advanced-anti-malware policy
Sintaxis
policy <policy-name>{
blacklist-notification {
log;
}
default-notification {
log;
}
fallback-options {
action [block | permit];
invalid-content-size {
action [block | permit];
notification {
log;
}
}
notification {
log;
}
out-of-resources {
action [block | permit];
notification {
log;
}
}
service-not-ready {
action [block | permit];
notification {
log;
}
}
submission-timeout {
action [block | permit];
notification {
log;
}
}
unknown-file {
action [block | permit];
notification {
log;
}
}
verdict-timeout {
action [block | permit];
notification {
log;
}
}
}
http {
action [block | permit];
client-notify {
file file-name;
message block-message-to-client;
redirect-url redirect-url;
}
file-verdict-unknown (block | permit);
inspection-profile inspection-profile-name;
notification {
log;
}
}
imap {
inspection-profile inspection-profile-name;
notification {
log;
}
}
smb {
inspection-profile inspection-profile-name;
notification {
log;
}
}
smtp {
inspection-profile inspection-profile-name;
notification {
log;
}
}
whitelist-notification {
log;
}
Nivel jerárquico
[edit services advanced-anti-malware]
Descripción
La conexión a la nube de prevención avanzada de amenazas de Juniper se inicia bajo demanda. Se establece solo cuando se cumple una condición y se debe enviar un archivo o URL a la nube. La nube inspecciona el archivo y devuelve un número de veredicto (del 1 al 10). Un número de veredicto es una puntuación o nivel de amenaza. Cuanto mayor sea el número, mayor será la amenaza de malware. El firewall de la serie SRX compara este número de veredicto con la configuración de directiva de la nube de Prevención avanzada de amenazas de Juniper y permite o deniega la sesión. Si se deniega la sesión, se envía un paquete de restablecimiento al cliente y los paquetes se descartan del servidor.
Las políticas de prevención avanzada de amenazas de Juniper en la nube se anexan a las políticas de seguridad de Junos OS definiendo las acciones que se deben realizar cuando un archivo se considera malware o cuando se intenta descargar un archivo desde una ubicación que está en una lista de bloqueo personalizada o en una lista de permitidos.
Use este comando para configurar la política de prevención avanzada de amenazas de Juniper en la nube.
Opciones
| policy-name | Nombre de la política de la nube de Prevención avanzada de amenazas de Juniper.
Nota:
A partir de la versión 18.2R1 de Junos OS, para las políticas unificadas, se puede usar una |
| blacklist-notification | (Opcional) Cree una entrada de registro del sistema cuando se intente acceder a un sitio web enumerado en el archivo de lista de bloqueo. Se usa |
| default-notification | Cree una entrada de registro del sistema si la nube devuelve un número de veredicto menor que el umbral del veredicto. Se usa |
| fallback-options (action block | action permit) | La acción que se debe realizar cuando el firewall de la serie SRX se queda sin recursos o se pierde la conexión a la nube. El valor predeterminado es |
| fallback-options | (Opcional) Cree una entrada de registro del sistema cuando se produzca una copia de seguridad. Se usa |
| http | Este comando le permite inspeccionar archivos antimalware avanzados (AAMW) descargados por hosts a través del protocolo de transferencia de hipertexto (HTTP). Luego, los archivos AAMW se envían a Juniper ATP Cloud para la detección de malware. |
| http action (permit | block) | Este comando le permite permitir o bloquear malware basado en el malware detectado. A partir de Junos OS versión 21.3R1, cuando la acción http se establece como bloquear, el archivo de malware detectado se bloqueará inmediatamente después de la coincidencia de firma. La nube ATP de Juniper no obtendrá el archivo completo para su análisis, sino que recibirá una notificación del evento de ataque de malware. Puede ver la información sobre malware de Juniper ATP Cloud Portal. La pestaña Archivo parcial muestra la información del evento de aciertos de malware para todas las detecciones de coincidencia de firmas bloqueadas. |
| http(s) client-notify (message | file | redirect-url) | (A partir de Junos OS versión 19.3R1) Este comando le permite configurar la redirección de URL HTTP para una notificación de cliente personalizada basada en malware detectado con la acción de bloqueo. |
| http(s) file-verdict-unknown (permit | block) | (A partir de Junos 19.3R1) Este comando le permite permitir o bloquear malware basado en el malware detectado que tiene un veredicto de "desconocido". De forma predeterminada, se permite el malware "desconocido". |
| smb | (A partir de Junos 21.1R1) Este comando le permite inspeccionar archivos antimalware avanzados (AAMW) descargados por hosts a través del protocolo Bloque de mensajes del servidor (SMB). Luego, los archivos AAMW se envían a Juniper ATP Cloud para la detección de malware.
Nota:
|
| inspection-profile | Nombre del perfil de la nube de Prevención avanzada de amenazas de Juniper. Este perfil define qué tipos o categorías de archivos se deben enviar a la nube para su inspección. |
| match verdict-threshold | El umbral de veredicto define el número en el que desea etiquetar un archivo como malware. Por ejemplo, si establece el umbral del veredicto en 7 y la nube devuelve un número de veredicto de 7 o superior, ese archivo se considera malware. El umbral del veredicto puede ser cualquier número entre 1 y 10, inclusive. |
| then notification | (Opcional) Cree una entrada de registro del sistema si la nube devuelve un número de veredicto igual o mayor que el umbral del veredicto. Se usa |
| whitelist-notification | (Opcional) Cree una entrada de registro del sistema cuando se intente acceder a un sitio web incluido en el archivo de lista de permitidos. Se usa |
En la Tabla 1 se muestran ejemplos del uso de las opciones de política de la nube de Prevención avanzada de amenazas de Juniper.
Adición |
Descripción |
|---|---|
| Acción y notificación basadas en el número y umbral del veredicto |
Define el valor del umbral y qué hacer cuando el número del veredicto es mayor o igual que el umbral. Por ejemplo, si el umbral es 7 y la nube de prevención avanzada de amenazas de Juniper devuelve un veredicto de 9 para un archivo, se bloquea la descarga de ese archivo y se crea una entrada de registro. set services advanced-anti-malware policy aamwpol1 match verdict-threshold 7 set services advanced-anti-malware policy aamwpol1 then action block set services advanced-anti-malware policy aamwpol1 then notification log |
| Acción y notificación predeterminadas |
Define qué hacer cuando el número del veredicto es inferior al umbral. Por ejemplo, si el umbral es 7 y la nube de Prevención avanzada de amenazas de Juniper devuelve un veredicto de 3 para un archivo, se permite descargar ese archivo y crear una entrada de registro. set services advanced-anti-malware policy aamwpol1 default-notification log |
| Nombre del perfil de inspección |
Nombre del perfil de la nube de Prevención avanzada de amenazas de Juniper que define los tipos de archivo que se deben analizar. set services advanced-anti-malware policy aamwpol1 inspection-profile profile1 |
| Opciones de reserva |
Define qué hacer cuando se producen condiciones de error o cuando hay falta de recursos. Están disponibles las siguientes opciones de reserva:
set services advanced-anti-malware policy aamwpol1 fallback-options action block set services advanced-anti-malware policy aamwpol1 fallback-options notification log Están disponibles las siguientes opciones de reserva:
Si no se cumple ninguna de las condiciones de reserva enumeradas, se aplica la opción de reserva predeterminada. |
| Notificación de lista de bloqueo |
Define si se debe crear una entrada de registro al intentar descargar un archivo de un sitio incluido en el archivo de lista de bloqueo. set services advanced-anti-malware policy aamwpol1 blacklist-notification log |
| Notificación de lista blanca |
Define si se debe crear una entrada de registro al intentar descargar un archivo de un sitio enumerado en el archivo de lista de permitidos. set services advanced-anti-malware policy aamwpol1 whitelist-notification log |
| Notificación al usuario de malware en la acción de bloqueo |
(A partir de Junos 19.3R1) Este comando le permite configurar la redirección de URL HTTP y HTTPS para una notificación de cliente personalizada basada en malware detectado con la acción de bloqueo. Un mensaje de bloqueo solo se puede enviar cuando se configura una acción de bloqueo.
Nota:
Consulte solicitar servicios advanced-anti-malware redirect-file para obtener más información sobre cómo agregar un archivo personalizado. set services advanced-anti-malware policy p1 http client-notify message set services advanced-anti-malware policy p1 http client-notify file set services advanced-anti-malware policy p1 http client-notify redirect-url <enter URL> |
| Bloquee o permita malware cuando el veredicto del archivo sea "desconocido" |
(A partir de Junos 19.3R1) Este comando le permite permitir o bloquear malware basado en el archivo detectado que tiene un veredicto de "desconocido". De forma predeterminada, se permite un veredicto de archivo "desconocido". (Tenga en cuenta que esto solo se aplica al tráfico HTTP y HTTPS). set services advanced-anti-malware policy p1 http file-verdict-unknown <block|permit> |
Nivel de privilegio requerido
Vista
Información de la versión
Comando introducido en Junos OS versión 15.1X49-D33.
La SMB opción se introdujo en Junos OS versión 21.1R1.