Información sobre amenazas
Descubra cómo WAF tiene varias fuentes de amenazas con direcciones IP conocidas que se actualizan diariamente.
WAF tiene varias fuentes de amenazas con direcciones IP conocidas que se actualizan diariamente. Las amenazas con dirección IP se muestran en la siguiente tabla:
| Origen | Descripción |
|---|---|
| Webroot BotNets | Canales de C&C de botnet y equipos zombi infectados controlados por un bot master. |
| Webroot Denial of Service | Incluye la detección de DOS, DDOS, inundación sincronizada anómala y tráfico anómalo. |
| Webroot Mobile Threats | Direcciones IP de aplicaciones móviles no autorizadas ni deseadas. Esta categoría utiliza los datos del equipo de investigación de amenazas móviles de Webroot. |
| Webroot Phishing | Direcciones IP de sitios de suplantación de identidad de host y de otro tipo de actividades ilícitas como, por ejemplo, fraude relacionado con las apuestas o los clics en anuncios. |
| Webroot Proxy | Direcciones IP que proporcionan servicios de proxy y de definición. |
| Webroot Reputation | Direcciones IP en las que se ha confirmado que están infectadas por malware. Esta categoría también incluye direcciones IP con una puntuación media baja en el índice de reputación de Webroot. |
| Webroot Scanners | Incluye los ataques de reconocimiento como, por ejemplo, ataques de exploración, escaneo de host, escaneo de dominio y ataques por fuerza bruta con contraseñas. |
| Webroot Spam Sources | Incluye mensajes de correo no deseado de túnel mediante proxy, actividades anómalas de SMTP y actividades de spam en foros. |
| Webroot Tor Proxy | Incluye direcciones IP que actúan como nodos de salida para la red Tor. Los nodos de salida son el último punto de la cadena de proxy y realizan una conexión directa con el destino deseado del iniciador. |
| Webroot Web Attacks | Incluye direcciones IP conocidas implicadas en ataques de scripts de sitios, inyección iFrame, inyección SQL, inyección de dominios cruzados o ataques por fuerza bruta con contraseñas de dominios. |
| Webroot Windows Exploits | Incluye direcciones IP activas que ofrecen o distribuyen malware, código de shell, rootkits, gusanos o virus. |
Esta tarea no se puede realizar mediante la consola.
Puede utilizar la CLI para activar el bloqueo de los orígenes de información sobre amenazas.
Abra un símbolo del sistema y ejecute el siguiente comando para mostrar las claves de toda la información sobre amenazas:
oci waas threat-feed list --waas-policy-id <policy_ocid>A continuación, analice las claves que desea bloquear y agréguelas a JSON:
oci waas threat-feed update --threat-feeds '[{"key":"<key_id>","action":"BLOCK"}]' --waas-policy-id <policy_ocid>Por ejemplo:
oci waas threat-feed update --threat-feeds '[{"key":"0998d237-bce8-4612-82c8-a1ca126c0492","action":"BLOCK"}]' --waas-policy-id ocid1.waaspolicy.oc1...La activación de la información sobre amenazas solo se puede realizar mediante la API en este momento.
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Para devolver un conjunto de claves para la información sobre amenazas:
-
Nota
No utilice las claves del siguiente ejemplo, ya que las claves son únicas en cada política.
{ "8d3f7f1b-673f-4e3a-ba49-08226f385df3": "OFF", "0ff7b308-6afe-4b83-91e0-e3ca04afed6e": "OFF", "ea5d7c67-1326-43c9-ac31-1df034b9c063": "OFF", "87b420ca-5fbb-4ad4-aeba-1b02a9e60b30": "OFF", "2168fc70-2d05-466a-9db5-c13c0e32177d": "OFF", "7d080a4a-58ce-4370-a02c-f600b3a84e7b": "OFF", "a36c7c50-e99e-4b84-9140-5653fc68ce8d": "OFF", "5de7bbc1-313f-4995-9810-f6f77cfd30c9": "OFF", "fd2152cc-14f5-4471-a58b-d94cc8a61444": "OFF", "cfacd3d3-65d9-4368-93e0-62c906e7a748": "OFF", "6eb86368-01ea-4e94-ac1b-49bf0e551443": "OFF", "aabb45d9-0d75-481d-9568-58ecad217e1e": "OFF", "3805ecc2-1d6d-428b-a03e-2a0fe77fd46f": "OFF", "c3452861-4910-4f3a-9872-22cf92d424eb": "OFF", "4cf31deb-11af-460e-a46a-ecc1946a6688": "OFF", "eff34d63-6235-4081-976d-acd39248bdc3": "OFF", "1d1c94d9-038b-45eb-acd4-fb422e281f4c": "OFF", "687b5ff4-b1b6-4d12-8dba-3ea90b4536a1": "OFF", "65cf274d-991b-41f8-adda-6fe60ba2704f": "OFF" }
Para establecer todas las amenazas en DETECT:
-
Con cuerpo:
[ {"action":"DETECT","key":"8d3f7f1b-673f-4e3a-ba49-08226f385df3"}, {"action":"DETECT","key":"0ff7b308-6afe-4b83-91e0-e3ca04afed6e"}, {"action":"DETECT","key":"ea5d7c67-1326-43c9-ac31-1df034b9c063"}, {"action":"DETECT","key":"87b420ca-5fbb-4ad4-aeba-1b02a9e60b30"}, {"action":"DETECT","key":"2168fc70-2d05-466a-9db5-c13c0e32177d"}, {"action":"DETECT","key":"7d080a4a-58ce-4370-a02c-f600b3a84e7b"}, {"action":"DETECT","key":"a36c7c50-e99e-4b84-9140-5653fc68ce8d"}, {"action":"DETECT","key":"5de7bbc1-313f-4995-9810-f6f77cfd30c9"}, {"action":"DETECT","key":"fd2152cc-14f5-4471-a58b-d94cc8a61444"}, {"action":"DETECT","key":"cfacd3d3-65d9-4368-93e0-62c906e7a748"}, {"action":"DETECT","key":"6eb86368-01ea-4e94-ac1b-49bf0e551443"}, {"action":"DETECT","key":"aabb45d9-0d75-481d-9568-58ecad217e1e"}, {"action":"DETECT","key":"3805ecc2-1d6d-428b-a03e-2a0fe77fd46f"}, {"action":"DETECT","key":"d9cfc537-dd50-427d-830e-a612f535c11f"}, {"action":"DETECT","key":"c3452861-4910-4f3a-9872-22cf92d424eb"}, {"action":"DETECT","key":"4cf31deb-11af-460e-a46a-ecc1946a6688"}, {"action":"DETECT","key":"eff34d63-6235-4081-976d-acd39248bdc3"}, {"action":"DETECT","key":"1d1c94d9-038b-45eb-acd4-fb422e281f4c"}, {"action":"DETECT","key":"687b5ff4-b1b6-4d12-8dba-3ea90b4536a1"}, {"action":"DETECT","key":"65cf274d-991b-41f8-adda-6fe60ba2704f"} ]Esto devolverá un estado HTTP 202 Aceptado, lo que significa que la política pasará al estado UPDATING hasta que se aprovisionen los cambios en los nodos de borde.
-