कस्टम IoC सूचियों का कंटेनर के साथ एकीकरण करना

यह लेख बताता है कि कैसे कंटेनर ऑब्जेक्ट्स का उपयोग करके कस्टम IoC सूचियों का एकीकरण Cato सुरक्षा सेवाओं के साथ किया जाए।

अवलोकन

आप अपने संगठन के उद्योग या स्थान के लिए विशेष आवश्यकताओं को पूरा करने के लिए कस्टम IoC सूचियों को अपने Cato खाते की खतरे की खुफिया में जोड़ सकते हैं। IoC सूची कंटेनरों का उपयोग करके कॉन्फ़िगर की जाती हैं, जो कि उपयोगकर्ता द्वारा परिभाषित श्रेणियां हैं जो आपको IP पते या FQDNs जैसी वस्तुओं के समूहों को प्रबंधित करने में मदद करती हैं। उदाहरण के लिए, एक कंटेनर बनाएं जिसमें आपके संगठन के SOC द्वारा पहचाने गए या किसी तीसरे पक्ष के खतरे की खुफिया सेवा द्वारा प्रदान की गई दुर्भावनापूर्ण IP पतों की सूची शामिल हो।

आप सीधे Cato प्रबंधन एप्लिकेशन में या स्वचालित API प्रक्रियाओं के माध्यम से IoC सूचियों के साथ कंटेनरों को कॉन्फ़िगर कर सकते हैं, और फिर कंटेनरों को इंटरनेट फ़ायरवॉल नियमों में शामिल कर सकते हैं। कंटेनर्स के लिए API के बारे में अधिक जानकारी के लिए, Cato Networks GraphQL API संदर्भ देखें।

कंटेनरों के विभिन्न प्रकार होते हैं, और प्रत्येक प्रकार केवल एक ही प्रकार का डेटा शामिल कर सकता है। ये कंटेनर के प्रकार हैं:

  • आईपी - एकल आईपी पते, सबनेट मास्क (डॉट-दशमलव या CIDR रूप में), और आईपी रेंज को शामिल कर सकते हैं।
  • FQDN - पूर्ण रूप से योग्य डोमेन नाम, उदाहरण के लिए: www.shop.example.com

यह कस्टम IoCs का एकीकरण करने के लिए कंटेनर का उपयोग करने की एक उदाहरण वर्कफ़्लो है:

  1. आईओसी के रूप में पहचाने गए आईपी को शामिल करते हुए एक कंटेनर विन्यस्त करें।
  2. इंटरनेट फ़ायरवॉल नियम बनाएँ जिसमें ऐप/श्रेणी फ़ील्ड में विन्यस्त कंटेनर हो, और नियम को अवरुद्ध कार्रवाई से सेट करें।
  3. कंटेनर को अद्यतित रखें by अपलोडिंग a नई सूची of IoCs to the कंटेनर. जब आप कंटेनर को अपडेट करें, फायरवॉल नियम स्वचालित रूप से नई IoCs लागू करें।

कंटेनर के साथ कार्य करना

श्रेणियां पृष्ठ पर कंटेनर बनाएं:

  • एक URL से फाइल सिंक करना
  • कंटेनर के लिए डेटा के साथ स्रोत फ़ाइल अपलोड करना
  • मैन्युअल रूप से आइटम जोड़ना

कंटेनर बनाने के बाद, यह कंटेनर टैब की तालिका में दिखाई देता है। आप कंटेनर को मैन्युअल रूप से संपादित कर सकते हैं या मूल्यों को अपडेट करने के लिए एक नई स्रोत फ़ाइल अपलोड कर सकते हैं।

एक URL से IoCs सिंक करना

Ioc.png

यूआरएल से IoCs को सीधे अपलोड किया जा सकता है, जो आपको बाहरी खतरे के फ़ीड या अक्सर अपडेट किए गए संकेतक सूचियों को स्वचालित रूप से निगलने की अनुमति देता है। इससे नियमित स्वचालित अपडेट के साथ तेजी से खतरे के प्रतिक्रिया समय सक्षम होता है और मानव त्रुटि कम होने से सटीकता सुनिश्चित होती है। आप प्रत्येक घंटे या प्रतिदिन के अंतराल का उपयोग करके कितनी बार ये IoCs सिंक होते हैं, यह कॉन्फिगर कर सकते हैं।

यदि सिंक विफल होता है, तो नोटिफिकेशन भेजने से पहले इसे 15 मिनट के भीतर तीन बार स्वचालित रूप से पुनः प्रयास किया जाता है। फिर यह अगले घंटे के दौरान सात अतिरिक्त बार सिंक करने का प्रयास करता रहता है। आप कंटेनर तालिका के सदस्य स्तंभ में दिखाए गए संकेतक का उपयोग करके वर्तमान सिंक स्थिति देख सकते हैं।

Sync_sucessful.png

आप यूआरएल से मैन्युअल रूप से कंटेनर तालिका में तीन बिंदुओं का चयन करके और अभी समन्वयित करें पर क्लिक करके सिंक को ट्रिगर कर सकते हैं।

फ़ाइल से IoCs अपलोड करना

नया कंटेनर

IoCs को फाइल से अपलोड किया जा सकता है जिससे आप IoCs का समूह में कंटेनर बना सकते हैं। कंटेनर पूर्ण डोमेन नाम (FQDN) या आईपी प्रकार का हो सकता है। आईपी कंटेनर में एकल आईपी पते, सबनेट मास्क (डॉट-दशमलव या CIDR अंकन में), या आईपी रेंज की सूची शामिल हो सकती है।

कंटेनर स्रोत फ़ाइलों के लिए आवश्यकताएं

  • कंटेनरों के लिए स्रोत फ़ाइलें निम्नलिखित में से किसी एक प्रारूप में होनी चाहिए:

    • नीचे दिए गए किसी एक डिलिमिटर द्वारा विभाजित मानों के साथ TXT फ़ाइलें:

      • कोमा
      • स्पेस
      • लाइन ब्रेक
    • कॉलम A में कोई हेडर के बिना सीएसवी फाइलें
    • STIX फॉर्मेट JSON फाइलें
  • स्रोत फ़ाइलें कम से कम 1 मान और अधिकतम 1 मिलियन मान होना चाहिए
  • FQDN कंटेनरों के लिए, केवल अल्फाबेटिक या न्यूमेरिक वर्ण समर्थित हैं, विशेष वर्ण समर्थित नहीं हैं

एक कन्टेनर बनाना

एक कंटेनर बनाएं जिसमें फाइल, यूआरएल या मैन्युअल रूप से IoC शामिल हैं।

कंटेनर बनाने के लिए:

  1. नेविगेशन पैनल से, संसाधन > श्रेणियां चुनें और कंटेनर टैब का विस्तार करें।
  2. नया पर क्लिक करें। नई कंटेनर पैनल खुलता है।
  3. कंटेनर के लिए प्रदर्शन नाम दर्ज करें।
  4. कंटेनर प्रकार चुनें। संभावित मान: FQDN, IP
  5. कंटेनर के लिए विवरण दर्ज करें।
  6. कंटेनर के लिए स्रोत चुनें:

    • फाइल अपलोड करना

      • फाइल प्रकार (CSV या STIX) चुनें और फाइल को फ़ाइल अपलोडर में ड्रैग और ड्रॉप करके या ब्राउज़ करें पर क्लिक करके जोड़ें।
        नोट: TXT फाइल अपलोड करने के लिए, CSV विकल्प चुनें। 
    • यूआरएल से फाइल को सिंक करना

      • फाइल प्रकार (CSV या STIX) चुनें, यूआरएल जोड़ें, और फाइल को सिंक करने के अंतराल चुनें।

        नोट: कंटेनर को सहेजने से पहले टेस्ट कंटेनर पर क्लिक करें

    • मैन्युअल रूप से वस्तुएं जोड़ना
  7. ट्रैकिंग विकल्प चुनें। अधिक जानकारी के लिए, देखें अलर्ट्स
  8. सहेजें पर क्लिक करें। कंटेनर बनाया गया है और कंटेनरों की तालिका में दिखाई देता है।

कंटेनरों को अपडेट करना

एक नई स्रोत फ़ाइल अपलोड करके या मैन्युअल अपडेट करके कंटेनर में मूल्यों को अपडेट करें। जब आप एक नया स्रोत फ़ाइल अपलोड करते हैं, तो यह मौजूदा फ़ाइल को बदल देती है और केवल नए स्रोत फ़ाइल के मान कंटेनर में शामिल होते हैं।

कंटेनर को अपडेट करने के लिए:

  1. नेविगेशन पैनल से, संसाधन > श्रेणियां चुनें और कंटेनर टैब का विस्तार करें।
  2. कंटेनर की पंक्ति में edit_rule.png पर क्लिक करें। संपादन कंटेनर पैनल खुलता है।
  3. स्रोत के तहत, फाइल को खींचें और छोड़ें या ब्राउज़ करें पर क्लिक कर के फाइल अपलोड करें जिसमें कंटेनर में शामिल करने के लिए मान हों या मैन्युअल परिवर्तन करें।
  4. सहेजें पर क्लिक करें। कंटेनर अपडेट किया गया है और नई स्रोत फ़ाइल में मान शामिल है।

इंटरनेट फ़ायरवॉल नियमों में कंटेनरों का उपयोग

एक इंटरनेट फ़ायरवॉल नियम में ऐप/श्रेणी क्षेत्र में कंटेनर कॉन्फ़िगर करें। कंटेनर प्रकार का चयन करें और फिर नियम में शामिल करने के लिए विशिष्ट कंटेनरों का चयन करें। आप एक नियम में एक ही प्रकार के कई कंटेनर कॉन्फ़िगर कर सकते हैं।

Container_-_FW_Rule.png

इंटरनेट फ़ायरवॉल नियम में एक कंटेनर को कॉन्फ़िगर करने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > इंटरनेट फ़ायरवॉल चुनें।

    इंटरनेट फ़ायरवॉल पृष्ठ आपके मौजूदा अप्रकाशित संशोधन पर, या नवीनतम प्रकाशित संशोधन पर खुलता है।

  2. नया पर क्लिक करें।
  3. एप/श्रेणी के अंतर्गत FQDN कंटेनर या IP कंटेनर चुनें।
  4. ड्रॉप-डाउन मेनू से एक या अधिक कंटेनर चुनें।
  5. नियम के अन्य फ़ील्ड्स को कॉन्फ़िगर करें और नियम को सहेजें। इंटरनेट फ़ायरवॉल नियमों को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए देखें इंटरनेट फ़ायरवॉल नीति प्रबंधन

क्या यह लेख उपयोगी था?

1 में से 1 के लिए उपयोगी रहा

0 टिप्पणियां