บทนำ
Athena NDR สามารถ Integrate กับ Sangfor IAG (Internet Access Gateway) เพื่อให้ระบบสามารถระบุตัวผู้ใช้ (User Identity) ที่อยู่เบื้องหลัง IP ที่ตรวจพบพฤติกรรมน่าสงสัย และสามารถ Block User ผ่าน IAG ได้โดยตรง
ข้อกำหนดเบื้องต้น
- Athena NDR และ IAG ใช้งานได้ปกติ
- IAG เปิด API Access และสร้าง User สำหรับ API
- Network Path ระหว่าง NDR กับ IAG เปิด HTTPS (TCP 443) หรือ Port ที่กำหนด
- มี User Database ที่ถูกต้องใน IAG (เช่น AD Sync, Local User)
ขั้นตอนที่ IAG
- Login เข้า IAG Web Console
- ไปที่ System > Administrator สร้าง API User ที่มีสิทธิ์อ่านข้อมูลผู้ใช้และจัดการ Policy
- เปิด HTTPS Management บน Interface ที่ NDR ติดต่อเข้ามา
- บันทึก Username/Password ไว้
ขั้นตอนที่ Athena NDR
- Login เข้า NDR Console
- ไปที่ Response > Response Devices หรือ System > Integration
- คลิก Add แล้วเลือก Sangfor IAG
- กรอกข้อมูล:
- Name
- IP Address ของ IAG
- Username / Password ของ API User
- Port (default 443)
- คลิก Test Connection แล้ว Save
การใช้งาน User Identity Mapping
- เมื่อ Integration สำเร็จ NDR จะดึงข้อมูล IP-to-User Mapping จาก IAG มาอัตโนมัติ
- ในหน้า Incident จะแสดงชื่อ User ที่เกี่ยวข้องกับ Source IP
- ตรวจสอบได้ที่ Assets > Users หรือในรายละเอียด Incident
Auto Response ผ่าน IAG
- ไปที่ Response > Response Policies สร้าง Policy ใหม่
- เลือก Action Block User via IAG
- กำหนดเงื่อนไข Trigger เช่น Severity >= High
- Save และ Enable
การตรวจสอบ
- สถานะการเชื่อมต่อที่ Response Devices ต้องเป็น Online
- ตรวจสอบว่า NDR แสดงชื่อ User ใน Incident/Asset
- เมื่อเกิด Incident ตาม Policy ตรวจสอบว่า User ถูกเพิ่มเข้า Block List ของ IAG
หมายเหตุ
- Auto Block User ควรเปิดหลังจากทดสอบ False Positive เรียบร้อยแล้ว
- รายละเอียดเพิ่มเติม การทำ Auto Response ร่วมกับอุปกรณ์ Sangfor
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น