Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SecIntel 피드 개요

SecIntel은 주니퍼 네트웍스의 ATP(Advanced Threat Prevention) 클라우드, 주니퍼 위협 연구소, DAG(Dynamic Address Group) 및 업계 최고의 위협 피드에서 주니퍼 Secure Edge, MX 시리즈 라우터, SRX 시리즈 방화벽 및 NFX 시리즈 네트워크 서비스 플랫폼에 이르기까지 세심하게 선별되고 검증된 위협 인텔리전스를 제공하여 회선 속도로 C&C(Command and Control) 통신을 차단합니다. SecIntel은 응답성이 뛰어난 자동 트래픽 필터링을 통해 실시간 위협 인텔리전스를 제공합니다.

SecIntel은 EX 시리즈 및 QFX 시리즈 스위치와 통합되어 이러한 스위치가 SecIntel의 감염된 호스트 피드를 구독할 수 있도록 합니다. 이를 통해 스위치 포트에서 손상된 호스트를 차단할 수 있습니다. 이제 SecIntel을 전체 네트워크로 확장하고 보안 적용 지점의 수를 늘릴 수 있습니다.

SecIntel 피드의 이점

현재 라이선스로 사용할 수 있는 모든 기본 피드를 볼 수 있습니다.

이 페이지에서 주니퍼 ATP 클라우드와의 통합을 위해 다음 피드를 활성화할 수 있습니다.

  • 주니퍼 위협 피드

  • 타사 위협 피드—IP 위협 피드 및 URL 위협 피드.

  • 동적 주소 그룹 피드 - 주니퍼 DAG 피드 및 타사 DAG 피드.

참고:

CC 피드의 총 수는 32개이며, 그 중 4개의 피드는 cc_ip, cc_url, cc_ipv6 및 cc_cert_sha1용으로 예약되어 있습니다. 따라서 CC 카테고리에 최대 28개의 피드를 활성화할 수 있으며, 여기에는 CC 사용자 지정 피드 및 CC 타사 피드가 포함됩니다. 이 제한은 사용 가능한 개방형 API를 사용하여 추가 피드를 삽입하는 경우에 적용됩니다.

외부 피드를 활성화하고 있는지 확인하기 위한 정보:

  • 사용하도록 설정된 외부 피드에서 적중이 감지되면 이 이벤트는 Monitor>ATP 아래에 위협 수준 10으로 표시됩니다.

  • 주니퍼 Secure Edge에서는 각 피드에 대한 허용 또는 차단 작업으로 정책을 구성할 수 있습니다. C&C 피드와 감염된 호스트 피드가 작동하려면 주니퍼 Secure Edge에서 활성화된 보안 인텔리전스 정책이 필요합니다.

  • 외부 피드는 24시간마다 한 번씩 업데이트됩니다.

경고:

이러한 피드는 타사에서 관리하는 오픈 소스 피드이며, 피드의 정확성을 결정하는 것은 주니퍼 ATP 클라우드 관리자에게 달려 있습니다. 주니퍼는 이러한 피드에서 발생하는 오탐을 조사하지 않습니다.
경고:

주니퍼 Secure Edge 정책은 활성화된 타사 피드를 기반으로 악성 IP 주소를 차단하지만, 이러한 이벤트는 호스트 위협 점수에 영향을 미치지 않습니다. 주니퍼 ATP 클라우드 피드의 이벤트만 호스트 위협 점수에 영향을 미칩니다.

사용 가능한 피드를 사용하도록 설정하려면 다음을 수행합니다.

  1. Configure>SecIntel 피드로 이동합니다.

  2. 각 피드에 대해 토글 단추를 선택하여 피드를 사용하도록 설정합니다. 표 1의 지침을 참조하십시오.

    참고:

    감염된 호스트 피드는 모든 라이센스 계층에 대해 사용하도록 설정됩니다. 다른 모든 Juniper SecIntel 피드는 Secure Edge Advanced 이상의 라이선스를 통해서만 활성화됩니다.

    피드 사이트로 이동 링크를 클릭하면 피드 콘텐츠를 포함한 피드 정보를 볼 수 있습니다.

    표 1: SecIntel 피드

    필드

    가이드
    주니퍼 위협 피드

    명령 및 제어

    C&C 피드가 활성화되었는지 여부를 표시합니다.

    악성 도메인

    DNS 피드의 사용 여부를 표시합니다.

    감염된 호스트 피드

    감염된 호스트 피드의 사용 여부를 표시합니다.
    타사 위협 피드

    IP 위협 피드

    차단 목록

    토글 버튼을 클릭하여 차단 목록 피드를 타사 피드로 사용하도록 설정합니다.

    Threatfox IP

    토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다.

    Feodo 트래커

    토글 버튼을 클릭하여 Feodo 피드를 타사 피드로 활성화합니다.

    디쉴드

    토글 버튼을 클릭하여 DShield 피드를 타사 피드로 활성화합니다.

    토르

    토글 버튼을 클릭하여 tor 피드를 타사 피드로 사용하도록 설정합니다.

    URL 위협 피드

    Threatfox URL

    토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다. ThreatFox는 악성코드와 관련된 침해 지표(IOC)를 infosec 커뮤니티, AV 공급업체 및 위협 인텔리전스 제공업체와 공유하는 것을 목표로 하는 abuse.ch 의 무료 플랫폼입니다. IOC는 IP 주소, 도메인 이름 또는 URL일 수 있습니다.

    URLhaus URL 위협 피드

    토글 버튼을 클릭하여 URLhaus 피드를 타사 피드로 사용하도록 설정합니다. URLhaus는 맬웨어 배포에 사용되는 악성 URL을 공유하는 위협 인텔리전스 피드입니다.

    피싱 열기

    토글 버튼을 클릭하여 OpenPhish 피드를 타사 피드로 사용하도록 설정합니다. OpenPhish는 피싱 인텔리전스를 위한 완전히 자동화된 독립형 플랫폼입니다. 사람의 개입 없이 차단 목록과 같은 외부 리소스를 사용하지 않고 피싱 사이트를 식별하고 실시간으로 인텔리전스 분석을 수행합니다. 맬웨어 검사를 위해 SecIntel은 이 피드의 URL을 사용하여 트래픽을 분석합니다.

    도메인 위협 피드

    Threatfox 도메인

    토글 버튼을 클릭하여 Threatfox 피드를 타사 피드로 활성화합니다.
    동적 주소 그룹 피드

    주니퍼 DAG 피드

    GeoIP 피드

    GeoIP 피드의 사용 여부를 표시합니다. GeoIP 피드는 지리적 지역에 대한 IP 주소의 최신 매핑입니다. 이를 통해 전 세계 특정 지역을 오가는 트래픽을 필터링할 수 있습니다.

    타사 DAG 피드

    오피스365

    토글 단추를 클릭하여 office365 IP 필터 피드를 타사 피드로 사용하도록 설정합니다. Office365 IP 필터 피드는 보안 정책에서 사용할 수 있는 Office 365 서비스 엔드포인트에 대해 게시된 IP 주소의 최신 목록입니다. 이 피드는 이 페이지의 다른 피드와 다르게 작동하며 사전 정의된 클라우드 피드 이름 "ipfilter_office365"를 비롯한 특정 구성 매개변수가 필요합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_office365

    페이스 북

    토글 버튼을 클릭하여 Facebook의 피드를 활성화합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_facebook

    Google

    토글 버튼을 클릭하여 Google의 피드를 활성화합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_google

    아틀라시안

    토글 버튼을 클릭하여 Atlassian의 피드를 활성화합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_atlassian

    Zscaler

    토글 버튼을 클릭하여 Zscaler에서 피드를 사용하도록 설정합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_zscaler

    오라클로시

    토글 버튼을 눌러 Oracle oci의 피드를 사용으로 설정합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_oracleoci

    Cloudflare

    토글 버튼을 클릭하여 Cloudflare의 피드를 활성화하세요.

    사전 정의된 클라우드 피드 이름 - ipfilter_cloudflare

    확대 / 축소

    토글 버튼을 클릭하여 Zoom에서 피드를 활성화합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_zoom

    마이크로소프트 애저

    토글 버튼을 클릭하여 Microsoft Azure의 피드를 사용하도록 설정합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_microsoftazure

    아마존AWS

    토글 버튼을 클릭하여 Amazon AWS의 피드를 활성화합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_amazonaws

    옥타

    토글 버튼을 클릭하여 Okta의 피드를 활성화합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_okta

    페이팔

    토글 버튼을 클릭하여 Paypal의 피드를 활성화합니다.

    사전 정의된 클라우드 피드 이름 - ipfilter_paypal
    참고:

    • 랜섬웨어 트래커(Ransomware Tracker) 및 멀웨어 도메인 목록(Malware Domain List)이 더 이상 사용되지 않으므로 랜섬웨어 트래커(Ransomware Tracker) 및 멀웨어 도메인 목록(Malware Domain List) IP 피드는 주니퍼 ATP 클라우드에서 지원되지 않습니다. 이전에 이 피드를 사용하도록 설정한 경우 이러한 피드 수신이 중지될 수 있습니다.

    • 타사 인터넷 서비스 피드의 업데이트 간격은 1일입니다.

Office365 피드 사용

주니퍼 ATP 클라우드에서 Office365 피드 사용 확인란을 활성화하여 Microsoft Office 365 서비스 엔드포인트 정보(IP 주소)를 주니퍼 Secure Edge로 푸시합니다. office365 피드는 이 페이지의 다른 피드와 다르게 작동하며 미리 정의된 이름 "ipfilter_office365"를 비롯한 특정 구성 매개 변수가 필요합니다.

확인란을 활성화한 후 주니퍼 Secure Edge에서 ipfilter_office365 피드를 참조하는 동적 주소 개체를 생성해야 합니다.