Konfigurieren von Bedrohungsfeeds von Drittanbietern

Sie können Bedrohungs-Feeds von Drittanbietern konfigurieren, um Bedrohungsinformationen aus externen Bedrohungs-Feed-Quellen hinzuzufügen und so den mit Indicators of Compromise (IoCs) verbundenen Datenverkehr zu blockieren.

IoCs sind IP-Adressen, Domänen und URLs, die an Angriffen beteiligt sind. Die Firewall fragt die Bedrohungsquelle in dem von Ihnen konfigurierten Intervall ab und verwaltet eine aktuelle IoC-Liste.

Gehen Sie wie folgt vor, um Bedrohungs-Feeds von Drittanbietern zu konfigurieren:

1. Gehe zu Aktive Reaktion auf Bedrohungen > Bedrohungsfeeds von Drittanbietern und klicken Sie auf Hinzufügen.
2. Geben Sie einen Namen ein.
3. Optional: Geben Sie eine Beschreibung ein.

4. Wählen Sie eine Aktion aus.

   • Block: Protokolliert und blockiert Bedrohungen.
   • Monitor: Protokolliert nur Bedrohungen.

   Die Firewall wertet sowohl Blockierte Feeds Und Überwachte Feeds in der angezeigten Reihenfolge und protokolliert die erste Übereinstimmung in beiden Feeds. Es blockiert den Verkehr basierend auf der ersten Übereinstimmung in der Sperrliste.

   Weitere Informationen zu Protokollen und Protokolleinstellungen finden Sie unter Protokolle und Warnungen für die aktive Bedrohungsreaktion.

5. Wählen Sie eine Position aus.

   • Spitze: Positioniert den Bedrohungs-Feed oben in der Liste.
   • Unten: Positioniert den Bedrohungs-Feed am Ende der Liste.

6. Wählen Sie einen Indikatortyp aus.

   • IPv4-Adresse
   • Domain
   • URL

   Wichtig

   Die Firewall wertet IoCs nur auf Basis der Indikatortyp Sie geben beispielsweise eine IPv4-Adresse an, auch wenn der Bedrohungs-Feed IPv4-Adressen, Domänen und URLs enthält.

   Sie müssen also für jeden Indikatortyp pro Bedrohungs-Feed eine andere Konfiguration hinzufügen.

7. Geben Sie die externe URL ein, unter der die Bedrohungs-Feed-Datei gehostet wird.

   Die Datei muss eine reine Textdatei mit einem Indikator pro Zeile sein.

   Beispielinhalt eines Bedrohungsfeeds

   103.140.73.49 103.142.86.221 103.173.155.111 103.46.186.148 104.131.133.129 104.143.77.12 104.143.77.8 104.236.201.22 104.236.202.98 

   Notiz

   Die Konfiguration unterstützt keine IP-Adressbereiche, IPv6-Adressen, Netzwerkadressen, Platzhalterdomänen und regulären Ausdrücke.

8. Unter GenehmigungWählen Sie den Authentifizierungstyp aus, um die Aktualisierungen des Bedrohungs-Feeds zu autorisieren.

   • Keine Authentifizierung

   • API-Schlüssel

     1. Geben Sie den Schlüssel ein.
     2. Geben Sie den Wert ein. Unterstützt bis zu 64 Zeichen.

     3. Wählen Sie aus, wo der API-Schlüssel hinzugefügt werden soll.

        • Kopfzeile
        • Abfrageparameter

   • Basisauthentifizierung

     1. Geben Sie den Benutzernamen ein.
     2. Geben Sie das Passwort ein. Maximal 64 Zeichen sind möglich.

9. Wählen Serverzertifikat validieren wenn Sie das Serverzertifikat validieren möchten.

   Wenn der Server ein öffentliches Zertifikat verwendet, gehen Sie zu Zertifikate > Zertifizierungsstellen und stellen Sie sicher, dass das CA-Zertifikat des Servers in der CA-Zertifikatsliste der Firewall verfügbar ist.

   Wenn es sich um ein privates Zertifikat handelt, laden Sie das CA-Zertifikat in die Firewall hoch.

10. Wählen Sie ein Abfrageintervall zur Synchronisierung des Bedrohungs-Feeds aus.

    Notiz

    XGS 87(w), 88(w) und 107(w) unterstützen nur die Abfrageintervalloptionen 24 Stunden, 7 Tage und 30 Tage.

11. Optional: Klicken Sie auf Verbindung testen um die Verbindung zu testen.

12. Klicken Speichern.

Weitere Ressourcen

• Speicherlimit für Bedrohungs-Feeds von Drittanbietern