Configuración de la política IPS

Visión general

Puedes activar o desactivar la protección contra amenazas de tráfico malicioso originado entrante, saliente hacia la organización y a través de su WAN. También puede configurar el servicio para bloquear el tráfico o monitorear sin bloquear.

El servicio IPS de Cato está compuesto por varias capas de seguridad, incluyendo:

  • Análisis de reputación: Protege contra la comunicación entrante/saliente con recursos comprometidos o maliciosos.

  • Vulnerabilidades conocidas: Protege contra CVEs conocidos, adaptándose rápidamente para incorporar nuevos.

  • Anti-Bot: Protege contra tráfico saliente a servidores C&C basado en fuentes de reputación y análisis de comportamiento de red.

  • Análisis de comportamiento de red: Protege contra escaneos de red entrantes/salientes.

  • Validación de Protocolo: Protegiendo contra paquetes inválidos (conformidad con el protocolo), reduciendo la superficie de ataque de los exploits que utilizan tráfico anómalo.

  • Restricción geográfica: Impone una política de restricción geográfica personalizada para bloquear el tráfico entrante, saliente o todo el tráfico a países específicos.

  • Ataques de Tunelización: Identifica y bloquea intentos de ocultar tráfico malicioso dentro de protocolos legítimos (por ejemplo, HTTP, HTTPS, DNS) para evadir controles de seguridad.

Nota

Nota: Recomendamos que habilites la inspección TLS para que el servicio IPS proporcione la máxima protección para tu red.

La Política de IPS solo está disponible con una licencia de Protección contra Amenazas. Para más información, contacte a su representante de ventas.

Módulos de aprendizaje automático en el IPS de Cato

Además de las fuentes de amenazas estáticas, el IPS Cato utiliza módulos de aprendizaje automático para ofrecer protección en tiempo real contra ciertos tipos de ataques. El motor IPS utiliza cientos de fuentes de amenazas estáticas que toman patrones de vulnerabilidad conocidos y los convierten en firmas que luego se integran en el motor. Por otro lado, el módulo heurístico de aprendizaje automático utiliza una mezcla de inteligencia de amenazas conocidas y desconocidas para determinar si algo es una amenaza y no se basa en las fuentes estáticas. Estos modelos de aprendizaje automático identifican potencialmente dominios desconocidos maliciosos generados por técnicas de DGA y cybersquatting en tiempo real.

¿Por qué usar algoritmos de aprendizaje automático?

El beneficio de usar el modelo de aprendizaje automático para la prevención de amenazas es que DGA y el cybersquatting no pueden detenerse con solo listas negras estáticas; las tácticas cambian a intervalos aleatorios y se usan nuevos métodos de DGA y cybersquatting cada día. Los algoritmos de aprendizaje automático nos permiten detectar dominios potencialmente maliciosos en tiempo real. DGA detecta dominios que probablemente son generados por un algoritmo (que no parecen usar palabras del diccionario regular). DGA se utiliza para comunicaciones de comando y control (C&C), y el cybersquatting se puede usar para ataques de phishing.

Parte del algoritmo de aprendizaje automático de Cato es una lista de marcas conocidas que monitoreamos para la parte de cybersquatting del motor, pero los clientes también pueden tener su propia lista de dominios añadidos para monitoreo. Los modelos de aprendizaje automático de DGA se ejecutarán en la protección DNS y el motor IPS, pero el motor de cybersquatting solo se ejecutará en el IPS.

Cuando ocurre un evento, un ID de firma indicará qué modelo identificó la amenaza, pero no será identificable desde otros campos del evento.

Entendiendo las categorías de amenazas de IPS

La sección de Categorías IPS proporciona explicaciones sobre los tipos de amenazas identificados por el motor IPS. La sección muestra todas las categorías de amenazas IPS definidas por Cato y el número de eventos activados para cada tipo de amenaza en los siete días anteriores.

Puedes hacer clic en un número para abrir la pantalla de Eventos prefiltrada para el tipo de amenaza.

Gestión de la configuración de IPS

Esta sección explica cómo configurar la política IPS para proteger las redes en tu cuenta.

Política_IPS.png

Habilitar y deshabilitar la protección IPS

Para habilitar o deshabilitar IPS para tu cuenta:

  1. Desde el menú de navegación, haz clic en Seguridad > IPS.

  2. Haga clic en el deslizador para habilitar (verde) o deshabilitar (gris) la política de IPS para la cuenta.

  3. Haz clic en Guardar.

Definición de la configuración de IPS

Para el tráfico WAN, Entrante y Saliente, puede definir las acciones desencadenadas por la detección de amenazas y configurar sus alertas. Estas son las acciones disponibles:

  • Bloquear - Bloquea el tráfico malicioso para que no llegue a su destino. Cuando sea aplicable, el usuario es redirigido a una página web de bloqueo dedicada.

  • Monitorear - Genera eventos (mostrados en Inicio > Eventos) para el tráfico malicioso. El tráfico luego continúa hacia el destino.

Configuración de opciones de protección de archivos

Para configurar las acciones de protección de archivos para la política IPS:

  1. Desde el menú de navegación, haz clic en Seguridad > IPS.

  2. Haz clic en la pestaña Política de Protección y define la configuración para cada Ámbito de Protección:

    1. En la columna Ámbito de Protección, haz clic en el tipo de tráfico. Se abre el panel Editar.

    2. En la sección General, habilita o deshabilita el Ámbito de Protección (verde está habilitado, gris está deshabilitado).

    3. En la sección Acción, establece la acción para el tráfico que coincide con una protección IPS.

    4. En la sección Seguimiento, configure las opciones de notificación.

      Para obtener más información sobre notificaciones, consulte el artículo relevante sobre Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.

    5. Haz clic en Aplicar.

      La configuración para el ámbito de protección se agrega a la Política IPS.

  3. Haz clic en Guardar. La Política IPS se guarda.

Configuración de Opciones de Cumplimiento de IPS

Las Opciones de Aplicación para la política IPS te permiten agregar un nivel extra de protección contra amenazas para el tráfico entrante y saliente.

Bloqueo de Dominios Recién Registrados

Para el tráfico saliente, puedes configurar IPS para bloquear automáticamente dominios que tengan menos de 14 días de antigüedad. El malware a menudo utiliza dominios recién registrados para evadir la protección contra amenazas. La mayoría de los dominios recién registrados son maliciosos o sospechosos.

Para bloquear dominios recién registrados:

  1. Desde el menú de navegación, haz clic en Seguridad > IPS.

  2. Desde la pestaña Opciones de Cumplimiento, haga clic en Tráfico Saliente - Bloquear dominios recién registrados.

  3. Haz clic en Guardar.

Cuarentena de Direcciones IP Sospechosas

La función de cuarentena de IP sospechosas permite que IPS bloquee temporalmente las direcciones IP entrantes sospechosas que están escaneando agresivamente tu red. Esta característica bloquea el tráfico de estas direcciones IP sospechosas durante cinco minutos.

Para poner en cuarentena el tráfico de direcciones IP sospechosas:

  1. Desde el menú de navegación, haz clic en Seguridad > IPS.

  2. Desde la pestaña Opciones de Aplicación, haz clic en Tráfico Entrante - Cuarentena de IP sospechosas.

  3. Haz clic en Guardar.

Definición de Reglas de Restricción Geográfica

Puedes definir reglas de restricción geográfica IPS para bloquear el tráfico hacia (saliente) o desde (entrante) países específicos, o todo el tráfico hacia los países definidos en la regla.

Nota

Nota: Si configuras una regla de restricción geográfica para tráfico entrante, esto se aplica también a recursos RPF. Sin embargo, las reglas de restricción geográfica IPS no se aplican al tráfico de Clientes SDP de Cato. Para bloquear conexiones de Clientes desde regiones específicas, puedes configurar reglas en la Política de Conectividad del Cliente.

Para definir una regla de restricción geográfica:

  1. Desde el menú de navegación, haz clic en Seguridad > IPS.

  2. Desde la pestaña Restricción Geográfica, haz clic en Nuevo. Se abre el panel Agregar.

  3. En la sección General, configura los siguientes ajustes:

    1. Introduce un Nombre para la regla.

    2. Asegúrate de que la regla esté habilitada (verde está habilitado, gris está deshabilitado).

    3. Selecciona la dirección del tráfico para esta regla: Saliente, Entrante o Ambas Direcciones.

  4. En la sección Países, define los países para esta regla de restricción geográfica.

    1. Busca el país y luego selecciónalo.

    2. Repite el paso anterior para cada país que estés agregando a esta regla.

  5. En la sección Acciones, establece los ajustes de acción y seguimiento para esta regla:

    1. Define la acción para la regla: Bloquear , Monitorear o Permitir (tanto las acciones de Monitorear como Permitir generan eventos sin bloquear el tráfico).

    2. Haz clic en Evento, para generar eventos para el tráfico que coincide con una protección IPS.

    3. Haga clic en Enviar notificación, y establezca la Frecuencia con la que se envían las notificaciones.

      Selecciona la Lista de Correo de los administradores que reciben las notificaciones.

  6. Haz clic en Aplicar. La regla se agrega.

  7. Haz clic en Guardar.

Deshabilitación de Reglas de Restricción Geográfica

Puedes desactivar temporalmente las reglas de restricción geográfica y luego volver a activarlas en el futuro.

Para desactivar una regla de restricción geográfica:

  1. Desde el menú de navegación, haz clic en Seguridad > IPS.

  2. En la pestaña Restricción Geográfica, haga clic en el icono de más en el extremo derecho de la regla y seleccione Deshabilitar.

  3. Haz clic en Guardar. La regla está desactivada.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 5 de 5

0 comentarios