SecIntel 피드 개요 및 이점

SecIntel은 다음으로부터 신중하게 선별되고 검증된 위협 인텔리전스를 수집합니다.

주니퍼 ATP 클라우드
Juniper Threat Labs
DAG(동적 주소 그룹)
업계 최고의 위협 피드

SecIntel은 이러한 인텔리전스를 MX 시리즈 라우터, SRX 시리즈 방화벽, NFX 시리즈 네트워크 서비스 플랫폼에 제공하여 회선 속도에서 C&C(Command and Control) 통신을 차단합니다. SecIntel은 반응형의 자동 트래픽 필터링을 통해 실시간 위협 인텔리전스를 제공합니다.

SecIntel은 EX 시리즈 스위치 및 QFX 시리즈 스위치와 통합되어 이러한 스위치가 SecIntel의 감염된 호스트 피드를 구독할 수 있도록 합니다. 이 통합을 통해 스위치 포트에서 손상된 호스트를 차단할 수 있습니다. 이제 SecIntel을 전체 네트워크로 확장하고 보안 적용 지점 수를 늘릴 수 있습니다.

SecIntel 피드의 이점

현재 라이선스에서 사용할 수 있는 모든 기본 피드를 볼 수 있습니다.

이 페이지를 사용하면 다음 피드를 활성화하여 주니퍼 ATP 클라우드와 통합할 수 있습니다.

주니퍼 위협 피드
타사 위협 피드—IP 위협 피드 및 URL 위협 피드.
동적 주소 그룹 피드 - Juniper DAG 피드 및 타사 DAG 피드.

메모:

SecIntel 피드의 만료는 각 피드마다 다른 TTL(Time-to-Live) 값에 따라 달라집니다.

메모:

C&C 피드의 총 개수는 32개이며, 이 중 4개의 피드는 cc_ip, cc_url, cc_ipv6 및 cc_cert_sha1용으로 예약되어 있습니다. 따라서 C&C 사용자 지정 피드 및 타사 피드를 포함하는 C&C 범주에 최대 28개의 피드를 활성화할 수 있습니다. 이 제한은 사용 가능한 개방형 API를 사용하여 추가 피드를 삽입하는 경우에 적용됩니다.

외부 피드를 사용하도록 설정하는 경우 알아야 할 정보:

활성화된 외부 피드에서 적중이 감지되면 이 이벤트는 위협 수준이 10인 > 위협 소스 모니터링 아래에 나타납니다.
등록된 SRX 시리즈 방화벽에서 각 피드에 대한 허용 또는 차단 작업으로 정책을 구성할 수 있습니다. C&C 및 감염된 호스트 피드가 작동하려면 SRX 시리즈 방화벽에서 활성화된 SecIntel 정책이 필요합니다.
외부 피드는 24시간마다 한 번씩 업데이트됩니다.

경고:

이러한 오픈 소스 피드는 타사에서 관리하며 피드의 정확성을 결정하는 것은 주니퍼 ATP 클라우드 관리자에게 맡겨집니다. 주니퍼는 이러한 피드에서 생성된 오탐을 조사하지 않습니다.

경고:

구성된 SRX 시리즈 방화벽 정책은 활성화된 타사 피드를 기반으로 악성 IP 주소를 차단하지만 이러한 이벤트는 호스트 위협 점수에 영향을 주지 않습니다. 주니퍼 ATP 클라우드 피드의 이벤트만 호스트 위협 점수에 영향을 미칩니다.

사용 가능한 피드를 사용하도록 설정하려면 다음을 수행합니다.

Configure > feeds( 피드 구성) > SecIntel Feeds(SecIntel 피드 구성)로 이동합니다.

각 피드에 대해 토글 버튼을 선택하여 피드를 사용하도록 설정합니다. 표 1의 지침을 참조하십시오.

메모:

감염된 호스트 피드는 모든 라이선스 계층에 대해 활성화됩니다. 다른 모든 주니퍼 SecIntel 피드에 대한 라이선스 정보는 ATP 클라우드용 소프트웨어 라이선스를 참조하십시오.

피드 사이트로 이동 링크를 클릭하여 피드의 내용을 포함한 피드 정보를 봅니다.

표 1: SecIntel 피드
밭	지침
주니퍼 위협 피드
명령 및 제어	C&C 피드가 활성화되었는지 여부를 표시합니다.
악성 도메인	DNS 피드를 사용할 수 있는지 여부를 표시합니다.
감염된 호스트 피드	감염된 호스트 피드의 활성화 여부를 표시합니다.
타사 위협 피드
IP 위협 피드
차단 목록	토글 버튼을 클릭하여 차단 목록 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름— cc_ip_blocklist.
Threatfox IP	토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름— cc_ip_threatfox.
Feodo 추적기	토글 버튼을 클릭하여 Feodo 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름— cc_ip_feodotracker.
디쉴드	토글 버튼을 클릭하여 DShield 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름— cc_ip_dhield.
바위산	토글 버튼을 클릭하여 tor 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름— cc_ip_tor.
URL 위협 피드
Threatfox URL	토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다. ThreatFox는 infosec 커뮤니티, 바이러스 백신 공급업체 및 위협 인텔리전스 제공업체와 맬웨어와 관련된 손상 지표(IoC)를 공유하는 것을 목표로 하는 abuse.ch 의 무료 플랫폼입니다. IOC는 IP 주소, 도메인 이름 또는 URL이 될 수 있습니다. 사전 정의된 클라우드 피드 이름— cc_url_threatfox.
URLhaus URL 위협 피드	토글 버튼을 클릭하여 URLhaus 피드를 타사 피드로 활성화합니다. URLhaus는 맬웨어 배포에 사용되는 악성 URL을 공유하는 위협 인텔리전스 피드입니다. 사전 정의된 클라우드 피드 이름— cc_url_urlhaus.
피싱 열기	토글 단추를 클릭하여 OpenPhish 피드를 타사 피드로 사용하도록 설정합니다. OpenPhish는 피싱 인텔리전스를 위한 완전 자동화된 독립형 플랫폼입니다. 피싱 사이트를 식별하고 사람의 개입 없이 차단 목록과 같은 외부 리소스를 사용하지 않고 실시간으로 인텔리전스 분석을 수행합니다. 맬웨어 검사를 위해 SecIntel은 이 피드의 URL을 사용하여 트래픽을 분석합니다. 사전 정의된 클라우드 피드 이름— cc_url_openphish.
도메인 위협 피드
Threatfox 도메인	토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다. 사전 정의된 클라우드 피드 이름— cc_domain_threatfox.
동적 주소 그룹 피드
주니퍼 DAG 피드
GeoIP 피드	GeoIP 피드의 활성화 여부를 표시합니다. GeoIP 피드는 IP 주소를 지리적 지역에 대한 최신 매핑입니다. 이를 통해 전 세계 특정 지역에서 송수신되는 트래픽을 필터링할 수 있습니다.
타사 DAG 피드
오피스365	토글 단추를 클릭하여 office365 IP 필터 피드를 타사 피드로 사용하도록 설정합니다. office365 IP 필터 피드는 보안 정책에서 사용할 수 있는 Office 365 서비스 엔드포인트에 대해 게시된 IP 주소의 최신 목록입니다. 이 피드는 이 페이지의 다른 피드와 다르게 작동하며 미리 정의된 클라우드 피드 이름 "ipfilter_office365"를 비롯한 특정 구성 매개 변수가 필요합니다. 이 피드를 사용하기 위한 명령 사용법 `set security dynamic-address` 을 포함하여 이 페이지 하단의 추가 지침을 참조하세요. 사전 정의된 클라우드 피드 이름— ipfilter_office365
페이스북	토글 버튼을 클릭하여 Facebook의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름— ipfilter_facebook
구글	토글 버튼을 클릭하여 Google의 피드를 사용 설정합니다. 사전 정의된 클라우드 피드 이름— ipfilter_google
아틀라스	토글 버튼을 클릭하여 Atlassian의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름— ipfilter_atlassian
Zscaler	토글 버튼을 클릭하여 Zscaler에서 피드를 사용하도록 설정합니다. 사전 정의된 클라우드 피드 이름— ipfilter_zscaler
ZPA Zscaler	토글 버튼을 클릭하여 ZPA(Zscaler Private Access)에서 피드를 사용하도록 설정합니다. ZPA 서비스는 조직 내 애플리케이션 및 서비스에 대한 보안 액세스를 제공합니다. 사전 정의된 클라우드 피드 이름— ipfilter_zscaler_zpa
오라클OCI	토글 버튼을 눌러 Oracle oci에서 피드를 사용으로 설정합니다. 사전 정의된 클라우드 피드 이름— ipfilter_oracleoci
Cloudflare	토글 버튼을 클릭하여 Cloudflare의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름 — ipfilter_cloudflare
급상승	토글 버튼을 클릭하여 Zoom에서 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름— ipfilter_zoom
마이크로소프트애저	토글 단추를 클릭하여 Microsoft Azure에서 피드를 사용하도록 설정합니다. 사전 정의된 클라우드 피드 이름 — ipfilter_microsoftazure 사용자와 관련된 Azure 지역 및 서비스에서 DAG 피드를 필터링하고 볼 수 있습니다. Azure 피드에 대한 DAG 필터를 구성하려면 구성을 클릭하고 DAG 필터 추가 및 관리의 지침을 따릅니다.
아마존AWS	토글 버튼을 클릭하여 AWS의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름— ipfilter_amazonaws 사용자와 관련된 AWS 리전 및 서비스의 DAG 피드를 필터링하고 볼 수 있습니다. AWS 피드에 대한 DAG 필터를 구성하려면 [Configure]를 클릭하고 DAG 필터 추가 및 관리의 지침을 따릅니다.
Okta	토글 버튼을 클릭하여 Okta의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름— ipfilter_okta
PayPal	토글 버튼을 클릭하여 PayPal의 피드를 활성화합니다. 사전 정의된 클라우드 피드 이름— ipfilter_PayPal

메모:

Junos OS 릴리스 19.4R1부터 주니퍼 ATP 클라우드에서 타사 URL 피드가 지원됩니다.
랜섬웨어 추적기 및 멀웨어 도메인 목록은 더 이상 사용되지 않으므로 랜섬웨어 트래커 및 멀웨어 도메인 목록 IP 피드는 주니퍼 ATP 클라우드에서 지원되지 않습니다. 이전에 이 피드를 사용하도록 설정한 경우 이러한 피드 수신이 중지될 수 있습니다.
타사 인터넷 서비스 피드의 업데이트 간격은 1일입니다.

다른 C&C 및 감염된 호스트 피드와 마찬가지로, 활성화된 타사 피드가 작동하려면 SRX 시리즈 방화벽에 대한 SecIntel 정책이 필요합니다. 여기에 예제 명령이 제공됩니다. 자세한 내용은 주니퍼 ATP(Advanced Threat Prevention) 클라우드 CLI 참조 가이드를 참조하십시오.

SRX 시리즈 방화벽에서 SecIntel 프로필을 구성합니다

set services security-intelligence profile secintel_profile category CC

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10

set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9

set services security-intelligence profile secintel_profile rule secintel_rule then action block close

set services security-intelligence profile secintel_profile rule secintel_rule then log

set services security-intelligence profile secintel_profile default-rule then action permit

set services security-intelligence profile secintel_profile default-rule then log

set services security-intelligence profile ih_profile category Infected-Hosts

set services security-intelligence profile ih_profile rule ih_rule match threat-level 10

set services security-intelligence profile ih_profile rule ih_rule then action block close

set services security-intelligence profile ih_profile rule ih_rule then log

set services security-intelligence policy secintel_policy Infected-Hosts ih_profile

set services security-intelligence policy secintel_policy CC secintel_profile
SecIntel 정책은 SRX 시리즈 방화벽 정책에도 반드시 추가되어야 합니다.

SRX 시리즈 방화벽에서 보안 정책을 구성합니다. 검사 프로파일에 대한 SRX 시리즈 방화벽에 대한 보안 정책을 생성하려면 다음 명령을 입력합니다.

set security policies from-zone trust to-zone untrust policy 1 match source-address any

set security policies from-zone trust to-zone untrust policy 1 match destination-address any

set security policies from-zone trust to-zone untrust policy 1 match application any

set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut

set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy

사용 가능한 CLI 명령을 사용하여 주니퍼 ATP 클라우드로 SRX 시리즈를 구성하는 방법에 대한 자세한 내용은 주니퍼 ATP(Advanced Threat Prevention) 클라우드 CLI 참조 가이드를 참조하십시오.

office365 피드 사용

주니퍼 ATP 클라우드에서Office365 피드 사용 확인란을 활성화하여 Microsoft Office 365 서비스 엔드포인트 정보(IP 주소)를 SRX 시리즈 방화벽으로 푸시합니다. Office365 피드는 이 페이지의 다른 피드와 다르게 작동하며 미리 정의된 이름 "ipfilter_office365"를 비롯한 특정 구성 매개 변수가 필요합니다.
확인란을 활성화한 후 다음과 같이 ipfilter_office365 피드를 참조하는 동적 주소 개체를 SRX 시리즈 방화벽에 생성해야 합니다.

set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365

메모:
그런 다음 보안 정책은 원본 또는 대상 주소에서 동적 주소 항목 이름(이 예에서는 'office365')을 참조할 수 있습니다.

샘플 보안 정책은 다음과 같습니다.

다음 명령을 사용하여 office365 피드가 SRX 시리즈 방화벽으로 푸시되었는지 확인합니다. Update Status 를 표시 Store succeeded.해야 합니다.

show services security-intelligence category summary

IPFILTER 아래의 모든 개별 피드를 표시하려면 다음 명령을 사용합니다.

show security dynamic-address category-name IPFilter

SecIntel 피드 개요 및 이점

관련 설명서