Crear listas de permitidos y listas bloqueadas

Lea el tema Información general sobre listas de permitidos y bloqueados .
Decida el tipo de elemento que desea definir: URL, IP, hash, remitente de correo electrónico, C&C, ETI o DNS,
Revise las entradas actuales de la lista para asegurarse de que el elemento que está agregando no existe.
Si está cargando archivos hash, los archivos deben estar en un archivo de texto (TXT) con cada hash en su propia línea única.

Para crear listas de permitidos de ATP Cloud de Juniper:

Seleccione Configurar > listas de permitidos.

Seleccione uno de los tipos mencionados en Tipos admitidos en Listas de permitidos.

Tabla 1: Tipos admitidos de listas de permitidos
Tipo	Información
Antimalware	Dirección IP, URL, hash de archivo y remitente de correo electrónico
SecIntel	Dirección IP y dominio de C&C
ETI	Dirección IP y nombre de host
DNS	Dominios
Carcasa inversa	Direcciones IP y dominios de destino

Nota:

Dominio hace referencia a un nombre de dominio completo (FQDN).

Introduzca la información necesaria.
Haga clic en Aceptar.

Para crear listas de bloqueo de ATP Cloud de Juniper:

Seleccione Configurar > listas de bloqueo.

Seleccione uno de los tipos mencionados en Tipos admitidos de listas de bloqueo.

Tabla 2: Tipos admitidos de listas de bloqueo
Tipo	Información
Antimalware	Dirección IP, URL, hash de archivo y remitente de correo electrónico
SecIntel	Dirección IP y dominio de C&C

Introduzca la información necesaria.
Haga clic en Aceptar.

Consulte las tablas siguientes para ver los datos requeridos por cada tipo.

IP

Al crear un elemento de lista IP, debe seleccionar el Tipo de lista como IP. Debe introducir la información necesaria. Consulte la tabla siguiente.

Tabla 3: Configuración de IP
Ajuste	Directriz
IP	Introduzca la dirección IP IPv4 o IPv6. Por ejemplo: 1.2.3.4 o 0:0:0:0:0:FFFF:0102:0304. También se aceptan la notación CIDR y los rangos de direcciones IP. Cualquiera de los siguientes formatos IPv4 es válido: 1.2.3.4, 1.2.3.4/30 o 1.2.3.4-1.2.3.6. Cualquiera de los siguientes formatos IPv6 es válido: 1111::1, 1111::1-1111::9 o 1111:1::0/64. Nota: Rangos de direcciones: No se acepta más de un bloque de direcciones IPv4 /16 y direcciones IPv6 /48. Por ejemplo, 10.0.0.0-10.0.255.255 es válido, pero 10.0.0.0-10.1.0.0 no lo es. Máscaras de bits: la cantidad máxima de direcciones IP cubiertas por la máscara de bits en un registro de subred para IPv4 es 16 y para IPv6 es 48. Por ejemplo, 10.0.0.0/15 y 1234::/47 no son válidos.
Nota: Para editar una entrada IP de lista de permitidos o de lista de bloqueo, active la casilla situada junto a la entrada que desea editar, haga clic en el icono de lápiz y haga clic en Aceptar.

URL

Al crear un elemento de lista de URL, debe elegir el Tipo de lista: URL. Introduzca la información necesaria. Consulte la tabla siguiente.

Tabla 4: Configuración de URL
Ajuste	Directriz
URL	Introduzca la URL con el siguiente formato: juniper.net. Los comodines y los protocolos no son entradas válidas. El sistema agrega automáticamente un comodín al principio y al final de las URL. Por lo tanto, juniper.net también coincide con a.juniper.net, a.b.juniper.net y a.juniper.net/abc. Si ingresa explícitamente a.juniper.net, coincide con b.a.juniper.net, pero no con c.juniper.net. Puede introducir una ruta específica. Si ingresa juniper.net/abc, coincide con x.juniper.net/abc, pero no con x.juniper.net/123.
Nota: Para editar una entrada de URL de lista de permitidos o de lista de bloqueo existente, active la casilla situada junto a la entrada que desea editar, haga clic en el icono de lápiz y haga clic en Aceptar.

Archivo hash

Cuando cargue un archivo hash, debe estar en un TXT con cada hash en su propia línea única. Solo puede tener un archivo hash en ejecución. Para agregarlo o editarlo, consulte las instrucciones de la tabla siguiente.

Tabla 5: Configuración de carga y edición de archivos hash
Campo	Directriz
Puede agregar hashes personalizados de listas de permitidos y listas de bloqueo para filtrar, pero estos hashes deben aparecer en un TXT con cada entrada en una sola línea. Solo puede tener un archivo hash en ejecución que contenga hasta 15.000 hashes de archivo. Este archivo contiene la lista "actual", pero puede agregarla, editarla y eliminarla en cualquier momento.
Elemento hash SHA-256	Para agregar a las entradas hash, puede cargar varios TXT y se combinarán automáticamente en un solo archivo. Vea todas las opciones de combinación, eliminación y reemplazo a continuación. Descargar: haga clic en este botón para descargar el TXT si desea verlo o editarlo. Puede seleccionar cualquiera de las siguientes opciones en la lista desplegable Seleccionar opción de carga de elementos de archivo hash : Reemplazar lista actual: utilice esta opción cuando desee cambiar la lista existente, pero no desee eliminarla por completo. Descargue el archivo existente, edítelo y cárguelo de nuevo. Combinar con la lista actual: utilice esta opción cuando cargue un nuevo TXT y desee que se combine con el archivo TXT existente. Los hashes de ambos archivos se combinan para formar un archivo de texto que contiene todos los hashes. Eliminar de la lista actual: utilice esta opción cuando desee eliminar solo una parte de la lista actual. En este caso, crearía un archivo TXT que contenga solo los hashes que desea eliminar de la lista actual. Cargue el archivo con esta opción y solo los hashes del archivo cargado se eliminarán de la lista activa actual. Eliminar todo o Eliminar seleccionados: a veces es más eficiente eliminar la lista actual en lugar de descargarla y editarla. Haga clic en este botón para eliminar la lista seleccionada actual o todas las listas que se han agregado y acumulado aquí.
Fuente	Esto dice Lista de permitidos o Lista de bloqueo.
Fecha de adición	El mes, la fecha, el año y la hora en que se cargó o editó por última vez el archivo hash.

Remitente de correo electrónico

Agregue direcciones de correo electrónico para que sean listas de permitidos o listas de bloqueo si se encuentran en el remitente o destinatario de una comunicación por correo electrónico. Agregue direcciones de una en una usando el ícono + .

Tabla 6: Configuración del remitente de correo electrónico
Campo	Directriz
Dirección de correo electrónico	Introduzca una dirección de correo electrónico con el formato name@domain.com. No se admiten comodines ni coincidencias parciales, pero si desea incluir un dominio completo, puede escribir solo el dominio de la siguiente manera: domain.com
Si un correo electrónico coincide con la lista de bloqueo, se considera malicioso y se maneja de la misma manera que un correo electrónico con un archivo adjunto malicioso. El correo electrónico se bloquea y se envía un correo electrónico de reemplazo. Si un correo electrónico coincide con la lista de permitidos, ese correo electrónico se permite sin ningún análisis. Consulte Descripción general de correos electrónicos en cuarentena. Vale la pena señalar que los atacantes pueden falsificar fácilmente la dirección de correo electrónico "De" de un correo electrónico, lo que hace que las listas de bloqueo sean una forma menos efectiva de detener los correos electrónicos maliciosos.

Servidor C&C

Cuando se permite un servidor C&C, los firewalls de la serie SRX reciben la IP o el nombre de host. Luego, los firewalls lo excluyen de cualquier lista de bloqueo de SecIntel o fuente de C&C, incluida la fuente de amenazas globales de Juniper y las fuentes de terceros. El servidor ahora también aparecerá en la página de administración de la lista de permitidos de C&C.

Puede ingresar los datos del servidor C&C manualmente o cargar una lista de servidores. Esa lista debe ser un TXT con cada IP o dominio en su propia línea única. El TXT debe incluir todas las IP o todos los dominios, cada uno en su propio archivo. Puede cargar varios archivos, uno a la vez.

Nota:

También puede administrar las entradas de la lista de permitidos y de bloqueo mediante la API de inteligencia de amenazas. Al agregar entradas a los datos de la lista de permitidos o bloqueados, estos estarán disponibles en la API de inteligencia de amenazas con los siguientes nombres de fuente: "whitelist_domain" o "whitelist_ip", y "blacklist_domain" o "blacklist_ip". Consulte la Guía de configuración de la API abierta de ATP Cloud Threat Intelligence de Juniper para obtener más información sobre el uso de la API para administrar cualquier fuente personalizada.

Tabla 7: Configuración de C&C
Campo	Directriz
Tipo	Seleccione IP para ingresar la dirección IP de un servidor C&C que desea agregar a la lista de permitidos. Seleccione Dominio para incluir un dominio completo en la lista de servidores de C&C.
IP o dominio	En IP, introduzca una dirección IPv4 o IPv6. Una dirección IP puede ser una dirección IP, un rango de IP o una subred IP. Para dominio, use la sintaxis siguiente: juniper.net. No se admiten caracteres comodín.
Descripción	Introduzca una descripción que indique por qué se ha agregado un elemento a la lista.
También puede incluir servidores C&C en la lista de permitidos directamente desde la vista de detalles de la página Monitoreo de C&C. Consulte Servidores de comando y control: más información. Advertencia: Agregar un servidor de C&C a la lista de permitidos activa automáticamente un proceso de corrección para actualizar cualquier host afectado (en ese ámbito) que se haya puesto en contacto con el servidor de C&C que aparece en la lista. Todos los eventos de C&C relacionados con este servidor de la lista permitida se eliminarán de los eventos de los hosts afectados y se producirá un nuevo cálculo del nivel de amenaza del host. Si la puntuación del anfitrión cambia durante este nuevo cálculo, aparece un nuevo evento de host que describe por qué se volvió a puntuar. Por ejemplo, "Nivel de amenaza de host actualizado después de que se borró el servidor C&C 1.2.3.4". Además, el servidor ya no aparecerá en la lista de servidores C&C porque se ha borrado.

Información de tráfico cifrado (ETI)

Puede especificar la dirección IP o los nombres de dominio que desea incluir en la lista de permitidos a partir del análisis de tráfico cifrado. Utilice esta ficha para agregar, modificar o eliminar las listas de permitidos para el análisis de tráfico cifrado.

Tabla 8: Configuración del tráfico cifrado
Campo	Directriz
Tipo	Seleccione si desea especificar la dirección IP o el nombre de dominio para la lista de permitidos.
IP o dominio	Introduzca la dirección IP o el nombre de dominio de la lista de permitidos.

Sistema de nombres de dominio (DNS)

Puede especificar los dominios que desea incluir en la lista de permitidos desde el filtrado DNS. Use esta pestaña para agregar, modificar o eliminar las listas de permitidos para el filtrado DNS.

Tabla 9: Configuración de dominios
Campo	Directriz
URL	Escriba la URL del dominio que desea incluir en la lista de permitidos.
Comentarios	Introduzca una descripción que indique por qué se agregó el dominio a la lista.

Carcasa inversa

Puede especificar las direcciones IP o los dominios que desea incluir en la lista de permitidos desde la detección del shell inverso. Utilice esta ficha para agregar, modificar o eliminar las listas de permitidos para la detección de shell inverso.

Tabla 10: Configuración de shell inverso
Campo	Directriz
IP	Introduzca la dirección IP de la lista de permitidos.
URL	Escriba la URL del dominio que desea incluir en la lista de permitidos.

Nota:

ATP Cloud de Juniper sondea periódicamente el contenido nuevo y actualizado y lo descarga automáticamente en su firewall de la serie SRX. No es necesario insertar manualmente los archivos de lista de permitidos o de lista de bloqueo.

Crear listas de permitidos y listas de bloqueo

Documentación relacionada