เอกสารนี้อธิบายการตั้งค่า แต่ละหัวข้อใน Sangfor Athena EPP โดยอ้างอิงจาก User Manual เพื่อให้ผู้ดูแลระบบสามารถปรับแต่ง Policy ได้อย่างครบถ้วนที่สุด
สารบัญ
6. System & Risk Assessment
1. General Policies
เมนู: Policies > General Policies หากต้องการ Guide สำหรับการตั้งค่า Best Practice สามารถดูได้จาก Guide นี้ Best Practice สำหรับการตั้งค่า Endpoint Secure Manager
1.1 Basic Config (การตั้งค่าพื้นฐาน)
จัดการข้อมูลองค์กร การติดต่อ และรหัสผ่านความปลอดภัย
-
Asset Attributes:
- Require users to provide asset attributes: บังคับให้ผู้ใช้กรอกข้อมูลเครื่อง (เช่น แผนก, ชื่อผู้ใช้, เบอร์โทร)
- Fields: เลือกฟิลด์ที่ต้องการแสดงหรือบังคับกรอก (Department, Owner, Asset Name, Phone, Email, Location, Asset Number, Staff No.)
-
Administrator Contact Information:
- Show contact information: แสดงชื่อ เบอร์โทร และอีเมลของผู้ดูแลระบบบนหน้าต่าง Agent เพื่อให้ผู้ใช้ติดต่อได้
-
Notifications:
- Mute notifications: ปิดการแจ้งเตือนทั้งหมดบนเครื่องลูกข่าย (User จะไม่เห็น Pop-up เตือนภัยคุกคาม)
-
Agent Administration Passwords (รหัสผ่านเพื่อความปลอดภัย):
- Exit Password: รหัสผ่านสำหรับปิดโปรแกรม Agent
- Uninstallation Password: รหัสผ่านสำหรับถอนการติดตั้ง Agent (สำคัญมาก)
- Trust Zone Password: รหัสผ่านเมื่อผู้ใช้ต้องการเพิ่มไฟล์ลงใน Trust List ด้วยตนเอง (เฉพาะ Windows)
-
Advanced Threat Detection and Log Collection:
- Collect/Report endpoint behavior data: เก็บข้อมูลพฤติกรรม (File, Network, Registry, DNS) ส่งไปวิเคราะห์ที่ Athena XDR/MDR
- Collect Windows Security Logs: เก็บ Log จาก Event Viewer เพื่อวิเคราะห์
1.2 Anti-Malware (การป้องกันมัลแวร์)
-
Scheduled Scan (ตั้งเวลาสแกน):
- Scan Type: Quick Scan (จุดสำคัญ), Full Scan (ทั้งเครื่อง)
- Scan Mode: High CPU, Adaptive (แนะนำ), Low CPU
- Continuous Scan: สแกนต่อจากจุดเดิมหากรอบที่แล้วทำไม่เสร็จ
-
Malware Scan (พารามิเตอร์การสแกน):
- Lock Malware Scan: ล็อคการตั้งค่าห้ามผู้ใช้แก้
- File Type ที่ต้องการให้ Agent Scan: Document, Script, Executable, Compressed (รองรับไฟล์บีบอัดซ้อนกัน), Low Risk
- Portable Device Scan: สแกน USB ทันทีที่เสียบ
- Detection Mode: Standard, Low Resource, High Detection Rate (ระวัง False Positive)
- Action: Auto Fix - Business Continuity, Auto Fix - Security First (แนะนำ), Report Only
- Engines: เลือกเปิด/ปิด Local Reputation, Engine Zero (AI), Cloud-Based Engine
-
Antivirus Database Engine:
- Update Source: เลือกแหล่งอัปเดต (ผ่าน Manager หรือ Update Servers อื่นๆ)
1.3 Realtime Protection (การป้องกันแบบเรียลไทม์)
- Auto-Fix of High Confidence Events: เปิดเพื่อให้ระบบจัดการภัยคุกคามที่มีความมั่นใจสูงโดยอัตโนมัติ
-
Realtime File Protection:
-
Protection Level:
- High: ตรวจสอบ Access, Read, Write, Execute (กินทรัพยากรสูง)
- Medium: ตรวจสอบ Write, Execute (แนะนำ)
- Low: ตรวจสอบ Execute อย่างเดียว
- Action: Auto Fix หรือ Report Only
-
Protection Level:
-
Hacktool Protection (Windows Only):
- Block suspicious drivers: บล็อกการทำงานของไดรเวอร์ต้องสงสัยในช่วงเวลาที่ตั้งไว้
- Block hacktools: บล็อกโปรแกรมแฮ็ก
-
WebShell Detection (สำหรับ Web Server):
- Scan Method: One-time (ติดตั้งครั้งแรก), Realtime (ไฟล์ใหม่), Scheduled (ตามรอบ)
- Action: Auto Fix, Report Only
- Web Directory: ต้องระบุ Path ของเว็บไซต์ให้ถูกต้อง
-
Brute-Force Attack Detection:
- Services: RDP, SMB, SQL Server, SSH (Linux)
- Trigger: จำนวนครั้งที่ผิดพลาดภายในเวลาที่กำหนด
- Action: Block (ชั่วคราว/ถาวร), Report Only
- Suspicious Login Detection: ตรวจจับการล็อกอินเวลาแปลกๆ หรือจาก IP ที่ไม่คุ้นเคย
-
Fileless Attack Protection:
- Suspicious PowerShell script: ตรวจจับสคริปต์ PowerShell อันตราย
- Action: Block script execution, Alert Only
1.4 Anti-Ransomware (การป้องกันแรนซัมแวร์)
-
Ransomware Protection:
- Honeypot: วางไฟล์ล่อเพื่อดักจับการเข้ารหัส
- Backup: สำรองไฟล์ที่กำลังถูกแก้ไขโดย Process ต้องสงสัย (Rollback ได้)
- File Restoration: ตั้งรหัสผ่านก่อนกู้คืนไฟล์
- Snapshot-based recovery: ใช้ VSS ของ Windows กู้คืนทั้งระบบ
-
RDP Secondary Authentication:
- บังคับใส่รหัสผ่านชั้นที่ 2 ของ Sangfor เมื่อมีการ Remote Desktop
- Password: Default (เลขท้ายเบอร์ Admin), Custom (ตั้งเอง)
- Schedule: ช่วงเวลาบังคับใช้
- Whitelist: IP ที่ยกเว้นไม่ต้องถามรหัสผ่านชั้นที่ 2
-
Trusted Processes (การป้องกันเชิงรุก):
- Scenario 1 Protect OS: อนุญาตเฉพาะ Process ที่เรียนรู้แล้ว (Whitelisted) ให้ทำงานได้ ป้องกัน Process แปลกปลอมรัน
- Scenario 2 Protect Directories: ล็อคโฟลเดอร์สำคัญ ห้าม Process ที่ไม่รู้จักมาแก้ไข/ลบไฟล์ (ป้องกัน Ransomware เข้ารหัสไฟล์สำคัญ)
1.5 Trust List (รายการที่น่าเชื่อถือ)
- Brute-Force Protection IP Whitelist: รายชื่อ IP ที่อนุญาตให้ล็อกอินผิดพลาดได้โดยไม่โดนบล็อก
- PowerShell Parameter Whitelist: คำสั่ง PowerShell เฉพาะที่อนุญาตให้รันได้ (ป้องกัน False Positive จาก Script ของ Admin)
1.6 General Settings (การตั้งค่าทั่วไป)
- Intelligent Identification of Development Environment: สำหรับเครื่องนักพัฒนา (Developer) ระบบจะพยายามเรียนรู้และลดการสแกนไฟล์ที่เกิดจากการ Compile Code เพื่อลดการหน่วงและ False Positive
-
Quarantine Management:
- Backup Settings: เก็บไฟล์ต้นฉบับก่อน Clean
- Space Settings: จำกัดพื้นที่เก็บไฟล์กักกัน
- Agent Bypass: หาก Agent กิน CPU/Memory เกินค่าที่กำหนด ให้หยุดทำงานชั่วคราว (Bypass) เพื่อคืนทรัพยากรให้เครื่อง
- Agent Performance Protection: รีสตาร์ท Process ของ Agent หากกินทรัพยากรผิดปกติ
1.7 Vuln Remediation (การจัดการช่องโหว่)
-
Restart After Patch Installation:
- Remind users to restart: แจ้งเตือนผู้ใช้ให้รีสตาร์ทหลังลง Patch เสร็จ
- Vulnerability Scanning and Patching: ตั้งเวลาสแกนและรูปแบบการลง Patch (อัตโนมัติ หรือ โหลดมารอไว้)
- Download Security Patches: เลือกแหล่งดาวน์โหลด (Sangfor CDN, MS Patch Server, หรือ Manager เป็น Proxy)
1.8 Endpoint Control (การควบคุมอุปกรณ์และการเชื่อมต่อ)
-
USB Device Control:
- Control Policy: Block (ห้ามใช้), Read Only (อ่านอย่างเดียว), Full Access (ใช้ได้ปกติแต่เก็บ Log), Read & Execute
- Whitelist: อนุญาต USB เฉพาะ Serial Number ที่ระบุ
-
Unauthorized Outbound Access Detection:
- ตรวจจับการเชื่อมต่อไปยังเซิร์ฟเวอร์ภายนอกที่ไม่ได้รับอนุญาต (เช่น เครื่องภายในพยายามออกเน็ตเอง)
- Action: Report Only, Disconnect Internet (ตัดเน็ต), Shut Down
-
Remote Support Control:
- ตั้งค่าการรีโมทจาก Admin ว่าต้องให้ User กดอนุญาต (Consent) ก่อนหรือไม่
- Cleanup: ลบไฟล์ขยะในเครื่อง
1.9 Customization (การปรับแต่ง)
- เปลี่ยน Logo และชื่อของ Agent เพื่อแสดงความเป็นแบรนด์ขององค์กร
2. Detection Policies (นโยบายการตรวจจับ)
เมนู: Policies > Detection Policies
- File Hashes: เพิ่ม MD5/SHA256 ของไฟล์เพื่อกำหนดค่าเฉพาะ (เช่น สั่ง Block ทันที หรือ Allow ไฟล์นี้เสมอ) การทำ Whitelist ด้วย File Hash MD5
- WebShell Directories: ระบุ Path เพิ่มเติมที่ต้องการให้สแกนหา WebShell เป็นพิเศษ การตั้งค่า WebShell Detection
3. Exclusions (การยกเว้น)
เมนู: Policies > Exclusions ใช้สำหรับยกเว้นการตรวจสอบเพื่อแก้ปัญหาโปรแกรมใช้งานไม่ได้ หรือ False Positive
-
Excluded Extensions: ยกเว้นตามนามสกุลไฟล์ (เช่น
.log,.tmp) -
Excluded Paths: ยกเว้นตามโฟลเดอร์ หรือไฟล์ (เช่น
D:\Database\) - Excluded IOAs: ยกเว้นกฎ Indicator of Attack บางข้อ (Advanced Threat)
- Event Whitelists: ยกเว้นเหตุการณ์ความปลอดภัยที่เคยตรวจจับได้แล้ว (ไม่ให้แจ้งเตือนซ้ำ)
4. Behavior Control (การควบคุมพฤติกรรม)
เมนู: Policies > Behavior Control
-
Watermark (ลายน้ำ):
- แสดงลายน้ำบนหน้าจอเครื่องลูกข่าย (เช่น แสดงชื่อ User, IP, เวลา)
- ป้องกันการถ่ายรูปหน้าจอข้อมูลความลับ (Data Leakage)
- ปรับความเข้ม (Opacity) และความถี่ (Density) ได้
5. App Control (การควบคุมแอปพลิเคชัน)
เมนู: Policies > App Control
-
App Blacklists: บล็อกห้ามรันโปรแกรมตามรายชื่อ (เช่น ห้ามเล่นเกม, ห้ามใช้ BitTorrent)
- กำหนดเวลาบังคับใช้ได้ (เช่น ห้ามเฉพาะเวลางาน)
- App Signature Database: เพิ่ม Signature ของโปรแกรมบริษัท (Custom App) เพื่อใช้ในการควบคุม
- Metering Policies: ตรวจสอบการใช้งานซอฟต์แวร์ (Software Metering) ว่ามีการใช้งานกี่ License เกินโควต้าหรือไม่
- Software Uninstallation: สั่งถอนการติดตั้งโปรแกรมที่ไม่พึงประสงค์ออกจากเครื่องลูกข่าย (เฉพาะ Windows)
6. System & Risk Assessment (การตั้งค่าระบบและความเสี่ยง)
Risk Assessment
- Windows Update: จัดการ Patch ของ Windows (Scan, Install)
- Vulnerabilities: จัดการช่องโหว่ของ Linux และ 3rd Party Apps
- Compliance Check: ตรวจสอบการตั้งค่าเครื่องให้ตรงตามมาตรฐาน (เช่น Password Policy, Screen Saver)
Integrity Monitoring
- Hardware Changes: ตรวจจับการเปลี่ยนแปลงอุปกรณ์ฮาร์ดแวร์ในเครื่อง (เช่น แรมหาย, ฮาร์ดดิสก์เปลี่ยน)
System Settings (ที่เกี่ยวข้องกับความปลอดภัย)
- Login IP Restriction: จำกัด IP ที่อนุญาตให้ล็อกอินเข้าหน้า Console Manager
- Password Policy: บังคับความยากง่ายและอายุของรหัสผ่าน Admin
- Session Timeout: ตั้งเวลา Logout อัตโนมัติเมื่อไม่ได้ใช้งาน
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น