntel은 이 인텔리전스를 MX 시리즈 라우터, SRX 시리즈 방화벽 및 NFX 시리즈 네트워크 서비스 플랫폼에 제공하여 회선 속도에서 C&C(Command and Control) 통신을 차단합니다. SecIntel은 반응형 자동 트래픽 필터링을 활성화하여 실시간 위협 인텔리전스를 제공합니다.

SecIntel은 EX 시리즈 스위치 및 QFX 시리즈 스위치와 통합되어 이러한 스위치가 SecIntel의 감염된 호스트 피드를 구독할 수 있도록 합니다. 이 통합을 통해 스위치 포트에서 손상된 호스트를 차단할 수 있습니다. 이제 전체 네트워크로 SecIntel을 확장하고 보안 적용 지점의 수를 늘릴 수 있습니다.

SecIntel 피드의 이점

현재 라이선스에서 사용할 수 있는 모든 기본 피드를 볼 수 있습니다.

이 페이지를 사용하여 주니퍼 ATP 클라우드와의 통합을 위해 다음 피드를 활성화할 수 있습니다.

• 주니퍼 위협 피드

• 타사 위협 피드 - IP 위협 피드 및 URL 위협 피드.

• 동적 주소 그룹 피드 - 주니퍼 DAG 피드 및 타사 DAG 피드.

참고:

SecIntel 피드의 만료는 각 피드마다 다른 TTL(Time-to-Live) 값에 따라 달라집니다.

참고:

C&C 피드의 총 수는 32개이며, 이 중 4개의 피드는 cc_ip, cc_url, cc_ipv6, cc_cert_sha1용으로 예약되어 있습니다. 따라서 C&C 사용자 지정 피드 및 타사 피드를 포함하는 C&C 카테고리에 최대 28개의 피드를 활성화할 수 있습니다. 이 제한은 사용 가능한 개방형 API를 사용하여 추가 피드를 삽입하는 경우에 적용됩니다.

외부 피드를 활성화하고 있는지 여부를 알 수 있는 정보:

• 활성화된 외부 피드에서 적중이 감지되면 위협 수준 10의 위협 소스 > 모니터링 아래에 이 이벤트가 나타납니다.

• 등록된 SRX 시리즈 방화벽에서는 각 피드에 대한 허용 또는 차단 작업으로 정책을 구성할 수 있습니다. C&C 및 감염된 호스트 피드가 작동하려면 SRX 시리즈 방화벽에서 활성화된 SecIntel 정책이 필요합니다.

• 외부 피드는 24시간마다 한 번씩 업데이트됩니다.

경고:

이러한 오픈 소스 피드는 타사에 의해 관리되며 피드의 정확성 판단은 주니퍼 ATP 클라우드 관리자에게 맡겨집니다. 주니퍼는 이러한 피드에서 생성된 오탐을 조사하지 않습니다.

경고:

구성된 SRX 시리즈 방화벽 정책은 활성화된 타사 피드를 기반으로 악성 IP 주소를 차단하지만 이러한 이벤트는 호스트 위협 점수에 영향을 미치지 않습니다. 주니퍼 ATP 클라우드 피드의 이벤트만 호스트 위협 점수에 영향을 미칩니다.

사용 가능한 피드를 활성화하려면 다음을 수행합니다.

1. SecIntel 피드> > 피드 구성 구성으로 이동합니다.

2. 각 피드에 대해 토글 버튼을 선택하여 피드를 활성화합니다. 표 1의 지침을 참조하십시오.

   참고:

   감염된 호스트 피드는 모든 라이선스 계층에 대해 활성화되어 있습니다. 다른 모든 주니퍼 SecIntel 피드에 대한 라이선스 정보는 ATP 클라우드용 소프트웨어 라이선스를 참조하십시오.

   피드 사이트로 이동 링크를 클릭하여 피드 내용을 포함한 피드 정보를 봅니다.

   표 1: SecIntel 피드

   필드	지침
   주니퍼 위협 피드
   명령 및 제어	C&C 피드가 활성화되었는지 여부를 표시합니다.
   악성 도메인	DNS 피드의 활성화 여부를 표시합니다.
   감염된 호스트 피드	감염된 호스트 피드의 활성화 여부를 표시합니다.
   타사 위협 피드
   IP 위협 피드
   차단 목록	토글 버튼을 클릭하여 차단 목록 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름 - cc_ip_blocklist.
   Threatfox IP	토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름 - cc_ip_threatfox.
   Feodo 추적기	토글 버튼을 클릭하여 Feodo 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름 - cc_ip_feodotracker.
   DShield	토글 버튼을 클릭하여 DShield 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름 - cc_ip_dhield.
   토르	토글 버튼을 클릭하여 Tor 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름 - cc_ip_tor.
   URL 위협 피드
   Threatfox URL	토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다. ThreatFox는 abuse.ch 의 무료 플랫폼으로, 멀웨어와 관련된 침해 지표(IoC)를 정보보안 커뮤니티, 바이러스 백신 공급업체 및 위협 인텔리전스 제공업체와 공유하는 것을 목표로 합니다. IOC는 IP 주소, 도메인 이름 또는 URL일 수 있습니다. 사전 정의된 클라우드 피드 이름 - cc_url_threatfox.
   URLhaus URL 위협 피드	토글 버튼을 클릭하여 URLhaus 피드를 타사 피드로 활성화합니다. URLhaus는 멀웨어 배포에 사용되는 악성 URL을 공유하는 위협 인텔리전스 피드입니다. 사전 정의된 클라우드 피드 이름 - cc_url_urlhaus.
   오픈 피싱	토글 버튼을 클릭하여 OpenPhish 피드를 타사 피드로 활성화합니다. OpenPhish는 피싱 인텔리전스를 위한 완전 자동화된 독립형 플랫폼입니다. 피싱 사이트를 식별하고 사람의 개입 없이 차단 목록과 같은 외부 리소스를 사용하지 않고 실시간으로 인텔리전스 분석을 수행합니다. 맬웨어 검사를 위해 SecIntel은 이 피드의 URL을 사용하여 트래픽을 분석합니다. 사전 정의된 클라우드 피드 이름 - cc_url_openphish.
   도메인 위협 피드
   Threatfox 도메인	토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름 - cc_domain_threatfox.
   동적 주소 그룹 피드
   주니퍼 DAG 피드
   GeoIP 피드	GeoIP 피드의 활성화 여부를 표시합니다. GeoIP 피드는 지리적 지역에 대한 IP 주소의 최신 매핑입니다. 이를 통해 전 세계 특정 지역에서 들어오고 나가는 트래픽을 필터링할 수 있습니다.
   타사 DAG 피드
   오피스365	토글 단추를 클릭하여 office365 IP 필터 피드를 타사 피드로 사용하도록 설정합니다. office365 IP 필터 피드는 보안 정책에 사용할 수 있는 Office 365 서비스 엔드포인트에 대해 게시된 IP 주소의 최신 목록입니다. 이 피드는 이 페이지의 다른 피드와 다르게 작동하며 사전 정의된 클라우드 피드 이름 'ipfilter_office365'을 비롯한 특정 구성 매개 변수가 필요합니다. 이 페이지 하단에서 이 피드를 사용하기 위한 명령어 사용을 set security dynamic-address 포함하여 자세한 지침을 참조하세요. 사전 정의된 클라우드 피드 이름 - ipfilter_office365
   페이스북	토글 버튼을 클릭하여 Facebook의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_facebook
   구글	토글 버튼을 클릭하여 Google의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_google
   아틀라시안	토글 버튼을 클릭하여 Atlassian의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_atlassian
   Zscaler	토글 버튼을 클릭하여 Zscaler에서 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_zscaler
   ZPA Zscaler	토글 버튼을 클릭하여 ZPA(Zscaler Private 액세스)에서 피드를 활성화합니다. ZPA 서비스는 조직 내의 애플리케이션 및 서비스에 대한 보안 액세스를 제공합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_zscaler_zpa
   오라클OCI	토글 버튼을 클릭하여 Oracle OCI에서 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_oracleoci
   클라우드플레어	토글 버튼을 클릭하여 Cloudflare의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_cloudflare
   확대/축소	토글 버튼을 클릭하여 Zoom에서 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_zoom
   마이크로소프트Azure	토글 버튼을 클릭하여 Microsoft Azure에서 피드를 사용하도록 설정합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_microsoftazure 사용자와 관련된 Azure 지역 및 서비스에서 DAG 피드를 필터링하고 볼 수 있습니다. Azure 피드에 대한 DAG 필터를 구성하려면 구성을 클릭하고 DAG 필터 추가 및 관리의 지침을 따릅니다.
   아마존AWS	토글 버튼을 클릭하여 AWS에서 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_amazonaws 사용자와 관련된 AWS 리전 및 서비스의 DAG 피드를 필터링하고 볼 수 있습니다. AWS 피드에 대한 DAG 필터를 구성하려면 구성을 클릭하고 DAG 필터 추가 및 관리의 지침을 따릅니다.
   옥타	토글 버튼을 클릭하여 Okta의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_okta
   PayPal	토글 버튼을 클릭하여 PayPal의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 - ipfilter_PayPal

   참고:

   • Junos OS 릴리스 19.4R1부터는 타사 URL 피드가 주니퍼 ATP 클라우드에서 지원됩니다.

   • 랜섬웨어 추적기 및 멀웨어 도메인 목록은 더 이상 사용되지 않으므로 랜섬웨어 추적기 및 멀웨어 도메인 목록 IP 피드는 주니퍼 ATP 클라우드에서 지원되지 않습니다. 이전에 이 피드를 활성화한 경우 이러한 피드 수신이 중지될 수 있습니다.

   • 타사 인터넷 서비스 피드의 업데이트 간격은 1일입니다.

3. 다른 C&C 및 감염된 호스트 피드와 마찬가지로 활성화된 타사 피드가 작동하려면 SRX 시리즈 방화벽에 대한 SecIntel 정책이 필요합니다. 예제 명령은 여기에 제공됩니다. 자세한 정보는 주니퍼 지능형 위협 방지 클라우드 CLI 참조 가이드 를 참조하십시오.

   SRX 시리즈 방화벽에서 SecIntel 프로필을 구성합니다

   set services security-intelligence profile secintel_profile category CC

   set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

   set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

   set services security-intelligence profile secintel_profile rule secintel_rule then action block close

   set services security-intelligence profile secintel_profile rule secintel_rule then log

   set services security-intelligence profile secintel_profile default-rule then action permit

   set services security-intelligence profile secintel_profile default-rule then log

   set services security-intelligence profile ih_profile category Infected-Hosts

   set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

   set services security-intelligence profile ih_profile rule ih_rule then action block close

   set services security-intelligence profile ih_profile rule ih_rule then log

   set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

   set services security-intelligence policy secintel_policy CC secintel_profile

4. 또한 SecIntel 정책은 SRX 시리즈 방화벽 정책에 추가되어야 합니다.

   SRX 시리즈 방화벽에서 보안 정책을 구성합니다. 다음 명령을 입력하여 SRX 시리즈 방화벽에서 검사 프로필에 대한 보안 정책을 생성합니다.

   set security policies from-zone trust to-zone untrust policy 1 match source-address any

   set security policies from-zone trust to-zone untrust policy 1 match destination-address any

   set security policies from-zone trust to-zone untrust policy 1 match application any

   set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

   set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

   사용 가능한 CLI 명령을 사용하여 주니퍼 ATP 클라우드로 SRX 시리즈를 구성하는 방법에 대한 자세한 내용은 주니 퍼 Advanced Threat Prevention 클라우드 CLI 참조 가이드를 참조하십시오.

office365 피드 사용

1. 주니퍼 ATP 클라우드에서office365 피드 사용 확인란을 활성화하여 Microsoft Office 365 서비스 엔드포인트 정보(IP 주소)를 SRX 시리즈 방화벽에 푸시합니다. office365 피드는 이 페이지의 다른 피드와 다르게 작동하며 미리 정의된 이름 "ipfilter_office365"을 포함하여 특정 구성 매개 변수가 필요합니다.

2. 이 확인란을 활성화한 후에는 다음과 같이 ipfilter_office365 피드를 참조하는 동적 주소 개체를 SRX 시리즈 방화벽에서 생성해야 합니다.

   set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

   참고:

   그런 다음 보안 정책은 소스 또는 대상 주소의 동적 주소 항목 이름(이 예에서는 'office365')을 참조할 수 있습니다.

   샘플 보안 정책은 다음과 같습니다.

다음 명령을 사용하여 office365 피드가 SRX 시리즈 방화벽에 푸시되었는지 확인합니다. Update Status 가 표시되어야 Store succeeded.합니다.

show services security-intelligence category summary

다음 명령을 사용하여 IPFILTER 아래의 모든 개별 피드를 표시합니다.

show security dynamic-address category-name IPFilter