ภาพรวมของ Security Events
Security Events เป็นฟีเจอร์บน Sangfor IAG ที่แสดงพฤติกรรมที่ไม่ปลอดภัยที่ตรวจพบโดยอุปกรณ์ ช่วยให้ผู้ดูแลระบบสามารถวิเคราะห์ผู้ใช้และเหตุการณ์ด้านความปลอดภัยแบบ Real-time ได้ สามารถเข้าถึงได้จากเมนู Status > Security Events นอกจากนี้หาก IAG สามารถเข้าถึง Sangfor Neural-X ได้ ยังสามารถดู Hot Events (เหตุการณ์ยอดนิยม) ได้อีกด้วย
ประเภทของ Security Events
Security Events แสดงเหตุการณ์ด้านความปลอดภัยหลายประเภท ได้แก่:
- Botnet - ตรวจพบอุปกรณ์ที่ติดเชื้อ Botnet
- Malicious URL - ตรวจพบการเข้าถึง URL ที่เป็นอันตราย
- Inside DoS Attack - ตรวจพบการโจมตี Denial of Service จากภายในเครือข่าย
- Virus - ตรวจพบไวรัสในเครือข่าย
หน้า Security Events Dashboard
หน้า Dashboard แสดงข้อมูลภาพรวมแบ่งเป็น 2 แท็บหลัก:
1. Security Operations Tab
แสดงภาพรวมของเหตุการณ์ด้านความปลอดภัยทั้งหมด รวมถึงจำนวนผู้ใช้ที่ได้รับผลกระทบ:
- Users - แสดงผู้ใช้ที่เกี่ยวข้อง โดยผู้ใช้ที่ติดเชื้อ (Infected) จะแสดงเป็นสีแดง และผู้ใช้ที่มีแนวโน้มติดเชื้อ (Likely Infected) จะแสดงเป็นสีส้ม
- Security Event - แสดงประเภทเหตุการณ์ เช่น Botnet, Malicious URL, Inside DoS Attack, Virus
- Hot Events - เข้าถึง Sangfor Cloud Nerve เพื่อรับข้อมูล Top 10 Security Events หาก Cloud Diagram เปลี่ยนเป็นสีแดง แสดงว่ามีเหตุการณ์เกิดขึ้น สามารถคลิกเพื่อดูรายละเอียด
2. Security Events Tab
แสดงรายละเอียดของ Security Events ทั้งหมดในรูปแบบตาราง ประกอบด้วย:
- No. - ลำดับรายการ
- Event Type - ประเภทเหตุการณ์ เช่น Inside DoS Attack
- User - ชื่อผู้ใช้ที่เกี่ยวข้อง
- IP Address - IP Address ของผู้ใช้
- Security Rating - ระดับความรุนแรง เช่น High
- Description - คำอธิบายเหตุการณ์ เช่น Host launched outgoing DoS attacks
- Threat Count - จำนวนภัยคุกคามที่ตรวจพบ
- First Match - เวลาที่ตรวจพบครั้งแรก
- Latest Threat - เวลาที่ตรวจพบล่าสุด
- Details - คลิกเพื่อดูรายละเอียดเพิ่มเติม
การดูรายละเอียด Security Event
คลิก Details ในตาราง Security Events เพื่อดูข้อมูลเชิงลึกของแต่ละเหตุการณ์:
- Time - เวลาที่เกิดเหตุการณ์
- Username - IP Address หรือชื่อผู้ใช้
- Group - กลุ่มของผู้ใช้
- Protocol - Protocol ที่ใช้ เช่น UDP, TCP
- URL/Directory - URL หรือ Directory ที่เกี่ยวข้อง
- Src IP / Src Port - IP Address และ Port ต้นทาง
- Dst IP / Dst Port - IP Address และ Port ปลายทาง
- Threat Level - ระดับภัยคุกคาม เช่น High (สีแดง)
- Action - การดำเนินการ เช่น Alert
- Description - คำอธิบายรายละเอียดของเหตุการณ์
การดูข้อมูลผู้ใช้ (Users Tab)
คลิกชื่อ Username เพื่อเข้าสู่แท็บ Users ซึ่งจะแสดงข้อมูลเฉพาะของผู้ใช้แต่ละคน ได้แก่ เวลาที่เกิดเหตุการณ์, คำอธิบาย, Data Packet, ข้อมูลความเสี่ยง และรายละเอียดเพิ่มเติม
การกรองข้อมูล (Filter)
สามารถกรองข้อมูล Security Events ได้โดยคลิก Filter แล้วระบุเงื่อนไข:
- Objects - กรองตาม User Group, Username หรือ IP Address
- Reason - กรองตามประเภทเหตุการณ์ เช่น Flow quota runs out, Duration, Rate Restriction, Costs exceeds maximum, Anti-Proxy, Security
ขั้นตอนการใช้งาน
Step 1: เข้าสู่ Web Console ของ Sangfor IAG
Step 2: ไปที่เมนู Status > Security Events
Step 3: ตรวจสอบ Security Operations Tab เพื่อดูภาพรวมเหตุการณ์ด้านความปลอดภัย
Step 4: คลิกแท็บ Security Events เพื่อดูรายละเอียดเหตุการณ์แต่ละรายการ
Step 5: คลิก Details เพื่อดูข้อมูลเชิงลึก หรือคลิกชื่อ Username เพื่อดูเหตุการณ์ทั้งหมดของผู้ใช้คนนั้น
ข้อแนะนำ
- ควรตรวจสอบหน้า Security Events เป็นประจำ โดยเฉพาะเหตุการณ์ที่มี Security Rating เป็น High
- เหตุการณ์ประเภท Inside DoS Attack ควรได้รับการตรวจสอบทันที เนื่องจากอาจบ่งบอกว่ามีอุปกรณ์ในเครือข่ายที่ถูก Compromise
- ผู้ใช้ที่แสดงเป็นสีแดง (Infected) ควรถูกแยกออกจากเครือข่ายและทำการ Scan/Cleanup ทันที
- ใช้ Filter เพื่อกรองเฉพาะเหตุการณ์ที่สนใจ ช่วยให้วิเคราะห์ได้รวดเร็วขึ้น
- หาก IAG เชื่อมต่อกับ Sangfor Neural-X ให้ตรวจสอบ Hot Events เพื่อรับข้อมูลภัยคุกคามล่าสุด
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น