Security Dashboard และ Security Capability Monitor บน Athena XDR

บทนำ

บทความนี้อธิบายรายละเอียดของ Security Dashboard และ Security Capability Monitor ซึ่งเป็น 2 Built-in Monitors ภายใต้โมดูล Home > Monitors บน Sangfor Athena XDR โดย Security Dashboard ใช้สำหรับติดตามความเสี่ยงบน Network และ Endpoint ทั้งหมด พร้อมเข้าถึงโมดูลที่เกี่ยวข้องเพื่อวิเคราะห์และตอบสนองได้อย่างรวดเร็ว ส่วน Security Capability Monitor ใช้สำหรับติดตามความสามารถด้าน Security ของระบบ ทั้งสอง Monitor นี้ช่วยให้เห็นภาพรวมด้านความปลอดภัยขององค์กรแบบ Real-Time ผ่าน Visual Dashboard ที่แสดงข้อมูลซับซ้อนในรูปแบบที่เข้าใจง่าย

ข้อกำหนดเบื้องต้น

• Login เข้า Sangfor XDR Console เรียบร้อยแล้ว
• แนะนำใช้ Google Chrome สำหรับแสดงผล Monitors
• คอมพิวเตอร์ที่ใช้แสดงผล Monitors ควรมี CPU อย่างน้อย 4 Cores และ RAM อย่างน้อย 8 GB
• มีอุปกรณ์ที่ Integrate กับ XDR เพื่อให้มีข้อมูลแสดงผล

ขั้นตอนการเข้าถึง Monitors

1. Login เข้า Sangfor XDR Console
2. ไปที่ Home > Monitors
3. เลือก Monitor ที่ต้องการดู: Security Dashboard หรือ Security Capability Monitor
4. คลิกที่ Monitor เพื่อเปิดดูข้อมูล หรือคลิก Settings ที่มุมล่างขวาเพื่อแก้ไขการตั้งค่า
5. กด F11 เพื่อดู Monitor ในโหมดเต็มหน้าจอ (Full Screen Mode)

Security Dashboard

Security Dashboard ทำหน้าที่ Monitor ความเสี่ยงบน Network และ Endpoint ทั้งหมด พร้อมให้เข้าถึงโมดูลที่เกี่ยวข้องเพื่อวิเคราะห์และตอบสนองได้อย่างรวดเร็ว ช่วยเพิ่มประสิทธิภาพการทำงาน O&M อย่างมาก

1. Days Protected By Sangfor XDR

แสดงจำนวนวันที่ Sangfor XDR ปกป้ององค์กร คำนวณจากวันปัจจุบันลบด้วยวันที่ Activate Sangfor XDR แม้ว่า Service จะได้รับการ Renew หลัง Expiration ก็ยังนับต่อเนื่อง

2. Cloud Expert Real-Time Protection and Threat Simulation

ข้อความที่แสดงเป็นแบบ Fixed ไม่สามารถเปลี่ยนแปลงได้ เมื่อคลิก Threat Simulation จะแสดงหน้า Dynamic Simulation Effect ซึ่งใช้เพื่อให้ผู้ใช้เข้าใจการทำงานของระบบเมื่อยังไม่มีข้อมูลจริง

3. Key Security Indicators

แสดงตัวชี้วัดด้าน Security ที่สำคัญ:

• Security Status - แสดง 2 สถานะ: Secure (ไม่มี Security Incident) หรือ Fixing (มี Security Incidents อยู่)
• Critical/Risky Assets - จำนวน Critical Risky Assets จากทั้งหมด สามารถคลิกเพื่อดูรายละเอียด
• Pending Incidents - จำนวน Pending Incidents (ไม่นับ Whitelisted Incidents)
• Fixed Incidents - จำนวน Incidents ในสถานะ Fixed, Ignored และ Blocked (ไม่นับ Whitelisted Incidents)
• Smart Responses - จำนวน Responses ทั้งหมดจาก Smart Response Feature สามารถคลิกเพื่อไปหน้า Smart Response

Major Threats: แสดงประเภทภัยคุกคามที่พบบ่อยที่สุด สูงสุด 6 ประเภท เช่น Ransomware, Cryptomining, WebShell Upload, Vulnerability Exploit, Hacktool, Infectious Virus สามารถคลิกค่าของแต่ละประเภทเพื่อดู Security Incidents ที่เกี่ยวข้อง

แต่ละตัวชี้วัดใน Critical/Risky Assets, Pending Incidents, Fixed Incidents และ Smart Response จะแสดง Week-over-Week Comparison Trend เปรียบเทียบข้อมูลทุกวันจันทร์เวลา 00:00

4. Critical Asset Protection

แสดงข้อมูลการตรวจสอบสุขภาพ Asset โดยแบ่งเป็น 4 มิติ:

• Security Threat Detection - การตรวจจับภัยคุกคาม
• Attack Surface Identification - การระบุพื้นผิวการโจมตี
• Risky Access Identification - การระบุการเข้าถึงที่มีความเสี่ยง
• Baseline Deviation Analysis - การวิเคราะห์ความเบี่ยงเบนจาก Baseline

ส่วนกลางแสดงรายการประเภท Asset ตามผล Health Check: Critical, High, Medium, Low, Secure, Unknown สามารถคลิก Check Health เพื่อไปหน้า Asset Check

ส่วนล่างแสดง Carousel ของ Risky Assets แบบ Rotation โดยแสดงข้อมูล:

• Asset IP Address
• Incident Quantity
• Vulnerability Quantity
• Weak Password Quantity
• Risky Tool Quantity

แสดงสูงสุด 5 Risky Assets ต่อหน้า และสูงสุด 4 หน้า (รวม 20 Risky Assets) สามารถคลิกชื่อ Asset เพื่อไปหน้า Check Details

5. Organizational Threat Overview

แสดงสถิติภัยคุกคามขององค์กร:

• Massive Security Alerts - จำนวน Logs ทั้งหมดที่เก็บจากทุก Component สามารถคลิกเพื่อไปหน้า Security Logs
• Cloud Detection Alerts - จำนวน Alerts ทั้งหมด สามารถคลิกเพื่อไปหน้า Security Alerts
• Incidents Confirmed by Online Experts - จำนวน XTH Incidents ทั้งหมด
• Machine Identification - จำนวน Incidents ที่ระบุโดย Platform อัตโนมัติ
• Expert Exploration - จำนวน Incidents ที่ระบุโดย Security Experts ผ่าน Threat Hunting (แสดงเป็น XTH Incidents)
• N. E. Correlation - จำนวน Incidents จาก Network และ Endpoint Secure ที่ผ่าน Correlation Analysis
• Fix/All Incidents - จำนวน Fixed/All Security Incidents

ส่วนกลางแสดง Incidents แบ่งตาม Severity Level: Critical, High, Medium, Low, Info

ส่วนล่างแสดง Carousel ของ Security Incidents แบบ Rotation สูงสุด 5 Incidents ต่อหน้า และ 3 หน้า (รวม 15 Incidents) สามารถคลิกชื่อ Incident เพื่อดูรายละเอียด

6. Dynamic Cloud-Network-Endpoint Protection Effect

แสดง Dynamic Effect ของการปกป้องแบบ Cloud-Network-Endpoint:

• Endpoints ที่ติดตั้ง Agent จะแสดงด้วย Agent Icon พร้อมสัญลักษณ์สีเขียวบ่งบอกว่า Endpoint ได้รับการปกป้อง
• Network-Side Devices เช่น Network Secure, STA, Cyber Command แสดงด้วย Network-Side Device Icon (หากไม่มี Device จะแสดงแบบ Dimmed)
• ใน Cloud แสดง Elements: Attack Steps, Contextual Detection, IOA Monitoring, Cloud Threat Intelligence

7. Asset Distribution

แสดง Top 5 Risky Assets แบบ Dynamic ที่ส่วนล่างของหน้า สามารถคลิก Asset เพื่อดู Risk Details ใน Floating Window ที่แสดง Total Incidents, Risky Apps (Hacktool, O&M Tool), Risky Ports (Internet Exposure, Weakness) คลิกเครื่องหมาย > เพื่อไปหน้า Check Details

8. Smart Response

แสดงค่า:

• Threat Responses - ตรงกับ Fixed Threat Entities บนหน้า Smart Response
• Auto Block Rate - ตรงกับ Auto Block Rate บนหน้า Smart Response
• Average Block Time - ตรงกับ Average Block Time Comparison บนหน้า Smart Response

ส่วนล่างแสดง Carousel ของ Threat Entities แบบ Rotation สูงสุด 5 Entities ต่อหน้า และ 3 หน้า (รวม 15 Threat Entities) หาก Smart Response Feature ถูกปิดใช้งาน จะแสดง Empty Status Mark แนะนำให้เปิดใช้งาน

การตรวจสอบ

• Security Dashboard แสดง Key Security Indicators, Critical Asset Protection, Organizational Threat Overview, Dynamic Protection Effect, Asset Distribution และ Smart Response ครบถ้วน
• สามารถคลิกตัวเลขบน Dashboard เพื่อ Drill-Down ไปยังหน้ารายละเอียดได้
• Threat Simulation แสดง Dynamic Simulation Effect เมื่อคลิก
• สามารถกด F11 เพื่อดูในโหมดเต็มหน้าจอ

หมายเหตุ

• แนะนำให้ใช้ Google Chrome สำหรับแสดงผล Monitors โดยคอมพิวเตอร์ควรมี CPU อย่างน้อย 4 Cores และ RAM อย่างน้อย 8 GB
• ค่า Threat Responses, Auto Block Rate และ Average Block Time บน Smart Response Section ไม่สามารถคลิกเพื่อไปยังหน้าที่เกี่ยวข้องได้
• หาก Asset Check Feature ยังไม่ได้เปิดใช้งาน ส่วน Critical Asset Protection จะแสดง Empty Status Mark พร้อมแนะนำให้ไปตั้งค่า
• Week-over-Week Comparison จะเปรียบเทียบข้อมูลทุกวันจันทร์เวลา 00:00 หากไม่มีการเปลี่ยนแปลงจะไม่แสดง Trend
• Security Capability Monitor เป็นอีก Monitor หนึ่งที่ใช้ติดตามความสามารถด้าน Security โดยสามารถเข้าถึงได้จาก Home > Monitors เช่นกัน