Información general sobre listas de permitidos y bloqueados

Una lista de permitidos contiene direcciones IP de confianza, hashes, direcciones de correo electrónico y URL conocidas. No es necesario inspeccionar el contenido descargado de ubicaciones de la lista de permitidos en busca de malware. Una lista de bloqueo contiene direcciones IP y URL conocidas que no son de confianza. El acceso a las ubicaciones en la lista de bloqueo está bloqueado y, por lo tanto, no se puede descargar contenido de esos sitios.

Beneficios de las listas de permitidos y las listas bloqueadas

• Allowlist permite a los usuarios descargar archivos de fuentes que se sabe que son seguras. La lista de permitidos se puede agregar para disminuir los falsos positivos.

• Las listas de bloqueo impiden que los usuarios descarguen archivos de fuentes que se sabe que son dañinas o sospechosas.

Las listas de permitidos personalizadas o las listas de bloqueo personalizadas le permiten agregar elementos manualmente. Ambos están configurados en el servidor en la nube ATP Cloud de Juniper. El orden de prioridad es el siguiente:

1. Lista de permitidos personalizada

2. Lista de bloqueo personalizada

Si una ubicación está en varias listas, gana el primer partido.

Las listas de permitidos admiten los siguientes tipos:

• Antimalware: dirección IP, URL, hash de archivo y remitente de correo electrónico
• SecIntel—C&C

• ETI

• DNS

• Reverse Shell: direcciones IP y dominios de destino

Las listas de bloqueo admiten los siguientes tipos:

• Antimalware: dirección IP, URL, hash de archivo y remitente de correo electrónico
• SecIntel—C&C

Nota:

• Para IP y URL, la interfaz de usuario web realiza comprobaciones de sintaxis básicas para asegurarse de que las entradas son válidas.

• La URL de la fuente de nube para las listas de permitidos y las listas de bloqueo se configura automáticamente cuando ejecuta el script op para configurar el firewall de la serie SRX. Consulte Descargar y ejecutar el script en la nube de Prevención avanzada de amenazas de Juniper.

• Un hash es una firma única para un archivo generado por un algoritmo. Puede agregar hashes personalizados de lista de permitidos y listas de bloqueo para filtrar, pero deben aparecer en un archivo de texto con cada entrada en una sola línea. Solo puede tener un archivo en ejecución que contenga hasta 15.000 hashes de archivo. Para obtener más información sobre la carga, consulte Crear listas de permitidos y listas de bloqueo. Tenga en cuenta que las listas hash son ligeramente diferentes de otros tipos de lista, ya que operan en el lado de la nube en lugar del lado del firewall de la serie SRX. Esto significa que el portal web puede mostrar hits en elementos hash.

El firewall de la serie SRX realiza solicitudes aproximadamente cada dos horas para contenido de fuente nuevo y actualizado. Si no hay nada nuevo, no se descargan nuevas actualizaciones.

Utilice el comando de la show security dynamic-address instance advanced-anti-malware CLI para ver las listas de permitidos y las listas de bloqueo basadas en IP en el firewall de la serie SRX. En este momento, no hay ningún comando de CLI que muestre las listas de permitidos y las listas de bloqueo basadas en dominios o URL.

Ejemplo mostrar instancia de dirección dinámica de seguridad anti-malware avanzado

Si no ve las actualizaciones, espere unos minutos y vuelva a probar el comando. Es posible que no esté fuera del período de sondeo de ATP Cloud de Juniper.

Una vez creadas las listas de permitidos o bloqueadas, cree una política antimalware avanzada para registrar (o no registrar) cuando intente descargar un archivo de un sitio incluido en la lista de bloqueo o en la lista de permitidos. Por ejemplo, a continuación se crea una directiva denominada aawmpolicy1 y se crean entradas de registro.

set services advanced-anti-malware policy aamwpolicy1 blacklist-notification log set services advanced-anti-malware policy aamwpolicy1 whitelist-notification log