×
ข้ามไปยังเนื้อหาหลัก

Risky Assets บน Athena XDR

ปรับปรุงเมื่อ

Risky Assets คืออะไร

หน้า Risky Assets แสดง asset ที่มีความเสี่ยงซึ่ง Sangfor XDR ตรวจพบในเครือข่าย โดยมองจากมุมมองของ asset เช่น servers, endpoints และ network devices ช่วยให้ทีม SOC สามารถจัดลำดับความสำคัญและมุ่งเน้นไปที่ asset ที่ต้องให้ความสนใจเป็นพิเศษ

การเข้าถึงหน้า Risky Assets

เข้าสู่ Sangfor XDR console แล้วไปที่ Detection & Response > Risky Assets

Risky Assets page with filter panel showing Severity, Tag, Criticality, and AssetType options

การกรอง Risky Assets

ที่ส่วนบนของหน้า สามารถกรอง risky assets ได้ด้วยตัวกรองต่างๆ:

  • Severity: Low, Medium, High, Critical
  • Tag: Email Attack, Abnormal Traffic, Brute-Force Attack เป็นต้น
  • Criticality: Noncritical, Critical
  • Asset Type: Unknown, Server, Endpoint, Network Device, IoT Device, Mobile Device, Network Security Product, Enterprise Software, Cloud Platform Software
  • Data Source: EDR, NDR, Other, WatchGuard Firebox, CheckPoint FW, FortiNet FW, Palo Alto FW

หลังจากกรอง risky assets ที่ต้องให้ความสนใจแล้ว สามารถมุ่งเน้นวิเคราะห์และดำเนินการกับ assets เหล่านั้นได้

Risky Asset Details

คลิกชื่อ risky asset เพื่อดูรายละเอียดความเสี่ยง โดยข้อมูลจะแสดงจากมุมมอง 2 ด้าน:

  • Security Incidents - security incidents ที่เกี่ยวข้องกับ asset
  • Security Alerts - security alerts ที่เกี่ยวข้องกับ asset

ทำให้สามารถดู security incidents และ alerts จากมุมมองของ asset ได้อย่างครบถ้วน รายละเอียดความเสี่ยงยังรวมข้อมูล ATT&CK เพื่อช่วยในการวิเคราะห์และประเมินความปลอดภัย

การดำเนินการจาก Risky Asset Details

บน Security Incidents tab ของหน้า Risky Asset Details สามารถเลือก security incident แล้วคลิก Fix Incident เลือก action ที่ต้องการ:

  • Block - บล็อก threat entities
  • Execute SOAR Playbook - รัน SOAR playbook อัตโนมัติ
  • Execute SOAR Action - รัน SOAR action
  • Initiate Ticket - สร้าง ticket เพื่อติดตาม

ข้อมูลที่แสดงในหน้า Risky Assets

หน้า Risky Assets แสดงข้อมูลสำคัญหลายรายการ ได้แก่:

  • AffectedAsset - ชื่อ asset ที่ได้รับผลกระทบ
  • LastDetected - เวลาล่าสุดที่ตรวจพบ
  • AssetGroup - กลุ่มของ asset
  • Business - ประเภทธุรกิจ
  • OS - ระบบปฏิบัติการ
  • Owner - เจ้าของ asset
  • MACAddress - MAC address
  • FirstDetected - เวลาแรกที่ตรวจพบ
  • Hostnames - ชื่อ host

สามารถใช้ Basic Mode พิมพ์ keyword เพื่อค้นหา risky assets ได้อย่างรวดเร็ว

การวิเคราะห์ด้วย ATT&CK Information

จากข้อมูล ATT&CK ที่แสดงในหน้า Risky Asset Details ทีม SOC สามารถ:

  • วิเคราะห์ความปลอดภัยของ asset จากมุมมอง tactics และ techniques ที่ถูกใช้
  • ประเมินระดับความเสี่ยงและผลกระทบต่อธุรกิจ
  • วางแผนมาตรการป้องกันที่ตรงจุดสำหรับแต่ละ asset
  • ติดตามประวัติภัยคุกคามเพื่อระบุ pattern ของการโจมตี

ข้อมูลเพิ่มเติมเกี่ยวกับ Risky Assets

หน้า Risky Assets เป็นส่วนสำคัญของโมดูล Detection & Response ใน Sangfor XDR ที่ช่วยให้มองภัยคุกคามจากมุมมองของ asset แทนที่จะเป็นมุมมองของ alert หรือ incident เพียงอย่างเดียว ทำให้ทีม SOC สามารถเข้าใจสถานะความปลอดภัยของ asset แต่ละตัวได้ชัดเจนขึ้น และนำไปสู่การตัดสินใจที่ดีขึ้นในการจัดสรรทรัพยากรเพื่อปกป้องเครือข่าย

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น