บทนำ
Athena NDR สามารถ Integrate กับ Sangfor Endpoint Secure แบบ On-Premise เพื่อรวมข้อมูลภัยคุกคามจากฝั่ง Endpoint เข้ากับการวิเคราะห์ Network และใช้ Endpoint Secure เป็นอุปกรณ์ Response สั่ง Isolate Host ที่ตรวจพบภัยคุกคาม (XDR-like experience)
ข้อกำหนดเบื้องต้น
- Sangfor Endpoint Secure Manager (On-Prem) ติดตั้งและใช้งานได้
- Endpoint Secure เวอร์ชันรองรับการ Integrate กับ Athena NDR (แนะนำเวอร์ชันล่าสุด)
- Network Path จาก NDR ถึง Endpoint Secure Manager เปิด HTTPS
- บัญชี Administrator ของ Endpoint Secure สำหรับสร้าง API User
- สำหรับ SaaS Endpoint Secure (Platform-X) ดู Integration กับ SaaS Endpoint Secure
ขั้นตอนที่ Endpoint Secure Manager
- Login เข้า Endpoint Secure Manager
- ไปที่ System > API / Integration
- สร้าง API User พร้อม Permission Management / Response
- บันทึก API Key / Secret หรือ Username / Password ไว้
- ตรวจสอบว่า Interface ของ Manager เปิด HTTPS Access สำหรับ NDR
ขั้นตอนที่ Athena NDR
- Login เข้า Athena NDR Console
- ไปที่ Response > Response Devices หรือ System > Integration
- คลิก Add เลือกประเภท Sangfor Endpoint Secure (On-Prem)
- กรอก:
- Name
- IP / Hostname ของ Endpoint Secure Manager
- Port (default 443)
- API Key / Username และ Password
- คลิก Test Connection เพื่อยืนยันการเชื่อมต่อ
- Save
การตั้งค่า Response Policy
- ไปที่ Response > Response Policies
- สร้าง Policy ใหม่ เลือก Action Isolate Host via Endpoint Secure
- กำหนดเงื่อนไข เช่น Incident Severity >= High หรือพบ Malware ชนิดเฉพาะ
- Save และ Enable
การตรวจสอบ
- สถานะ Integration ที่หน้า Response Devices ต้องเป็น Online
- เมื่อเกิด Incident ที่เข้าเงื่อนไข ตรวจสอบใน Endpoint Secure ว่า Host ถูก Isolate
- ตรวจสอบ Log การสั่ง Response ใน NDR ที่ Response > Response Log
หมายเหตุ
- ควรทดสอบ Action Isolate ในกลุ่มเครื่องเล็กๆ ก่อนเปิดใช้ Production เพื่อลดผลกระทบ
- Integration นี้เฉพาะ Endpoint Secure แบบ On-Prem Manager — หากเป็น SaaS ให้ใช้บทความ SaaS แยก
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น