恶意软件黑名单对ntopng来说不是什么新鲜事。ntopng(包括ntopng Edge)集成新兴威胁黑名单https://rules.emergingthreats.net,已经有很长一段时间。ntopng3.6稳定版还引入了一些网络挖矿黑名单,ntopng将标记在线挖矿网站并产生警报。
尽管有新的集成,但 ntopng 缺乏告知用户当前使用的列表能力以及让他们验证每个列表的更新状态。由于这些原因,我们决定实施分类列表,让使用者对ntopng使用的列表有充分的了解和控制。
该页面显示ntopng当前支持的所有列表。一个状态徽章显示该列表是否已被成功下载或遇到错误。列表现在是一个总体的概念,并不限于恶意软件,它只是将一个IP/域名列表与一个类别联系起来。在未来,由于这个模型的灵活性,可以支持用户提供的列表。
正如你从上面的图片中看到的那样,根据你设置的偏好,每天或每小时都会下载列表。这是因为恶意软件列表是持续更新的,因此必须有最新的信息来保持它们的有效性。Num Hosts列报告了从列表中加载的实际规则数量。默认情况下,列表是每天更新的,但可以从编辑对话框中对更新频率进行更改。也可以禁用每个单独的列表。另一个重要的改进是使用磁盘来存储下载的列表。这样一来,就不再需要在每次启动时下载清单,那些暂时无法下载新清单的主机仍然可以使用以前下载的清单。
通过这一更新,我们还整合了一些新的强大的黑名单,这些黑名单只在ntopng的最新开发版本中可用。
- Cisco Talos Intelligence: 基于IP的威胁检测
- ch Feodo Tracker Botnet C2 IP Blocklist: 基于IP的僵尸网络检测
- ch Ransomware Domain/IP Blocklists: 基于IP/域名的勒索软件检测
- ch SSLBL Botnet C2 IP Blacklist: 基于IP的威胁检测
类别列表和自定义类别主机是强大的功能,在可见性和威胁检测方面增加了ntopng的可用性。
每当检测到攻击时,ntopng都会向您报告一个如下所示的警报,您可以用它来跟踪问题。请记住,如果你在ntopng中启用了连续的流量记录,你可以从ntopng中下载攻击的pcap来进行全面检查。
如果警报还不够,您希望阻止此类威胁并优化带宽使用,您应该很高兴地知道,对于这一点ntopng Edge实现了,而且还有更多的功能!
ntopng Edge是旨在解决一些问题的软件应用程序:
- 将设备绑定到用户
- 指定每用户第7层协议策略(例如,使用X可以使用协议Y)
- 保护网络免受恶意软件的侵扰以及与不安全目标之间的连接
- 通过防止占用带宽,确保均匀共享可用的Internet带宽
ntopng Edge通过防止行为不当的主机损害带宽,确保Internet始终可用于关键业务应用程序。ntopng Edge还可以保护网络免受有害流量的攻击,例如洪或云上传,这些流量可以为数据泄露铺平道路。
确保互联网可用性
第7层应用程序流量阻止/限制
内联不安全流量阻止
服务微细分
活动和静默设备发现
易于安装且简单使用
