×
ข้ามไปยังเนื้อหาหลัก

Responses บน Athena XDR (Isolate, Block, Fix, Scan)

ปรับปรุงเมื่อ

Responses คืออะไร

หน้า Responses เป็นศูนย์กลางสำหรับดูและจัดการ response actions ทั้งหมดที่ดำเนินการบน Sangfor XDR เข้าถึงได้ที่ Detection & Response > Responses ประกอบด้วย tabs: Isolate Host, Block Address, Block Domain Name, Fix File, Trust File, Block Process และ Virus Scan

Responses page showing tabs for Isolate Host, Block Address, Block Domain Name, Fix File, Trust File, Block Process, and Virus Scan

Isolate Host - การแยก Host

Sangfor XDR สามารถ isolate malicious hosts เพื่อป้องกันภัยคุกคามเช่น viruses และ trojans จากการแพร่กระจาย โดยทำงานร่วมกับ Endpoint Secure

ข้อมูลที่แสดง: IP address ของ host, associated security alerts, associated security incidents, isolation status, connected device

ขั้นตอนการ Isolate Host

Step 1. ไปที่หน้า details ของ security incident คลิก Threat Entities tab

Step 2. คลิก Hosts ในแผง Entities ด้านซ้าย เลือก host ที่ต้องการ isolate

Step 3. คลิก Isolate Host ยืนยันข้อมูลในหน้าต่างที่ปรากฏ คลิก OK

หลังจาก isolate แล้วดูได้ที่ Responses > Isolate Host

การ Restore: เมื่อแก้ไข incident เรียบร้อย ไปที่ Responses > Isolate Host เลือก host คลิก Restore เพื่อคืนสถานะการสื่อสารปกติ

Isolate Host dialog showing host IP and connected device options

Block Address - การบล็อก Address

บล็อก malicious addresses เช่น IP addresses, URLs, domain names โดยทำงานร่วมกับ Network Secure เพื่อเพิ่มประสิทธิภาพ security operation

Responses Asset Isolation list showing isolated host with status

ขั้นตอนการ Block Address

ไปที่ Responses > Block Address คลิก Add กำหนดพารามิเตอร์:

  • Rule Name - ชื่อ rule
  • Block Type - IP Addresses, URL หรือ Domain Name
  • Block Method - Network-Side Block (IP Level Block) หรือ Endpoint-Side Block (Port Level Block)
  • Connected Device - อุปกรณ์ที่ใช้ดำเนินการ
  • IP Type - Src IP หรือ Dst IP
  • Block Duration - Permanently block หรือ Custom

หมายเหตุ: Src IP ในหน้าต่าง Block Address หมายถึง IP address ของเหยื่อ (victim) หลังจากบล็อกแล้วสามารถ unblock ได้

ตัวอย่าง: บล็อก Domain Name ผ่าน Network Secure

Step 1. ไปที่ Responses > Block Address คลิก Add

Step 2. ตั้ง Rule Name, Block Type เป็น Domain Name, Block Method เป็น Network-Side Block, Connected Device เป็น All, Domain Name เป็น domain ที่ต้องการบล็อก, Block Duration เป็น Permanently block คลิก OK

ตรวจสอบได้ที่ Network Secure console: SOC > Blacklist/Whitelist > Blacklist > Global Blacklist

ตัวอย่าง: บล็อก IP จาก Security Incident

Step 1. ไปที่ Security Incidents คลิกชื่อ incident เข้าหน้า details คลิก Threat Entities tab เลือก WAN IPs เลือก IP ที่ต้องการ คลิก Block Address

Step 2. ยืนยันการตั้งค่า คลิก OK สถานะ incident จะเปลี่ยนเป็น Blocked

Block Domain Name - การบล็อก Domain Name

บล็อก domain name เพื่อป้องกัน host จากการเข้าถึง domain ที่เป็นอันตราย

ข้อกำหนด: ต้องใช้ Endpoint Secure V3.0.35+, Network Secure V8.0.48 (earlier architecture) หรือ V8.0.79+ (latest architecture)

Matching Methods:

  • Exact Match - บล็อก domain เฉพาะที่ระบุ
  • DomainName Suffix Match - บล็อก domain และ subdomains ทั้งหมด

Block States: Blocked, Block Failed, Blocking, Unblocking, Unblock Failed

ขั้นตอนการบล็อก Domain Name จาก Incident

Step 1. ไปที่หน้า details ของ security incident คลิก Threat Entities tab เลือก Domain Names

Step 2. เลือก domain ที่ต้องการ คลิก Fix Domain Name

Step 3. เลือก Endpoint กำหนด Domain Name matching เป็น Domain Name Suffix คลิก OK

ดูสถานะที่ Responses > Block Domain Name

Fix File - การกักกันไฟล์

Sangfor XDR สามารถ quarantine malicious files เช่น trojans, viruses, backdoors ร่วมกับ Endpoint Secure

ข้อมูลที่แสดง: File name, MD5 value, Virus name, Virus type

ขั้นตอนการ Quarantine File

Step 1. บนหน้า Security Alerts เลือก alert คลิก Fix แล้วเลือก Quarantine File

Step 2. ยืนยันข้อมูลในหน้าต่าง คลิก OK

สถานะ alert จะเปลี่ยนเป็น Fixing ดูที่ Responses > Fix File เมื่อสำเร็จสถานะจะเปลี่ยนเป็น Fixed

การ Restore: หากไฟล์เป็น business software ให้เลือกไฟล์คลิก Restore เพื่อยกเลิก quarantine (ดำเนินการได้เฉพาะเมื่อสถานะเป็น Fixed)

Trust File - การเชื่อถือไฟล์

สำหรับ false positive ที่ threat file เป็น business software จริง ใช้ Trust File เพื่อ whitelist ไฟล์ ลด alert noise และรักษาความต่อเนื่องของธุรกิจ

ขั้นตอน:

Step 1. ไปที่ Security Alerts เลือก alert คลิก Fix เลือก Trust File

Step 2. ยืนยันการตั้งค่า คลิก OK

ดูไฟล์ที่ trusted ที่ Responses > Trust File หากยืนยันว่าไฟล์เป็น malware ให้คลิก Untrust เพื่อลบออกจาก trust list

Block Process - การบล็อก Process

หยุดหรือ terminate process ที่เป็นอันตราย เช่น viruses, trojans, spyware เพื่อปกป้องระบบ

ข้อกำหนด: ต้องใช้ Endpoint Secure V3.0.34+

Matching Conditions ที่รองรับ:

  • PID+MD5 (แนะนำ)
  • Process Name
  • MD5
  • Process Path

ขั้นตอนการ Block Process

Step 1. บน Threat Entities tab คลิก Processes เลือก process ที่ต้องการ (เช่น cmd.exe) คลิก Block Process

Step 2. กำหนด Matching Condition เป็น PID+MD5 คลิก OK

ข้อมูล blocked process จะ synchronize กับ XDR แบบ real-time ดูที่ Responses > Block Process

Virus Scan - การสแกนไวรัส

สแกน asset ที่เกี่ยวข้องกับ security incident อย่างครบถ้วนเพื่อตรวจหาความเสี่ยง

ขั้นตอน:

Step 1. ไปที่ Responses > Virus Scan

Step 2. คลิก Add ตั้งค่าพารามิเตอร์:

  • Host - เลือก host ที่ต้องการสแกน
  • Connected Device - อุปกรณ์ที่เชื่อมต่อ
  • Test Type - Full Scan (สแกนไฟล์ทั้งหมด) หรือ Quick Scan (สแกนเฉพาะ critical directories)
  • CPU Usage - High CPU, Balance หรือ Low CPU

Step 3. คลิก OK เพื่อเริ่มสแกน

ดูผลลัพธ์และสถานะการสแกนได้บนหน้า Virus Scan รวมถึง Scan Results, All Task Cycles, All Task Statuses

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น