关于安全情报
通过安全智能策略能够根据源/目标 IP 地址或目标 URL 提前丢弃非必要流量。在使用访问控制策略评估不良流量前,系统会将其丢弃,从而减少系统资源的使用量。
您可以根据以下条件阻止流量:
-
思科 Talos 情报小组 (Talos) 源 - Talos 提供对定期更新的安全智能源的访问权限。具有安全威胁(如恶意软件、垃圾邮件、僵尸网络和网络钓鱼)的站点出现和消失的速度可能比您更新和部署自定义配置的速度要快。系统定期下载智能源更新,从而提供新的威胁智能,而无需重新部署配置。
注
默认情况下,Talos 源每小时更新一次。您可以从页面更改更新频率,甚至根据需要更新智能源。
-
网络和 URL 对象 - 如果您知道要阻止的特定 IP 地址或 URL,则可为其创建对象并将其添加到阻止列表或例外列表。请注意,您无法使用 FQDN 或范围规格的网络对象。
创建用于 IP 地址(网络)和 URL 的单独列表。
注 |
如果 HTTP/HTTPS 请求针对使用 IP 地址而不是主机名的 URL,则系统会在网络地址列表中查找 IP 地址信誉。无需在网络和 URL 列表中复制 IP 地址。 |
创建阻止列表例外
对于每个阻止列表,您可以创建关联的例外列表,也称为不阻止列表。例外列表的唯一目的是豁免阻止出现在阻止列表中的 IP 地址或 URL。也就是说,如果发现需使用且已知安全的地址或 URL 位于在阻止列表上配置的智能源中,则可豁免该网络/URL,而无需从阻止列表中完全删除该类别。
随后访问控制策略会评估被豁免的流量。有关允许或丢弃连接的最终决定基于连接匹配的访问控制规则。访问规则还会决定恶意软件检查是否应用于连接。
安全智能源类别
下表介绍思科 Talos 情报小组 (Talos) 源中的可用类别。这些类别可用于网络和 URL 阻止操作。
这些类别可能会随时间而变化,因此新下载的源可能会存在类别更改。配置安全智能时,您可以点击类别名称旁边的信息图标以查看说明。
| 安全情报类别 | 说明 | ||
|---|---|---|---|
|
攻击者 |
出站恶意活动已知的活动扫描工具和主机 |
||
|
Banking_fraud |
从事与电子银行相关的欺诈活动的网站 |
||
|
Bogon |
Bogon 网络和未分配的 IP 地址 |
||
|
Bots |
托管二进制恶意软件丢弃程序的站点 |
||
|
CnC |
托管僵尸网络的命令和控制服务器的站点 |
||
|
加密货币挖矿活动 |
提供对用于挖掘加密货币的池和钱包的远程访问的主机 |
||
|
Dga |
用于生成作为与命令和控制服务器的交汇点的大量域名的恶意软件算法 |
||
|
Exploitkit |
指定用于识别客户端中的软件漏洞的软件包 |
||
|
High_risk |
根据来自安全图的 OpenDNS 预测安全算法进行匹配的域和主机名 |
||
|
IOC |
观察到涉及感染指标 (IOC) 的主机 |
||
|
Link_sharing |
未经许可共享版权文件的网站 |
||
|
恶意 |
表现出不一定属于另一种更精细的威胁类别的恶意行为的站点 |
||
|
恶意软件 |
托管恶意软件二进制或漏洞包的站点 |
||
|
Newly_seen |
最近注册或尚未通过遥测发现的域。
|
||
|
Open_proxy |
允许匿名 Web 浏览的开放代理 |
||
|
Open_relay |
已知用于垃圾邮件的开放邮件中继 |
||
|
网络钓鱼 |
托管网络钓鱼页面的站点 |
||
|
解决方案 |
主动参与恶意或可疑活动的 IP 地址和 URL |
||
|
垃圾邮件 |
已知用于发送垃圾邮件的邮件主机 |
||
|
间谍软件 |
已知包含、提供或支持间谍软件和广告软件活动的网站 |
||
|
可疑 |
看似可疑并具有类似于已知恶意软件的特征的文件 |
||
|
Tor_exit_node |
已知为 Tor Anonymizer 网络提供出口节点服务的主机 |
反馈