यह लेख बताता है कि कैसे कंटेनर ऑब्जेक्ट्स का उपयोग करके कस्टम IoC सूचियों का एकीकरण Cato सुरक्षा सेवाओं के साथ किया जाए।
आप अपने संगठन के उद्योग या स्थान के लिए विशेष आवश्यकताओं को पूरा करने के लिए कस्टम IoC सूचियों को अपने Cato खाते की खतरे की खुफिया में जोड़ सकते हैं। IoC सूची कंटेनरों का उपयोग करके कॉन्फ़िगर की जाती हैं, जो कि उपयोगकर्ता द्वारा परिभाषित श्रेणियां हैं जो आपको IP पते या FQDNs जैसी वस्तुओं के समूहों को प्रबंधित करने में मदद करती हैं। उदाहरण के लिए, एक कंटेनर बनाएं जिसमें आपके संगठन के SOC द्वारा पहचाने गए या किसी तीसरे पक्ष के खतरे की खुफिया सेवा द्वारा प्रदान की गई दुर्भावनापूर्ण IP पतों की सूची शामिल हो।
आप सीधे Cato प्रबंधन एप्लिकेशन में या स्वचालित API प्रक्रियाओं के माध्यम से IoC सूचियों के साथ कंटेनरों को कॉन्फ़िगर कर सकते हैं, और फिर कंटेनरों को इंटरनेट फ़ायरवॉल नियमों में शामिल कर सकते हैं। कंटेनर्स के लिए API के बारे में अधिक जानकारी के लिए, Cato Networks GraphQL API संदर्भ देखें।
कंटेनरों के विभिन्न प्रकार होते हैं, और प्रत्येक प्रकार केवल एक ही प्रकार का डेटा शामिल कर सकता है। ये कंटेनर के प्रकार हैं:
- आईपी - एकल आईपी पते, सबनेट मास्क (डॉट-दशमलव या CIDR रूप में), और आईपी रेंज को शामिल कर सकते हैं।
- FQDN - पूर्ण रूप से योग्य डोमेन नाम, उदाहरण के लिए: www.shop.example.com
यह कस्टम IoCs का एकीकरण करने के लिए कंटेनर का उपयोग करने की एक उदाहरण वर्कफ़्लो है:
- आईओसी के रूप में पहचाने गए आईपी को शामिल करते हुए एक कंटेनर विन्यस्त करें।
- इंटरनेट फ़ायरवॉल नियम बनाएँ जिसमें ऐप/श्रेणी फ़ील्ड में विन्यस्त कंटेनर हो, और नियम को अवरुद्ध कार्रवाई से सेट करें।
- कंटेनर को अद्यतित रखें by अपलोडिंग a नई सूची of IoCs to the कंटेनर. जब आप कंटेनर को अपडेट करें, फायरवॉल नियम स्वचालित रूप से नई IoCs लागू करें।
श्रेणियां पृष्ठ पर कंटेनर बनाएं:
- एक URL से फाइल सिंक करना
- कंटेनर के लिए डेटा के साथ स्रोत फ़ाइल अपलोड करना
- मैन्युअल रूप से आइटम जोड़ना
कंटेनर बनाने के बाद, यह कंटेनर टैब की तालिका में दिखाई देता है। आप कंटेनर को मैन्युअल रूप से संपादित कर सकते हैं या मूल्यों को अपडेट करने के लिए एक नई स्रोत फ़ाइल अपलोड कर सकते हैं।
यूआरएल से IoCs को सीधे अपलोड किया जा सकता है, जो आपको बाहरी खतरे के फ़ीड या अक्सर अपडेट किए गए संकेतक सूचियों को स्वचालित रूप से निगलने की अनुमति देता है। इससे नियमित स्वचालित अपडेट के साथ तेजी से खतरे के प्रतिक्रिया समय सक्षम होता है और मानव त्रुटि कम होने से सटीकता सुनिश्चित होती है। आप प्रत्येक घंटे या प्रतिदिन के अंतराल का उपयोग करके कितनी बार ये IoCs सिंक होते हैं, यह कॉन्फिगर कर सकते हैं।
यदि सिंक विफल होता है, तो नोटिफिकेशन भेजने से पहले इसे 15 मिनट के भीतर तीन बार स्वचालित रूप से पुनः प्रयास किया जाता है। फिर यह अगले घंटे के दौरान सात अतिरिक्त बार सिंक करने का प्रयास करता रहता है। आप कंटेनर तालिका के सदस्य स्तंभ में दिखाए गए संकेतक का उपयोग करके वर्तमान सिंक स्थिति देख सकते हैं।
आप यूआरएल से मैन्युअल रूप से कंटेनर तालिका में तीन बिंदुओं का चयन करके और अभी समन्वयित करें पर क्लिक करके सिंक को ट्रिगर कर सकते हैं।
IoCs को फाइल से अपलोड किया जा सकता है जिससे आप IoCs का समूह में कंटेनर बना सकते हैं। कंटेनर पूर्ण डोमेन नाम (FQDN) या आईपी प्रकार का हो सकता है। आईपी कंटेनर में एकल आईपी पते, सबनेट मास्क (डॉट-दशमलव या CIDR अंकन में), या आईपी रेंज की सूची शामिल हो सकती है।
कंटेनर स्रोत फ़ाइलों के लिए आवश्यकताएं
-
कंटेनरों के लिए स्रोत फ़ाइलें निम्नलिखित में से किसी एक प्रारूप में होनी चाहिए:
-
नीचे दिए गए किसी एक डिलिमिटर द्वारा विभाजित मानों के साथ TXT फ़ाइलें:
- कोमा
- स्पेस
- लाइन ब्रेक
- कॉलम A में कोई हेडर के बिना सीएसवी फाइलें
- STIX फॉर्मेट JSON फाइलें
-
- स्रोत फ़ाइलें कम से कम 1 मान और अधिकतम 1 मिलियन मान होना चाहिए
- FQDN कंटेनरों के लिए, केवल अल्फाबेटिक या न्यूमेरिक वर्ण समर्थित हैं, विशेष वर्ण समर्थित नहीं हैं
एक कंटेनर बनाएं जिसमें फाइल, यूआरएल या मैन्युअल रूप से IoC शामिल हैं।
कंटेनर बनाने के लिए:
- नेविगेशन पैनल से, संसाधन > श्रेणियां चुनें और कंटेनर टैब का विस्तार करें।
- नया पर क्लिक करें। नई कंटेनर पैनल खुलता है।
- कंटेनर के लिए प्रदर्शन नाम दर्ज करें।
- कंटेनर प्रकार चुनें। संभावित मान: FQDN, IP।
- कंटेनर के लिए विवरण दर्ज करें।
-
कंटेनर के लिए स्रोत चुनें:
-
फाइल अपलोड करना
- फाइल प्रकार (CSV या STIX) चुनें और फाइल को फ़ाइल अपलोडर में ड्रैग और ड्रॉप करके या ब्राउज़ करें पर क्लिक करके जोड़ें।
नोट: TXT फाइल अपलोड करने के लिए, CSV विकल्प चुनें।
- फाइल प्रकार (CSV या STIX) चुनें और फाइल को फ़ाइल अपलोडर में ड्रैग और ड्रॉप करके या ब्राउज़ करें पर क्लिक करके जोड़ें।
-
यूआरएल से फाइल को सिंक करना
-
फाइल प्रकार (CSV या STIX) चुनें, यूआरएल जोड़ें, और फाइल को सिंक करने के अंतराल चुनें।
नोट: कंटेनर को सहेजने से पहले टेस्ट कंटेनर पर क्लिक करें
-
- मैन्युअल रूप से वस्तुएं जोड़ना
-
- ट्रैकिंग विकल्प चुनें। अधिक जानकारी के लिए, देखें अलर्ट्स।
- सहेजें पर क्लिक करें। कंटेनर बनाया गया है और कंटेनरों की तालिका में दिखाई देता है।
एक नई स्रोत फ़ाइल अपलोड करके या मैन्युअल अपडेट करके कंटेनर में मूल्यों को अपडेट करें। जब आप एक नया स्रोत फ़ाइल अपलोड करते हैं, तो यह मौजूदा फ़ाइल को बदल देती है और केवल नए स्रोत फ़ाइल के मान कंटेनर में शामिल होते हैं।
कंटेनर को अपडेट करने के लिए:
- नेविगेशन पैनल से, संसाधन > श्रेणियां चुनें और कंटेनर टैब का विस्तार करें।
- कंटेनर की पंक्ति में
पर क्लिक करें। संपादन कंटेनर पैनल खुलता है।
- स्रोत के तहत, फाइल को खींचें और छोड़ें या ब्राउज़ करें पर क्लिक कर के फाइल अपलोड करें जिसमें कंटेनर में शामिल करने के लिए मान हों या मैन्युअल परिवर्तन करें।
- सहेजें पर क्लिक करें। कंटेनर अपडेट किया गया है और नई स्रोत फ़ाइल में मान शामिल है।
एक इंटरनेट फ़ायरवॉल नियम में ऐप/श्रेणी क्षेत्र में कंटेनर कॉन्फ़िगर करें। कंटेनर प्रकार का चयन करें और फिर नियम में शामिल करने के लिए विशिष्ट कंटेनरों का चयन करें। आप एक नियम में एक ही प्रकार के कई कंटेनर कॉन्फ़िगर कर सकते हैं।
इंटरनेट फ़ायरवॉल नियम में एक कंटेनर को कॉन्फ़िगर करने के लिए:
-
नेविगेशन मेनू से, सुरक्षा > इंटरनेट फ़ायरवॉल चुनें।
इंटरनेट फ़ायरवॉल पृष्ठ आपके मौजूदा अप्रकाशित संशोधन पर, या नवीनतम प्रकाशित संशोधन पर खुलता है।
- नया पर क्लिक करें।
- एप/श्रेणी के अंतर्गत FQDN कंटेनर या IP कंटेनर चुनें।
- ड्रॉप-डाउन मेनू से एक या अधिक कंटेनर चुनें।
- नियम के अन्य फ़ील्ड्स को कॉन्फ़िगर करें और नियम को सहेजें। इंटरनेट फ़ायरवॉल नियमों को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए देखें इंटरनेट फ़ायरवॉल नीति प्रबंधन।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.