Intelligence sulle minacce
Scopri come WAF ha diverse fonti di minacce note agli indirizzi IP che vengono aggiornate ogni giorno.
WAF ha diverse fonti di minacce note agli indirizzi IP che vengono aggiornate quotidianamente. Nella tabella seguente sono visualizzate le minacce agli indirizzi IP.
| Origine | descrizione; |
|---|---|
| Webroot BotNets | Canali Botnet C&C e macchine zombie infette controllate da Botmaster. |
| Denial of Service Webroot | Include DOS, DDOS, sync flood anomalo e rilevamento del traffico anomalo. |
| Minacce Webroot Mobile | Indirizzi IP di applicazioni mobili dannose e indesiderate. Questa categoria sfrutta i dati della ricerca sulle minacce mobili di Webroot. |
| Webroot Phishing | Indirizzi IP che ospitano siti di phishing e altri tipi di attività illecite come ad-click o frode di gioco. |
| Proxy Webroot | Indirizzi IP che forniscono servizi proxy e def. |
| Reputazione Webroot | Indirizzi IP attualmente noti per essere infettati da malware. Questa categoria include anche indirizzi IP con un punteggio medio basso dell'indice di reputazione Webroot. |
| Scanner Webroot | Include tutte le ricognizioni come sonde, scansione host, scansione del dominio e attacchi di forza bruta con password. |
| Fonti spam Webroot | Include il tunneling dei messaggi di spam tramite proxy, attività SMTP anomale e attività di spam del forum. |
| Proxy Webroot Tor | Include indirizzi IP che fungono da nodi di uscita per la rete Tor. I nodi di uscita sono l'ultimo punto lungo la catena proxy e creano una connessione diretta alla destinazione prevista dell'autore. |
| Attacchi Web Webroot | Include gli indirizzi IP conosciuti coinvolti in cross-site scripting, iFrame injection, SQL injection, cross-domain injection o domain password brute force attack. |
| Webroot Windows Exploits | Include indirizzi IP attivi che offrono o distribuiscono malware, codice shell, rootkit, worm o virus. |
Questo task non può essere eseguito utilizzando la console.
È possibile utilizzare l'interfaccia CLI per abilitare il blocco delle origini di intelligence sulle minacce.
Aprire un prompt dei comandi ed eseguire il comando seguente per elencare le chiavi per tutte le informazioni sulle minacce:
oci waas threat-feed list --waas-policy-id <policy_ocid>Quindi analizzare le chiavi da bloccare e aggiungerle alla notazione JSON:
oci waas threat-feed update --threat-feeds '[{"key":"<key_id>","action":"BLOCK"}]' --waas-policy-id <policy_ocid>Ad esempio:
oci waas threat-feed update --threat-feeds '[{"key":"0998d237-bce8-4612-82c8-a1ca126c0492","action":"BLOCK"}]' --waas-policy-id ocid1.waaspolicy.oc1...L'abilitazione di Threat Intelligence può essere eseguita solo utilizzando l'API in questo momento.
Per informazioni sull'uso dell'API e delle richieste di firma, consulta la documentazione dell'API REST e le credenziali di sicurezza. Per informazioni sugli SDK, vedere SDK e l'interfaccia CLI.
Per restituire un set di chiavi per l'intelligence sulle minacce:
-
Nota
Non utilizzare le chiavi nell'esempio riportato di seguito, poiché le chiavi sono univoche in ogni criterio.
{ "8d3f7f1b-673f-4e3a-ba49-08226f385df3": "OFF", "0ff7b308-6afe-4b83-91e0-e3ca04afed6e": "OFF", "ea5d7c67-1326-43c9-ac31-1df034b9c063": "OFF", "87b420ca-5fbb-4ad4-aeba-1b02a9e60b30": "OFF", "2168fc70-2d05-466a-9db5-c13c0e32177d": "OFF", "7d080a4a-58ce-4370-a02c-f600b3a84e7b": "OFF", "a36c7c50-e99e-4b84-9140-5653fc68ce8d": "OFF", "5de7bbc1-313f-4995-9810-f6f77cfd30c9": "OFF", "fd2152cc-14f5-4471-a58b-d94cc8a61444": "OFF", "cfacd3d3-65d9-4368-93e0-62c906e7a748": "OFF", "6eb86368-01ea-4e94-ac1b-49bf0e551443": "OFF", "aabb45d9-0d75-481d-9568-58ecad217e1e": "OFF", "3805ecc2-1d6d-428b-a03e-2a0fe77fd46f": "OFF", "c3452861-4910-4f3a-9872-22cf92d424eb": "OFF", "4cf31deb-11af-460e-a46a-ecc1946a6688": "OFF", "eff34d63-6235-4081-976d-acd39248bdc3": "OFF", "1d1c94d9-038b-45eb-acd4-fb422e281f4c": "OFF", "687b5ff4-b1b6-4d12-8dba-3ea90b4536a1": "OFF", "65cf274d-991b-41f8-adda-6fe60ba2704f": "OFF" }
Per impostare tutte le minacce su DETECT:
-
Con corpo:
[ {"action":"DETECT","key":"8d3f7f1b-673f-4e3a-ba49-08226f385df3"}, {"action":"DETECT","key":"0ff7b308-6afe-4b83-91e0-e3ca04afed6e"}, {"action":"DETECT","key":"ea5d7c67-1326-43c9-ac31-1df034b9c063"}, {"action":"DETECT","key":"87b420ca-5fbb-4ad4-aeba-1b02a9e60b30"}, {"action":"DETECT","key":"2168fc70-2d05-466a-9db5-c13c0e32177d"}, {"action":"DETECT","key":"7d080a4a-58ce-4370-a02c-f600b3a84e7b"}, {"action":"DETECT","key":"a36c7c50-e99e-4b84-9140-5653fc68ce8d"}, {"action":"DETECT","key":"5de7bbc1-313f-4995-9810-f6f77cfd30c9"}, {"action":"DETECT","key":"fd2152cc-14f5-4471-a58b-d94cc8a61444"}, {"action":"DETECT","key":"cfacd3d3-65d9-4368-93e0-62c906e7a748"}, {"action":"DETECT","key":"6eb86368-01ea-4e94-ac1b-49bf0e551443"}, {"action":"DETECT","key":"aabb45d9-0d75-481d-9568-58ecad217e1e"}, {"action":"DETECT","key":"3805ecc2-1d6d-428b-a03e-2a0fe77fd46f"}, {"action":"DETECT","key":"d9cfc537-dd50-427d-830e-a612f535c11f"}, {"action":"DETECT","key":"c3452861-4910-4f3a-9872-22cf92d424eb"}, {"action":"DETECT","key":"4cf31deb-11af-460e-a46a-ecc1946a6688"}, {"action":"DETECT","key":"eff34d63-6235-4081-976d-acd39248bdc3"}, {"action":"DETECT","key":"1d1c94d9-038b-45eb-acd4-fb422e281f4c"}, {"action":"DETECT","key":"687b5ff4-b1b6-4d12-8dba-3ea90b4536a1"}, {"action":"DETECT","key":"65cf274d-991b-41f8-adda-6fe60ba2704f"} ]Questo restituirà uno stato HTTP 202 Accettato, il che significa che il criterio immetterà uno stato AGGIORNAMENTO fino a quando non verrà eseguito il provisioning delle modifiche ai nodi edge.
-