Smart Response คืออะไร
Sangfor XDR มีระบบ Smart Response (Auto Containment) ที่ช่วยตอบสนองต่อภัยคุกคามโดยอัตโนมัติ โดยตั้งค่าได้ 3 ส่วนหลัก ได้แก่ Mode Selection, Connection Method และ Advanced settings
Mode Selection - การเลือกโหมด
Sangfor XDR มี 3 โหมดสำหรับ smart response:
- Business First Mode - ให้ความสำคัญกับความต่อเนื่องของธุรกิจ ตอบสนองต่อ security incidents และ alerts ขณะลด false positives
- Security First Mode - เน้นความปลอดภัยสูงสุด ตรวจจับและป้องกันภัยคุกคามทั้ง high-confidence incidents และ alerts เพื่อเพิ่ม protection effectiveness
- Monitoring Mode (ค่าเริ่มต้น) - จำลองการทำงานของ Business First Mode โดยไม่ดำเนินการจริง ใช้ real-time data เพื่อทดสอบผลลัพธ์ สามารถจัดการ smart response rules ได้ในช่วงนี้
การเลือกโหมดที่เหมาะสมช่วยลด false positives ได้อย่างมีนัยสำคัญ
Connection Method - วิธีการเชื่อมต่อ
Sangfor XDR สามารถเชื่อมต่อกับอุปกรณ์อื่นๆ เพื่อทำ smart response ร่วมกัน:
- Network-Side Devices - เชื่อมต่อกับ Network Secure
- Endpoint-Side Devices - เชื่อมต่อกับ Endpoint Secure
หมายเหตุสำคัญ: Sangfor XDR สามารถบล็อกภัยคุกคามได้แม้จะเชื่อมต่อกับอุปกรณ์เพียงฝั่งเดียว (Network Secure หรือ Endpoint Secure อย่างใดอย่างหนึ่ง)
สามารถตั้งค่าให้ smart response features apply กับ newly connected devices โดยอัตโนมัติเมื่ออุปกรณ์ตรงกับ device type ที่กำหนด
Advanced Settings
ตั้งค่าขั้นสูงสำหรับ smart response:
Block Duration:
- Permanently block - บล็อก IP address ถาวร (ไม่รองรับ domain name block และ file quarantine)
- Custom - กำหนดระยะเวลาบล็อกเอง
Effective Period:
- All - smart response ทำงานตลอดเวลา
- Specified - smart response ทำงานเฉพาะช่วงเวลาที่กำหนด
สำคัญ: หากเวลาปัจจุบันอยู่นอก effective period ระบบจะไม่ดำเนินการ smart response แม้ว่าเงื่อนไขจะตรงก็ตาม สามารถเพิ่ม effective period entries ได้สูงสุด 10 รายการ
Custom Response Rules
สร้าง custom response rules สำหรับสถานการณ์เฉพาะ:
- Response (auto remediate entities) - กำหนด IP addresses, Domain Names หรือ Files ที่ต้องการให้ระบบตอบสนองโดยอัตโนมัติ
- Exclusion (do not remediate entities) - กำหนด entities ที่ต้องการยกเว้นจาก auto response เช่น legitimate internal services ที่ถูก block โดยผิดพลาด
Example Scenario 1: Virus Attack Response
องค์กร A พบว่า endpoints ของพนักงานถูกโจมตีด้วยไวรัสบ่อยครั้ง IP address 104.152.52.54 ถูกโจมตีซ้ำ ต้องการเปิดใช้ smart response สำหรับ IP นี้
ขั้นตอน:
Step 1. ไปที่ Detection & Response > Smart Response > Custom Response Rules คลิก Add
Step 2. เลือก Response กำหนด Type เป็น IP Address ป้อน 104.152.52.54
Step 3. ตั้งค่า Connection Method โดยคลิกไอคอน settings ที่ Monitoring Mode เลือก mode และ connected devices
Step 4. เสร็จสิ้นการตั้งค่า เมื่อมีการโจมตี IP นี้อีก ระบบจะ block โดยอัตโนมัติ
ดู response record ที่ Smart Response > Response History และ blocked IP ที่ Responses > Block Address
Example Scenario 2: Whitelist Configuration
องค์กร A เปิดใช้ smart response แล้ว แต่พบว่าระบบบล็อก domain name ของ internal service ที่ถูกต้อง
ขั้นตอน:
Step 1. ไปที่ Smart Response > Custom Response Rules คลิก Add
Step 2. เลือก Exclusion (do not remediate entities and exclude configured service addresses by default)
Step 3. กำหนด Type เป็น Domain Name ป้อน domain name ที่ต้องการยกเว้น คลิก OK
Limits - ข้อจำกัดของ Smart Response
ข้อจำกัดสำคัญที่ควรทราบ:
- ทั้ง Network Secure และ Endpoint Secure สามารถ block public/internal IP addresses ได้
- ทั้งสองฝั่งสามารถ block domain names ได้
- เฉพาะ Endpoint Secure เท่านั้นที่สามารถ quarantine files
- Whitelist มี priority สูงกว่า Blacklist
- ค่าเริ่มต้นของ smart response คือ Monitoring Mode
- เพิ่ม effective period entries ได้สูงสุด 10 รายการ
Threat Tagging Logic
ระบบ tag threat entities สำหรับ smart response ตาม logic ดังนี้:
- Inbound: tag source IP ที่เป็น malicious ตาม threat intelligence หรือ high-risk/high-confidence alerts
- Outbound: tag destination IP ที่เป็น malicious ตาม threat intelligence หรือ malicious DNS domains
- File MD5: tag virus files ที่เป็น malicious ตาม threat intelligence หรือ security incidents ที่มี malicious files/processes
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น