Эта статья обсуждает, как использовать объекты Контейнеров для интеграции пользовательских списков IoC с услугами безопасности Cato.
Вы можете добавить пользовательские списки IoC в разведку угроз для вашего аккаунта Cato, чтобы удовлетворить специфические требования вашей организации по отрасли или местоположению. Списки IoC настраиваются с использованием Контейнеров, которые представляют собой категории, определяемые пользователем, и помогают управлять группами объектов, такими как IP-адреса или FQDN. Например, создайте Контейнер, включающий список вредоносных IP-адресов, идентифицированных Центром операционного управления вашей организации или предоставленных сторонней службой разведки угроз.
Вы можете настроить Контейнеры со списками IoC напрямую в Приложении управления Cato или через автоматизированные API процессы, а затем включить Контейнеры в правила Межсетевого экрана для Интернета. Для получения дополнительной информации об API для Контейнеров, см. Cato Networks GraphQL API Reference.
Существуют различные типы Контейнеров, и каждый тип может включать только один тип данных. Эти типы Контейнеров:
- IP - может включать отдельные IP-адреса, маски подсети (в десятичной точке или в нотации CIDR) и диапазоны IP
- FQDN - Полные доменные имена, например: www.shop.example.com
Это пример рабочего процесса для интеграции пользовательских IoC с использованием Контейнера:
- Настройте Контейнер, включая IP, идентифицированные как IoCs.
- Создайте правила межсетевого экрана Интернета с настроенным Контейнером в поле Приложение/Категория, и установите правило с действием Блокировать.
- Держите контейнер обновленным, загружая новый список IoCs в контейнер. Когда вы обновляете контейнер, правило файервола автоматически применяет новые IoCs.
Вы можете создать Контейнер на странице Категории:
- Синхронизация файла из URL
- Загрузка исходного файла с данными для контейнера
- Добавление элемента вручную
После создания Контейнер появляется в таблице на вкладке Контейнеры. Вы можете редактировать контейнер в таблице вручную или загрузить новый исходный файл для обновления значений в контейнере.
IoCs могут быть загружены напрямую из URL, что позволяет автоматически принимать внешние источники угроз или часто обновляемые списки индикаторов. Это обеспечивает более быстрое время реакции на угрозы с регулярными автоматическими обновлениями и гарантирует точность за счет снижения человеческой ошибки. Вы можете настроить, как часто эти IoCs синхронизируются, используя интервалы на час или день.
Если синхронизация не удалась, она автоматически повторяется три раза в течение 15 минут перед отправкой уведомления. Затем продолжаются попытки синхронизации до семи дополнительных раз в течение следующего часа. Вы можете посмотреть текущий статус синхронизации, используя индикатор, отображаемый в таблице Контейнеры в колонке Участники.
Вы также можете вручную инициировать синхронизацию из URL на таблице Контейнер, выбрав три точки рядом с соответствующим Контейнером и щелкнув Синхронизировать сейчас.
IoCs могут быть загружены из файла, позволяя создать Контейнер IoCs массово. Контейнер может быть типа Полное доменное имя (FQDN) или IP. IP-контейнер может включать список отдельных IP-адресов, масок подсетей (в точечно-десятичной или CIDR нотации) или диапазонов IP.
Требования к исходным файлам контейнеров
-
Исходные файлы для контейнеров должны быть в одном из следующих форматов:
-
TXT файлы с значениями, разделенными одним из следующих разделителей:
- Запятая
- Пробел
- Перенос строки
- CSV файлы со значениями, перечисленными в столбце A без заголовка
- Файлы формата STIX JSON
-
- Исходные файлы должны содержать минимум 1 значение и максимум 1 миллион значений
- Для FQDN контейнеров поддерживаются только алфавитные или числовые символы, специальные символы не поддерживаются
Создать контейнер, содержащий IoC из файла, URL или вручную.
Чтобы создать контейнер:
- На панели навигации выберите Ресурсы > Категории и разверните вкладку Контейнеры.
- Нажмите Новый. Панель Новый контейнер открывается.
- Введите Отображаемое имя для контейнера.
- Выберите Тип контейнера. Возможные значения: FQDN, IP.
- Введите Описание контейнера.
-
Выберите Источник для Контейнера одним из следующих способов:
-
Загрузка файла
- Выберите тип файла (CSV или STIX) и добавьте файл, перетащив и отпустив его в загрузчик файлов или нажав Обзор
Примечание: Чтобы загрузить файл TXT, выберите опцию CSV.
- Выберите тип файла (CSV или STIX) и добавьте файл, перетащив и отпустив его в загрузчик файлов или нажав Обзор
-
Синхронизация файла из URL
-
Выберите тип файла (CSV или STIX), добавьте URL и выберите интервалы для синхронизации файла.
Примечание: нажмите Тест Контейнера перед сохранением Контейнера
-
- Добавление объектов вручную
-
- Выберите параметры отслеживания. Для дополнительной информации смотрите Оповещения.
- Нажмите Сохранить. Контейнер создан и виден в таблице контейнеров.
Обновите значения в контейнере, загрузив новый исходный файл или внеся изменения вручную. Когда вы загружаете новый исходный файл, он заменяет существующий файл, и в Контейнер включаются только значения из нового исходного файла.
Чтобы обновить контейнер:
- На панели навигации выберите Ресурсы > Категории и разверните вкладку Контейнеры.
- Нажмите
в строке контейнера. Панель Редактировать контейнер открывается.
- Под Источник, перетащите и отпустите или просмотрите для загрузки файла со значениями для включения в контейнер или внесите ручные изменения.
- Нажмите Сохранить. Контейнер обновлен и содержит значения в новом исходном файле.
Настройте Контейнеры в поле Приложение/Категория в правиле межсетевого экрана Интернета. Выберите тип Контейнера, а затем выберите конкретные Контейнеры для включения в правило. Вы можете настроить несколько контейнеров одного типа в правиле.
Чтобы настроить контейнер в правиле файервола Интернета:
-
В меню навигации выберите Безопасность > Межсетевой экран Интернета.
Страница межсетевого экрана Интернета открывается на существующей неопубликованной ревизии или на последней опубликованной ревизии.
- Нажмите Новый.
- Под Приложение/Категория выберите либо Контейнер FQDN либо Контейнер IP.
- Выберите один или несколько контейнеров из выпадающего меню.
- Настройте другие поля правила и сохраните правило. Для получения дополнительной информации о настройке правил файервола Интернета см. Управление Политикой файервола Интернета.
0 комментариев
Войдите в службу, чтобы оставить комментарий.