Inteligência de Ameaças
Saiba como o WAF tem várias origens de ameaças de endereço IP conhecidas que são atualizadas diariamente.
O WAF tem várias origens de ameaças de endereço IP conhecidas que são atualizadas diariamente. As ameaças de endereço IP são exibidas na seguinte tabela:
| Origem | Descrição |
|---|---|
| Webroot - BotNets | Canais C&C de Botnet e máquinas zumbi infectadas controladas por Botmaster. |
| Webroot - Negação de Serviço | Inclui detecção de DOS, DDOS, inundação de sincronização anormal e anomalias no tráfego. |
| Webroot - Ameaças a Dispositivos Móveis | Endereços IP de aplicativos móveis maliciosos e indesejados. Esta categoria utiliza dados da equipe de pesquisa de ameaça a dispositivos móveis da Webroot. |
| Webroot - Phishing | Endereços IP que hospedam sites de phishing e outros tipos de atividades ilícitas, como cliques fraudulentos ou outros tipos de manipulação em anúncios. |
| Webroot - Proxy | Endereços IP que fornecem serviços de proxy e de definição. |
| Webroot - Reputação | Endereços IP atualmente conhecidos por estarem infectados com malware. Esta categoria também inclui endereços IP com uma pontuação média de Índice de Reputação Webroot baixa. |
| Webroot - Antivírus | Inclui todas os reconhecimentos, como investigações, varredura de host, varredura de domínio e ataques de força bruta a senhas. |
| Webroot - Origens de Spam | Inclui tunelamento de mensagens de spam pelo proxy, anomalia nas atividades do SMTP e atividades de spam do fórum. |
| Webroot - Proxy do Tor | Inclui endereços IP que atuam como nós de saída para a Rede Tor. Os nós de saída são o último ponto junto com a cadeia de proxy e fazem uma conexão direta com o destino pretendido do originador. |
| Webroot - Ataques na Web | Inclui endereços IP conhecidos envolvidos em cross-site scripting, injeção de iFrame, injeção de SQL, injeção entre domínios ou ataques de força bruta a senhas de domínio. |
| Webroot - Exploits do Windows | Inclui endereços IP ativos que oferecem ou distribuem malware, código de shell, rootkits, worms, ou vírus. |
Não é possível executar esta tarefa usando a Console.
Você pode usar a CLI para ativar origens de inteligência de ameaças a serem bloqueadas.
Abra um prompt de comando e execute o seguinte comando para listar as chaves de toda a inteligência de ameaças:
oci waas threat-feed list --waas-policy-id <policy_ocid>Em seguida, faça parsing das chaves para bloqueá-las e adicioná-las ao JSON:
oci waas threat-feed update --threat-feeds '[{"key":"<key_id>","action":"BLOCK"}]' --waas-policy-id <policy_ocid>Por exemplo:
oci waas threat-feed update --threat-feeds '[{"key":"0998d237-bce8-4612-82c8-a1ca126c0492","action":"BLOCK"}]' --waas-policy-id ocid1.waaspolicy.oc1...Neste momento, a ativação da Inteligência de Ameaças só pode ser executada usando a API.
Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.
Para retornar um conjunto de chaves para a inteligência de ameaças:
-
Observação
Não use as chaves no exemplo abaixo, pois as chaves são exclusivas em cada política.
{ "8d3f7f1b-673f-4e3a-ba49-08226f385df3": "OFF", "0ff7b308-6afe-4b83-91e0-e3ca04afed6e": "OFF", "ea5d7c67-1326-43c9-ac31-1df034b9c063": "OFF", "87b420ca-5fbb-4ad4-aeba-1b02a9e60b30": "OFF", "2168fc70-2d05-466a-9db5-c13c0e32177d": "OFF", "7d080a4a-58ce-4370-a02c-f600b3a84e7b": "OFF", "a36c7c50-e99e-4b84-9140-5653fc68ce8d": "OFF", "5de7bbc1-313f-4995-9810-f6f77cfd30c9": "OFF", "fd2152cc-14f5-4471-a58b-d94cc8a61444": "OFF", "cfacd3d3-65d9-4368-93e0-62c906e7a748": "OFF", "6eb86368-01ea-4e94-ac1b-49bf0e551443": "OFF", "aabb45d9-0d75-481d-9568-58ecad217e1e": "OFF", "3805ecc2-1d6d-428b-a03e-2a0fe77fd46f": "OFF", "c3452861-4910-4f3a-9872-22cf92d424eb": "OFF", "4cf31deb-11af-460e-a46a-ecc1946a6688": "OFF", "eff34d63-6235-4081-976d-acd39248bdc3": "OFF", "1d1c94d9-038b-45eb-acd4-fb422e281f4c": "OFF", "687b5ff4-b1b6-4d12-8dba-3ea90b4536a1": "OFF", "65cf274d-991b-41f8-adda-6fe60ba2704f": "OFF" }
Para definir todas as ameaças para DETECT:
-
Com corpo:
[ {"action":"DETECT","key":"8d3f7f1b-673f-4e3a-ba49-08226f385df3"}, {"action":"DETECT","key":"0ff7b308-6afe-4b83-91e0-e3ca04afed6e"}, {"action":"DETECT","key":"ea5d7c67-1326-43c9-ac31-1df034b9c063"}, {"action":"DETECT","key":"87b420ca-5fbb-4ad4-aeba-1b02a9e60b30"}, {"action":"DETECT","key":"2168fc70-2d05-466a-9db5-c13c0e32177d"}, {"action":"DETECT","key":"7d080a4a-58ce-4370-a02c-f600b3a84e7b"}, {"action":"DETECT","key":"a36c7c50-e99e-4b84-9140-5653fc68ce8d"}, {"action":"DETECT","key":"5de7bbc1-313f-4995-9810-f6f77cfd30c9"}, {"action":"DETECT","key":"fd2152cc-14f5-4471-a58b-d94cc8a61444"}, {"action":"DETECT","key":"cfacd3d3-65d9-4368-93e0-62c906e7a748"}, {"action":"DETECT","key":"6eb86368-01ea-4e94-ac1b-49bf0e551443"}, {"action":"DETECT","key":"aabb45d9-0d75-481d-9568-58ecad217e1e"}, {"action":"DETECT","key":"3805ecc2-1d6d-428b-a03e-2a0fe77fd46f"}, {"action":"DETECT","key":"d9cfc537-dd50-427d-830e-a612f535c11f"}, {"action":"DETECT","key":"c3452861-4910-4f3a-9872-22cf92d424eb"}, {"action":"DETECT","key":"4cf31deb-11af-460e-a46a-ecc1946a6688"}, {"action":"DETECT","key":"eff34d63-6235-4081-976d-acd39248bdc3"}, {"action":"DETECT","key":"1d1c94d9-038b-45eb-acd4-fb422e281f4c"}, {"action":"DETECT","key":"687b5ff4-b1b6-4d12-8dba-3ea90b4536a1"}, {"action":"DETECT","key":"65cf274d-991b-41f8-adda-6fe60ba2704f"} ]Isso retornará um status 202 HTTP Aceito, o que significa que a política entrará em um estado UPDATING até que as alterações sejam provisionadas para os nós de borda.
-