Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Creación de listas de permitidos y listas de bloqueo

Acceda a estas páginas desde Configure > Allowlists o Blocklists.

Utilice estas páginas para configurar listas personalizadas de confianza y no confiables. También puede cargar archivos hash.

El contenido descargado de las ubicaciones de la lista de permitidos es de confianza y no tiene que ser inspeccionado en busca de malware. Los hosts no pueden descargar contenido de las ubicaciones de la lista de bloqueo, porque esas ubicaciones no son de confianza.

  • Lea el tema Lista de permitir y Descripción general de la lista de bloqueos .

  • Decida el tipo de elemento que desea definir: URL, IP, Hash, remitente de correo electrónico, C&C, ETI o DNS,

  • Revise las entradas de la lista actuales para asegurarse de que el elemento que va a agregar no existe.

  • Si va a cargar archivos hash, los archivos deben estar en un archivo de texto con cada hash en su propia línea única.

Para crear listas permitidas o listas de bloqueo de ATP Cloud de Juniper:

  1. Seleccione Configurar > listas permitidas o listas de bloqueo.
  2. En Allowlist o Blocklist, seleccione una de las siguientes pestañas: Anti-Malware o SecIntel. Ingrese la información requerida. Vea las tablas a continuación.

    Las listas permitidas admiten los siguientes tipos:

    • Antimalware: dirección IP, URL, hash de archivos y remitente de correo electrónico
    • SecIntel— C&C

    • ETI

    • DNS

    Las listas de bloqueo admiten los siguientes tipos:

    • Antimalware: dirección IP, URL, hash de archivos y remitente de correo electrónico
    • SecIntel— C&C
  3. Haga clic en Aceptar.

Consulte las siguientes tablas para ver los datos que requiere cada pestaña.

IP

Cuando cree un nuevo elemento de lista de IP, debe seleccionar el Tipo de lista como IP. Debe ingresar la información requerida. Consulte la siguiente tabla.

Tabla 1: Configuración de IP

Ajuste

Pauta

IP

Ingrese la dirección IP IPv4 o IPv6. Por ejemplo: 1.2.3.4 o 0:0:0:0:0:FFFF:0102:0304. también se aceptan notación EISC y rangos de direcciones IP.

Cualquiera de los siguientes formatos IPv4 son válidos: 1.2.3.4, 1.2.3.4/30 o 1.2.3.4-1.2.3.6.

Cualquiera de los siguientes formatos IPv6 son válidos: 1111::1, 1111::1-1111::9 o 1111:1::0/64.

Nota:

Intervalos de direcciones: No se acepta más de un bloque de direcciones /16 IPv4 y direcciones /48 IPv6. Por ejemplo, 10.0.0.0-10.0.255.255 es válido, pero 10.0.0.0-10.1.0.0 no lo es.

Máscaras de bits: la cantidad máxima de direcciones IP cubiertas por la máscara de bits en un registro de subred para IPv4 es 16 y para IPv6 es 48. Por ejemplo, 10.0.0.0/15 y 1234::/47 no son válidos.
Nota:

Para editar una lista de permitir existente o una entrada IP de lista de bloqueo, active la casilla junto a la entrada que desea editar, haga clic en el icono de lápiz y haga clic en Aceptar.

URL

Cuando cree un nuevo elemento de lista url, debe elegir el Tipo de lista: URL. Ingrese la información requerida. Consulte la siguiente tabla.

Tabla 2: Configuración de URL

Ajuste

Pauta

URL

Escriba la DIRECCIÓN URL con el siguiente formato: juniper.net. Los comodines y protocolos no son entradas válidas. El sistema agrega automáticamente un comodín al principio y al final de las URL. Por lo tanto, juniper.net también coincide con a.juniper.net, a.b.juniper.net y a.juniper.net/abc. Si especifica explícitamente a.juniper.net, coincide con b.a.juniper.net, pero no c.juniper.net. Puede ingresar una ruta específica. Si ingresa juniper.net/abc, coincide con x.juniper.net/abc, pero no x.juniper.net/123.

Nota:

Para editar una lista de permitir existente o una entrada URL de lista de bloqueo, active la casilla situada junto a la entrada que desea editar, haga clic en el icono de lápiz y haga clic en Aceptar.

Archivo hash

Cuando cargue un archivo hash, debe estar en un archivo de texto con cada hash en su propia línea única. Solo puede tener un archivo hash en ejecución. Para agregarlo o editarlo, consulte las instrucciones en la tabla siguiente.

Tabla 3: Carga de archivo hash y configuración de edición

Campo

Pauta

Puede agregar hash de listas de permitir y bloquear personalizados para el filtrado, pero deben enumerarse en un archivo de texto con cada entrada en una sola línea. Solo puede tener un archivo hash en ejecución que contenga hasta 15 000 hashes de archivo. Esta es la lista "actual", pero puede agregarla, editarla y eliminarla en cualquier momento.

Elemento hash SHA-256

Para agregar entradas hash, puede cargar varios archivos de texto y se combinarán automáticamente en un archivo. Vea todas las opciones de fusión, eliminación y reemplazo a continuación.

Descargar: haga clic en este botón para descargar el archivo de texto si desea verlo o editarlo.

Puede seleccionar cualquiera de las siguientes opciones en la lista desplegable Seleccionar opción de carga de elementos de archivo hash :

  • Reemplazar lista actual: utilice esta opción cuando desee cambiar la lista existente, pero no cuando desee eliminarla por completo. Descargue el archivo existente, edítalo y, luego, vuelva a cargarlo.

  • Combinar con la lista actual: utilice esta opción cuando cargue un archivo de texto nuevo y desee que se combine con el archivo de texto existente. Los hashes de ambos archivos se combinan para formar un archivo de texto que contiene todos los hash.

  • Eliminar de la lista actual: utilice esta opción cuando desee eliminar solo una parte de la lista actual. En este caso, crearía un archivo de texto que contenga solo los hash que desea quitar de la lista actual. Cargue el archivo con esta opción y solo los hash del archivo cargado se eliminan de la lista activa actual.

Eliminar todo o Eliminar seleccionados: a veces es más eficiente eliminar la lista actual en lugar de descargarla y editarla. Haga clic en este botón para eliminar la lista seleccionada actual o todas las listas que se han agregado y acumulado aquí.

Fuente

Esto dice Allowlist o Blocklist.

Fecha de agregado

Mes, fecha, año y hora en que el archivo hash se subió o editó por última vez.

Remitente de correo electrónico

Agregue direcciones de correo electrónico que se permitirán lista o lista de bloqueo si se encuentra en el remitente o el destinatario de una comunicación por correo electrónico. Agregue direcciones de una a la vez mediante el icono + .

Tabla 4: Configuración del remitente de correo electrónico

Campo

Pauta

Dirección de correo electrónico

Ingrese una dirección de correo electrónico en el formato name@domain.com. No se admiten comodín ni coincidencias parciales, pero si desea incluir un dominio completo, solo puede ingresar el dominio de la siguiente manera: domain.com

Si un correo electrónico coincide con la lista de bloqueo, se considera que es malicioso y se maneja de la misma manera que un correo electrónico con un archivo adjunto malicioso. El correo electrónico se bloquea y se envía un correo electrónico de reemplazo. Si un correo electrónico coincide con la lista de permitidos, se permite que ese correo electrónico pase sin ningún análisis. Consulte Descripción general de la cuarentena SMTP: correos electrónicos bloqueados.

Vale la pena señalar que los atacantes pueden falsificar fácilmente la dirección de correo electrónico "Desde" de un correo electrónico, lo que hace que las listas de bloqueos sean una forma menos efectiva de detener los correos electrónicos maliciosos.

Servidor C&C

Cuando permite incluir un servidor de C&C, la IP o el nombre del host se envían a los dispositivos de la serie SRX para que se excluya de cualquier lista de bloqueo de inteligencia de seguridad o fuentes de C&C (tanto la fuente de amenazas globales de Juniper como las fuentes de terceros). El servidor también se enumerará ahora en la página de administración de listas permitidas de C&C.

Puede ingresar los datos del servidor de C&C manualmente o cargar una lista de servidores. Esa lista debe ser un archivo de texto con cada IP o dominio en su propia línea única. El archivo de texto debe incluir todas las IP o todos los dominios, cada uno en su propio archivo. Puede cargar varios archivos, uno a la vez.

Nota:

También puede administrar entradas allowlist y blocklist mediante la API de inteligencia de amenazas. Cuando se agreguen entradas a los datos de lista permitida o de lista de bloqueo, estos estarán disponibles en la API de inteligencia de amenazas en los siguientes nombres de feed: "whitelist_domain" o "whitelist_ip", y "blacklist_domain" o "blacklist_ip". Consulte la Guía de configuración de la API abierta de ATP Cloud Threat Intelligence de JUNIPER para obtener más información sobre el uso de la API para administrar cualquier fuente personalizada.
Tabla 5: Configuración de C&C

Campo

Pauta

Tipo

Seleccione IP para ingresar la dirección IP de un servidor de C&C que desea agregar a la lista de permitidos. Seleccione Dominio para permitir incluir un dominio completo en la lista de servidores de C&C.

IP o dominio

Para IP, escriba una dirección IPv4 o IPv6. Una IP puede ser dirección IP, rango IP o subred IP. Para dominio, utilice la siguiente sintaxis: juniper.net. No se admiten comodín.

Descripción

Escriba una descripción que indique por qué se agregó un elemento a la lista.

También puede permitir la lista de servidores de C&C directamente desde la vista de detalles de la página de monitoreo de C&C. Consulte Detalles del servidor de comando y control.

Advertencia:

Agregar un servidor de C&C a la lista de permitidos activa automáticamente un proceso de corrección para actualizar cualquier host afectado (en ese dominio) que haya contactado con el servidor C&C whiltelisted. Todos los eventos de C&C relacionados con este servidor permitido se eliminarán de los eventos de los hosts afectados y se realizará un recálculo del nivel de amenaza del host.

Si la puntuación de host cambia durante este recálculo, aparecerá un nuevo evento de host que describe por qué se volvió a anotar. (Por ejemplo, "Nivel de amenaza de host actualizado después de que se borrara el servidor C&C 1.2.3.4"). Además, el servidor ya no aparecerá en la lista de servidores de C&C porque se ha borrado.

Información de tráfico cifrado (ETI)

Puede especificar la dirección IP o los nombres de dominio que desea permitir a partir del análisis de tráfico cifrado. Utilice esta pestaña para agregar, modificar o eliminar las listas de permitidos para el análisis de tráfico cifrado.

Tabla 6: Configuración del tráfico cifrado

Campo

Pauta

Tipo

Seleccione si desea especificar la dirección IP o el nombre de dominio para la lista de permitidos.

IP o dominio

Ingrese la dirección IP o el nombre de dominio de la lista de permitidos.

Sistema de nombres de dominio (DNS)

Puede especificar los dominios que desea permitir a partir del filtrado DNS. Utilice esta pestaña para agregar, modificar o eliminar las listas permitidas para el filtrado de DNS.

Tabla 7: Configuración de dominios

Campo

Pauta

URL

Escriba la dirección URL del dominio que desea permitir.

Comentarios

Escriba una descripción que indique por qué se agregó el dominio a la lista.
Nota:

Atp Cloud de Juniper busca periódicamente contenido nuevo y actualizado y lo descarga automáticamente en su dispositivo serie SRX. No es necesario insertar manualmente su lista de permitidos o archivos de lista de bloqueo.

Utilice el show security dynamic-address instance advanced-anti-malware comando para ver la lista de permitir personalizada y la lista de bloqueo en dispositivos serie SRX.

Ejemplo: muestra la instancia avanzada antimalware de dirección dinámica de seguridad

Documentación relacionada