Intégrer des listes personnalisées d'IoC avec des conteneurs

Cet article explique comment utiliser des objets Conteneur pour intégrer des listes personnalisées d'IoC avec les services de sécurité de Cato.

Vue d'ensemble

Vous pouvez ajouter des listes personnalisées d'IoC à l'intelligence des menaces pour votre compte Cato pour répondre à des exigences spécifiques pour l'industrie ou la localisation de votre organisation. Les listes d'IoC sont configurées à l'aide de conteneurs, qui sont des catégories définies par l'utilisateur pour vous aider à gérer des groupes d'éléments tels que des adresses IP ou FQDN. Par exemple, créez un conteneur qui inclut une liste d'adresses IP malveillantes identifiées par le SOC de votre organisation ou fournies par un service de renseignement sur les menaces de tiers.

Vous pouvez configurer des conteneurs avec des listes d'IoC directement dans l'application de gestion Cato ou via des processus d'API automatisés, puis inclure les conteneurs dans les règles de pare-feu Internet. Pour plus d'informations sur l'API pour les conteneurs, consultez la Référence de l'API GraphQL de Cato Networks.

Il existe différents types de conteneurs, et chaque type ne peut inclure qu'un seul type de données. Voici les types de conteneurs :

  • IP - Peut inclure des adresses IP uniques, des masques de sous-réseau (en notation point-décimal ou CIDR) et des plages IP

  • FQDN - Noms de domaine complets, par exemple : www.shop.example.com

Voici un exemple de flux de travail pour intégrer des IoC personnalisés à l'aide d'un conteneur :

  1. Configurez un conteneur incluant les IP identifiées comme IoC.

  2. Créez des règles de pare-feu Internet avec le conteneur configuré dans le champ App/Catégorie, et définissez la règle avec l'action Bloquer.

  3. Maintenez le conteneur à jour en téléchargeant une nouvelle liste d'IoC dans le conteneur. Lorsque vous mettez à jour le conteneur, la règle de pare-feu applique automatiquement les nouveaux IoC.

Travailler avec les conteneurs

Vous pouvez créer un conteneur sur la page Catégories en :

  • Synchroniser un fichier depuis une URL

  • Téléversement d'un fichier source avec les données pour le conteneur

  • Ajout manuel d'un élément

Après avoir créé un conteneur, il apparaît dans le tableau de l'onglet Conteneurs. Vous pouvez modifier un conteneur dans le tableau manuellement ou télécharger un nouveau fichier source pour mettre à jour les valeurs dans le conteneur.

Synchroniser des IoCs depuis une URL

Ioc.png

Les IoCs peuvent être téléchargés directement depuis une URL, vous permettant d'ingérer automatiquement des sources de renseignements sur les menaces externes ou des listes d'indicateurs fréquemment mises à jour. Cela permet des temps de réponse aux menaces plus rapides avec des mises à jour automatiques régulières et garantit l'exactitude en réduisant les erreurs humaines. Vous pouvez configurer la fréquence de synchronisation de ces IoCs en utilisant des intervalles de toutes les heures ou quotidiens.

Si une synchronisation échoue, elle est automatiquement réessayée trois fois en 15 minutes avant qu'une notification soit envoyée. Elle continue ensuite à essayer de synchroniser jusqu'à sept fois supplémentaires au cours de l'heure suivante. Vous pouvez voir le statut de synchronisation actuel en utilisant l'indicateur affiché dans le tableau Conteneurs dans la colonne Membres.

Sync_sucessful.png

Vous pouvez également déclencher manuellement une synchronisation depuis l'URL dans le tableau Conteneur en sélectionnant les trois points à côté du conteneur concerné et en cliquant sur Synchroniser maintenant.

Téléversement de IoCs depuis un fichier

Container_-_Nouveau.png

Les IoCs peuvent être téléchargés depuis un fichier vous permettant de créer un conteneur de IoCs en masse. Le conteneur peut être de type FQDN ou IP. Un conteneur IP peut inclure une liste d'adresses IP uniques, de masques de sous-réseau (en notation point-décimal ou CIDR) ou de plages IP.

Exigences pour les fichiers source de conteneurs

  • Les fichiers source pour les conteneurs doivent être dans l'un des formats suivants :

    • Fichiers TXT avec des valeurs séparées par l'un des délimiteurs suivants :

      • Virgule

      • Espace

      • Saut de ligne

    • Fichiers CSV avec des valeurs listées dans la colonne A sans en-tête

    • Fichiers JSON au format STIX

  • Les fichiers source doivent contenir un minimum de 1 valeur et un maximum de 1 million de valeurs

  • Pour les conteneurs FQDN, seuls les caractères alphabétiques ou numériques sont pris en charge, les caractères spéciaux ne sont pas pris en charge

Créer un conteneur

Créer un conteneur qui contient des IoC depuis un fichier, une URL, ou manuellement.

Pour créer un conteneur :

  1. Dans le panneau de navigation, sélectionnez Ressources > Catégories et développez l'onglet Conteneurs.

  2. Cliquez sur Nouveau. Le panneau Nouveau Conteneur s'ouvre.

  3. Saisissez le Nom à afficher du conteneur.

  4. Sélectionnez le Type de conteneur. Valeurs possibles : FQDN, IP.

  5. Entrez une Description pour le conteneur.

  6. Choisissez la Source pour le conteneur en :

    • Téléversement d'un fichier

      • Choisissez le type de fichier (CSV ou STIX) et ajoutez le fichier soit en le faisant glisser-déposer dans le téléverseur de fichiers ou en cliquant sur Parcourir.

    • Synchroniser un fichier depuis une URL

      • Choisissez le type de fichier (CSV ou STIX), ajoutez l'URL, et choisissez les intervalles pour la synchronisation du fichier.

        Note : Cliquez sur Tester le conteneur avant de sauvegarder le conteneur.

    • Ajout manuel d'éléments

  7. Choisissez les options de suivi. Pour plus d'Infos, consultez Alertes.

  8. Cliquez sur Sauvegarder. Le Conteneur est Créé et visible dans le Tableau des Conteneurs.

Mettre à jour des conteneurs

Mettez à jour les valeurs dans un conteneur en téléchargeant un nouveau fichier source ou en effectuant des mises à jour manuelles. Lorsque vous téléchargez un nouveau fichier source, il remplace le fichier existant et seules les valeurs du nouveau fichier source sont incluses dans le conteneur.

Pour mettre à jour un conteneur :

  1. Dans le panneau de navigation, sélectionnez Ressources > Catégories et développez l'onglet Conteneurs.

  2. Cliquez edit_rule.png dans la ligne d'un conteneur. Le panneau Éditer le conteneur s'ouvre.

  3. Sous Source, glissez-déposez ou parcourez pour télécharger un fichier avec les valeurs à inclure dans le conteneur ou effectuez des modifications manuelles.

  4. Cliquez sur Sauvegarder. Le conteneur est mis à jour et contient les valeurs du nouveau fichier source.

Utiliser des conteneurs dans les règles du pare-feu Internet

Configurez des conteneurs dans le champ App/Catégorie dans une règle de pare-feu Internet. Sélectionnez le type de conteneur puis sélectionnez les conteneurs spécifiques à inclure dans la règle. Vous pouvez configurer plusieurs conteneurs du même type dans une règle.

Container_-_Règle_FW.png

Pour configurer un conteneur dans une règle de pare-feu Internet :

  1. Dans le menu de navigation, sélectionnez Sécurité > Pare-feu Internet.

    La page du pare-feu Internet s'ouvre sur votre révision non publiée existante ou sur la version publiée la plus récente.

  2. Cliquez sur Nouveau.

  3. Sous App/Catégorie, sélectionnez soit Conteneur FQDN soit Conteneur IP.

  4. Sélectionnez un ou plusieurs conteneurs dans le menu déroulant.

  5. Configurez les autres champs de la règle et sauvegardez la règle. Pour plus d'Infos sur la configuration des règles de Pare-feu Internet, voir Gestion de la politique du Pare-feu Internet.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire