本文讨论了如何使用容器对象将自定义 IoC 列表集成到 Cato 安全性服务中。
您可以将自定义 IoC 列表添加到您 Cato 账户的威胁情报中,以满足您组织的行业或地点的特定要求。 IoC 列表是使用容器配置的,容器是用户定义的类别,帮助您管理项目组,如 IP 地址或完全限定域名。 例如,创建一个包含您组织的安全运营中心识别或由第三方威胁情报服务提供的恶意 IP 地址列表的容器。
您可以在 Cato 管理应用程序中直接配置包含 IoC 列表的容器,或通过自动化 API 进程,然后将容器包括在互联网防火墙规则中。 有关容器 API 的更多信息,请参阅 Cato Networks GraphQL API 参考。
有不同类型的容器,每个类型只能包括一种数据类型。 这些是容器类型:
- IP - 可以包含单个 IP 地址、子网掩码(点十进制或 CIDR 表示),以及 IP 范围
- 完全限定域名 (FQDN),例如: www.shop.example.com
这是一个使用容器集成自定义 IoC 的工作流程示例:
- 配置一个容器,包括识别为 IoC 的 IPs。
- 创建互联网防火墙规则,将容器配置在应用/类别字段中,并将规则设置为阻止操作。
- 通过向容器上传新的 IoCs 列表来更新容器。 当您更新容器时,防火墙规则会自动实施新的 IoCs。
您可以通过以下方式在类别页面上创建一个容器:
- 从 URL 同步文件
- 上传带有容器数据的源文件
- 手动添加项目
创建容器后,它会出现在容器选项卡的表格中。 您可以手动编辑表格中的容器或上传新的源文件以更新容器中的值。
IoCs可以直接从网址上传,允许您自动导入外部威胁信息源或经常更新的指示器列表。 这可以通过定期自动更新加快威胁响应时间,并减少人为错误以确保准确性。 您可以配置这些IoCs的同步频率,使用每小时或每天间隔。
如果同步失败,将在15分钟内自动重试三次,然后发送通知。 然后在接下来的一个小时内继续尝试最多额外同步七次。 您可以使用在容器表格中成员列显示的指示器查看当前同步状态。
您也可以通过选择相关容器旁边的三个点并单击立即同步,从网址手动触发容器表中的同步。
IoCs可以从文件上传,允许您批量创建IoCs的容器。 容器可以是完全限定域名 (FQDN) 类型或 IP 类型。 IP 地址容器可以包括单个 IP 地址、子网掩码(点分十进制或 CIDR 表示法)或 IP 范围列表。
容器源文件的要求
-
容器的源文件必须为以下格式之一:
-
带有下列之一分隔符的 TXT 文件:
- 逗号
- 空格
- 换行
- CSV 文件没有标题列,文件值列列表在列A中
- STIX 格式的 JSON 文件
-
- 源文件必须包含至少1个值且最多包含1百万个值
- 对于FQDN容器,仅支持字母或数字字符,不支持特殊字符
创建一个从文件、网址或手动包含IoC的容器。
创建容器:
- 在导航面板中选择 资源 > 类别 并展开 容器 标签。
- 点击新建。 新容器 面板打开。
- 为容器输入显示名称。
- 选择容器的类型。 可能的值:FQDN,IP。
- 为容器输入 描述。
-
通过以下方式选择容器的来源:
-
上传文件
- 选择文件类型(CSV或STIX)并通过拖放或点击浏览来添加文件
注意:要上传TXT文件,请选择CSV选项。
- 选择文件类型(CSV或STIX)并通过拖放或点击浏览来添加文件
-
从网址同步文件
-
选择文件类型(CSV或STIX),添加网址,并选择文件同步的间隔。
注意:在保存容器之前点击测试容器
-
- 手动添加项目
-
- 选择跟踪选项。 有关更多信息,请参阅 警报。
- 点击保存。 容器已创建并在容器表格中可见。
在互联网防火墙规则的应用/类别字段中配置容器。 选择容器类型,然后选择要包括在规则中的特定容器。 您可以在规则中配置多个相同类型的容器。
要在互联网防火墙规则中配置容器:
-
从导航菜单中选择安全 > 互联网防火墙。
互联网防火墙页面打开到您现有的未发布修订版,或最新的已发布修订版。
- 点击新建。
- 在应用/类别下选择 FQDN 容器 或 IP 容器。
- 从下拉菜单中选择一个或多个容器。
- 配置规则的其他字段并保存规则。 有关配置互联网防火墙规则的更多信息,请参阅 管理互联网防火墙策略。
0 条评论
请登录写评论。