Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Apéndice: Configuración de JVD de firewall de próxima generación

Flujos de trabajo y operaciones genéricos para crear la topología de firewall de próxima generación del centro de datos

Esta descripción general ilustra cómo usar la CLI del firewall de la serie SRX de Juniper y la consola de Juniper Security Director Cloud (la GUI) para aprovisionar la arquitectura de firewall de próxima generación del centro de datos. Conceptualmente, el firewall de la serie SRX de Juniper está configurado en el borde del centro de datos para proporcionar visibilidad y control del tráfico que se origina en lo siguiente:

  • Tráfico que se origina en clientes de confianza salientes a Internet. (Tráfico Sur-Norte)
  • Tráfico que se origina en un entorno que no es de confianza llega a los servicios configurados en el centro de datos. (Tráfico Norte-Sur)
  • Tráfico que se origina en los clientes de confianza que utilizan servicios alojados en el centro de datos. (Tráfico Este-Oeste)

La figura 1 ilustra el flujo de trabajo para configurar el firewall de la serie SRX de Juniper mediante la CLI de Junos OS y la consola de Juniper Security Director Cloud.

Figura 1: Flujo de trabajo de configuración del firewall de próxima generación del centro de datos A screenshot of a computer program Description automatically generated

La secuencia de tareas de configuración en este ejemplo es la siguiente:

  1. Configurar clúster de chasis a través de CLI: la agrupación en clústeres permite una alta disponibilidad.
  2. Cargar configuración de línea base con interfaz, zonas, direcciones, servicios, políticas de firewall, NAT y enrutamiento predeterminado: base de la configuración para que el dispositivo transporte tráfico y pueda comunicarse con Internet.
  3. Configuración del registro en un SIEM externo: puede tener varias secuencias de registros configuradas en el firewall de la serie SRX y apuntar los mecanismos de registro de SRX a varios SIEM.
  4. Habilitar administración web: habilite la administración web para que pueda acceder al firewall de la serie SRX mediante la solución de administración en caja a través de J-Web.
  5. Descubra el dispositivo e importe la configuración de línea base a Juniper Security Director Cloud: descubra el dispositivo e importe la configuración de línea base a Juniper Security Director Cloud.
  6. Habilitar el registro para Juniper Security Director Cloud: habilite el registro para que el tráfico se registre en Juniper Security Director Cloud desde el firewall de la serie SRX.
  7. Inscribir el dispositivo en Juniper ATP Cloud: Juniper ATP Cloud es el componente de inteligencia de amenazas de esta solución y la fuente de fuentes de amenazas de SecIntel. También puede proporcionar detección avanzada de malware.
  8. Cree políticas de seguridad con el entorno específico de la aplicación.
  9. Cree perfiles de IDP que cubran el panorama de seguridad del entorno del centro de datos.
  10. Asigne el perfil de IDP creado en una política de seguridad.
  11. Crear perfil de SecIntel: El perfil de SecIntel contiene opciones para DNS, comando y control (C&C) y hosts infectados.
  12. Asignar el perfil de SecIntel a la regla: La asignación del perfil de SecIntel a la regla garantiza que todo el tráfico que utiliza la regla se verifique con las fuentes de SecIntel.
  13. Crear perfil AAMW: El perfil AAMW le permite seleccionar el tipo de tráfico que se inspeccionará en busca de malware. El tráfico incluye HTTP, IMAP, SNB y SMTP.
  14. Asignar perfil AAMW a regla: asigne el perfil a la regla para que todo el tráfico que utilice la regla se inspeccione en busca de malware en función del perfil.
  15. Crear perfil de metadatos de seguridad DNS: la seguridad DNS le permite identificar amenazas relacionadas con DNS, como DGA y túneles DNS.
  16. Asignar los metadatos DNS al contexto de la zona: todo el tráfico entre el conjunto de zonas se inspecciona para determinar la seguridad de DNS.
  17. Configure las opciones de pantalla para proteger la zona de no confianza contra ataques DDoS.
  18. Configure el proxy SSL inverso para analizar y proteger el tráfico del servidor web. El tráfico está sometido a servicios de seguridad avanzados.

La configuración de cada característica de JVD probada es la siguiente:

Configuración del chasis (CLI)

Configuración de línea base (CLI)

Configuración del registro del sistema y de seguridad (CLI)

Configuración de administración (CLI)

Configuración de funciones impulsadas por GUI a través de Juniper Security Director Cloud:

  • Descubra el dispositivo en Juniper Security Director Cloud e importe la configuración de línea base.
  • Incorpore el dispositivo en Juniper Security Director Cloud.

Para incorporar el firewall de la serie SRX, siga el procedimiento que se indica a continuación:

  1. Vaya a SRX > Administración de dispositivos > dispositivo y, a continuación, haga clic en +.
  2. Seleccione Adoptar dispositivos SRX.
  3. Seleccione Clústeres SRX.
  4. Introduzca 1 en el campo Número de clústeres SRX que se van a adoptar.
  5. Haga clic en Aceptar y, a continuación, haga clic en Cerrar.

La acción anterior crea un dispositivo temporal y, para completar el proceso de incorporación, haga clic en Adoptar clúster como se ve en la figura 4. Copie y pegue los comandos de CLI en el node0 del clúster SRX.

Figura 2: Página del dispositivo en la nube de Juniper Security Director A screenshot of a computer Description automatically generated
Figura 3: Dispositivo en la nube de Juniper Security Director: clúster SRX A screenshot of a chat Description automatically generated incorporado

Figura 4: Juniper Security Director Cloud: adopción del dispositivo A screenshot of a computer Description automatically generated
Figura 5: Juniper Security Director Cloud: Copiar y pegar comandos CLI para incorporar el clúster A screenshot of a computer Description automatically generated SRX

Inscribir el dispositivo en Juniper ATP Cloud después de la detección del dispositivo

  1. Vaya a SRX > Administración de dispositivos > dispositivo.
  2. Seleccione Dispositivos.
  3. Haga clic en Más y, a continuación, seleccione Inscribirse en ATP.
  4. Inicie sesión en el firewall de la serie SRX y pegue el comando en la CLI de Junos OS.
Figura 6: Juniper Security Director Cloud: inscripción en A screenshot of a computer Description automatically generated ATP
Figura 7: Juniper Security Director Cloud: inscripción en A screenshot of a computer Description automatically generated ATP

Habilitar el inicio de sesión en el firewall de la serie SRX para registrar el tráfico en Juniper Security Director Cloud

Figura 8: Juniper Security Director Cloud: habilitación del registro en la nube de Juniper Security Director A screenshot of a computer Description automatically generated

Seguridad de aplicaciones

Configure la política de firewall para implementar la seguridad de las aplicaciones en un entorno de centro de datos. Crearemos una política de firewall para bloquear cualquier sitio web y aplicaciones de redes sociales / compras de gran ancho de banda (Facebook, Amazon) y sitios web para compartir videos como YouTube, Vimeo, etc.

Cree un grupo de aplicaciones que usará en la directiva de firewall:

  1. Vaya a Servicios > aplicaciones compartidos.
  2. Haga clic en la lista desplegable Crear y, a continuación, seleccione Grupo de firmas.
  3. Escriba un nombre para el grupo de aplicaciones.
  4. Haga clic en + para agregar todas las aplicaciones que deben bloquearse.
  5. Haga clic en Aceptar para guardar el grupo de aplicaciones.
Figura 9: Juniper Security Director Cloud: habilitación del registro en la nube de Juniper Security Director A screenshot of a computer Description automatically generated
Figura 10: Juniper Security Director Cloud: creación del grupo A screenshot of a computer Description automatically generated de firmas de aplicaciones

Incluya el grupo de aplicaciones en una directiva de seguridad para la ejecución:

  1. Vaya a Política de seguridad de > SRX > Directiva de SRX.
  2. Haga clic en + para agregar una nueva regla de firewall.
  3. Introduzca la zona de origen y la dirección de origen.
  4. Introduzca la zona de destino y la dirección de destino.
  5. Seleccione Servicios y grupo de aplicaciones que hemos creado con aplicaciones que deben bloquearse.
  6. Seleccione Acción.
  7. Habilite el registro si es necesario desde Opciones.
Figura 11: Juniper Security Director Cloud: implementación de la política A screenshot of a computer Description automatically generated SRX

Detección y prevención de intrusiones (IDP)

Al implementar IDP, puede tener en cuenta la siguiente configuración al diseñar la política de IDP:

  • Entorno (servicios que se ejecutan dentro del centro de datos)
  • Aplicaciones (aplicaciones que actualmente se sirven a través del firewall)
  • Eximir cualquier servicio o protocolo que no se analice (por ejemplo, SSH)

Basándonos en los servicios implementados para este JVD, elegimos clonar la protección basada en cliente a servidor y agregar algunas reglas que se adapten al tráfico basado en servidor a cliente.

La directiva creada tiene en cuenta la siguiente configuración:

  • Servicios que se ejecutan en el centro de datos (HTTP, HTTPS, MAIL, ICMP, DB, DNS, etc.)
  • Firmas para detectar actividad maliciosa
  • Firmas para detectar escaneo de red / servicios
  • Firmas para detectar cualquier ataque basado en DOS y DDoS

Flujo de trabajo para crear políticas de desplazados internos y aplicarlas.

Para clonar una política predefinida:

  1. Vaya a Suscripción de seguridad de SRX > > perfiles IPS > IPS.
  2. Seleccione la política predefinida que desea clonar.
  3. Haga clic en Más y, a continuación, seleccione Clonar.
  4. Escriba un nuevo nombre de directiva.
Figura 12: Juniper Security Director Cloud: creación de un perfil A screenshot of a computer Description automatically generated IPS

En este JVD, hemos llamado a la política CS-To-Web-Protection-Rules y hemos agregado algunas reglas que atienden a la protección de servidor a cliente.

Figura 13: Juniper Security Director Cloud: creación de un perfil A screenshot of a computer Description automatically generated IPS
Figura 14: Juniper Security Director Cloud: Agregar nueva regla A screenshot of a computer Description automatically generated de IPS

Una vez que se agregue una nueva regla IPS, actualice lo siguiente:

  1. Nombre de la regla IPS.
  2. Agregue nuevas firmas de desplazados internos.
  3. Seleccione una acción si se detecta una amenaza.
  4. Opcional. Registre los ataques detectados.
  5. Las reglas IPS también tienen opciones avanzadas para habilitar acciones de IP en ataques detectados.
Nota:

Cada firma que se agrega viene con una acción recomendada que se debe tomar si se detecta. Puede establecer la acción como Recomendada. Para obtener más información sobre las firmas y la acción recomendada, consulte: https://threatlabs.juniper.net/home/search/#/list/ips?page_number=1&page_size=20

Figura 15: Juniper Security Director Cloud: Agregar nueva regla A screenshot of a computer Description automatically generated de IPS

Una vez creados el perfil IPS y las reglas, aplique el perfil IPS en una política de seguridad:

  1. Haga clic en la regla de firewall donde IPS necesita estar habilitado.
  2. Haga clic en Suscripciones de seguridad.
  3. Use las opciones globales y active solo el interruptor IPS o haga clic en Personalizar para seleccionar una nueva directiva.
Figura 16: Juniper Security Director Cloud: implementación de reglas con IPS A screenshot of a computer Description automatically generated
Figura 17: Juniper Security Director Cloud: implementación de reglas con IPS A screenshot of a computer Description automatically generated

Puede establecer las Opciones globales en la página principal de políticas de SRX.

Figura 18: Juniper Security Director Cloud: implementación de reglas con IPS A close-up of a computer screen Description automatically generated
Figura 19: Juniper Security Director Cloud: implementación de reglas con IPS A screenshot of a computer Description automatically generated

Configuración de SecIntel

  1. Vaya a Suscripciones de seguridad > SRX > Perfiles de > SecIntel.
  2. Haga clic en Crear.
  3. Configure los perfiles para los servicios necesarios.
Figura 20: Juniper Security Director Cloud: configuración del A screenshot of a computer Description automatically generated perfil de SecIntel
Figura 21: Juniper Security Director Cloud: configuración del perfil de comando y control de A screenshot of a computer Description automatically generated SecIntel
Figura 22: Nube de Juniper Security Director: configuración del A screenshot of a computer Description automatically generated perfil DNS de SecIntel
Figura 23: Juniper Security Director Cloud: configuración del perfil de hosts infectados de SecIntel A screenshot of a computer Description automatically generated

Para crear grupos de perfiles:

  1. Vaya a Suscripciones de seguridad > SRX > Grupos de perfiles > de SecIntel.
  2. Haga clic en + para crear un nuevo grupo de perfiles.
Figura 24: Juniper Security Director Cloud—Grupo A screenshot of a computer Description automatically generated de perfiles de SecIntel
Figura 25: Juniper Security Director Cloud: configuración del A screenshot of a computer Description automatically generated grupo de perfiles de SecIntel

Como paso final, vamos a habilitar el grupo de perfiles de SecIntel en una política de seguridad que aplica la detección y corrección de perfiles de SecIntel en función de la reputación.

Para activar el grupo de perfiles de SecIntel en una política de seguridad:

  1. Vaya a Política de seguridad de > SRX > Directiva de SRX.
  2. Seleccione la política que desea modificar y haga clic en el icono del lápiz.
  3. Edite la política para activar el grupo de perfiles de SecIntel o haga clic en Crear nuevo para seleccionar un perfil diferente.
Figura 26: Juniper Security Director Cloud: asignación de un grupo A screenshot of a computer Description automatically generated de perfiles de SecIntel
Figura 27: Nube de Juniper Security Director: asignación de un grupo de SecIntel a la política de seguridad A screenshot of a computer Description automatically generated

Anti-Malware avanzado

  1. Vaya a Suscripciones de seguridad SRX > > Antimalware.
  2. Haga clic en +.
  3. Configure los protocolos que necesita habilitar y haga clic en Aceptar para guardar el perfil AAMW.
Figura 28: Juniper Security Director Cloud: perfiles A screenshot of a computer Description automatically generated antimalware avanzados
Figura 29: Juniper Security Director Cloud: configuración A screenshot of a computer Description automatically generated avanzada de perfiles antimalware
Figura 30: Juniper Security Director Cloud: configuración A screenshot of a computer Description automatically generated avanzada de perfiles antimalware

El perfil AAMW creado se configura en una política de seguridad.

Figura 31: Juniper Security Director Cloud: asignación de un perfil antimalware avanzado a la política A screenshot of a computer Description automatically generated de seguridad
Figura 32: Juniper Security Director Cloud: asignación de un perfil antimalware avanzado a la política A screenshot of a computer Description automatically generated de seguridad

Seguridad DNS

La seguridad DNS se configura en dos fases:

  • Habilitación de la fase SecIntel, que se trata en la sección SecIntel.
  • Habilitar las características básicas de seguridad DNS, como DNS DGA y Tunelización DNS, que se tratan en esta sección.

Para habilitar la seguridad DNS, siga la ruta para configurar los ajustes en Juniper Security Director Cloud:

  1. Vaya a SRX > Administración de dispositivos > dispositivos.
  2. Haga clic en el dispositivo en el que queremos configurar la seguridad DNS.
  3. Haga clic en Configuraciones detalladas de Junos.
  4. Introduzca el filtrado DNS en la sección de búsqueda.
  5. Seleccione Servicios > Filtrado DNS.
  6. Introduzca los detalles.
  7. Haga clic en Guardar una vez hecho esto.
  8. Opcional. Haga clic en Vista previa si desea ver la configuración guardada.
  9. Haga clic en Implementar para implementar la configuración en el dispositivo.
Nota:

Siempre puede completar todas las secciones de configuración y guardar antes de implementar la configuración final.

Además, esta configuración también es la misma para implementar IoT Security.

Figura 33: Juniper Security Director Cloud: configuración A screenshot of a computer Description automatically generated de seguridad DNS
Figura 34: Juniper Security Director Cloud: configuración A screenshot of a computer Description automatically generated detallada de Junos
Figura 35: Juniper Security Director Cloud—Configuración detallada de Junos—Filtrado A screenshot of a computer Description automatically generated DNS

Configuremos las características principales de seguridad de DNS:

  1. Introduzca metadatos en la sección de búsqueda.
  2. Seleccione Servicios > Transmisión por secuencias de metadatos de seguridad.
  3. Haga clic para ir a la sección de configuración.
  4. Haga clic en + para habilitar la configuración de metadatos DNS.
  5. Haga clic en Guardar una vez hecho esto.
  6. Opcional. Haga clic en Vista previa si desea ver la configuración guardada.
  7. Haga clic en Implementar para implementar la configuración en el dispositivo.
Figura 36: Juniper Security Director Cloud—Configuración detallada de Junos—Metadatos A screenshot of a computer Description automatically generated de seguridad
Figura 37: Juniper Security Director Cloud—Configuración detallada de Junos—Metadatos A screenshot of a computer Description automatically generated de seguridad
Figura 38: Juniper Security Director Cloud: configuración detallada de Junos: política A white background with black lines Description automatically generated de metadatos de seguridad
Nota:

Asegúrese de guardar e implementar la configuración una vez completada.

Usemos la CLI para configurar la directiva de transmisión de metadatos en un par de zonas para aplicar la configuración de seguridad de DNS.

Asegúrese de que la configuración esté implementada antes de configurar los pasos siguientes mediante la CLI.

Pantallas de seguridad

Para configurar la opción Pantalla de ID de seguridad en la nube de Juniper Security Director:

  1. Vaya a SRX > Administración de dispositivos > dispositivos.
  2. Haga clic en el dispositivo.
  3. Haga clic en Configuraciones detalladas de Junos.
  4. Búsqueda de pantallas.
  5. Seleccione Seguridad > pantalla.
  6. Haga clic en + para agregar un nuevo perfil.
    Figura 39: Juniper Security Director Cloud: configuración A screenshot of a computer Description automatically generated de pantallas
    Figura 40: Juniper Security Director Cloud: analiza las opciones A screenshot of a computer Description automatically generated de ataque de inundación
  7. Haga clic en Aceptar para guardar la configuración de la pantalla una vez completada la configuración deseada.
  8. Haga clic en Zonas para aplicar la pantalla en una zona específica.
    Figura 41: Juniper Security Director Cloud: asignación de opciones de pantallas a la zona A screenshot of a computer Description automatically generated
  9. Haga clic en Aceptar para guardar la configuración una vez aplicada la nueva configuración de pantalla a la zona.
  10. Haga clic en Implementar para implementar la configuración en el dispositivo.

Proxy SSL inverso

Como el caso de uso del firewall de próxima generación del centro de datos se centra en proteger recursos internos como servidores web, opcionalmente podemos implementar proxy inverso SSL. El proxy inverso SSL garantiza que los servicios avanzados se apliquen al tráfico descifrado del servidor web y se inspeccionen antes de salir del firewall para obtener los recursos del servidor web.

La creación de los certificados de servidor web no se trata en esta sección. Debe importar este certificado a Juniper Security Director Cloud. Este certificado se utiliza al crear el perfil de proxy SSL.

Para crear el perfil de proxy inverso SSL:

  1. Importar certificados de servidor web.
  2. Cree el perfil de proxy inverso SSL.
  3. Vaya a Suscripciones de seguridad > SRX > descifrar perfiles.
  4. Haga clic en + para agregar un nuevo perfil.
Figura 42: Nube de Juniper Security Director: asignación de opciones de pantallas a zona A screenshot of a computer Description automatically generated
Figura 43: Juniper Security Director Cloud: asignación de opciones de pantallas a la zona A screenshot of a computer Description automatically generated

Incluya el perfil en una regla de firewall para la aplicación:

  1. Vaya a Política de seguridad de > SRX > Directiva de SRX.
  2. Haga clic en + para agregar una nueva regla de firewall.
  3. Introduzca la zona de origen y la dirección de origen.
  4. Introduzca la zona de destino y la dirección de destino.
  5. SeleccioneS ervices y aplicaciones.
  6. Seleccione Servicios avanzados en Suscripciones de seguridad que deben estar habilitadas. En este ejemplo, se selecciona IPS.
  7. Seleccione el perfil de proxy inverso SSL creado en el paso anterior.
Figura 44: Juniper Security Director Cloud: asignación de opciones de pantallas a zona A screenshot of a computer Description automatically generated

Validación de la solución de firewall de última generación para centros de datos

La configuración proporciona servicios de seguridad avanzados en el entorno del centro de datos mediante firewalls de última generación. En esta sección, nos centraremos en validar la solución que se implementa con este JVD.

Comencemos con el panel de control en la nube de Juniper Security Director, que es la página de destino cuando se inicia sesión. La página Panel de control proporciona un panorama de lo que está sucediendo en el entorno a través de varios widgets fácilmente disponibles.

Figura 45: Juniper Security Director Cloud—Página A screenshot of a computer Description automatically generated del panel de control

La página Supervisar registros > sesión de > proporciona una instantánea del flujo de tráfico a través del entorno. Con la página Sesión, puede filtrar información según las distintas opciones que se proporcionan en la página.

Tabla 1: Opciones de filtro
Descripción de las opciones de filtro
Utilice Mostrar filtro avanzado para buscar en los registros. Todos los campos de eventos se utilizan para ejecutar la búsqueda.
Utilice Agrupar por para ordenar los registros según el campo predefinido. Que se muestra en las siguientes capturas de pantalla.
Figura 46: Juniper Security Director Cloud: registros de tráfico de A screenshot of a computer Description automatically generated sesión

La página Todos los eventos de seguridad proporciona detalles sobre todos los eventos de seguridad recibidos del dispositivo.

Figura 47: Juniper Security Director Cloud: eventos A screenshot of a computer Description automatically generated agrupados

La página Amenazas se centra únicamente en las amenazas identificadas en el entorno.

Figura 48: Juniper Security Director Cloud: eventos A screenshot of a computer Description automatically generated agrupados

Validación de seguridad de aplicaciones

Las aplicaciones agrupadas proporcionan una vista de las aplicaciones identificadas a partir del tráfico donde se ha procesado el firewall.

Figura 49: Juniper Security Director Cloud: vista A screenshot of a computer Description automatically generated agrupada de aplicaciones

Agrupación mediante aplicaciones anidadas proporciona información sobre las aplicaciones reales que usan las aplicaciones que se muestra en la figura 49.

Figura 50: Juniper Security Director Cloud: vista A screenshot of a computer Description automatically generated de aplicaciones anidadas agrupadas

Validación de características de IDP

La página Amenazas proporciona información sobre los ataques de desplazados internos detectados en el entorno. También puede ver la información detallada de lo siguiente:

  • Zona de origen y destino
  • Direcciones IP de origen y destino
  • Política y regla de IDP que desencadenó la detección
  • Ataque detectado y su gravedad
  • Medidas adoptadas en relación con el ataque detectado
Figura 51: Juniper Security Director Cloud: ataques A screenshot of a computer Description automatically generated de desplazados internos

Información detallada de IDP

Figura 52: Nube de Juniper Security Director: vista A screenshot of a computer Description automatically generated detallada del ataque de desplazados internos

Validación de funciones de SecIntel

Las fuentes de SecIntel aplicadas en la política de firewall generan registros cuando el tráfico coincide con el nivel de riesgo configurado.

Figura 53: Juniper Security Director Cloud: registros de amenazas de A screenshot of a computer Description automatically generated SecIntel

La vista detallada muestra información sobre la categoría y la política de SecIntel que aplicó la acción, incluidos el origen, el destino y las zonas correspondientes.

Figura 54: Juniper Security Director Cloud: Vista detallada del registro de amenazas de SecIntel A screenshot of a computer Description automatically generated

El panel Prevención avanzada de amenazas también proporciona detalles sobre el cliente que inició el tráfico y el historial de cuándo ocurrió el evento.

Figura 55: Juniper Security Director Cloud—Clientes A screenshot of a computer Description automatically generated identificados por SecIntel
Figura 56: Juniper Security Director Cloud—Detalles del A screenshot of a computer Description automatically generated cliente de SecIntel

A screenshot of a computer Description automatically generated

Validación avanzada de funciones antimalware

La directiva AAMW configurada puede dar lugar a varios registros dependiendo del protocolo identificado. Pocos registros clave proporcionan información sobre la acción aplicada por AAMW.

Tabla 2: Registros antimalware avanzados
Descripción de la información de registro
AAMW_ACTION_LOG Acción tomada en base al veredicto emitido basado en el resultado del sandboxing por Juniper ATP Cloud y el perfil de riesgo definido en el firewall de la serie SRX.
AAMW_HOST_INFECTED_EVENT_LOG Si el veredicto encontrado es malicioso, se genera el registro de eventos infectados por el host.
AAMW_MALWARE_EVENT_LOG Si el veredicto como resultado del sandboxing es malicioso, se genera el registro de eventos de malware.
Figura 57: Juniper Security Director Cloud: registros de A screenshot of a computer Description automatically generated AAMW
Figura 58: Juniper Security Director Cloud: detalle del A screenshot of a computer Description automatically generated registro de AAMW
Figura 59: Juniper Security Director Cloud: host A screenshot of a computer Description automatically generated infectado por ATP
Figura 60: Juniper Security Director Cloud: vista detallada del host infectado por ATP A screenshot of a computer Description automatically generated

A screenshot of a phone Description automatically generated

La vista de host infectado por ATP proporciona los siguientes detalles:

  • Indicadores de compromiso (COI).
  • Análisis estático del archivo malicioso identificado.
  • Análisis de comportamiento para identificar comportamientos clave en función del nivel de amenaza asignado para derivar qué tan malicioso es el archivo identificado.
  • La actividad de red proporciona detalles sobre la actividad de malware identificada durante el sandboxing.
  • Los detalles de comportamiento describen los pasos de comportamiento identificados durante el sandboxing.
Figura 61: Nube de Juniper Security Director: IOC A screenshot of a computer Description automatically generated de malware de ATP
Figura 62: Juniper Security Director Cloud: análisis A screenshot of a computer Description automatically generated estático de malware de ATP
Figura 63: Juniper Security Director Cloud: análisis del A screenshot of a computer Description automatically generated comportamiento de malware de ATP
Figura 64: Juniper Security Director Cloud—Actividad de red de malware de ATP A screenshot of a computer Description automatically generated
Figura 65: Juniper Security Director Cloud: detalles del A screenshot of a computer Description automatically generated comportamiento del malware de ATP

Validación de la característica de seguridad DNS

Los registros de seguridad DNS se generan en función de cada característica de seguridad DNS, como DGA y túnel DNS, si se descubre que algún tráfico DNS identificado es malicioso, se generan los registros adecuados.

Tabla 3: Registros de seguridad de DNS
Descripción de la información de registro
SMS_STREAMING El registro se genera para DNS REQ cuando se configura el "registro de notificaciones" en cualquier detección (dga, túnel y todo).
SMS_CLEAN_VERDICT El registro se genera cuando el veredicto de la nube es "limpio" y la "detección del registro de notificación" está configurada en cualquier detección (dga y todas).
SMS_MALICIOUS_VERDICT El registro se genera cuando el veredicto de la nube es malicioso o se detecta tunelización y la "detección del registro de notificaciones" se configura en cualquier detección (dga, tunelización y todo).
SMS_FALLBACK_EVENT El registro se genera cuando el veredicto de la nube no se recibe en el intervalo de tiempo de espera del veredicto. El registro solo se genera cuando el "registro de notificación de opciones de reserva" está configurado bajo cualquier detección (dga, tunelización y todo).

Además de los registros generados, también puede ver los detalles de la infracción en la sección Prevención avanzada de amenazas, que proporciona información sobre lo siguiente:

  • Cliente que generó la ofensa.
  • Detalles de la ofensa si es DGA o tunelización DNS.
  • Información sobre el COI e intentos de exfiltración.
Figura 66: Nube de Juniper Security Director: registros DNS A screenshot of a computer Description automatically generated
Figura 67: Juniper Security Director Cloud: detalles del A screenshot of a computer Description automatically generated registro de DNS
Figura 68: Juniper Security Director Cloud: registro A screenshot of a computer Description automatically generated de DNS basado en SecIntel
Figura 69: Juniper Security Director Cloud: detalles del registro de DNS basado en SecIntel A screenshot of a computer Description automatically generated
Figura 70: Juniper Security Director Cloud: ofensa DGA de DNS de A screenshot of a computer Description automatically generated ATP

.

Figura 71: Juniper Security Director Cloud: detalles de A screenshot of a computer Description automatically generated la ofensiva de DGA de DNS de ATP
Figura 72: Security Director Clou—Infracción A screenshot of a computer Description automatically generated de túnel DNS de ATP
Figura 73: Juniper Security Director Cloud: detalle de A screenshot of a computer Description automatically generated la infracción de túnel DNS de ATP
Figura 74: Juniper Security Director Cloud: SecIntel identificó un delito A screenshot of a computer Description automatically generated de DNS
Figura 75: Juniper Security Director Cloud: detalles de A screenshot of a computer Description automatically generated la infracción de DNS identificada por SecIntel

Validación de características de pantallas

Suplantación de IP

Figura 76: Juniper Security Director Cloud: registro A screenshot of a computer Description automatically generated de suplantación de IP
Figura 77: Detalle del registro de suplantación de IP de Juniper Security Director Cloud A screenshot of a computer Description automatically generated

Inundación SYN: (aplicar límites de origen y destino)

Figura 78: Juniiper Security Director Cloud: filtro dst-ip de inundación de syn A screenshot of a computer Description automatically generated
Figura 79: Nube de Juniper Security Director: detalle del filtro dst-ip de Syn Flood A screenshot of a computer Description automatically generated
Figura 80: Juniper Security Director Cloud: filtro src-ip de inundación de syn A screenshot of a computer Description automatically generated

.

Figura 81: Figura 83:Junioer Security Director Cloud – Detalle del filtro src-ip de Syn Flood A screenshot of a computer Description automatically generated

Validación inversa del proxy SSL

El proxy SSL inverso permite descifrar tráfico específico destinado a un servidor web para someter el tráfico a través de servicios de seguridad avanzados.

Una vez aplicada en una política de seguridad, verá varios registros que pueden definir la acción que realiza el proxy SSL.

Tabla 4: Registros de proxy SSL inverso
Descripción de la información de registro
SSL_PROXY_SSL_SESSION_DROP El registro se genera cuando el proxy SSL interrumpe una sesión.
SSL_PROXY_SSL_SESSION_ALLOW El registro se genera cuando el proxy SSL procesa la sesión SSL, incluso después de encontrar errores menores.
SSL_PROXY_SESSION_IGNORE El registro se genera después de la detección de sesiones que no son SSL que inicialmente se confunden con sesiones SSL.
SSL_PROXY_SESSION_WHITELIST El registro se genera cuando una sesión de proxy SSL está en la lista blanca.
SSL_PROXY_ERROR El registro se genera para informar errores durante el proxy SSL.
SSL_PROXY_WARNING Se genera un registro para informar de advertencias durante el proxy SSL.
SSL_PROXY_INFO El registro se genera para proporcionar información general durante el proxy SSL.
Figura 82: Juniper Security Director Cloud: registro de A screenshot of a computer Description automatically generated proxy SSL
Figura 83: Juniper Security Director Cloud: detalles del A screenshot of a computer Description automatically generated registro del proxy SSL