Custom Feed Sources Overview
Policy Enforcer는 위협 피드를 사용하여 다양한 유형의 위협에 대한 실행 가능한 인텔리전스를 정책에 제공합니다. 이러한 피드는 주니퍼 ATP 클라우드와 같은 다양한 소스와 IP 주소, 도메인 및 URL을 추가하여 사용자 지정할 수 있는 목록에서 가져올 수 있습니다.
주니퍼 ATP 클라우드 피드와 커스텀 피드는 상호 배타적입니다. 동적 주소, 허용 목록, 차단 목록, 감염된 호스트 피드 및 C&C Server에 대한 소스는 하나만 가질 수 있습니다.
동적 주소 사용자 지정 피드를 사용할 수 있는 경우 주니퍼 ATP 클라우드의 office_365 피드를 사용할 수 없습니다.
다음과 같은 유형의 사용자 지정 위협 피드를 사용할 수 있습니다.
동적 주소는 외부 소스에서 가져올 수 있는 IP 주소 그룹입니다. 이러한 IP 주소는 특정 도메인 또는 위협을 가하는 원치 않는 특정 위치와 같은 공통 특성이 있는 엔터티에 대한 것입니다. 그런 다음 보안 정책 내에서 동적 주소를 사용하도록 보안 정책을 구성할 수 있습니다.
허용 목록에는 알려진 신뢰할 수 있는 IP 주소, URL 및 도메인이 포함됩니다. 허용 목록에 있는 위치에서 다운로드한 콘텐츠는 맬웨어를 검사할 필요가 없습니다.
차단 목록에는 알려진 신뢰할 수 없는 IP 주소, URL 및 도메인이 포함됩니다. 차단 목록에 있는 위치에 대한 액세스가 차단되므로 해당 사이트에서 콘텐츠를 다운로드할 수 없습니다.
감염된 호스트는 감염된 것으로 알려진 호스트입니다. 호스트 IP 주소를 수동으로 입력하거나 감염된 호스트의 IP 주소가 포함된 텍스트 파일을 업로드합니다.
Policy Enforcer는 DDoS 위협 피드를 사용하여 피드에서 소스 IP 주소를 차단하고, 소스 IP 주소의 트래픽 속도를 제한하며, BGP Flowspec 작업을 수행하여 null 경로 필터링을 적용하거나 트래픽을 스크러빙 센터로 리디렉션합니다.
명령 및 제어 서버(C&C 서버)는 봇넷(손상된 컴퓨터 네트워크)에 명령을 내리고 봇넷으로부터 보고서를 다시 받는 중앙 집중식 컴퓨터입니다. 봇넷은 계좌 번호 또는 신용 카드 정보와 같은 민감한 정보를 수집하거나 분산 DDoS 공격에 참여하는 데 사용될 수 있습니다.
위협 관리 정책에서 이러한 피드를 사용하려면 각 피드 유형에 대한 구성 정보를 입력해야 합니다.
맞춤형 피드 소스의 이점
실행 정책을 수립하는 데 사용할 수 있는 관련성 있고 시기적절한 인텔리전스를 제공합니다. 산업 또는 조직에 맞는 위협 피드를 사용자 지정할 수 있습니다.
위협 정보를 동기화할 수 있는 유연한 메커니즘을 제공합니다.
로컬 파일 및 원격 파일 사용자 지정 피드에서 폴링하도록 Policy Enforcer를 구성합니다.
Threat Feed API를 사용하여 Policy Enforcer에 위협 피드를 푸시합니다.