Bedrohungsfeeds von Drittanbietern konfigurieren

Sie können Bedrohungsfeeds von Drittanbietern so konfigurieren, dass sie Bedrohungsdaten aus externen Bedrohungsfeedquellen hinzufügen, um Datenverkehr im Zusammenhang mit Indikatoren für eine Kompromittierung (IoCs) zu blockieren.

Indikatoren für Kompromittierung (IoCs) sind IP-Adressen, Domains und URLs, die bei Angriffen eine Rolle spielen. Die Firewall fragt die Bedrohungsdatenquelle in dem von Ihnen konfigurierten Intervall ab und pflegt eine aktuelle Liste der IoCs.

Um Bedrohungsfeeds von Drittanbietern zu konfigurieren, gehen Sie wie folgt vor:

1. Gehe zu Reaktion auf aktive Bedrohungen > Bedrohungsfeeds von Drittanbietern und klicken Hinzufügen.
2. Geben Sie einen Namen ein.
3. Optional: Geben Sie eine Beschreibung ein.

4. Wählen Sie eine Aktion aus.

   • Block: Protokolliert und blockiert Bedrohungen.
   • Monitor: Protokolliert ausschließlich Bedrohungen.

   Die Firewall wertet beides aus Blockierte Zuleitungen Und Überwachte Zufuhr Die Reihenfolge der angezeigten Datenströme wird beibehalten und der erste Treffer in beiden Feeds protokolliert. Der Datenverkehr wird basierend auf dem ersten Treffer in der Sperrliste blockiert.

   Weitere Informationen zu Protokollen und Protokolleinstellungen finden Sie unter Protokolle und Warnmeldungen für die aktive Bedrohungsabwehr.

5. Wählen Sie eine Position.

   • Spitze: Platziert den Bedrohungsfeed an der Spitze der Liste.
   • Unten: Platziert den Bedrohungsfeed am Ende der Liste.

6. Wählen Sie einen Indikatortyp aus.

   • IPv4-Adresse
   • Domain
   • URL

   Wichtig

   Die Firewall wertet IoCs ausschließlich auf Basis der Indikatortyp Sie geben beispielsweise eine IPv4-Adresse an, selbst wenn der Bedrohungsfeed IPv4-Adressen, Domänen und URLs enthält.

   Daher müssen Sie für jeden Indikatortyp pro Bedrohungsfeed eine separate Konfiguration hinzufügen.

7. Geben Sie die externe URL ein, unter der die Bedrohungsfeed-Datei gehostet wird.

   Die Datei muss eine einfache Textdatei sein, wobei jede Zeile einen Indikator enthält.

   Beispielhafter Inhalt des Bedrohungsfeeds

   103.140.73.49 103.142.86.221 103.173.155.111 103.46.186.148 104.131.133.129 104.143.77.12 104.143.77.8 104.236.201.22 104.236.202.98 

   Notiz

   Die Konfiguration unterstützt keine IP-Adressbereiche, IPv6-Adressen, Netzwerkadressen, Wildcard-Domänen und reguläre Ausdrücke.

8. Unter Genehmigung: Wählen Sie den Authentifizierungstyp aus, um die Aktualisierungen des Bedrohungsfeeds zu autorisieren.

   • Keine Authentifizierung

   • API-Schlüssel

     1. Geben Sie den Schlüssel ein.
     2. Geben Sie den Wert ein. Es werden bis zu 64 Zeichen unterstützt.

     3. Wählen Sie aus, wo der API-Schlüssel hinzugefügt werden soll.

        • Kopfzeile
        • Abfrageparameter

   • Basisauthentifizierung

     1. Geben Sie den Benutzernamen ein.
     2. Geben Sie das Passwort ein. Es werden bis zu 64 Zeichen unterstützt.

9. Wählen Serverzertifikat validieren Wenn Sie das Serverzertifikat überprüfen möchten.

   Wenn der Server ein öffentliches Zertifikat verwendet, gehen Sie zu Zertifikate > Zertifizierungsbehörden und stellen Sie sicher, dass das CA-Zertifikat des Servers in der CA-Zertifikatsliste der Firewall verfügbar ist.

   Handelt es sich um ein privates Zertifikat, laden Sie das CA-Zertifikat auf die Firewall hoch.

10. Wählen Sie ein Abfrageintervall, um den Bedrohungsfeed zu synchronisieren.

    Notiz

    Die Modelle XGS 87/87w, 88/88w und 107/107w unterstützen nur Abfrageintervalle von 24 Stunden, 7 Tagen und 30 Tagen.

11. Optional: Klicken Testverbindung um die Verbindung zu testen.

12. Klicken Speichern.

Weitere Ressourcen

• Speicherlimit für Bedrohungsfeeds von Drittanbietern