SOAR技术文章 【转载】在 SOAR 应用实践中,遇到防火墙 IP 策略组有长度限制该怎么办?

Lee526 · 2021年08月12日 · 254 次阅读

问:

在 SOAR 应用实践中,遇到防火墙 IP 策略组有长度限制该怎么办?如何有效避免填满策略组?

答:

要解决这个问题,针对不同型号的防火墙会略有不同。大致上有三种方法:

1)定期优化策略组

  • 使用定时剧本,定期对将策略组的条目进行汇聚合并,去冗余等。
  • 如果该策略组用于封禁阻挡,可以定期进行二次校验,比如联动威胁情报将已更新为无威胁/低威胁的 IP 地址进行删除。

2)使用时间阶梯式封禁

部分防火墙本身支持动态策略组(如:最大封禁时间)选项,因此考虑添加策略时,优先使用动态策略组。 但对于不支持动态策略组的防火墙,我们一般的做法是使用阶梯式封禁: A.在剧本中添加记录节点,记录下 IP 条目下发的时间 B.根据触发次数、威胁等级的不同,给相应的条目自动添加不同的最大封禁时间(如首次触发的 IP 封禁 10 分钟,二次触发的封禁 60 分钟等策略等)C.使用定时剧本,计算每个条目是否到达最大封禁时间,如果到达则下发解封。

3)下发前检查

这种方法与方法 1 类似,唯一的不同是,增加一个检查 IP 策略组的动作节点,在每次下发条目前,对当前 IP 策略组进行检查,直接跳过冗余的条目。

以上几种方法使用不同的策略将 IP 策略组里条目维持在最短,减小填满 IP 策略组的可能。

转载声明

本文转载自公众号:雾帜智能,转载链接:https://mp.weixin.qq.com/s/zqCWmNrYfGTFsi0g4UPtQQ

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册