Интеграция пользовательских списков IoC с контейнерами

Эта статья обсуждает, как использовать объекты Контейнеров для интеграции пользовательских списков IoC с услугами безопасности Cato.

Обзор

Вы можете добавить пользовательские списки IoC в разведку угроз для вашего аккаунта Cato, чтобы удовлетворить специфические требования вашей организации по отрасли или местоположению. Списки IoC настраиваются с использованием Контейнеров, которые представляют собой категории, определяемые пользователем, и помогают управлять группами объектов, такими как IP-адреса или FQDN. Например, создайте Контейнер, включающий список вредоносных IP-адресов, идентифицированных Центром операционного управления вашей организации или предоставленных сторонней службой разведки угроз.

Вы можете настроить Контейнеры со списками IoC напрямую в Приложении управления Cato или через автоматизированные API процессы, а затем включить Контейнеры в правила Межсетевого экрана для Интернета. Для получения дополнительной информации об API для Контейнеров, см. Cato Networks GraphQL API Reference.

Существуют различные типы Контейнеров, и каждый тип может включать только один тип данных. Эти типы Контейнеров:

  • IP - может включать отдельные IP-адреса, маски подсети (в десятичной точке или в нотации CIDR) и диапазоны IP
  • FQDN - Полные доменные имена, например: www.shop.example.com

Это пример рабочего процесса для интеграции пользовательских IoC с использованием Контейнера:

  1. Настройте Контейнер, включая IP, идентифицированные как IoCs.
  2. Создайте правила межсетевого экрана Интернета с настроенным Контейнером в поле Приложение/Категория, и установите правило с действием Блокировать.
  3. Держите контейнер обновленным, загружая новый список IoCs в контейнер. Когда вы обновляете контейнер, правило файервола автоматически применяет новые IoCs.

Работа с контейнерами

Вы можете создать Контейнер на странице Категории:

  • Синхронизация файла из URL
  • Загрузка исходного файла с данными для контейнера
  • Добавление элемента вручную

После создания Контейнер появляется в таблице на вкладке Контейнеры. Вы можете редактировать контейнер в таблице вручную или загрузить новый исходный файл для обновления значений в контейнере.

Синхронизация IoCs из URL

Ioc.png

IoCs могут быть загружены напрямую из URL, что позволяет автоматически принимать внешние источники угроз или часто обновляемые списки индикаторов. Это обеспечивает более быстрое время реакции на угрозы с регулярными автоматическими обновлениями и гарантирует точность за счет снижения человеческой ошибки. Вы можете настроить, как часто эти IoCs синхронизируются, используя интервалы на час или день.

Если синхронизация не удалась, она автоматически повторяется три раза в течение 15 минут перед отправкой уведомления. Затем продолжаются попытки синхронизации до семи дополнительных раз в течение следующего часа. Вы можете посмотреть текущий статус синхронизации, используя индикатор, отображаемый в таблице Контейнеры в колонке Участники.

Sync_sucessful.png

Вы также можете вручную инициировать синхронизацию из URL на таблице Контейнер, выбрав три точки рядом с соответствующим Контейнером и щелкнув Синхронизировать сейчас.

Загрузка IoCs из файла

Container_-_Новый.png

IoCs могут быть загружены из файла, позволяя создать Контейнер IoCs массово. Контейнер может быть типа Полное доменное имя (FQDN) или IP. IP-контейнер может включать список отдельных IP-адресов, масок подсетей (в точечно-десятичной или CIDR нотации) или диапазонов IP.

Требования к исходным файлам контейнеров

  • Исходные файлы для контейнеров должны быть в одном из следующих форматов:

    • TXT файлы с значениями, разделенными одним из следующих разделителей:

      • Запятая
      • Пробел
      • Перенос строки
    • CSV файлы со значениями, перечисленными в столбце A без заголовка
    • Файлы формата STIX JSON
  • Исходные файлы должны содержать минимум 1 значение и максимум 1 миллион значений
  • Для FQDN контейнеров поддерживаются только алфавитные или числовые символы, специальные символы не поддерживаются

Создание контейнера

Создать контейнер, содержащий IoC из файла, URL или вручную.

Чтобы создать контейнер:

  1. На панели навигации выберите Ресурсы > Категории и разверните вкладку Контейнеры.
  2. Нажмите Новый. Панель Новый контейнер открывается.
  3. Введите Отображаемое имя для контейнера.
  4. Выберите Тип контейнера. Возможные значения: FQDN, IP.
  5. Введите Описание контейнера.
  6. Выберите Источник для Контейнера одним из следующих способов:

    • Загрузка файла

      • Выберите тип файла (CSV или STIX) и добавьте файл, перетащив и отпустив его в загрузчик файлов или нажав Обзор
        Примечание: Чтобы загрузить файл TXT, выберите опцию CSV. 
    • Синхронизация файла из URL

      • Выберите тип файла (CSV или STIX), добавьте URL и выберите интервалы для синхронизации файла.

        Примечание: нажмите Тест Контейнера перед сохранением Контейнера

    • Добавление объектов вручную
  7. Выберите параметры отслеживания. Для дополнительной информации смотрите Оповещения.
  8. Нажмите Сохранить. Контейнер создан и виден в таблице контейнеров.

Обновление контейнеров

Обновите значения в контейнере, загрузив новый исходный файл или внеся изменения вручную. Когда вы загружаете новый исходный файл, он заменяет существующий файл, и в Контейнер включаются только значения из нового исходного файла.

Чтобы обновить контейнер:

  1. На панели навигации выберите Ресурсы > Категории и разверните вкладку Контейнеры.
  2. Нажмите edit_rule.png в строке контейнера. Панель Редактировать контейнер открывается.
  3. Под Источник, перетащите и отпустите или просмотрите для загрузки файла со значениями для включения в контейнер или внесите ручные изменения.
  4. Нажмите Сохранить. Контейнер обновлен и содержит значения в новом исходном файле.

Использование контейнеров в правилах файервола Интернета

Настройте Контейнеры в поле Приложение/Категория в правиле межсетевого экрана Интернета. Выберите тип Контейнера, а затем выберите конкретные Контейнеры для включения в правило. Вы можете настроить несколько контейнеров одного типа в правиле.

Container_-_Правило_Брандмауэра.png

Чтобы настроить контейнер в правиле файервола Интернета:

  1. В меню навигации выберите Безопасность > Межсетевой экран Интернета.

    Страница межсетевого экрана Интернета открывается на существующей неопубликованной ревизии или на последней опубликованной ревизии.

  2. Нажмите Новый.
  3. Под Приложение/Категория выберите либо Контейнер FQDN либо Контейнер IP.
  4. Выберите один или несколько контейнеров из выпадающего меню.
  5. Настройте другие поля правила и сохраните правило. Для получения дополнительной информации о настройке правил файервола Интернета см. Управление Политикой файервола Интернета.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев