การตั้งค่า Endpoint Security บน IAG

บทนำ

Endpoint Security บน Sangfor IAG เป็นฟีเจอร์ด้านความปลอดภัยที่ให้การป้องกันอุปกรณ์ปลายทาง (Endpoint) ภายในเครือข่าย LAN ประกอบด้วย 3 ส่วนหลัก ได้แก่ Malware Detection สำหรับตรวจจับมัลแวร์, Endpoint Secure สำหรับเชื่อมต่อกับ Sangfor Endpoint Secure (EDR) เพื่อการตรวจจับและตอบสนองภัยคุกคาม และ Patch Check สำหรับตรวจสอบ Patch ของ Windows ที่ยังไม่ได้ติดตั้ง ฟีเจอร์เหล่านี้ทำงานร่วมกับ Sangfor Neural-X เพื่อสร้างระบบป้องกันภัยคุกคามแบบ 3 มิติ (Three-dimensional Threat Protection)

ข้อกำหนดเบื้องต้น

• เข้าสู่ระบบ Sangfor IAG ด้วยสิทธิ์ Administrator
• สำหรับ Endpoint Secure ต้องมี Sangfor Endpoint Secure Server ที่พร้อมใช้งาน (On Premise หรือ Cloud)
• สำหรับ Patch Check ต้องสร้าง Ingress Rule ใน Objects > Ingress Rule Database ก่อน
• แนะนำให้เชื่อมต่อกับ Sangfor Neural-X เพื่อรับ Threat Intelligence แบบ Real-time

ขั้นตอนที่ 1: การตั้งค่า Malware Detection

Sangfor Malware Detection ใช้การผสมผสานระหว่าง Botnet Behavior Analysis และ Feature Recognition เพื่อระบุและบล็อกมัลแวร์ที่อาจมี Trojan ภายในเครือข่าย LAN โดยมี Cloud Security Detection ในตัวสำหรับส่งข้อมูลความเสี่ยงไปยัง Cloud Virtual Sandbox เพื่อวิเคราะห์

1. ไปที่ Security > Security Configuration > Security Capabilities > Endpoint Security > Malware Detection
2. เลือก Enabled เพื่อเปิดใช้งานฟังก์ชัน
3. กำหนดค่าต่อไปนี้:
   • Excluded Addresses - ระบุ IP Address ที่ไม่ต้องการให้ตรวจจับ สามารถเพิ่มเป็น Whitelist ได้ (เช่น 192.168.0.1, 192.168.0.0/255.255.255.0 หรือ 192.168.0.0-192.168.255.255)
   • Excluded Websites - ระบุเว็บไซต์ที่ไม่ต้องการให้ตรวจจับ โดยกรอกชื่อ Domain หนึ่งรายการต่อบรรทัด (เช่น www.google.com, google.com)
4. ตั้งค่า Action เมื่อตรวจพบมัลแวร์:
   • Give Alert - ส่งการแจ้งเตือนทางอีเมล (ต้องตั้งค่าร่วมกับ System > General > Alarm Option)
   • Block access to malicious URLs - บล็อกการเข้าถึง URL ที่เป็นอันตราย
   • Block source IP - บล็อก IP ต้นทางเป็นระยะเวลาที่กำหนด (หน่วยเป็นนาที)
5. คลิก Commit เพื่อบันทึกการตั้งค่า

ขั้นตอนที่ 2: การตั้งค่า Endpoint Secure (EDR)

Sangfor Endpoint Secure เป็น Endpoint Detection and Response Platform ที่ทำงานร่วมกับ NGAF, IAG และ Cyber Command เพื่อสร้างระบบป้องกันความปลอดภัยรุ่นใหม่ รองรับการเชื่อมต่อทั้งแบบ On Premise และ Cloud

การเชื่อมต่อแบบ On Premise:

1. ไปที่ Security > Security Configuration > Security Capabilities > Endpoint Security > Endpoint Secure
2. เลือก Connection Method เป็น On Premise
3. กรอก Endpoint Secure Server Address (IP Address ของ Sangfor Endpoint Secure Server)
4. คลิก Connect Now เพื่อเชื่อมต่อ

การเชื่อมต่อแบบ Cloud:

1. เลือก Connection Method เป็น Cloud
2. กรอกข้อมูลต่อไปนี้:
   • CorpID - รหัสองค์กรจาก Platform-X
   • Device Name - ชื่ออุปกรณ์
   • Password - รหัสผ่านจาก Platform-X
3. คลิก Enable SaaS Endpoint Secure

เมื่อเชื่อมต่อสำเร็จ หน้า Endpoint Secure จะแสดงรายละเอียดต่างๆ ดังนี้:

• Service Details - ข้อมูลสถานะการเชื่อมต่อ, EDR Server Address, Running Port
• Connected Endpoints - จำนวน Endpoint ที่เชื่อมต่ออยู่
• Correlated Actions - จำนวน Action ที่เกี่ยวข้อง

การตั้งค่า Push Configuration:

ฟังก์ชันนี้ใช้สำหรับ Push หน้าเว็บแจ้งเตือนให้ Endpoint ภายในขอบเขตที่กำหนดติดตั้ง Endpoint Secure Client

1. คลิก Push Configuration
2. เลือก Enabled
3. กำหนด Applicable Object - ระบุ LAN IP Address หรือ IP Segment ที่ต้องการ
4. ตั้งค่า Redirection URL - URL สำหรับดาวน์โหลด Agent
5. กำหนด Interval(s) - ระยะเวลาในการ Push หน้าเว็บซ้ำ (ค่าเริ่มต้น 300 วินาที)
6. คลิก OK เพื่อบันทึก

สำหรับ Endpoint ที่ยังไม่ได้ติดตั้ง Agent จะได้รับหน้า Redirection แสดงลิงก์ดาวน์โหลดสำหรับ Windows และ Linux Client

คลิก View Correlation Details เพื่อดูรายละเอียดของ Endpoint ที่เชื่อมต่อ เช่น EDR Correlation, IP Address, Status, Correlated Actions และ Last Updated

หากต้องการยกเลิกการเชื่อมต่อ คลิก Disconnect from SANGFOR ENDPOINT SECURE

ขั้นตอนที่ 3: การตั้งค่า Patch Check

ฟังก์ชัน Patch Check ใช้สำหรับตรวจจับ Windows Patch ที่ยังไม่ได้ติดตั้งบนเครื่องคอมพิวเตอร์ Client เพื่อแจ้งเตือนผู้ใช้งานที่อาจไม่ตระหนักถึงความปลอดภัย ช่วยปรับปรุงความปลอดภัยของระบบปฏิบัติการและลดภาระงานของผู้ดูแลระบบ

1. ไปที่ Security > Security Configuration > Security Capabilities > Endpoint Security > Patch Check
2. คลิก Configure Now เพื่อเริ่มตั้งค่า
3. ทำตาม 3 ขั้นตอน:
   • Step 1 - เพิ่ม Patch Detection Rule: ไปที่ Objects > Ingress Rule Database > Ingress Rule แล้วคลิก Add เพื่อเพิ่ม Patch-based Rule
   • Step 2 - เพิ่ม Ingress Policy: ไปที่ Access Mgt > Policies แล้วคลิก Add เพื่อเพิ่ม Ingress Policy
   • Step 3 - ดูผลลัพธ์: ไปที่ Objects > Ingress Rule Database เพื่อดูจำนวน Applicable Users และ Illegitimate Users

การตรวจสอบ

• ตรวจสอบหน้า Security Events เพื่อดูเหตุการณ์ด้านความปลอดภัยที่ตรวจพบ โดยสามารถดูได้ที่ Security > Security Events
• หน้า Security Events แสดงข้อมูล Users (สีแดง = Infected, สีส้ม = Likely Infected), Security Events และ Hot Events
• สามารถกรอง Security Event ตาม Security Rating ได้ (All, Infected, High, Medium, Low)
• ตรวจสอบหน้า Security Capabilities > Overview เพื่อดู:
  • Update Overview - สรุปความสามารถด้านความปลอดภัย, Shortest Minutes, Scans in Cloud, Security Events
  • Update Calendar - ปฏิทินการอัปเดต Rule Base ต่างๆ
  • Capability Diagram - แผนผังแสดงฟังก์ชันความปลอดภัยที่เปิดใช้งาน (สีเขียว) และปิดใช้งาน (สีเทา)
• คลิกที่ชื่อ User เพื่อดูรายละเอียด เช่น เวลาที่เกิดเหตุการณ์, คำอธิบาย, Data Packets, Risk Information

หมายเหตุ

• Malware Detection รองรับการตรวจจับ Botnet, Malicious URL, Inside DoS Attack และ Virus
• การเชื่อมต่อ Endpoint Secure รองรับเฉพาะ HTTP Redirection เท่านั้น ไม่รองรับ HTTPS Redirection
• Push Configuration ถูกปิดใช้งานโดยค่าเริ่มต้น ต้องเปิดใช้งานด้วยตนเอง
• แนะนำให้เชื่อมต่อ IAG กับ Sangfor Neural-X เพื่อรับข้อมูล Threat Intelligence จากหลายแหล่ง รวมถึง Real-time Cloud Detection, Big Data Smart Analytics และ Cloud Correlation
• Endpoint Secure ทำงานร่วมกับ Sangfor NGAF, IAG และ Cyber Command เพื่อให้การป้องกันแบบ Correlated Response
• Patch Check ทำงานร่วมกับ Ingress Rule และ Ingress Policy สำหรับการตรวจสอบ Patch บน Windows เท่านั้น