本文讨论了如何使用容器对象将自定义 IoC 列表集成到 Cato 安全性服务中。
您可以将自定义 IoC 列表添加到您 Cato 账户的威胁情报中,以满足您组织的行业或地点的特定要求。 IoC 列表是使用容器配置的,容器是用户定义的类别,帮助您管理项目组,如 IP 地址或完全限定域名。 例如,创建一个包含您组织的安全运营中心识别或由第三方威胁情报服务提供的恶意 IP 地址列表的容器。
您可以在 Cato 管理应用程序中直接配置包含 IoC 列表的容器,或通过自动化 API 进程,然后将容器包括在互联网防火墙规则中。 有关容器 API 的更多信息,请参阅Cato Networks GraphQL API 参考。
有不同类型的容器,每个类型只能包括一种数据类型。 这些是容器类型:
-
IP - 可以包括单个 IP 地址、子网掩码(点分十进制或 CIDR 表示法)和 IP 范围
-
完全限定域名 (FQDN) - 例如:www.shop.example.com
这是一个使用容器集成自定义 IoC 的工作流程示例:
-
配置一个包含标识为 IoC 的 IP 地址的容器。
-
在应用/类别字段中使用配置的容器创建互联网防火墙规则,并设置带有阻止操作的规则。
-
通过上传新的 IoC 列表保持容器更新。 当您更新容器时,防火墙规则会自动执行新的 IoC。
您可以通过以下方式在类别页面上创建一个容器:
-
从网址同步文件
-
上传来源文件以获取容器的数据
-
手动添加项目
创建容器后,它会出现在容器选项卡的表格中。 您可以手动编辑表格中的容器或上传新的源文件以更新容器中的值。
IoCs可以直接从网址上传,允许您自动导入外部威胁信息源或经常更新的指示器列表。 这可以通过定期自动更新加快威胁响应时间,并减少人为错误以确保准确性。 您可以配置这些IoCs的同步频率,使用每小时或每天间隔。
如果同步失败,将在15分钟内自动重试三次,然后发送通知。 然后在接下来的一个小时内继续尝试最多额外同步七次。 您可以使用在容器表格中成员列显示的指示器查看当前同步状态。
您也可以通过选择相关容器旁边的三个点并单击立即同步,从网址手动触发容器表中的同步。
IoCs可以从文件上传,允许您批量创建IoCs的容器。 容器可以是完全限定域名 (FQDN) 类型或 IP 类型。 IP 地址容器可以包括单个 IP 地址、子网掩码(点分十进制或 CIDR 表示法)或 IP 范围列表。
容器源文件的要求
-
容器的源文件必须为以下格式之一:
-
带有下列之一分隔符的 TXT 文件:
-
逗号
-
空格
-
换行符
-
-
CSV文件,值列于A列,无标题
-
STIX 格式的 JSON 文件
-
-
源文件必须包含最少 1 个值,最多 100 万个值
-
对于完全限定域名 (FQDN) 容器,仅支持字母数字字符,不支持特殊字符
创建一个从文件、网址或手动包含IoC的容器。
要创建一个容器:
-
从导航面板中选择资源 > 类别并展开容器标签。
-
单击新建。 新容器面板打开。
-
输入容器的显示名称。
-
选择容器类型。 可能的值:FQDN, IP。
-
为容器输入一个描述。
-
通过以下方式选择容器的来源:
-
上传文件
-
选择文件类型(CSV或STIX),并通过拖放到文件上传器或单击浏览来添加文件
-
-
从网址同步文件
-
选择文件类型(CSV或STIX),添加网址,并选择文件同步的间隔。
注意:在保存容器之前点击测试容器
-
-
手动添加项目
-
-
选择跟踪选项。 查看更多信息,请参阅 警报。
-
单击保存。 容器已创建并在容器表格中可见。
在互联网防火墙规则的应用/类别字段中配置容器。 选择容器类型,然后选择要包括在规则中的特定容器。 您可以在规则中配置多个相同类型的容器。
在互联网防火墙规则中配置容器:
-
从导航菜单中选择安全 > 互联网防火墙。
互联网防火墙页面打开到您现有的未发布修订版,或最新的已发布修订版。
-
单击新建。
-
在应用/类别下,选择FQDN 容器或IP 地址容器。
-
从下拉菜单中选择一个或多个容器。
-
配置规则的其他字段并保存规则。 有关配置互联网防火墙规则的更多信息,请参见访问权限策略的管理。
0 条评论
请登录写评论。