कस्टम IoC सूचियों का कंटेनर के साथ एकीकरण करना

आप अपने संगठन के उद्योग या स्थान के लिए विशेष आवश्यकताओं को पूरा करने के लिए कस्टम IoC सूचियों को अपने Cato खाते की खतरे की खुफिया में जोड़ सकते हैं। IoC सूची कंटेनरों का उपयोग करके कॉन्फ़िगर की जाती हैं, जो कि उपयोगकर्ता द्वारा परिभाषित श्रेणियां हैं जो आपको IP पते या FQDNs जैसी वस्तुओं के समूहों को प्रबंधित करने में मदद करती हैं। उदाहरण के लिए, एक कंटेनर बनाएं जिसमें आपके संगठन के SOC द्वारा पहचाने गए या किसी तीसरे पक्ष के खतरे की खुफिया सेवा द्वारा प्रदान की गई दुर्भावनापूर्ण IP पतों की सूची शामिल हो।

आप सीधे Cato प्रबंधन एप्लिकेशन में या स्वचालित API प्रक्रियाओं के माध्यम से IoC सूचियों के साथ कंटेनरों को कॉन्फ़िगर कर सकते हैं, और फिर कंटेनरों को इंटरनेट फ़ायरवॉल नियमों में शामिल कर सकते हैं। कंटेनरों के लिए API के बारे में अधिक जानकारी के लिए, Cato Networks GraphQL API संदर्भ देखें।

कंटेनरों के विभिन्न प्रकार होते हैं, और प्रत्येक प्रकार केवल एक ही प्रकार का डेटा शामिल कर सकता है। ये कंटेनर के प्रकार हैं:

यह कस्टम IoCs का एकीकरण करने के लिए कंटेनर का उपयोग करने की एक उदाहरण वर्कफ़्लो है:

श्रेणियां पृष्ठ पर कंटेनर बनाएं:

कंटेनर बनाने के बाद, यह कंटेनर टैब की तालिका में दिखाई देता है। आप कंटेनर को मैन्युअल रूप से संपादित कर सकते हैं या मूल्यों को अपडेट करने के लिए एक नई स्रोत फ़ाइल अपलोड कर सकते हैं।

यूआरएल से IoCs सिंक करना

यूआरएल से IoCs को सीधे अपलोड किया जा सकता है, जो आपको बाहरी खतरे के फ़ीड या अक्सर अपडेट किए गए संकेतक सूचियों को स्वचालित रूप से निगलने की अनुमति देता है। इससे नियमित स्वचालित अपडेट के साथ तेजी से खतरे के प्रतिक्रिया समय सक्षम होता है और मानव त्रुटि कम होने से सटीकता सुनिश्चित होती है। आप प्रत्येक घंटे या प्रतिदिन के अंतराल का उपयोग करके कितनी बार ये IoCs सिंक होते हैं, यह कॉन्फिगर कर सकते हैं।

यदि सिंक विफल होता है, तो नोटिफिकेशन भेजने से पहले इसे 15 मिनट के भीतर तीन बार स्वचालित रूप से पुनः प्रयास किया जाता है। फिर यह अगले घंटे के दौरान सात अतिरिक्त बार सिंक करने का प्रयास करता रहता है। आप कंटेनर तालिका के सदस्य स्तंभ में दिखाए गए संकेतक का उपयोग करके वर्तमान सिंक स्थिति देख सकते हैं।

आप यूआरएल से मैन्युअल रूप से कंटेनर तालिका में तीन बिंदुओं का चयन करके और अभी समन्वयित करें पर क्लिक करके सिंक को ट्रिगर कर सकते हैं।

फाइल से IoCs अपलोड करना

IoCs को फाइल से अपलोड किया जा सकता है जिससे आप IoCs का समूह में कंटेनर बना सकते हैं। कंटेनर पूर्ण डोमेन नाम (FQDN) या आईपी प्रकार का हो सकता है। आईपी कंटेनर में एकल आईपी पते, सबनेट मास्क (डॉट-दशमलव या CIDR अंकन में), या आईपी रेंज की सूची शामिल हो सकती है।

कंटेनर स्रोत फ़ाइलों के लिए आवश्यकताएं

• कंटेनरों के लिए स्रोत फ़ाइलें निम्नलिखित में से किसी एक प्रारूप में होनी चाहिए:

  • नीचे दिए गए किसी एक डिलिमिटर द्वारा विभाजित मानों के साथ TXT फ़ाइलें:

    • अल्पविराम

    • स्पेस

    • लाइन ब्रेक

  • कॉलम A में सूचीबद्ध मूल्यों के साथ CSV फाइलें बिना शीर्षक के

  • STIX प्रारूप JSON फ़ाइलें

• स्रोत फ़ाइलों में कम से कम 1 मान और अधिकतम 1 मिलियन मान होने चाहिए

• FQDN कंटेनरों के लिए, केवल अल्फा या न्यूमेरिक वर्ण समर्थित होते हैं, विशेष वर्ण समर्थित नहीं होते

कंटेनर बनाना

एक कंटेनर बनाएं जिसमें फाइल, यूआरएल या मैन्युअल रूप से IoC शामिल हैं।

कंटेनर बनाने के लिए:

1. नेविगेशन पैनल से, संसाधन > श्रेणियाँ चुनें और कंटेनर टैब को विस्तारित करें।

2. नया पर क्लिक करें। नया कंटेनर पैनल खुलता है।

3. कंटेनर के लिए प्रदर्शन नाम दर्ज करें।

4. कंटेनर प्रकार चुनें। संभावित मान: FQDN, IP।

5. कंटेनर के लिए एक विवरण दर्ज करें।

6. कंटेनर के लिए स्रोत चुनें:

   • फाइल अपलोड करना

     • फाइल प्रकार (CSV या STIX) चुनें और फाइल को फाइल अपलोडर में ड्रैग और ड्रॉप करके या ब्राउज़ पर क्लिक करके जोड़ें

   • यूआरएल से फाइल को सिंक करना

     • फाइल प्रकार (CSV या STIX) चुनें, यूआरएल जोड़ें, और फाइल को सिंक करने के अंतराल चुनें।

       नोट: कंटेनर को सहेजने से पहले टेस्ट कंटेनर पर क्लिक करें

   • वस्तुओं को मैन्युअल रूप से जोड़ना

7. ट्रैकिंग विकल्प चुनें। अधिक जानकारी के लिए, अलर्ट देखें।

8. सहेजें पर क्लिक करें। कंटेनर बनाया गया है और कंटेनर तालिका में दृश्यमान है।

एक इंटरनेट फ़ायरवॉल नियम में ऐप/श्रेणी क्षेत्र में कंटेनर कॉन्फ़िगर करें। कंटेनर प्रकार का चयन करें और फिर नियम में शामिल करने के लिए विशिष्ट कंटेनरों का चयन करें। आप एक नियम में एक ही प्रकार के कई कंटेनर कॉन्फ़िगर कर सकते हैं।