Библиотека репутации IP

Библиотека репутации IP NTA (меню ПАРАМЕТРЫ > Анализ сетевого трафика > Библиотека репутации IP NTA) дает возможность обращаться к статическим и/или динамическим спискам IP-адресов в текущем трафике сети, обозначенных как подозрительные. В библиотеке предварительно установлен текущий список известных IP-адресов, используемых клиентами сети Tor (случайная маршрутизация и шифрование, которые обеспечивают определенную степень анонимности). Когда адреса из черного списка «общаются» с устройствами под управлением, они отображаются в отчете о подозрительных подключениях NTA.

Также можно периодически/динамически извлекать списки из надежных сайтов сетей, служб безопасности и поставщиков услуг Интернета. Эта мощная функция позволяет привязать WhatsUp Gold к данным, собранным доверенными партнерами и участниками интернет-сообщества.

Загрузите списки адресов или используйте доверенные URL-адреса для заполнения Библиотеки репутации IP

Добавить локальный список

Использовать список сообщества (показан список спама Cisco Talos)

Типичные точки использования:

Включение списков подозрительных IP-адресов, основанных на веб-списках или ответах API REST. (Рекомендуется)
Включение статических списков известных проблемных IP-адресов.
Создание настраиваемых отчетов и панелей.
Использование/контроль обратной связи от администраторов по связи с интернетом и специалистов по безопасности.

Включение или изменение списка IP-адресов

Добавление или изменение списка подозрительных IP-адресов:

Нажмите «Добавить» (). Открывается диалоговое окно Добавить список.
Нажмите «Изменить» (). Отобразится диалоговое окно Изменение списка.

Диалоговые окна Добавить/изменить список позволяют сделать следующее:

URL сайта, запрос API или путь к файлу, использованный для получения списка.
- Добавьте URL или веб-файл. Например:
- Включите локальный файл черного списка с помощью полного пути на локальном диске или пути к файлу UNC. Например:

Note: В добавляемом списке должен использоваться ожидаемый синтаксис и формат. Подробнее см. примеры синтаксиса в разделе Ожидаемый формат этой темы.

Определить/изменить интервал обновления.
Обновить сейчас. (Требуется только при заполнении из размещенного на сайте файла или конечной точки REST)
Включить/исключить список или адрес для использования.

Просмотр записей библиотеки

При просмотре сетки из окна библиотеки отображаются следующие столбцы:

Имя списка. Метка списка в WhatsUp Gold.
URL. URL сайта, запрос API или путь к файлу, использованный для получения списка. Формат файла см. в разделе Ожидаемый формат.
Включено. Текущее состояние относительно списка репутаций.
Количество IP. Необработанное количество IP-адресов, полученных из этого списка или сайта.
Количество уникальных IP. Количество уникальных IP-адресов из этого списка или сайта.
Интервал обновления. Текущий интервал опроса в днях. Ноль ("0") означает отсутствие обновления.
Последняя попытка обновления. Последняя попытка чтения этого списка.
Последнее обновление. Последнее успешное обновление, по которому получен минимум один IP-адрес.

Ожидаемый формат

Ожидаемый синтаксис списков из файловых систем или ответов API REST идентичен синтаксису файла hosts. По одному IP-адресу в строке.

Синтаксис:

# мой комментарий
<подозрительный-ip-адрес-1>
<подозрительный-ip-адрес-2>
<подозрительный-ip-адрес-n>

Пример:

# Известные источники спама
203.0.113.122
203.0.113.221