Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Crear listas de permitidos y listas de bloqueo

Acceda a estas páginas desde Configurar > listas de permitidos o listas de bloqueo.

Utilice estas páginas para configurar listas personalizadas de confianza y no confiables. También puede cargar archivos hash.

El contenido descargado de ubicaciones de la lista de permitidos es de confianza y no tiene que ser inspeccionado en busca de malware. Los hosts no pueden descargar contenido de ubicaciones en la lista de bloqueo, porque esas ubicaciones no son de confianza.

  • Lea el tema Información general sobre listas de permitidos y bloqueados .

  • Decida el tipo de elemento que desea definir: URL, IP, hash, remitente de correo electrónico, C&C, ETI o DNS,

  • Revise las entradas actuales de la lista para asegurarse de que el elemento que está agregando no existe.

  • Si está cargando archivos hash, los archivos deben estar en un archivo de texto con cada hash en su propia línea única.

Para crear listas de permitidos o bloqueados de ATP Cloud de Juniper:

  1. Seleccione Configurar > listas de permitidos o listas de bloqueo.
  2. En Lista de permitidos o Lista de bloqueo, seleccione una de las siguientes pestañas: Antimalware o SecIntel. Introduzca la información necesaria. Consulte las tablas a continuación.

    Las listas de permitidos admiten los siguientes tipos:

    • Antimalware: dirección IP, URL, hash de archivo y remitente de correo electrónico
    • SecIntel—C&C
    • ETI

    • DNS

    • Reverse Shell: direcciones IP y dominios de destino

    Las listas de bloqueo admiten los siguientes tipos:

    • Antimalware: dirección IP, URL, hash de archivo y remitente de correo electrónico
    • SecIntel—C&C
  3. Haga clic en Aceptar.

Consulte las tablas siguientes para obtener los datos requeridos por cada pestaña.

IP

Cuando cree un nuevo elemento de lista IP, debe seleccionar el Tipo de lista como IP. Debe introducir la información necesaria. Consulte la tabla siguiente.

Tabla 1: Configuración de IP

Ajuste

Pauta

IP

Introduzca la dirección IP IPv4 o IPv6. Por ejemplo: 1.2.3.4 o 0:0:0:0:0:FFFF:0102:0304. También se aceptan la notación CIDR y los rangos de direcciones IP.

Cualquiera de los siguientes formatos IPv4 es válido: 1.2.3.4, 1.2.3.4/30 o 1.2.3.4-1.2.3.6.

Cualquiera de los siguientes formatos IPv6 es válido: 1111::1, 1111::1-1111::9 o 1111:1::0/64.

Nota:

Rangos de direcciones: No se acepta más de un bloque de direcciones IPv4 /16 y direcciones IPv6 /48. Por ejemplo, 10.0.0.0-10.0.255.255 es válido, pero 10.0.0.0-10.1.0.0 no lo es.

Máscaras de bits: la cantidad máxima de direcciones IP cubiertas por la máscara de bits en un registro de subred para IPv4 es 16 y para IPv6 es 48. Por ejemplo, 10.0.0.0/15 y 1234::/47 no son válidos.

Nota:

Para editar una entrada IP existente de lista de permitidos o de lista de bloqueo, active la casilla situada junto a la entrada que desea editar, haga clic en el icono de lápiz y haga clic en Aceptar.

URL

Cuando cree un nuevo elemento de lista de URL, debe elegir el Tipo de lista: URL. Introduzca la información necesaria. Consulte la tabla siguiente.

Tabla 2: Configuración de URL

Ajuste

Pauta

URL

Introduzca la URL con el siguiente formato: juniper.net. Los comodines y los protocolos no son entradas válidas. El sistema agrega automáticamente un comodín al principio y al final de las URL. Por lo tanto, juniper.net también coincide con a.juniper.net, a.b.juniper.net y a.juniper.net/abc. Si ingresa explícitamente a.juniper.net, coincide con b.a.juniper.net, pero no con c.juniper.net. Puede introducir una ruta específica. Si ingresa juniper.net/abc, coincide con x.juniper.net/abc, pero no con x.juniper.net/123.

Nota:

Para editar una entrada de URL de lista de permitidos o de lista de bloqueo existente, active la casilla situada junto a la entrada que desea editar, haga clic en el icono de lápiz y haga clic en Aceptar.

Archivo hash

Cuando cargue un archivo hash, debe estar en un archivo de texto con cada hash en su propia línea única. Solo puede tener un archivo hash en ejecución. Para agregarlo o editarlo, consulte las instrucciones de la tabla siguiente.

Tabla 3: Configuración de carga y edición de archivos hash

Campo

Pauta

Puede agregar hashes personalizados de lista de permitidos y listas de bloqueo para filtrar, pero deben aparecer en un archivo de texto con cada entrada en una sola línea. Solo puede tener un archivo hash en ejecución que contenga hasta 15.000 hashes de archivo. Esta es la lista "actual", pero puede agregarla, editarla y eliminarla en cualquier momento.

Elemento hash SHA-256

Para agregar a las entradas hash, puede cargar varios archivos de texto y se combinarán automáticamente en un solo archivo. Vea todas las opciones de combinación, eliminación y reemplazo a continuación.

Descargar: haga clic en este botón para descargar el archivo de texto si desea verlo o editarlo.

Puede seleccionar cualquiera de las siguientes opciones en la lista desplegable Seleccionar opción de carga de elementos de archivo hash :

  • Reemplazar lista actual: utilice esta opción cuando desee cambiar la lista existente, pero no desee eliminarla por completo. Descargue el archivo existente, edítelo y cárguelo de nuevo.

  • Combinar con la lista actual: utilice esta opción cuando cargue un archivo de texto nuevo y desee que se combine con el archivo de texto existente. Los hashes de ambos archivos se combinan para formar un archivo de texto que contiene todos los hashes.

  • Eliminar de la lista actual: utilice esta opción cuando desee eliminar solo una parte de la lista actual. En este caso, crearía un archivo de texto que contenga solo los hashes que desea eliminar de la lista actual. Cargue el archivo con esta opción y solo los hashes del archivo cargado se eliminarán de la lista activa actual.

Eliminar todo o Eliminar seleccionados: a veces es más eficiente eliminar la lista actual en lugar de descargarla y editarla. Haga clic en este botón para eliminar la lista seleccionada actual o todas las listas que se han agregado y acumulado aquí.

Fuente

Esto dice Lista de permitidos o Lista de bloqueo.

Fecha de adición

El mes, la fecha, el año y la hora en que se cargó o editó por última vez el archivo hash.

Remitente de correo electrónico

Agregue direcciones de correo electrónico para que sean listas de permitidos o listas de bloqueo si se encuentran en el remitente o destinatario de una comunicación por correo electrónico. Agregue direcciones de una en una usando el ícono + .

Tabla 4: Configuración del remitente de correo electrónico

Campo

Pauta

Dirección de correo electrónico

Introduzca una dirección de correo electrónico con el formato name@domain.com. No se admiten comodines ni coincidencias parciales, pero si desea incluir un dominio completo, puede escribir solo el dominio de la siguiente manera: domain.com

Si un correo electrónico coincide con la lista de bloqueo, se considera malicioso y se maneja de la misma manera que un correo electrónico con un archivo adjunto malicioso. El correo electrónico se bloquea y se envía un correo electrónico de reemplazo. Si un correo electrónico coincide con la lista de permitidos, ese correo electrónico se permite sin ningún análisis. Consulte Descripción general de correos electrónicos en cuarentena.

Vale la pena señalar que los atacantes pueden falsificar fácilmente la dirección de correo electrónico "De" de un correo electrónico, lo que hace que las listas de bloqueo sean una forma menos efectiva de detener los correos electrónicos maliciosos.

Servidor C&C

Cuando se permite un servidor de C&C, la IP o el nombre de host se envía a los firewalls de la serie SRX para que se excluyan de cualquier lista de bloqueo de inteligencia de seguridad o fuente de C&C (tanto la fuente de amenazas globales de Juniper como las fuentes de terceros). El servidor ahora también aparecerá en la página de administración de la lista de permitidos de C&C.

Puede ingresar los datos del servidor C&C manualmente o cargar una lista de servidores. Esa lista debe ser un archivo de texto con cada IP o dominio en su propia línea única. El archivo de texto debe incluir todas las IP o todos los dominios, cada uno en su propio archivo. Puede cargar varios archivos, uno a la vez.

Nota:

También puede administrar las entradas de la lista de permitidos y de bloqueo mediante la API de inteligencia de amenazas. Al agregar entradas a los datos de la lista de permitidos o bloqueados, estos estarán disponibles en la API de inteligencia de amenazas con los siguientes nombres de fuente: "whitelist_domain" o "whitelist_ip", y "blacklist_domain" o "blacklist_ip". Consulte la Guía de configuración de la API abierta de ATP Cloud Threat Intelligence de Juniper para obtener más información sobre el uso de la API para administrar cualquier fuente personalizada.

Tabla 5: Configuración de C&C

Campo

Pauta

Tipo

Seleccione IP para ingresar la dirección IP de un servidor C&C que desea agregar a la lista de permitidos. Seleccione Dominio para incluir un dominio completo en la lista de servidores de C&C.

IP o dominio

En IP, introduzca una dirección IPv4 o IPv6. Una dirección IP puede ser una dirección IP, un rango de IP o una subred IP. Para dominio, use la sintaxis siguiente: juniper.net. No se admiten caracteres comodín.

Descripción

Introduzca una descripción que indique por qué se ha agregado un elemento a la lista.

También puede incluir servidores C&C en la lista de permitidos directamente desde la vista de detalles de la página Monitoreo de C&C. Consulte Servidores de comando y control: más información.

Advertencia:

Agregar un servidor de C&C a la lista de permitidos activa automáticamente un proceso de corrección para actualizar cualquier host afectado (en ese ámbito) que se haya puesto en contacto con el servidor de C&C que aparece en la lista. Todos los eventos de C&C relacionados con este servidor de la lista permitida se eliminarán de los eventos de los hosts afectados y se producirá un nuevo cálculo del nivel de amenaza del host.

Si la puntuación del anfitrión cambia durante este nuevo cálculo, aparece un nuevo evento de host que describe por qué se volvió a puntuar. (Por ejemplo, "Nivel de amenaza de host actualizado después de que se borró el servidor C&C 1.2.3.4"). Además, el servidor ya no aparecerá en la lista de servidores C&C porque se ha borrado.

Información de tráfico cifrado (ETI)

Puede especificar la dirección IP o los nombres de dominio que desea incluir en la lista de permitidos a partir del análisis de tráfico cifrado. Utilice esta ficha para agregar, modificar o eliminar las listas de permitidos para el análisis de tráfico cifrado.

Tabla 6: Configuración del tráfico cifrado

Campo

Pauta

Tipo

Seleccione si desea especificar la dirección IP o el nombre de dominio para la lista de permitidos.

IP o dominio

Introduzca la dirección IP o el nombre de dominio de la lista de permitidos.

Sistema de nombres de dominio (DNS)

Puede especificar los dominios que desea incluir en la lista de permitidos desde el filtrado DNS. Use esta pestaña para agregar, modificar o eliminar las listas de permitidos para el filtrado DNS.

Tabla 7: Configuración de dominios

Campo

Pauta

URL

Escriba la URL del dominio que desea incluir en la lista de permitidos.

Comentarios

Introduzca una descripción que indique por qué se agregó el dominio a la lista.

Nota:

ATP Cloud de Juniper sondea periódicamente el contenido nuevo y actualizado y lo descarga automáticamente en su firewall de la serie SRX. No es necesario insertar manualmente sus archivos de lista de permitidos o lista de bloqueo.

Use el show security dynamic-address instance advanced-anti-malware comando para ver la lista de permitidos y la lista de bloqueo personalizados en los firewalls de la serie SRX.

Ejemplo: mostrar instancia de dirección dinámica de seguridad antimalware avanzado