บทนำ
Auto Response คือความสามารถของ Sangfor Athena NDR ในการสั่งให้อุปกรณ์อื่นในระบบนิเวศของ Sangfor (NGAF, IAG, Endpoint Secure) ดำเนินการกับภัยคุกคามที่ตรวจพบโดยอัตโนมัติ เช่น Block IP, Block User หรือ Isolate Host โดยไม่ต้องรอ Admin ดำเนินการด้วยมือ
ข้อกำหนดเบื้องต้น
- Athena NDR ติดตั้งและทำงานปกติ
- อุปกรณ์ Sangfor ปลายทางที่ต้องการใช้งาน Auto Response:
- Integration อุปกรณ์แต่ละตัวสำเร็จแล้ว (สถานะ Online ใน Response Devices)
ขั้นตอนการสร้าง Response Policy
- Login เข้า Athena NDR Console
- ไปที่ Response > Response Policies
- คลิก Add
- ตั้งชื่อ Policy และระบุคำอธิบาย
- กำหนด Trigger Condition:
- Incident Type (เช่น Malware, C&C, Brute Force)
- Severity (Low / Medium / High / Critical)
- Asset Group หรือ Source/Destination เฉพาะ
- เลือก Action:
- Block IP via NGAF
- Block User via IAG
- Isolate Host via Endpoint Secure
- เลือกอุปกรณ์ปลายทางที่จะรับ Action
- กำหนดระยะเวลาของ Action เช่น 1 ชั่วโมง, 24 ชั่วโมง หรือถาวร
- Save และ Enable Policy
การตรวจสอบและ Audit
- เมื่อเกิด Incident ที่เข้าเงื่อนไข NDR จะส่งคำสั่งไปยังอุปกรณ์ปลายทางอัตโนมัติ
- ตรวจสอบผลที่ Response > Response Log
- ตรวจสอบที่อุปกรณ์ปลายทางว่ามีการเพิ่ม IP/User/Host เข้า Block/Isolate List
แนวทางการใช้งานที่แนะนำ
- เริ่มจาก Severity สูงก่อน (High/Critical) เพื่อลดความเสี่ยง False Positive
- ทำ Whitelist ของ IP/Host ที่สำคัญ (Server, Gateway) เพื่อไม่ให้ถูก Block อัตโนมัติ
- ตั้งระยะเวลา Block แบบจำกัดเวลาในช่วงแรก แล้วค่อยปรับเป็นถาวรเมื่อมั่นใจ
- ทบทวน Response Log เป็นระยะเพื่อปรับแต่ง Policy
หมายเหตุ
- Auto Response ที่กำหนดผิดอาจทำให้ระบบบริการสำคัญถูก Block โดยไม่ตั้งใจ
- ควรทดสอบใน Lab หรือใน Scope แคบก่อนขยายเข้า Production
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น