Интеграция пользовательских списков IoC с контейнерами

Эта статья обсуждает, как использовать объекты Контейнеров для интеграции пользовательских списков IoC с услугами безопасности Cato.

Обзор

Вы можете добавить пользовательские списки IoC в разведку угроз для вашего аккаунта Cato, чтобы удовлетворить специфические требования вашей организации по отрасли или местоположению. Списки IoC настраиваются с использованием Контейнеров, которые представляют собой категории, определяемые пользователем, и помогают управлять группами объектов, такими как IP-адреса или FQDN. Например, создайте Контейнер, включающий список вредоносных IP-адресов, идентифицированных Центром операционного управления вашей организации или предоставленных сторонней службой разведки угроз.

Вы можете настроить Контейнеры со списками IoC напрямую в Приложении управления Cato или через автоматизированные API процессы, а затем включить Контейнеры в правила Межсетевого экрана для Интернета. Для получения дополнительной информации об API для Контейнеров см. Cato Networks Справочник по API GraphQL.

Существуют различные типы Контейнеров, и каждый тип может включать только один тип данных. Эти типы Контейнеров:

  • IP - может включать отдельные IP-адреса, маски подсетей (в точечно-десятичной или CIDR нотации) и диапазоны IP

  • Полное доменное имя (FQDN) - например: www.shop.example.com

Это пример рабочего процесса для интеграции пользовательских IoC с использованием Контейнера:

  1. Настройте Контейнер, включающий IP-адреса, идентифицированные как IoC.

  2. Создайте правила Межсетевого экрана для Интернета с Контейнером, настроенным в поле Приложение/Категория, и установите правило с действием Блокировать.

  3. Обновляйте Контейнер, загружая новый список IoC в Контейнер. Когда вы обновляете контейнер, правило межсетевого экрана автоматически применяет новые IoC.

Работа с Контейнерами

Вы можете создать Контейнер на странице Категории:

  • Синхронизация файла из URL

  • Загрузка исходного файла с данными для Контейнера

  • Добавление элемента вручную

После создания Контейнер появляется в таблице на вкладке Контейнеры. Вы можете редактировать контейнер в таблице вручную или загрузить новый исходный файл для обновления значений в контейнере.

Синхронизация IoCs из URL

Ioc.png

IoCs могут быть загружены напрямую из URL, что позволяет автоматически принимать внешние источники угроз или часто обновляемые списки индикаторов. Это обеспечивает более быстрое время реакции на угрозы с регулярными автоматическими обновлениями и гарантирует точность за счет снижения человеческой ошибки. Вы можете настроить, как часто эти IoCs синхронизируются, используя интервалы на час или день.

Если синхронизация не удалась, она автоматически повторяется три раза в течение 15 минут перед отправкой уведомления. Затем продолжаются попытки синхронизации до семи дополнительных раз в течение следующего часа. Вы можете посмотреть текущий статус синхронизации, используя индикатор, отображаемый в таблице Контейнеры в колонке Участники.

Sync_sucessful.png

Вы также можете вручную инициировать синхронизацию из URL на таблице Контейнер, выбрав три точки рядом с соответствующим Контейнером и щелкнув Синхронизировать сейчас.

Загрузка IoCs из файла

Container_-_Новый.png

IoCs могут быть загружены из файла, позволяя создать Контейнер IoCs массово. Контейнер может быть типа Полное доменное имя (FQDN) или IP. IP-контейнер может включать список отдельных IP-адресов, масок подсетей (в точечно-десятичной или CIDR нотации) или диапазонов IP.

Требования к исходным файлам контейнеров

  • Исходные файлы для контейнеров должны быть в одном из следующих форматов:

    • TXT файлы с значениями, разделенными одним из следующих разделителей:

      • Запятая

      • Пробел

      • Перенос строки

    • CSV-файлы со значениями, указанными в столбце A без заголовка

    • Файлы в формате JSON STIX

  • Исходные файлы должны содержать минимум 1 значение и максимум 1 миллион значений

  • Для Контейнеров FQDN поддерживаются только буквенные или числовые символы, специальные символы не поддерживаются

Создание Контейнера

Создать контейнер, содержащий IoC из файла, URL или вручную.

Чтобы создать контенейр:

  1. На панели навигации выберите Ресурсы > Категории и разверните вкладку Контейнеры.

  2. Нажмите Новый. Откроется панель Новый контейнер.

  3. Введите Отображаемое имя для Контейнера.

  4. Выберите Тип контейнера. Возможные значения: FQDN, IP.

  5. Введите Описание для Контейнера.

  6. Выберите Источник для Контейнера одним из следующих способов:

    • Загрузка файла

      • Выберите тип файла (CSV или STIX) и добавьте файл, либо перетащив и сбросив его в загрузчик файлов, либо нажав Обзор

    • Синхронизация файла из URL

      • Выберите тип файла (CSV или STIX), добавьте URL и выберите интервалы для синхронизации файла.

        Примечание: нажмите Тест Контейнера перед сохранением Контейнера

    • Добавление элементов вручную

  7. Выберите варианты отслеживания. Для получения дополнительной информации, см. Оповещения.

  8. Нажмите Сохранить. Контейнер создан и виден в Таблица контейнеров.

Обновление контейнеров

Обновите значения в контейнере, загрузив новый исходный файл или внеся изменения вручную. Когда вы загружаете новый исходный файл, он заменяет существующий файл, и в Контейнер включаются только значения из нового исходного файла.

Чтобы обновить Контейнер:

  1. В панели навигации выберите Ресурсы > Категории и разверните вкладку Контейнеры.

  2. Щелкните edit_rule.png в строке контейнера. Откроется панель Редактировать контейнер.

  3. В разделе Источник перетащите или найдите файл для загрузки с значениями для включения в контейнер или внесите изменения вручную.

  4. Нажмите Сохранить. Контейнер обновлен и содержит значения из нового исходного файла.

Использование контейнеров в правилах межсетевого экрана Интернета

Настройте Контейнеры в поле Приложение/Категория в правиле межсетевого экрана Интернета. Выберите тип Контейнера, а затем выберите конкретные Контейнеры для включения в правило. Вы можете настроить несколько контейнеров одного типа в правиле.

Container_-_Правило_Брандмауэра.png

Чтобы настроить Контейнер в правиле межсетевого экрана Интернета:

  1. В меню навигации выберите Безопасность > Межсетевой экран Интернета.

    Страница межсетевого экрана Интернета открывается на существующей неопубликованной ревизии или на последней опубликованной ревизии.

  2. Нажмите Новый.

  3. Под "Приложение/Категория" выберите либо Контейнер FQDN, либо IP-контейнер.

  4. Выберите один или несколько Контейнеров из выпадающего меню.

  5. Настройте другие поля правила и сохраните правило. Для получения дополнительной информации о настройке правил Межсетевой экрана Интернета, см. Управление Политикой межсетевого экрана Интернета.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев