Integración de listas personalizadas de IoC con Contenedores

Este artículo discute cómo usar objetos de Contenedor para integrar listas personalizadas de IoCs con servicios de seguridad de Cato.

Visión general

Puede agregar listas personalizadas de IoC a la inteligencia de amenazas para su cuenta de Cato para cumplir con requisitos específicos de la industria o ubicación de su organización. Las listas de IoC se configuran usando Contenedores, que son categorías definidas por el usuario que le ayudan a gestionar grupos de elementos como direcciones IP o FQDNs. Por ejemplo, cree un Contenedor que incluya una lista de direcciones IP maliciosas identificadas por el SOC de su organización o proporcionadas por un servicio de inteligencia de amenazas de terceros.

Puede configurar Contenedores con listas de IoC directamente en la Aplicación de Gestión de Cato o a través de procesos automáticos de API, y luego incluir los Contenedores en reglas del Firewall de Internet. Para obtener más información sobre la API para Contenedores, consulte la Referencia de API GraphQL de Cato Networks.

Existen diferentes tipos de Contenedores, y cada tipo puede incluir solo un único tipo de dato. Estos son los tipos de Contenedores:

  • IP - Puede incluir direcciones IP individuales, máscaras de subred (en notación decimal o CIDR) y rangos de IP

  • FQDN - Nombres de dominio totalmente calificados, por ejemplo: www.shop.example.com

Este es un ejemplo de flujo de trabajo para integrar IoCs personalizados usando un Contenedor:

  1. Configure un Contenedor que incluya las IPs identificadas como IoCs.

  2. Cree reglas de Firewall de Internet con el Contenedor configurado en el campo App/Category y configure la regla con la acción Block.

  3. Mantenga el Contenedor actualizado subiendo una nueva lista de IoCs al Contenedor. Cuando actualice el contenedor, la regla de firewall aplica automáticamente los nuevos IoCs.

Trabajando con Contenedores

Puede crear un Contenedor en la página de Categorías subiendo un archivo fuente con los datos para el Contenedor. Después de crear un Contenedor, aparece en la tabla en la pestaña de Contenedores. Puede editar un Contenedor en la tabla y subir un nuevo archivo fuente para actualizar los valores en el Contenedor.

Creando Contenedores

Cree un nuevo Contenedor definiendo el tipo de Contenedor y subiendo un archivo fuente que contenga los valores relevantes. El Contenedor puede ser del tipo FQDN o IP. Un Contenedor IP puede incluir una lista de direcciones IP individuales, máscaras de subred (en notación decimal o CIDR) o rangos de IP.

Requisitos para Archivos Fuente de Contenedores

  • Los archivos fuente para Contenedores deben estar en uno de los siguientes formatos:

    • Archivos TXT con valores separados por uno de los siguientes delimitadores:

      • Coma

      • Espacio

      • Salto de línea

    • Archivos JSON en formato STIX

      Nota: Cato está habilitando gradualmente el soporte para el formato STIX en las cuentas durante un período de varias semanas. Es posible que no esté disponible para su cuenta.

  • Los archivos fuente deben contener un mínimo de 1 valor y un máximo de 1 millón de valores

  • Para los Contenedores FQDN, solo se admiten caracteres alfabéticos o numéricos, los caracteres especiales no se admiten

Container_-_Nuevo.png

Para crear un Contenedor:

  1. Desde el panel de navegación, seleccione Recursos > Categorías y expanda la pestaña Contenedores.

  2. Haz clic en Nuevo. Se abre el panel Nuevo Contenedor.

  3. Ingrese el Nombre para Mostrar del Contenedor.

  4. Seleccione el Tipo de contenedor. Valores posibles: FQDN, IP.

  5. Ingrese una Descripción para el Contenedor.

  6. En Fuente, arrastre y suelte o explore para subir un archivo con los valores que desee incluir en el Contenedor.

  7. Haz clic en Guardar. Se crea el Contenedor.

Actualizando Contenedores

Actualice los valores en un Contenedor subiendo un nuevo archivo fuente. Cuando suba un nuevo archivo fuente, reemplaza el archivo existente y solo se incluyen en el Contenedor los valores del nuevo archivo fuente.

Para actualizar un Contenedor:

  1. Desde el panel de navegación, seleccione Recursos > Categorías y expanda la pestaña Contenedores.

  2. Haga clic en edit_rule.png en la fila de un contenedor. Se abre el panel Editar Contenedor.

  3. En Fuente, arrastre y suelte o explore para subir un archivo con los valores que desee incluir en el Contenedor.

  4. Haz clic en Guardar. El Contenedor se actualiza y contiene los valores en el nuevo archivo fuente.

Uso de Contenedores en Reglas de Firewall de Internet

Configure Contenedores en el campo App/Category en una regla de Firewall de Internet. Seleccione el tipo de Contenedor y luego elija los contenedores específicos para incluir en la regla. Puede configurar múltiples Contenedores del mismo tipo en una regla, pero no puede configurar más de un tipo de Contenedor en una regla.

Container_-_Regla_FW.png

Para configurar un Contenedor en una regla de Firewall de Internet:

  1. Desde el menú de navegación, seleccione Seguridad > Firewall de Internet.

    La página del Firewall de Internet se abre a su revisión no publicada existente, o a la revisión publicada más reciente.

  2. Haz clic en Nuevo.

  3. En App/Categoría seleccione ya sea FQDN Container o IP Container.

  4. Seleccione uno o más contenedores del menú desplegable.

  5. Configure los otros campos de la regla y guarde la regla. Para más información sobre la configuración de reglas de Firewall de Internet, consulte Gestión de la Política del Firewall de Internet.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios