دمج قوائم IoC المخصصة مع الحاويات

تتناول هذه المقالة كيفية استخدام كائنات الحاويات لدمج قوائم IoC المخصصة مع خدمات أمان Cato.

نظرة عامة

يمكنك إضافة قوائم IoC مخصصة إلى معلومات التهديد لحساب Cato الخاص بك لتلبية متطلبات محددة لصناعة مؤسستك أو موقعها. تُستخدم الحاويات لتكوين قوائم IoC، وهي تصنيفات معرفة من قبل المستخدم تساعدك في إدارة مجموعات من العناصر مثل عناوين IP أو FQDNs. على سبيل المثال، قم بإنشاء حاوية تتضمن قائمة بعناوين IP الخبيثة التي حددها مركز العمليات الأمنية في مؤسستك أو التي يوفرها خدمة معلومات التهديدات الخارجية.

يمكنك تكوين الحاويات بقوائم IoC مباشرة في تطبيق إدارة Cato أو عبر عمليات API المؤتمتة، ومن ثم تضمين الحاويات في قواعد جدار حماية الإنترنت. لمزيد من المعلومات حول API للحاويات، راجع مرجع Cato Networks GraphQL API.

هناك أنواع مختلفة من الحاويات، ويمكن لكل نوع أن يتضمن نوعًا واحدًا فقط من البيانات. هذه هي أنواع الحاويات:

  • IP - يمكن أن تتضمن عناوين IP فردية، أقنعة الشبكة الفرعية (بصيغة dot-decimal أو CIDR)، ونطاقات IP

  • FQDN - أسماء النطاقات المؤهلة بالكامل، على سبيل المثال: www.shop.example.com

هذا هو سير العمل النموذجي لدمج IoCs المخصصة باستخدام حاوية:

  1. قم بتكوين حاوية تتضمن عناوين IP التي تم تحديدها كـ IoCs.

  2. أنشئ قواعد جدار حماية الإنترنت مع تكوين الحاوية في حقل App/Category، وحدد القاعدة باستخدام إجراء Block.

  3. احفظ الحاوية محدثة عن طريق تحميل قائمة جديدة من IoCs إلى الحاوية. عندما تقوم بتحديث الحاوية، فإن قاعدة جدار الحماية تطبق تلقائيًا IoCs الجديدة.

العمل مع الحاويات

يمكنك إنشاء حاوية في صفحة الفئات عن طريق:

  • مزامنة ملف من عنوان URL

  • تحميل ملف مصدر يحتوي على البيانات للحاوية

  • إضافة عنصر يدويًا

بعد إنشائك لحاوية، تظهر في الجدول في علامة التبويب الحاويات. يمكنك تعديل الحاوية في الجدول يدويًا أو تحميل مصدر جديد لتحديث القيم في الحاوية.

مزامنة مؤشرات التهديد من عنوان URL

IoC.png

يمكن تحميل مؤشرات التهديد مباشرةً من عنوان URL، مما يسمح لك باستيعاب تلقائي لتغذيات التهديد الخارجية أو قوائم المؤشرات المحدثة بشكل متكرر. يسمح ذلك بأوقات استجابة أسرع للتهديدات مع تحديثات منتظمة تلقائية ويضمن الدقة مع تقليل الخطأ البشري. يمكنك تكوين مدى تكرار مزامنة مؤشرات التهديد باستخدام فترات زمنية إما كل ساعة أو يوميًا.

إذا فشلت عملية المزامنة، تتم إعادة المحاولة تلقائيًا ثلاث مرات في غضون 15 دقيقة قبل إرسال إشعار. ثم يستمر في محاولة المزامنة حتى سبع مرات إضافية خلال الساعة التالية. يمكنك عرض حالة المزامنة الحالية باستخدام المؤشر المعروض في جدول الحاويات في العمود الأعضاء.

Sync_successful.png

يمكنك أيضًا تشغيل مزامنة يدويًا من عنوان URL في جدول الحاويات عن طريق تحديد النقاط الثلاث بجوار الحاوية ذات الصلة والنقر على مزامنة الآن.

تحميل مؤشرات التهديد من ملف

Container_-_New.png

يمكن تحميل مؤشرات التهديد من ملف مما يسمح لك بإنشاء حاوية من مؤشرات التهديد بشكل مجمّع. يمكن أن تكون الحاوية من نوع FQDN أو IP. يمكن أن يتضمن حاوية IP قائمة بعناوين IP الفردية، أو أقنعة الشبكة الفرعية (بصيغة dot-decimal أو CIDR)، أو نطاقات IP.

متطلبات ملفات مصدر الحاوية

  • يجب أن تكون ملفات مصدر الحاويات بإحدى الصيغ التالية:

    • ملفات TXT مع القيم مفصولة بواسطة أحد الفواصل التالية:

      • فاصلة

      • مسافة

      • فاصل أسطر

    • ملفات CSV مع القيم المدرجة في العمود A بدون رأس

    • ملفات JSON بصيغة STIX

  • يجب أن تحتوي ملفات المصدر على حد أدنى من قيمة واحدة وحد أقصى من مليون قيمة

  • بالنسبة لحاويات FQDN، يتم دعم الأحرف الأبجدية أو الرقمية فقط، ولا يتم دعم الأحرف الخاصة

إنشاء حاوية

قم بإنشاء حاوية تحتوي على مؤشرات التهديد من ملف، أو عنوان URL، أو يدويًا.

لإنشاء حاوية:

  1. من لوحة التنقل، اختر Resources > Categories وقم بتوسيع علامة التبويب Containers.

  2. انقر New. يفتح لوحة New Container.

  3. أدخل Display Name للحاوية.

  4. اختر نوع الحاوية Type. القيم الممكنة: FQDN, IP.

  5. أدخل Description للحاوية.

  6. اختر المصدر للحاوية إما عن طريق:

    • تحميل ملف

      • اختر نوع الملف (CSV أو STIX) وأضف الملف إما عن طريق سحب وإفلاته في محمل الملفات أو بالنقر على استعراض.

    • مزامنة ملف من عنوان URL

      • اختر نوع الملف (CSV أو STIX)، أضف عنوان URL، واختر الفترات الزمنية لمزامنة الملف.

        ملاحظة: انقر على اختبار الحاوية قبل حفظ الحاوية

    • إضافة عناصر يدويًا

  7. اختر خيارات التتبع. لمزيد من المعلومات، انظر التنبيهات.

  8. انقر Save. تم إنشاء الحاوية وهي مرئية في جدول الحاويات.

تحديث الحاويات

قم بتحديث القيم في الحاوية عن طريق تحميل ملف مصدر جديد أو إجراء تحديثات يدوية. عندما تقوم بتحميل ملف مصدر جديد، فإنه يستبدل الملف الحالي ولا تشمل الحاوية سوى القيم الموجودة في الملف الجديد.

لتحديث حاوية:

  1. من لوحة التنقل، اختر Resources > Categories وقم بتوسيع علامة التبويب Containers.

  2. انقر فوق edit_rule.png في صف الحاوية. يفتح لوحة Edit Container.

  3. تحت المصدر، اسحب وأفلت أو تصفح لتحميل ملف مع القيم المطلوبة لتضمينها في الحاوية أو إجراء تغييرات يدوية.

  4. انقر Save. تم تحديث الحاوية وتحتوي على القيم في الملف المصدر الجديد.

استخدام الحاويات في قواعد جدار الحماية للإنترنت

قم بتكوين الحاويات في حقل App/Category في قاعدة جدار حماية الإنترنت. اختر نوع الحاوية ثم اختر الحاويات المحددة لتضمينها في القاعدة. يمكنك تكوين العديد من الحاويات من نفس النوع في القاعدة.

Container_-_FW_Rule.png

لتكوين حاوية في قاعدة جدار حماية الإنترنت:

  1. من قائمة التنقل، اختر Security > Internet Firewall.

    تفتح صفحة جدار حماية الإنترنت على المراجعة الحالية غير المنشورة، أو على أحدث مراجعة منشورة.

  2. انقر New.

  3. تحت App/Category اختر إما FQDN Container أو IP Container.

  4. اختر واحد أو أكثر من الحاويات من القائمة المنسدلة.

  5. قم بتكوين الحقول الأخرى للقاعدة واحفظ القاعدة. لمزيد من المعلومات حول تكوين قواعد جدار حماية الإنترنت، انظر إدارة سياسة جدار حماية الإنترنت.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات