|
有客戶在問,情資單位給的惡意FQDN清單,Sophos有沒有辦法批次匯入?
順子仔細去查了一下,SFOS都已經到21版了,但Sophos還是沒有這個功能...
不過有好心的使用者提供了自製的API script,可以透過API大量輸入IP與FQDN物件,連結如下。
Automated load of object through API from CSV!
這個script順子看了一下,發現它只要稍微修改一下,就可以完美符合客戶需求!
要修改哪些內容呢?
首先,FQDN跟IP物件不一樣,IP有IP list可用,可以以一個IP list物件收容多個IP,並套用在防火牆規則之中簡單管理;
但FQDN沒有FQDN list物件,每一個FQDN都是一個獨立物件,若要將大量的FQDN列入拒絕清單,對管理者而言將是一筆不小的負擔。
不過雖然FQDN沒有FQDN list可用,但我們可以透過FQDN group來達成類似需求,
把這些FQDN加到FQDN group之中,就可以在防火牆規則之中以FQDN group來進行管理。
再來就是匯入的FQDN雖然可以加上前綴字串來識別與管理,
但script中的內容是寫死的,順子把它變成一個變數,讓使用者依需求去調整。
基於以上的需求,順子修改了script內容,
讓它它可以依需求先建立FQDN Group,讓隨後的FQDN物件在建立時直接歸屬在這個FQDN Group之中,
之後要套用在防火牆規則時就簡單多了,直接套用這個Group物件即可。
# Variables you need to adjust for your environment
# -------------------------------------------------
$_FIREWALL_IP = "192.168.1.210"
$_FIREWALL_PORT = "4444"
$_API_USER = "admin"
$_API_PASSWORD = 'correcthorsebatterystaple'
$_WORK_FOLDER = "D:\test\"
$_DATA_FILE_NAME = "ips.txt"
$_ADD_PREFIXES_TO_OBJECTS = "Yes"
$_FQDN_Prefix = "Bulk_"
$_ADD_FQDN_GROUP = "FQDN_G_Test"
# Main functions
# --------------
# 順子增加FQDN群組判斷
if ($_ADD_FQDN_GROUP -ne "")
{
$_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Get><FQDNHostGroup><Filter><key name='Name' criteria='='>$($_ADD_FQDN_GROUP)</key></Filter></FQDNHostGroup></Get></Request>"
$_API_QUERY_RESULT = Invoke-WebRequest -Uri "$_API_QUERY_URL"
[xml] $_API_QUERY_RESULT_PARSED = $_API_QUERY_RESULT.Content
#FQDN GROUP物件不存在時,建立FQDN物件
if ($_API_QUERY_RESULT_PARSED.Response.FQDNHostGroup.Status -eq "No. of records Zero.")
{
$_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Set><FQDNHostGroup><Name>$($_ADD_FQDN_GROUP)</Name></FQDNHostGroup></Set></Request>"
$_API_QUERY_RESULT = Invoke-WebRequest -Uri "$_API_QUERY_URL"
[xml] $_API_QUERY_RESULT_PARSED = $_API_QUERY_RESULT.Content
Write-Host "[INFO] Create FQDN Group object $($_ADD_FQDN_GROUP)"
}
$_ADD_FQDN_GROUP = "<FQDNHostGroupList><FQDNHostGroup>" + $_ADD_FQDN_GROUP + "</FQDNHostGroup></FQDNHostGroupList>"
}
# For FQDN item
# --------------
if ($_OPERATION -eq "FQDN_Mode")
{
$_API_QUERY_URL = "https://$($_FIREWALL_IP):$($_FIREWALL_PORT)/webconsole/APIController?reqxml=<Request><Login><UserName>$($_API_USER)</UserName><Password>$($_CODIFIED_API_PASSWORD)</Password></Login><Set><FQDNHost><Name>$($_CODIFIED_ITEM_NAME)</Name><FQDN>$($_SECOND_FIELD)</FQDN>$($_ADD_FQDN_GROUP)</FQDNHost></Set></Request>"
$_TYPE_OBJECT = "FQDN"
}
然後批次建立的FQDN物件的前綴字串也可以自訂,只要修改對應的參數即可。
$_ADD_PREFIXES_TO_OBJECTS = "Yes"
$_FQDN_Prefix = "Bulk_"
# Prefix for name of object
# -------------------------
if ($_ADD_PREFIXES_TO_OBJECTS -eq "Yes")
{
if ($_OPERATION -eq "FQDN_Mode")
{
$_ITEM_NAME = $_FQDN_Prefix + $_ITEM_NAME
} else {
if ($_THIRD_FIELD -eq "255.255.255.255")
{
$_ITEM_NAME = "HOST_" + $_ITEM_NAME
} else {
$_ITEM_NAME = "NET_" + $_ITEM_NAME
}
}
}
完整的script就在附加檔案之中(解壓密碼Sophos),有需要的朋友請自行取用∼
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2020-09-11, 12:11
《分享》API應用範例
《分享》API應用範例之2-大量輸入FQDN