Threat Intelligence
Erfahren Sie, wie WAF über mehrere Quellen bekannter Bedrohungen für IP-Adressen verfügt, die täglich aktualisiert werden.
WAF verfügt über mehrere Quellen bekannter gefährlicher IP-Adressen, die täglich aktualisiert werden. Die gefährlichen IP-Adressen sind in der folgenden Tabelle enthalten:
| Quelle | Beschreibung |
|---|---|
| Webroot BotNets | Botnet C&C-Kanäle und infizierte Zombiemaschinen, die von Botmaster gesteuert werden. |
| Webroot Denial of Service | Beinhaltet DoS-, DDoS-, Anomalous-Syn-Flood- und Anomalous-Traffic-Erkennung. |
| Webroot Mobile Threats | IP-Adressen böswilliger und unerwünschter Apps. Diese Kategorie nutzt Daten des Webroot Mobile Threats-Forschungsteams. |
| Webroot Phishing | IP-Adressen, die Phishingsites und andere Arten illegaler Aktivitäten hosten, z.B. Betrug durch Anzeigeklicks oder Spiele. |
| Webroot Proxy | IP-Adressen, die Proxy- und Definitionsservices bereitstellen. |
| Webroot Reputation | IP-Adressen, von denen gegenwärtig bekannt ist, dass sie mit Malware infiziert sind. Diese Kategorie umfasst auch IP-Adressen mit einem durchschnittlichen niedrigen Webroot Reputation Index-Score. |
| Webroot Scanners | Umfasst sämtliche Reconnaissance, wie Probes, Hostscan-, Domainscan- und Kennwort-Brute-Force-Angriffe. |
| Webroot Spam Sources | Umfasst das Tunneling von Spamnachrichten über Proxys, anormale SMTP-Aktivitäten und Spamaktivitäten in Foren. |
| Webroot Tor Proxy | Umfasst IP-Adressen, die als Exitknoten für das Tor-Netzwerk fungieren. Exitknoten bilden das Ende der Proxykette und stellen eine direkte Verbindung zum gewünschten Ziel des Erstellers her. |
| Webroot Web Attacks | Umfasst bekannte IP-Adressen im Zusammenhang mit Cross-Site Scripting, iFrame-Injection, SQL-Injection, Cross-Domain-Injection oder Domainkennwort-Brute-Force-Angriffen. |
| Webroot Windows Exploits | Umfasst aktive IP-Adressen, die Malware, Shellcode, Rootkits, Würmer oder Viren anbieten oder verteilen. |
Diese Aufgabe kann nicht mit der Konsole ausgeführt werden.
Mit der Befehlszeilenschnittstelle (CLI) können Sie Threat-Intelligence-Quellen für das Blockieren aktivieren.
Öffnen Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus, um die Schlüssel für Threat Intelligence aufzulisten:
oci waas threat-feed list --waas-policy-id <policy_ocid>Danach parsen Sie die zu blockierenden Schlüssel und fügen sie dem JSON-Code hinzu:
oci waas threat-feed update --threat-feeds '[{"key":"<key_id>","action":"BLOCK"}]' --waas-policy-id <policy_ocid>Beispiel:
oci waas threat-feed update --threat-feeds '[{"key":"0998d237-bce8-4612-82c8-a1ca126c0492","action":"BLOCK"}]' --waas-policy-id ocid1.waaspolicy.oc1...Die Aktivierung von Threat Intelligence kann derzeit nur über die API durchgeführt werden.
Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.
So geben Sie ein Set von Schlüsseln für Threat Intelligence zurück:
-
Hinweis
Verwenden Sie nicht die Schlüssel aus dem folgenden Beispiel, da sie für jede Policy einmalig sind.
{ "8d3f7f1b-673f-4e3a-ba49-08226f385df3": "OFF", "0ff7b308-6afe-4b83-91e0-e3ca04afed6e": "OFF", "ea5d7c67-1326-43c9-ac31-1df034b9c063": "OFF", "87b420ca-5fbb-4ad4-aeba-1b02a9e60b30": "OFF", "2168fc70-2d05-466a-9db5-c13c0e32177d": "OFF", "7d080a4a-58ce-4370-a02c-f600b3a84e7b": "OFF", "a36c7c50-e99e-4b84-9140-5653fc68ce8d": "OFF", "5de7bbc1-313f-4995-9810-f6f77cfd30c9": "OFF", "fd2152cc-14f5-4471-a58b-d94cc8a61444": "OFF", "cfacd3d3-65d9-4368-93e0-62c906e7a748": "OFF", "6eb86368-01ea-4e94-ac1b-49bf0e551443": "OFF", "aabb45d9-0d75-481d-9568-58ecad217e1e": "OFF", "3805ecc2-1d6d-428b-a03e-2a0fe77fd46f": "OFF", "c3452861-4910-4f3a-9872-22cf92d424eb": "OFF", "4cf31deb-11af-460e-a46a-ecc1946a6688": "OFF", "eff34d63-6235-4081-976d-acd39248bdc3": "OFF", "1d1c94d9-038b-45eb-acd4-fb422e281f4c": "OFF", "687b5ff4-b1b6-4d12-8dba-3ea90b4536a1": "OFF", "65cf274d-991b-41f8-adda-6fe60ba2704f": "OFF" }
So aktivieren Sie DETECT für alle Bedrohungen:
-
Mit Body:
[ {"action":"DETECT","key":"8d3f7f1b-673f-4e3a-ba49-08226f385df3"}, {"action":"DETECT","key":"0ff7b308-6afe-4b83-91e0-e3ca04afed6e"}, {"action":"DETECT","key":"ea5d7c67-1326-43c9-ac31-1df034b9c063"}, {"action":"DETECT","key":"87b420ca-5fbb-4ad4-aeba-1b02a9e60b30"}, {"action":"DETECT","key":"2168fc70-2d05-466a-9db5-c13c0e32177d"}, {"action":"DETECT","key":"7d080a4a-58ce-4370-a02c-f600b3a84e7b"}, {"action":"DETECT","key":"a36c7c50-e99e-4b84-9140-5653fc68ce8d"}, {"action":"DETECT","key":"5de7bbc1-313f-4995-9810-f6f77cfd30c9"}, {"action":"DETECT","key":"fd2152cc-14f5-4471-a58b-d94cc8a61444"}, {"action":"DETECT","key":"cfacd3d3-65d9-4368-93e0-62c906e7a748"}, {"action":"DETECT","key":"6eb86368-01ea-4e94-ac1b-49bf0e551443"}, {"action":"DETECT","key":"aabb45d9-0d75-481d-9568-58ecad217e1e"}, {"action":"DETECT","key":"3805ecc2-1d6d-428b-a03e-2a0fe77fd46f"}, {"action":"DETECT","key":"d9cfc537-dd50-427d-830e-a612f535c11f"}, {"action":"DETECT","key":"c3452861-4910-4f3a-9872-22cf92d424eb"}, {"action":"DETECT","key":"4cf31deb-11af-460e-a46a-ecc1946a6688"}, {"action":"DETECT","key":"eff34d63-6235-4081-976d-acd39248bdc3"}, {"action":"DETECT","key":"1d1c94d9-038b-45eb-acd4-fb422e281f4c"}, {"action":"DETECT","key":"687b5ff4-b1b6-4d12-8dba-3ea90b4536a1"}, {"action":"DETECT","key":"65cf274d-991b-41f8-adda-6fe60ba2704f"} ]Dadurch wird der HTTP-Status "202 Akzeptiert" zurückgegeben. Dies bedeutet, dass die Policy den Status "Wird aktualisiert" erhält, bis die Änderungen an die Edge-Knoten weitergegeben werden.
-