本文讨论了如何使用容器对象将自定义 IoC 列表集成到 Cato 安全性服务中。
您可以将自定义 IoC 列表添加到您 Cato 账户的威胁情报中,以满足您组织的行业或地点的特定要求。 IoC 列表是使用容器配置的,容器是用户定义的类别,帮助您管理项目组,如 IP 地址或完全限定域名。 例如,创建一个包含您组织的安全运营中心识别或由第三方威胁情报服务提供的恶意 IP 地址列表的容器。
您可以在 Cato 管理应用程序中直接配置包含 IoC 列表的容器,或通过自动化 API 进程,然后将容器包括在互联网防火墙规则中。 有关容器 API 的更多信息,请参阅Cato Networks GraphQL API 参考。
有不同类型的容器,每个类型只能包括一种数据类型。 这些是容器类型:
-
IP - 可以包括单个 IP 地址、子网掩码(点分十进制或 CIDR 表示法)和 IP 范围
-
完全限定域名 (FQDN) - 例如:www.shop.example.com
这是一个使用容器集成自定义 IoC 的工作流程示例:
-
配置一个包含标识为 IoC 的 IP 地址的容器。
-
在应用/类别字段中使用配置的容器创建互联网防火墙规则,并设置带有阻止操作的规则。
-
通过上传新的 IoC 列表保持容器更新。 当您更新容器时,防火墙规则会自动执行新的 IoC。
您可以通过在类别页面上上传一个包含容器数据的源文件来创建一个容器。 创建容器后,它会出现在容器选项卡的表格中。 您可以在表格中编辑一个容器,并上传一个新的源文件以更新容器中的值。
通过定义容器类型并上传包含相关值的源文件来创建一个新容器。 容器可以是完全限定域名 (FQDN) 类型或 IP 类型。 IP 地址容器可以包括单个 IP 地址、子网掩码(点分十进制或 CIDR 表示法)或 IP 范围列表。
容器源文件的要求
-
容器的源文件必须为以下格式之一:
-
带有下列之一分隔符的 TXT 文件:
-
逗号
-
空格
-
换行符
-
-
STIX 格式的 JSON 文件
注意: Cato 正在分阶段在账户上逐步启用 STIX 格式支持,周期为数周。 这可能并不适合您的账户。
-
-
源文件必须包含最少 1 个值,最多 100 万个值
-
对于完全限定域名 (FQDN) 容器,仅支持字母数字字符,不支持特殊字符
在互联网防火墙规则的应用/类别字段中配置容器。 选择容器类型,然后选择要包括在规则中的特定容器。 您可以在一个规则中配置多个同类型的容器,但不能在一个规则中配置多于一种容器类型。
在互联网防火墙规则中配置容器:
-
从导航菜单中选择安全 > 互联网防火墙。
互联网防火墙页面打开到您现有的未发布修订版,或最新的已发布修订版。
-
单击新建。
-
在应用/类别下,选择FQDN 容器或IP 地址容器。
-
从下拉菜单中选择一个或多个容器。
-
配置规则的其他字段并保存规则。 有关配置互联网防火墙规则的更多信息,请参见互联网防火墙策略的管理。
0 条评论
请登录写评论。