Descripción general y beneficios de las fuentes de SecIntel
SecIntel proporciona inteligencia de amenazas cuidadosamente seleccionada y verificada desde la nube de prevención avanzada de amenazas (ATP) de Juniper Networks, los laboratorios de amenazas de Juniper, el grupo de direcciones dinámicas (DAG) y fuentes de amenazas líderes en la industria a enrutadores de la serie MX, firewalls de la serie SRX y plataforma de servicios de red de la serie NFX para bloquear las comunicaciones de comando y control (C&C) a velocidad de línea. SecIntel ofrece inteligencia de amenazas en tiempo real al habilitar el filtrado de tráfico automático y responsivo.
SecIntel se integra con los conmutadores de las series EX y QFX y permite que estos conmutadores se suscriban a la fuente de host infectado de SecIntel. Esto le permite bloquear hosts comprometidos en el puerto del conmutador. Ahora puede extender SecIntel a toda su red y aumentar el número de puntos de aplicación de seguridad.
Beneficios de las fuentes de SecIntel
Puede ver todos los feeds predeterminados que están disponibles con su licencia actual.
Con esta página, puede habilitar las siguientes fuentes para la integración con Juniper ATP Cloud.
-
Fuentes de amenazas de Juniper
-
Fuentes de amenazas de terceros: fuentes de amenazas de IP y fuentes de amenazas de URL.
-
Fuentes de grupos de direcciones dinámicos: fuentes del DAG de Juniper y fuentes del DAG de terceros.
La caducidad de las fuentes de SecIntel depende del valor del tiempo de vida (TTL), que es diferente para cada fuente.
El número total de fuentes CC es de 32, de las cuales cuatro fuentes están reservadas para cc_ip, cc_url, cc_ipv6 y cc_cert_sha1. Por lo tanto, puede habilitar hasta 28 feeds para la categoría CC, que incluye feeds personalizados CC y feeds CC de terceros. Este límite es aplicable si va a inyectar feeds adicionales mediante la API abierta disponible.
Información para saber si está habilitando feeds externos:
-
Si se detecta una respuesta positiva en una fuente externa habilitada, este evento aparece en Supervisar orígenes de amenazas > con un nivel de amenaza de 10.
-
En los firewalls de la serie SRX inscritos, puede configurar políticas con la acción de permitir o bloquear para cada fuente. Tenga en cuenta que las fuentes de C&C y hosts infectados requieren una política de inteligencia de seguridad habilitada en el firewall de la serie SRX para funcionar.
-
Las fuentes externas se actualizan una vez cada 24 horas.
Tenga en cuenta que se trata de fuentes de código abierto administradas por terceros y que la determinación de la precisión de la fuente se deja en manos del administrador de ATP Cloud de Juniper. Juniper no investigará los falsos positivos generados por estos feeds.
Las políticas configuradas de la serie SRX bloquearán las direcciones IP malintencionadas según fuentes de terceros habilitadas, pero estos eventos no afectan a las puntuaciones de amenaza del host. Solo los eventos de las fuentes de ATP Cloud de Juniper afectan a las puntuaciones de las amenazas del host.
Para habilitar las fuentes disponibles, haga lo siguiente:
-
Vaya a Configurar la configuración de fuentes de > > SecIntel Feeds.
-
Para cada feed, seleccione el botón de alternancia para habilitar el feed. Consulte las directrices en la Tabla 1.
Nota:La fuente de host infectado está habilitada para todos los niveles de licencia. Todas las demás fuentes de Juniper SecIntel se habilitan únicamente con una licencia avanzada.
Haga clic en el vínculo Ir al sitio de la fuente para ver la información de la fuente, incluido el contenido de la fuente.
Tabla 1: Fuentes de SecIntel Campo
Directrices
Fuentes de amenazas de Juniper Comando y Control
Muestra si la fuente de C&C está habilitada o no.
Dominios maliciosos
Muestra si la fuente DNS está habilitada o no.
Fuente de alimentación de huésped infectado
Muestra si la fuente de host infectado está habilitada o no.
Fuentes de amenazas de terceros Fuentes de amenazas IP
Lista de bloqueados
Haga clic en el botón de alternancia para habilitar las fuentes de listas de bloqueo como fuentes de terceros.
Nombre predefinido de la fuente de nube: cc_ip_blocklist.
Threatfox IP
Haga clic en el botón de alternancia para habilitar los feeds de Threatfox como feeds de terceros.
Nombre predefinido de la fuente de nube: cc_ip_threatfox.
Rastreador Feodo
Haga clic en el botón de alternancia para habilitar los feeds de Feodo como feeds de terceros.
Nombre predefinido de la fuente de nube: cc_ip_feodotracker.
DShield
Haga clic en el botón de alternancia para habilitar las fuentes de DShield como fuentes de terceros.
Nombre predefinido de la fuente de nube: cc_ip_dhield.
Tor
Haz clic en el botón de alternancia para habilitar los feeds de tor como feeds de terceros.
Nombre predefinido de la fuente de nube: cc_ip_tor.
Fuentes de amenazas de URL
Threatfox URL
Haga clic en el botón de alternancia para habilitar el feed de Threatfox como feeds de terceros. ThreatFox es una plataforma gratuita de abuse.ch con el objetivo de compartir indicadores de compromiso (IOC) asociados con malware con la comunidad de seguridad de la información, proveedores de AV y proveedores de inteligencia de amenazas. El COI puede ser una dirección IP, un nombre de dominio o una URL.
Nombre predefinido de la fuente de nube: cc_url_threatfox.
Fuente de amenazas URL de URLhaus
Haga clic en el botón de alternancia para habilitar el feed de URLhaus como feeds de terceros. URLhaus es una fuente de inteligencia de amenazas que comparte URL maliciosas que se utilizan para la distribución de malware.
Nombre predefinido de la fuente de nube: cc_url_urlhaus.
Abrir phishing
Haga clic en el botón de alternancia para habilitar el feed de OpenPhish como feeds de terceros. OpenPhish es una plataforma autónoma totalmente automatizada para la inteligencia de phishing. Identifica sitios de phishing y realiza análisis de inteligencia en tiempo real sin intervención humana y sin utilizar recursos externos, como listas de bloqueo. Para la inspección de malware, SecIntel analizará el tráfico utilizando las URL de esta fuente.
Nombre predefinido de la fuente de nube: cc_url_openphish.
Fuentes de amenazas de dominio
Dominios de Threatfox
Haga clic en el botón de alternancia para habilitar el feed de Threatfox como feeds de terceros.
Nombre predefinido de la fuente de nube: cc_domain_threatfox.
Fuentes de grupos de direcciones dinámicos Fuentes del DAG de Juniper
Fuente de GeoIP
Muestra si la fuente GeoIP está habilitada o no. La fuente GeoIP es un mapeo actualizado de direcciones IP a regiones geográficas. Esto le da la capacidad de filtrar el tráfico hacia y desde geografías específicas del mundo.
Fuentes de DAG de terceros
office365
Haga clic en el botón de alternancia para habilitar la fuente de filtro IP de office365 como fuente de terceros. La fuente de filtro IP de office365 es una lista actualizada de direcciones IP publicadas para extremos de servicio de Office 365 que puede usar en directivas de seguridad. Este feed funciona de manera diferente a otros en esta página y requiere ciertos parámetros de configuración, incluido un nombre de feed en la nube predefinido de "ipfilter_office365". Consulte más instrucciones en la parte inferior de esta página, incluido el uso del
set security dynamic-address
comando para usar esta fuente.Nombre predefinido de la fuente de nube: ipfilter_office365
Facebook
Haz clic en el botón de alternancia para habilitar los feeds de Facebook.
Nombre predefinido de la fuente de nube: ipfilter_facebook
Google
Haz clic en el botón de alternancia para habilitar los feeds de Google.
Nombre predefinido de la fuente de nube: ipfilter_google
Atlassian
Haz clic en el botón de alternancia para habilitar las fuentes de Atlassian.
Nombre predefinido de la fuente de nube: ipfilter_atlassian
Zscaler
Haga clic en el botón de alternancia para habilitar las fuentes de Zscaler.
Nombre predefinido de la fuente de nube: ipfilter_zscaler
zpa zscaler
Haga clic en el botón de alternancia para habilitar las fuentes de Zscaler Private Access (ZPA). El servicio ZPA proporciona acceso seguro a las aplicaciones y servicios de su organización.
Nombre predefinido de la fuente de nube: ipfilter_zscaler_zpa
OracleOCI
Haga clic en el botón de alternancia para habilitar las fuentes de Oracle oci.
Nombre predefinido de la fuente de nube: ipfilter_oracleoci
Cloudflare
Haga clic en el botón de alternancia para habilitar las fuentes de Cloudflare.
Nombre predefinido de la fuente de nube: ipfilter_cloudflare
Zoom
Haga clic en el botón de alternancia para habilitar las fuentes desde Zoom.
Nombre predefinido de la fuente de nube: ipfilter_zoom
MicrosoftAzure
Haga clic en el botón de alternancia para habilitar las fuentes de Microsoft Azure.
Nombre predefinido de la fuente de nube: ipfilter_microsoftazure
Amazonaws
Haga clic en el botón de alternancia para habilitar las fuentes de Amazon AWS.
Nombre predefinido de la fuente de nube: ipfilter_amazonaws
Puede filtrar y ver las fuentes del DAG de las regiones y servicios de AWS que sean relevantes para usted. Para configurar los filtros del DAG, haga lo siguiente:
-
Haga clic en Configurar.
Aparecerá la página Filtro DAG. Para obtener más información, consulte Configurar el filtro DAG.
Okta
Haga clic en el botón de alternancia para habilitar los feeds de Okta.
Nombre predefinido de la fuente de nube: ipfilter_okta
Paypal
Haga clic en el botón de alternancia para habilitar los feeds de Paypal.
Nombre predefinido de la fuente de nube: ipfilter_paypal
Nota:-
A partir de Junos OS versión 19.4R1, Juniper ATP Cloud admite fuentes de URL de terceros.
-
Dado que el rastreador de ransomware y la lista de dominios de malware están en desuso, las fuentes de IP del rastreador de ransomware y de la lista de dominios de malware no son compatibles con la nube ATP de Juniper. Si ya habilitó esta fuente anteriormente, es posible que deje de recibirla.
- El intervalo de actualización para una fuente de servicio de Internet de terceros es de un día.
-
-
Al igual que otras fuentes de C&C y hosts infectados, las fuentes de terceros habilitadas requieren una política de inteligencia de seguridad en el firewall de la serie SRX para funcionar. Aquí se proporcionan comandos de ejemplo. Consulte la Guía de referencia de CLI de Juniper Advanced Threat Prevention Cloud para obtener más información.
-
En el firewall de la serie SRX: Configure un perfil de inteligencia de seguridad
set services security-intelligence profile secintel_profile category CC
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 10
set services security-intelligence profile secintel_profile rule secintel_rule match threat-level 9
set services security-intelligence profile secintel_profile rule secintel_rule then action block close
set services security-intelligence profile secintel_profile rule secintel_rule then log
set services security-intelligence profile secintel_profile default-rule then action permit
set services security-intelligence profile secintel_profile default-rule then log
set services security-intelligence profile ih_profile category Infected-Hosts
set services security-intelligence profile ih_profile rule ih_rule match threat-level 10
set services security-intelligence profile ih_profile rule ih_rule then action block close
set services security-intelligence profile ih_profile rule ih_rule then log
set services security-intelligence policy secintel_policy Infected-Hosts ih_profile
set services security-intelligence policy secintel_policy CC secintel_profile
-
-
La directiva de inteligencia de seguridad también debe agregarse a una directiva de firewall de la serie SRX.
-
En el firewall de la serie SRX: Configure una política de seguridad (Escriba los siguientes comandos para crear una política de seguridad en el firewall de la serie SRX para los perfiles de inspección).
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-inspect-profile-dut
set security policies from-zone trust to-zone untrust policy 1 then permit application-services security-intelligence-policy secintel_policy
Para obtener más información sobre cómo configurar la serie SRX con ATP Cloud de Juniper mediante los comandos de CLI disponibles, consulte la Guía de referencia de CLI de Juniper Advanced Threat Prevention Cloud.
-
Usar la fuente de Office365
-
Active la casillaUsar la fuente de office365 en la nube ATP de Juniper para insertar información de extremo de servicios de Microsoft Office 365 (direcciones IP) en el firewall de la serie SRX. La fuente de office365 funciona de manera diferente a otras fuentes de esta página y requiere ciertos parámetros de configuración, incluido un nombre predefinido de "ipfilter_office365".
-
Después de habilitar la casilla, debe crear un objeto de dirección dinámica en el firewall de la serie SRX que haga referencia a la fuente de ipfilter_office365 de la siguiente manera:
-
set security dynamic-address address-name office365 profile category IPFilter feed ipfilter_office365
Nota:A continuación, una directiva de seguridad puede hacer referencia al nombre de entrada de la dirección dinámica ('office365' en este ejemplo) en la dirección de origen o destino.
A continuación se muestra un ejemplo de directiva de seguridad:
policy o365 { match { source-address any; destination-address office365; application any; } then { deny; log { session-init; } } }
-
Use el siguiente comando para comprobar que la fuente de office365 se ha insertado en el firewall de la serie SRX. Update status
( debe mostrar Store succeeded.
)
-
show services security-intelligence category summary
Category name :IPFilter Status :Enable Description :IPFilter data Update interval :3600s TTL :3456000s Feed name :ipfilter_office365 Version :20180405.1 Objects number:934 Create time :2018-04-16 07:05:33 PDT Update time :2018-04-16 12:17:47 PDT Update status :Store succeeded Expired :No Options :N/A
Utilice el siguiente comando para mostrar todas las fuentes individuales bajo IPFILTER.
-
show security dynamic-address category-name IPFilter
No. IP-start IP-end Feed Address 1 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 2 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 3 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 4 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 5 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 6 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 7 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 8 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 9 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 10 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 11 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 12 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365 13 x.x.x.x x.x.x.x IPFilter/ipfilter_office365 office365