دمج قوائم IoC المخصصة مع الحاويات

تتناول هذه المقالة كيفية استخدام كائنات الحاويات لدمج قوائم IoC المخصصة مع خدمات أمان Cato.

نظرة عامة

يمكنك إضافة قوائم IoC مخصصة إلى معلومات التهديد لحساب Cato الخاص بك لتلبية متطلبات محددة لصناعة مؤسستك أو موقعها. تُستخدم الحاويات لتكوين قوائم IoC، وهي تصنيفات معرفة من قبل المستخدم تساعدك في إدارة مجموعات من العناصر مثل عناوين IP أو FQDNs. على سبيل المثال، قم بإنشاء حاوية تتضمن قائمة بعناوين IP الخبيثة التي حددها مركز العمليات الأمنية في مؤسستك أو التي يوفرها خدمة معلومات التهديدات الخارجية.

يمكنك تكوين الحاويات بقوائم IoC مباشرة في تطبيق إدارة Cato أو عبر عمليات API المؤتمتة، ومن ثم تضمين الحاويات في قواعد جدار حماية الإنترنت. لمزيد من المعلومات حول API للحاويات، راجع مرجع Cato Networks GraphQL API.

هناك أنواع مختلفة من الحاويات، ويمكن لكل نوع أن يتضمن نوعًا واحدًا فقط من البيانات. هذه هي أنواع الحاويات:

IP - يمكن أن تتضمن عناوين IP فردية، أقنعة الشبكة الفرعية (بصيغة dot-decimal أو CIDR)، ونطاقات IP
FQDN - أسماء النطاقات المؤهلة بالكامل، على سبيل المثال: www.shop.example.com

هذا هو سير العمل النموذجي لدمج IoCs المخصصة باستخدام حاوية:

قم بتكوين حاوية تتضمن عناوين IP التي تم تحديدها كـ IoCs.
أنشئ قواعد جدار حماية الإنترنت مع تكوين الحاوية في حقل App/Category، وحدد القاعدة باستخدام إجراء Block.
احفظ الحاوية محدثة عن طريق تحميل قائمة جديدة من IoCs إلى الحاوية. عندما تقوم بتحديث الحاوية، فإن قاعدة جدار الحماية تطبق تلقائيًا IoCs الجديدة.

العمل مع الحاويات

يمكنك إنشاء حاوية في صفحة التصنيفات عن طريق تحميل ملف مصدر به البيانات للحاوية. بعد إنشائك لحاوية، تظهر في الجدول في علامة التبويب الحاويات. يمكنك تعديل حاوية في الجدول وتحميل ملف مصدر جديد لتحديث القيم داخل الحاوية.

إنشاء الحاويات

قم بإنشاء حاوية جديدة بتعريف نوع الحاوية وتحميل ملف مصدر يحتوي على القيم ذات الصلة. يمكن أن تكون الحاوية من نوع FQDN أو IP. يمكن أن يتضمن حاوية IP قائمة بعناوين IP الفردية، أو أقنعة الشبكة الفرعية (بصيغة dot-decimal أو CIDR)، أو نطاقات IP.

متطلبات ملفات مصدر الحاوية

يجب أن تكون ملفات مصدر الحاويات بإحدى الصيغ التالية:
- ملفات TXT مع القيم مفصولة بواسطة أحد الفواصل التالية:
  - فاصلة
  - مسافة
  - فاصل أسطر
- ملفات JSON بصيغة STIX
  
  ملاحظة: يقوم Cato بتمكين دعم صيغة STIX على الحسابات تدريجيًا على مدى عدة أسابيع. من المحتمل ألا تكون متاحة لحسابك.
يجب أن تحتوي ملفات المصدر على حد أدنى من قيمة واحدة وحد أقصى من مليون قيمة
بالنسبة لحاويات FQDN، يتم دعم الأحرف الأبجدية أو الرقمية فقط، ولا يتم دعم الأحرف الخاصة

لإنشاء حاوية:

من لوحة التنقل، اختر Resources > Categories وقم بتوسيع علامة التبويب Containers.
انقر New. يفتح لوحة New Container.
أدخل Display Name للحاوية.
اختر نوع الحاوية Type. القيم الممكنة: FQDN, IP.
أدخل Description للحاوية.
تحت Source، قم بسحب وإفلات أو استعراض لتحميل ملف يحتوي على القيم لتضمينها في الحاوية.
انقر Save. تم إنشاء الحاوية.

تحديث الحاويات

قم بتحديث القيم في الحاوية عن طريق تحميل ملف مصدر جديد. عندما تقوم بتحميل ملف مصدر جديد، فإنه يستبدل الملف الحالي ولا تشمل الحاوية سوى القيم الموجودة في الملف الجديد.

لتحديث حاوية:

من لوحة التنقل، اختر Resources > Categories وقم بتوسيع علامة التبويب Containers.
انقر في صف حاوية. يفتح لوحة Edit Container.
تحت Source، قم بسحب وإفلات أو استعراض لتحميل ملف يحتوي على القيم لتضمينها في الحاوية.
انقر Save. تم تحديث الحاوية وتحتوي على القيم في الملف المصدر الجديد.

استخدام الحاويات في قواعد جدار حماية الإنترنت

قم بتكوين الحاويات في حقل App/Category في قاعدة جدار حماية الإنترنت. اختر نوع الحاوية ثم اختر الحاويات المحددة لتضمينها في القاعدة. يمكنك تكوين عدة حاويات من نفس النوع في القاعدة، ولكن لا يمكنك تكوين أكثر من نوع حاوية واحد في القاعدة.

لتكوين حاوية في قاعدة جدار حماية الإنترنت:

من قائمة التنقل، اختر Security > Internet Firewall.

تفتح صفحة جدار حماية الإنترنت على المراجعة الحالية غير المنشورة، أو على أحدث مراجعة منشورة.
انقر New.
تحت App/Category اختر إما FQDN Container أو IP Container.
اختر واحد أو أكثر من الحاويات من القائمة المنسدلة.
قم بتكوين الحقول الأخرى للقاعدة واحفظ القاعدة. لمزيد من المعلومات عن تكوين قواعد جدار حماية الإنترنت، راجع إدارة سياسة جدار حماية الإنترنت.