Integração de Listas IoC Personalizadas com Contêineres

Este artigo discute como usar objetos Contêiner para integrar listas personalizadas de IoCs com serviços de segurança Cato.

Visão geral

Você pode adicionar listas IoC personalizadas à inteligência de ameaças para sua Conta Cato para atender a requisitos específicos do setor ou localização da sua organização. As listas IoC são configuradas usando Contêineres, que são categorias definidas pelo usuário para ajudá-lo a gerenciar grupos de itens, como endereços IP ou FQDNs. Por exemplo, crie um Contêiner que inclua uma lista de endereços IP maliciosos identificados pelo SOC da sua organização ou fornecidos por um serviço de inteligência de ameaças de terceiros.

Você pode configurar Contêineres com listas IoC diretamente no Aplicativo de Gerenciamento Cato ou por meio de processos de API automatizados, e então incluir os Contêineres nas regras do Firewall de Internet. Para mais informações sobre a API para Contêineres, consulte a Referência de API GraphQL Cato Networks.

Existem diferentes tipos de Contêineres, e cada tipo pode incluir apenas um único tipo de dado. Estes são os tipos de Contêiner:

  • IP - Pode incluir endereços IP únicos, máscaras de sub-rede (em notação decimal ou CIDR) e faixas de IP

  • FQDN - Nomes de domínio totalmente qualificados, por exemplo: www.shop.example.com

Este é um exemplo de fluxo de trabalho para integrar IoCs personalizados usando um Contêiner:

  1. Configure um Contêiner incluindo os IPs identificados como IoCs.

  2. Crie regras de Firewall de Internet com o Contêiner configurado no campo App/Categoria e defina a regra com a ação Bloquear.

  3. Mantenha o Contêiner atualizado enviando uma nova lista de IoCs para o Contêiner. Quando você atualiza o contêiner, a regra de firewall aplica automaticamente os novos IoCs.

Trabalhando com Contêineres

Você pode criar um Contêiner na página Categorias por:

  • Sincronizando um arquivo de uma URL

  • Enviando um arquivo fonte com os dados para o Contêiner

  • Adicionando um item manualmente

Após criar um Contêiner, ele aparece na tabela na aba Contêineres. Você pode editar um Container na tabela manualmente ou carregar um novo arquivo fonte para atualizar os valores no Container.

Sincronizando IoCs de uma URL

Ioc.png

IoCs podem ser enviados diretamente de uma URL, permitindo que você ingira automaticamente fontes de inteligência de ameaças externas ou listas de indicadores frequentemente atualizadas. Isso permite tempos de resposta a ameaças mais rápidos com atualizações automáticas regulares e garante precisão com redução de erro humano. Você pode configurar a frequência com que esses IoCs sincronizam usando intervalos horários ou diários.

Se uma sincronização falhar, ela é automaticamente tentada novamente três vezes dentro de 15 minutos antes que uma notificação seja enviada. Em seguida, ela continua tentando sincronizar até sete vezes adicionais na próxima hora. Você pode visualizar o status atual da sincronização usando o indicador mostrado na tabela Contêineres na coluna Membros.

Sync_sucessful.png

Você também pode acionar manualmente uma sincronização da URL na tabela Contêiner selecionando os três pontos ao lado do Contêiner relevante e clicando em Sincronizar Agora.

Enviando IoCs de um Arquivo

Container_-_Novo.png

IoCs podem ser enviados de um arquivo permitindo que você crie um Contêiner de IoCs em massa. O Contêiner pode ser do tipo FQDN ou IP. Um Contêiner de IP pode incluir uma lista de endereços IP únicos, máscaras de sub-rede (em notação decimal ou CIDR) ou intervalos de IP.

Requisitos para Arquivos Fonte de Contêiner

  • Arquivos fonte para Contêineres devem estar em um dos seguintes formatos:

    • Arquivos TXT com valores separados por um dos seguintes delimitadores:

      • Vírgula

      • Espaço

      • Quebra de linha

    • Arquivos CSV com valores listados na coluna A sem cabeçalho

    • Arquivos JSON no formato STIX

  • Arquivos fonte devem conter no mínimo 1 valor e no máximo 1 milhão de valores

  • Para Contêineres de FQDN, apenas caracteres alfabéticos ou numéricos são suportados, caracteres especiais não são suportados

Criando um Contêiner

Crie um contêiner que contenha IoC de um arquivo, URL, ou manualmente.

Para criar um Contêiner:

  1. No painel de navegação, selecione Recursos > Categorias e expanda a aba Contêineres.

  2. Clique em Novo. O painel Novo Contêiner é aberto.

  3. Digite o Nome de exibição para o Contêiner.

  4. Selecione o Tipo do contêiner. Valores possíveis: FQDN, IP.

  5. Digite uma Descrição para o Contêiner.

  6. Escolha a Fonte para o Contêiner por:

    • Enviando um arquivo

      • Escolha o tipo de Arquivo (CSV ou STIX) e adicione o arquivo arrastando-o e soltando-o no Envio de Arquivo ou clicando em Procurar

    • Sincronizando um arquivo de uma URL

      • Escolha o tipo de Arquivo (CSV ou STIX), adicione a URL e escolha os intervalos para o arquivo sincronizar.

        Nota: Clique Testar Contêiner antes de salvar o Contêiner

    • Adicionando itens manualmente

  7. Escolha opções de rastreamento. Para mais informações, consulte Alertas.

  8. Clique em Salvar. O Contêiner é criado e visível na Tabela de Contêineres.

Atualizando Contêineres

Atualize os valores em um Container carregando um novo arquivo fonte ou fazendo atualizações manuais. Quando você envia um novo arquivo fonte, ele substitui o arquivo existente e apenas os valores do novo arquivo fonte são incluídos no Contêiner.

Para atualizar um Contêiner:

  1. No painel de navegação, selecione Recursos > Categorias e expanda a aba Contêineres.

  2. Clique edit_rule.png na linha de um contêiner. O painel Editar Contêiner é aberto.

  3. Em Fonte, arraste e solte ou procure para carregar um arquivo com os valores a serem incluídos no Container ou faça alterações manuais.

  4. Clique em Salvar. O Contêiner é atualizado e contém os valores no novo arquivo fonte.

Usando Contêineres em Regras de Firewall de Internet

Configurar Contêineres no campo App/Categoria em uma regra de Firewall de Internet. Selecione o Tipo de Contêiner e, em seguida, selecione os contêineres específicos para incluir na regra. Você pode configurar vários Contêineres do mesmo tipo em uma regra.

Container_-_Regra_FW.png

Para configurar um Contêiner em uma regra de Firewall de Internet:

  1. No menu de navegação, selecione Segurança > Firewall de Internet.

    A página do Firewall de Internet é aberta para sua revisão não publicada existente ou para a revisão publicada mais recente.

  2. Clique em Novo.

  3. Em App/Categoria, selecione Contêiner FQDN ou Contêiner de IP.

  4. Selecione um ou mais contêineres do menu suspenso.

  5. Configure os outros campos da regra e salve a regra. Para mais informações sobre a configuração das Regras de Firewall de Internet, consulte Gestão da Política do Firewall de Internet.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário