Интеграция пользовательских списков IoC с контейнерами

Эта статья обсуждает, как использовать объекты Контейнеров для интеграции пользовательских списков IoC с услугами безопасности Cato.

Обзор

Вы можете добавить пользовательские списки IoC в разведку угроз для вашего аккаунта Cato, чтобы удовлетворить специфические требования вашей организации по отрасли или местоположению. Списки IoC настраиваются с использованием Контейнеров, которые представляют собой категории, определяемые пользователем, и помогают управлять группами объектов, такими как IP-адреса или FQDN. Например, создайте Контейнер, включающий список вредоносных IP-адресов, идентифицированных Центром операционного управления вашей организации или предоставленных сторонней службой разведки угроз.

Вы можете настроить Контейнеры со списками IoC напрямую в Приложении управления Cato или через автоматизированные API процессы, а затем включить Контейнеры в правила Межсетевого экрана для Интернета. Для получения дополнительной информации об API для Контейнеров см. Cato Networks Справочник по API GraphQL.

Существуют различные типы Контейнеров, и каждый тип может включать только один тип данных. Эти типы Контейнеров:

  • IP - может включать отдельные IP-адреса, маски подсетей (в точечно-десятичной или CIDR нотации) и диапазоны IP

  • Полное доменное имя (FQDN) - например: www.shop.example.com

Это пример рабочего процесса для интеграции пользовательских IoC с использованием Контейнера:

  1. Настройте Контейнер, включающий IP-адреса, идентифицированные как IoC.

  2. Создайте правила Межсетевого экрана для Интернета с Контейнером, настроенным в поле Приложение/Категория, и установите правило с действием Блокировать.

  3. Обновляйте Контейнер, загружая новый список IoC в Контейнер. Когда вы обновляете контейнер, правило межсетевого экрана автоматически применяет новые IoC.

Работа с контейнерами

Вы можете создать Контейнер на странице Категории, загрузив файл-источник с данными для Контейнера. После создания Контейнер появляется в таблице на вкладке Контейнеры. Вы можете редактировать Контейнер в таблице и загружать новый файл-источник, чтобы обновить значения в Контейнере.

Создание контейнеров

Создайте новый Контейнер, определив Тип контейнера и загрузив файл-источник, содержащий соответствующие значения. Контейнер может быть типа Полное доменное имя (FQDN) или IP. IP-контейнер может включать список отдельных IP-адресов, масок подсетей (в точечно-десятичной или CIDR нотации) или диапазонов IP.

Требования к исходным файлам контейнеров

  • Исходные файлы для контейнеров должны быть в одном из следующих форматов:

    • TXT файлы с значениями, разделенными одним из следующих разделителей:

      • Запятая

      • Пробел

      • Перенос строки

    • JSON файлы в формате STIX

      Примечание: Cato постепенно включает поддержку формата STIX на аккаунтах в течение нескольких недель. Возможно, это может быть недоступно для вашего аккаунта.

  • Исходные файлы должны содержать минимум 1 значение и максимум 1 миллион значений

  • Для Контейнеров FQDN поддерживаются только буквенные или числовые символы, специальные символы не поддерживаются

Container_-_Новый.png

Чтобы создать контенейр:

  1. На панели навигации выберите Ресурсы > Категории и разверните вкладку Контейнеры.

  2. Нажмите Новый. Откроется панель Новый контейнер.

  3. Введите Отображаемое имя для Контейнера.

  4. Выберите Тип контейнера. Возможные значения: FQDN, IP.

  5. Введите Описание для Контейнера.

  6. В разделе Источник перетащите или выделите файл с данными для включения в Контейнер.

  7. Нажмите Сохранить. Контейнер создан.

Обновление Контейнеров

Обновите значения в Контейнере, загрузив новый исходный файл. Когда вы загружаете новый исходный файл, он заменяет существующий файл, и в Контейнер включаются только значения из нового исходного файла.

Чтобы обновить Контейнер:

  1. В панели навигации выберите Ресурсы > Категории и разверните вкладку Контейнеры.

  2. Нажмите edit_rule.png в строке контейнера. Откроется панель Редактировать контейнер.

  3. Под Источник перетащите или выберите, чтобы загрузить файл со значениями для включения в Контейнер.

  4. Нажмите Сохранить. Контейнер обновлен и содержит значения из нового исходного файла.

Использование Контейнеров в Правилах Брандмауэра Интернета

Настройте Контейнеры в поле Приложение/Категория в правиле межсетевого экрана Интернета. Выберите тип Контейнера, а затем выберите конкретные Контейнеры для включения в правило. Вы можете настроить несколько Контейнеров одного типа в правиле, но не можете настроить более одного типа Контейнера в правиле.

Container_-_Правило_Брандмауэра.png

Чтобы настроить Контейнер в правиле межсетевого экрана Интернета:

  1. В меню навигации выберите Безопасность > Межсетевой экран Интернета.

    Страница межсетевого экрана Интернета открывается на существующей неопубликованной ревизии или на последней опубликованной ревизии.

  2. Нажмите Новый.

  3. Под "Приложение/Категория" выберите либо Контейнер FQDN, либо IP-контейнер.

  4. Выберите один или несколько Контейнеров из выпадающего меню.

  5. Настройте другие поля правила и сохраните правило. Для получения дополнительной информации о настройке правил межсетевого экрана Интернета смотрите Управление Политикой межсетевого экрана Интернета.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев