ในคู่มือจะสาธิตการทำงานร่วมกับอุปกรณ์
-
Sangfor NGAF
-
Sangfor Endpoint Secure
-
Sangfor IAG/IAM
จากตัวอย่างมีเครื่อง IP 192.168.11.101 ถูกตรวจจับโดย Cyber Command ผ่าน STA ว่ามีการ Request DNS ไปยัง URL ที่ตรวจพบว่าไม่ปลอดภัย
โดยในการทำ Response นั้น ทางอุปกรณ์ Cyber Command จะมี Policy Template มาให้ใช้งานเลย ตัวอย่าง Policy ที่ทำงานร่วมกับอุปกรณ์อื่นจะมีดังนี้
Endpoint Secure
NGAF
IAG/IAM
ตัวอย่างการทำ Response บน Endpoint Secure
1.Threat Scan
Fixing Method : หากเลือกแบบ Auto Isolate เมื่อทำการทำ Response เรียบร้อย Cyber Command จะ Fix เหตุการณ์นั้นให้ทันที (Pending > Fixed)
2.Block Endpoint : Cyber Command จะสั่งให้ Endpoint Secure ทำการ Isolate เครื่องนั้นและทำการ Fix Event นั้นให้
3.Access Control : สามารถกำหนด Direction ในการ Block ได้ รวมถึงกำหนดเฉพาะบาง Port เมื่อทำการทำ Access Control แล้ว Endpoint Secure จะทำการ Isolate เครื่องๆนั้น
ตัวอย่างการทำ Response บน NGAF
1.Block Endpoint
หลังจากทำ Block ตัว Cyber Command จะทำการ Fixed Incident ให้เรียบร้อย
2.Access Control : Cyber Command จะสั่งให้ NGAF กำหนด Application Control Policy ขึ้นมา
หลังจากทำ Application Control สำเร็จ Cyber Command จะเปลี่ยนสถานะของ Incident ให้เป็น Fixed
3.Block Domain : ทำการกำหนด Domain หรือ URL ที่ต้องการให้ทาง NGAF Blacklist ให้
หลังจาก Blacklist แล้ว Cyber Command จะเปลี่ยนสถานะของ Incident นั้นเป็น Fixed ทันที
ตัวอย่างการทำ Response บน IAG/IAM
1.Browsing Risk Notification : Cyber Command จะสั่ง IAG/IAM มีการแจ้งเตือน Endpoint ที่มี Incident เกิดขึ้นว่า "โฮสต์ของคุณอาจถูกเข้าถึงและใช้ในการดำเนินกิจกรรมที่ผิดกฎหมายและเอกสารลับอาจหายไปและเปิดเผยได้"
2.Account Lockout : Cyber Command จะสั่งให้ IAG/IAM ทำการ Lock Account
หลังจากเสร็จสิ้นการ Response Cyber Command จะเปลี่ยนสถานะ Incident เป็น Fixed
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น