วิธีตรวจสอบ Signature Database ด้วย Vuln ID บน NGAF/NSF

บทความนี้อธิบายวิธีตรวจสอบและค้นหา Signature ใน Threat Signature Database ของ Sangfor NGAF/NSF โดยใช้ Vuln ID หรือ Vuln Name รวมถึงการตั้งค่า Action สำหรับแต่ละ Signature

ขั้นตอนที่ 1: ตรวจสอบว่า Signature Database เป็นเวอร์ชันล่าสุด

ไปที่ System > Security Capability Update

• ตรวจสอบ Current Version เทียบกับ Latest Version ของ Database ที่ต้องการค้นหา (เช่น IPS, WAF)
• หากไม่ใช่เวอร์ชันล่าสุด ให้กด Update เพื่ออัปเดต Signature Database ก่อน

ขั้นตอนที่ 2: ค้นหา Signature ด้วย Vuln ID

ไปที่ Objects > Threat Signature Database > Security Database

1. เลือก Signature Database Type ที่ต้องการ:
   • WAF Signature Database: SQL Injection, XSS, WebShell เป็นต้น
   • IPS Signature Database: ช่องโหว่ของระบบและ Application
   • Malware Signature Database: Trojan, Ransomware, Phishing, Botnet เป็นต้น
   • Passive Vulnerability Scan Database: ช่องโหว่ของ Web/Database/FTP/Mail Server
2. เลือกวิธีค้นหา:
   • Vuln ID: ใส่หมายเลข ID ของช่องโหว่ เช่น CVE ID
   • Vuln Name: ใส่ชื่อช่องโหว่หรือ Keyword ที่ต้องการค้นหา
3. กด Search เพื่อดูผลลัพธ์

ขั้นตอนที่ 3: ตรวจสอบผลการค้นหาและตั้งค่า Action

ผลการค้นหาจะแสดงรายละเอียด Signature ที่ตรงกัน

สามารถเลือกตั้งค่า Action ของแต่ละ Signature ได้ 3 สถานะ:

• Enabled - Block: บล็อก Packet ที่ตรงกับ Signature
• Enabled - Allow: บันทึก Log แต่อนุญาตให้ Traffic ผ่าน
• Disabled: ปิดการทำงานของ Signature นั้น

นอกจากนี้ยังสามารถกด Edit Global Action เพื่อตั้งค่า Action ทั้งหมดพร้อมกันได้ (Default Action หรือ Block ทั้งหมด)

หมายเหตุ

• การตั้งค่า Action ของ Signature จะมีผลก็ต่อเมื่อ Network Security Policy มี Policy ที่ตั้งค่า Deny ไว้ด้วย — ดูรายละเอียดเพิ่มเติมที่ Best Practice สำหรับ Network Security Policy บน NGAF
• ควรอัปเดต Signature Database ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ เพื่อให้ครอบคลุมช่องโหว่ใหม่ล่าสุด
• สามารถค้นหา CVE ได้อีกช่องทางที่ Home > Quick Links > CVE Search โดยค้นหาด้วย CVE ID (Exact Match) หรือ Vuln Name (Fuzzy Search)