Informations sur les menaces
Découvrez comment WAF s'appuie sur plusieurs sources de menaces connues sur les adresses IP qui sont mises à jour quotidiennement.
WAF s'appuie sur plusieurs sources de menaces connues sur les adresses IP qui sont mises à jour quotidiennement. Les menaces sur les adresses IP sont affichées dans le tableau suivant :
| Source | Description |
|---|---|
| Botnets Webroot | Canaux C&C de botnet et machines zombie infectées contrôlés par un botmaster. |
| Déni de service Webroot | Inclut la détection du déni de service, des attaques DDoS, des saturations de synchronisation anormales et du trafic anormal. |
| Menaces mobiles Webroot | Adresses IP d'applications mobiles malveillantes et indésirables. Cette catégorie exploite les données de l'équipe de recherche des menaces mobiles Webroot. |
| Hameçonnage Webroot | Adresses IP qui hébergent des sites d'hameçonnage et d'autres types d'activité illicite, comme la fraude au clic sur une publicité ou au jeu. |
| Proxy Webroot | Adresses IP fournissant des services de proxy et de définition. |
| Réputation Webroot | Adresses IP actuellement infectées par un malware. Cette catégorie comprend également les adresses IP avec un score d'indice de réputation Webroot moyen faible. |
| Analyseurs Webroot | Inclut toutes les tactiques de reconnaissance, telles que les sondages, les analyses d'hôte, les analyses de domaine et les attaques en force sur les mots de passe. |
| Sources de messages indésirables Webroot | Inclut le tunneling des messages indésirables via un proxy, les activités SMTP anormales et les activités de messages indésirables sur les forums. |
| Proxy Tor Webroot | Inclut les adresses IP agissant en tant que noeuds de sortie pour le réseau Tor. Les noeuds de sortie sont le dernier point de la chaîne de proxy et établissent une connexion directe à la destination voulue. |
| Attaques Web Webroot | Inclut les adresses IP connues impliquées dans la génération de scripts inter-site, l'injection iFrame, l'injection SQL, l'injection inter-domaine ou les attaques en force sur les mots de passe de domaine. |
| Exploits Windows Webroot | Inclut les adresses IP actives proposant ou distribuant des malwares, du code d'interpréteur de commandes, des outils de dissimulation d'activité, des vers ou des virus. |
Cette tâche ne peut pas être effectuée à l'aide de la console.
Vous pouvez utiliser l'interface de ligne de commande pour permettre aux sources d'informations sur les menaces d'effectuer des blocages.
Ouvrez une invite de commande et exécutez la commande suivante afin de répertorier l'ensemble des clés pour les informations sur les menaces :
oci waas threat-feed list --waas-policy-id <policy_ocid>Analysez ensuite les clés à bloquer et ajoutez-les au code JSON :
oci waas threat-feed update --threat-feeds '[{"key":"<key_id>","action":"BLOCK"}]' --waas-policy-id <policy_ocid>Par exemple :
oci waas threat-feed update --threat-feeds '[{"key":"0998d237-bce8-4612-82c8-a1ca126c0492","action":"BLOCK"}]' --waas-policy-id ocid1.waaspolicy.oc1...L'activation des informations sur les menaces peut uniquement être effectuée à l'aide de l'API pour le moment.
Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.
Afin de renvoyer un ensemble de clés pour les informations sur les menaces, utilisez l'opération suivante :
-
Remarque
N'utilisez pas les clés de l'exemple ci-dessous, car les clés sont uniques dans chaque stratégie.
{ "8d3f7f1b-673f-4e3a-ba49-08226f385df3": "OFF", "0ff7b308-6afe-4b83-91e0-e3ca04afed6e": "OFF", "ea5d7c67-1326-43c9-ac31-1df034b9c063": "OFF", "87b420ca-5fbb-4ad4-aeba-1b02a9e60b30": "OFF", "2168fc70-2d05-466a-9db5-c13c0e32177d": "OFF", "7d080a4a-58ce-4370-a02c-f600b3a84e7b": "OFF", "a36c7c50-e99e-4b84-9140-5653fc68ce8d": "OFF", "5de7bbc1-313f-4995-9810-f6f77cfd30c9": "OFF", "fd2152cc-14f5-4471-a58b-d94cc8a61444": "OFF", "cfacd3d3-65d9-4368-93e0-62c906e7a748": "OFF", "6eb86368-01ea-4e94-ac1b-49bf0e551443": "OFF", "aabb45d9-0d75-481d-9568-58ecad217e1e": "OFF", "3805ecc2-1d6d-428b-a03e-2a0fe77fd46f": "OFF", "c3452861-4910-4f3a-9872-22cf92d424eb": "OFF", "4cf31deb-11af-460e-a46a-ecc1946a6688": "OFF", "eff34d63-6235-4081-976d-acd39248bdc3": "OFF", "1d1c94d9-038b-45eb-acd4-fb422e281f4c": "OFF", "687b5ff4-b1b6-4d12-8dba-3ea90b4536a1": "OFF", "65cf274d-991b-41f8-adda-6fe60ba2704f": "OFF" }
Afin de définir l'action DETECT pour toutes les menaces, utilisez l'opération suivante :
-
Avec le corps :
[ {"action":"DETECT","key":"8d3f7f1b-673f-4e3a-ba49-08226f385df3"}, {"action":"DETECT","key":"0ff7b308-6afe-4b83-91e0-e3ca04afed6e"}, {"action":"DETECT","key":"ea5d7c67-1326-43c9-ac31-1df034b9c063"}, {"action":"DETECT","key":"87b420ca-5fbb-4ad4-aeba-1b02a9e60b30"}, {"action":"DETECT","key":"2168fc70-2d05-466a-9db5-c13c0e32177d"}, {"action":"DETECT","key":"7d080a4a-58ce-4370-a02c-f600b3a84e7b"}, {"action":"DETECT","key":"a36c7c50-e99e-4b84-9140-5653fc68ce8d"}, {"action":"DETECT","key":"5de7bbc1-313f-4995-9810-f6f77cfd30c9"}, {"action":"DETECT","key":"fd2152cc-14f5-4471-a58b-d94cc8a61444"}, {"action":"DETECT","key":"cfacd3d3-65d9-4368-93e0-62c906e7a748"}, {"action":"DETECT","key":"6eb86368-01ea-4e94-ac1b-49bf0e551443"}, {"action":"DETECT","key":"aabb45d9-0d75-481d-9568-58ecad217e1e"}, {"action":"DETECT","key":"3805ecc2-1d6d-428b-a03e-2a0fe77fd46f"}, {"action":"DETECT","key":"d9cfc537-dd50-427d-830e-a612f535c11f"}, {"action":"DETECT","key":"c3452861-4910-4f3a-9872-22cf92d424eb"}, {"action":"DETECT","key":"4cf31deb-11af-460e-a46a-ecc1946a6688"}, {"action":"DETECT","key":"eff34d63-6235-4081-976d-acd39248bdc3"}, {"action":"DETECT","key":"1d1c94d9-038b-45eb-acd4-fb422e281f4c"}, {"action":"DETECT","key":"687b5ff4-b1b6-4d12-8dba-3ea90b4536a1"}, {"action":"DETECT","key":"65cf274d-991b-41f8-adda-6fe60ba2704f"} ]Cet exemple renvoie le statut HTTP 202 Accepté, ce qui signifie que la stratégie est à l'état UPDATING jusqu'à ce que les modifications soient provisionnées sur les points nodaux.
-