Integración de listas personalizadas de IoC con Contenedores

Este artículo discute cómo usar objetos de Contenedor para integrar listas personalizadas de IoCs con servicios de seguridad de Cato.

Visión general

Puede agregar listas personalizadas de IoC a la inteligencia de amenazas para su cuenta de Cato para cumplir con requisitos específicos de la industria o ubicación de su organización. Las listas de IoC se configuran usando Contenedores, que son categorías definidas por el usuario que le ayudan a gestionar grupos de elementos como direcciones IP o FQDNs. Por ejemplo, cree un Contenedor que incluya una lista de direcciones IP maliciosas identificadas por el SOC de su organización o proporcionadas por un servicio de inteligencia de amenazas de terceros.

Puede configurar Contenedores con listas de IoC directamente en la Aplicación de Gestión de Cato o a través de procesos automáticos de API, y luego incluir los Contenedores en reglas del Firewall de Internet. Para obtener más información sobre la API para Contenedores, consulte la Referencia de API GraphQL de Cato Networks.

Existen diferentes tipos de Contenedores, y cada tipo puede incluir solo un único tipo de dato. Estos son los tipos de Contenedores:

  • IP - Puede incluir direcciones IP individuales, máscaras de subred (en notación decimal o CIDR) y rangos de IP

  • FQDN - Nombres de dominio totalmente calificados, por ejemplo: www.shop.example.com

Este es un ejemplo de flujo de trabajo para integrar IoCs personalizados usando un Contenedor:

  1. Configure un Contenedor que incluya las IPs identificadas como IoCs.

  2. Cree reglas de Firewall de Internet con el Contenedor configurado en el campo App/Category y configure la regla con la acción Block.

  3. Mantenga el Contenedor actualizado subiendo una nueva lista de IoCs al Contenedor. Cuando actualice el contenedor, la regla de firewall aplica automáticamente los nuevos IoCs.

Trabajando con Contenedores

Puedes crear un Contenedor en la página de Categorías por:

  • Sincronizar un archivo desde una URL

  • Subir un archivo fuente con los datos para el Contenedor

  • Agregar un artículo manualmente

Después de crear un Contenedor, aparece en la tabla en la pestaña de Contenedores. Puede editar un Contenedor en la tabla manualmente o cargar un nuevo archivo fuente para actualizar los valores en el Contenedor.

Sincronizar IoCs desde una URL

Ioc.png

Los IoCs pueden ser subidos directamente desde una URL, permitiéndole ingerir automáticamente fuentes externas de amenazas o listas de indicadores actualizadas frecuentemente. Esto permite tiempos de respuesta a amenazas más rápidos con actualizaciones automáticas regulares y asegura precisión con menor error humano. Puede configurar la frecuencia con la que estos IoCs se sincronizan usando intervalos horarios o diarios.

Si una sincronización falla, se reintenta automáticamente tres veces en 15 minutos antes de que se envíe una notificación. Luego continúa intentando sincronizar hasta siete veces adicionales en la próxima hora. Puede ver el estado actual de sincronización usando el indicador que aparece en la tabla de Contenedores en la columna de Miembros.

Sync_sucessful.png

También puede desencadenar manualmente una sincronización desde la URL en la tabla de Contenedor seleccionando los tres puntos junto al Contenedor relevante y haciendo clic en Sincronizar Ahora.

Subir IoCs desde un Archivo

Container_-_Nuevo.png

Los IoCs pueden ser subidos desde un archivo permitiéndole crear un Contenedor de IoCs masivamente. El Contenedor puede ser del tipo FQDN o IP. Un Contenedor IP puede incluir una lista de direcciones IP individuales, máscaras de subred (en notación decimal o CIDR) o rangos de IP.

Requisitos para Archivos Fuente de Contenedores

  • Los archivos fuente para Contenedores deben estar en uno de los siguientes formatos:

    • Archivos TXT con valores separados por uno de los siguientes delimitadores:

      • Coma

      • Espacio

      • Salto de línea

    • Archivos CSV con valores enumerados en la columna A sin encabezado

    • Archivos JSON en formato STIX

  • Los archivos fuente deben contener un mínimo de 1 valor y un máximo de 1 millón de valores

  • Para los Contenedores FQDN, solo se admiten caracteres alfabéticos o numéricos, los caracteres especiales no se admiten

Crear un Contenedor

Crear un contenedor que contenga IoC desde un archivo, URL, o manualmente.

Para crear un Contenedor:

  1. Desde el panel de navegación, seleccione Recursos > Categorías y expanda la pestaña Contenedores.

  2. Haz clic en Nuevo. Se abre el panel Nuevo Contenedor.

  3. Ingrese el Nombre para Mostrar del Contenedor.

  4. Seleccione el Tipo de contenedor. Valores posibles: FQDN, IP.

  5. Ingrese una Descripción para el Contenedor.

  6. Elegir la Fuente para el Contenedor mediante:

    • Subir un archivo

      • Elija el tipo de archivo (CSV o STIX) y agregue el archivo arrastrándolo y soltándolo en el Cargador de Archivos o haciendo clic en Explorar.

    • Sincronizar un archivo desde una URL

      • Elija el tipo de archivo (CSV o STIX), agregue la URL, y elija los intervalos para que el archivo se sincronice.

        Nota: Haga clic en Probar Contenedor antes de guardar el Contenedor

    • Agregar elementos manualmente

  7. Elegir opciones de seguimiento. Para más información, consulte Alertas.

  8. Haz clic en Guardar. El Contenedor está creado y visible en la Tabla de Contenedores.

Actualizando Contenedores

Actualice los valores en un Contenedor cargando un nuevo archivo fuente o realizando actualizaciones manuales. Cuando suba un nuevo archivo fuente, reemplaza el archivo existente y solo se incluyen en el Contenedor los valores del nuevo archivo fuente.

Para actualizar un Contenedor:

  1. Desde el panel de navegación, seleccione Recursos > Categorías y expanda la pestaña Contenedores.

  2. Haga clic en edit_rule.png en la fila de un contenedor. Se abre el panel Editar Contenedor.

  3. En Fuente, arrastre y suelte o busque para cargar un archivo con los valores a incluir en el Contenedor o realice cambios manuales.

  4. Haz clic en Guardar. El Contenedor se actualiza y contiene los valores en el nuevo archivo fuente.

Usando Contenedores en Reglas de Firewall de Internet

Configure Contenedores en el campo App/Category en una regla de Firewall de Internet. Seleccione el tipo de Contenedor y luego elija los contenedores específicos para incluir en la regla. Puede configurar múltiples contenedores del mismo tipo en una regla.

Container_-_Regla_FW.png

Para configurar un Contenedor en una regla de Firewall de Internet:

  1. Desde el menú de navegación, seleccione Seguridad > Firewall de Internet.

    La página del Firewall de Internet se abre a su revisión no publicada existente, o a la revisión publicada más reciente.

  2. Haz clic en Nuevo.

  3. En App/Categoría seleccione ya sea FQDN Container o IP Container.

  4. Seleccione uno o más contenedores del menú desplegable.

  5. Configure los otros campos de la regla y guarde la regla. Para más información sobre la configuración de reglas de Cortafuegos de Internet, consulte Gestión de la Política del Cortafuegos de Internet.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios