×
ข้ามไปยังเนื้อหาหลัก

FAQ สำหรับ Athena XDR

ปรับปรุงเมื่อ

FAQ สำหรับ Athena XDR - คำถามที่พบบ่อย

บทความนี้รวบรวมคำถามที่พบบ่อยเกี่ยวกับ Sangfor Athena XDR ทั้ง SaaS และ On-Premise (Omni-Command) เพื่อช่วยให้ทีม IT และ Security Engineer สามารถแก้ไขปัญหาและเข้าใจการทำงานของระบบได้ดียิ่งขึ้น

Q1: Athena XDR มี Scenario หรือ Capability ใดบ้างที่ยังไม่รองรับ?

A: ปัจจุบัน Athena XDR ยังไม่รองรับ Customization Requests บางประเภท, Multi-Branch SaaS ES Integration, การ Cascade ไปยัง On-Prem XDR และการ Data Export ไปยัง Third-Party Platform โดยตรง กำหนดการพัฒนาสำหรับฟีเจอร์เหล่านี้ยังไม่ถูกกำหนดหรืออยู่ระหว่างการพิจารณา

Q2: เมื่อ SaaS ES อยู่คนละ Region กับ Athena XDR จะเกิดปัญหาอะไร?

A: หาก SaaS ES ทำงานอยู่ใน Region หนึ่ง (เช่น Malaysia) และ Athena XDR อยู่อีก Region (เช่น Indonesia) การ Integration จะล้มเหลวเนื่องจาก Data Lake ถูกแยกออกจากกัน วิธีแก้ไขคือ Migrate ทั้ง SaaS ES และ Athena XDR ไปยัง Regional Node เดียวกันที่ใช้ Data Lake ร่วมกัน

Q3: Proxy Integration กับ Athena XDR ทำงานอย่างไร?

A: เมื่อ Proxy ถูก Integrate กับ Athena XDR และแสดงสถานะ Online นั่นหมายความว่า xlink Response ทำงานปกติเท่านั้น แต่ไม่ได้หมายความว่าข้อมูลจะถูก Upload ได้โดยอัตโนมัติ ต้อง Verify การ Upload ของ Third-Party Logs ด้วยตนเองที่หน้า Security Log เพื่อยืนยันว่าข้อมูลเข้าสู่ระบบจริง

Q4: สามารถเปลี่ยน Time Zone ระดับ Tenant ได้หรือไม่?

A: ปัจจุบัน Athena XDR ยังไม่รองรับการเปลี่ยน Time Zone ระดับ Tenant ลูกค้าจะใช้ Cluster Timezone เป็นค่าเริ่มต้น ข้อจำกัดนี้สามารถแก้ไขได้ในเวอร์ชันที่จะออกในอนาคต

Q5: ทำไมค้นหา Third-Party Alert จากหน้า Security Alert ไม่ได้?

A: Third-Party Alert ไม่สามารถค้นหาได้จากหน้า Security Alert เนื่องจากมี Filtering Bug ในระบบ วิธีแก้ปัญหาชั่วคราวคือใช้การกรองด้วย Device Source แทน ปัญหานี้จะได้รับการแก้ไขในเวอร์ชัน 2.0.35

Q6: Third-Party Alert สามารถรวมกับ Sangfor Device Alert เป็น Incident เดียวกันได้หรือไม่?

A: ไม่ได้ เนื่องจาก Third-Party Alert ที่มีแนวโน้ม False Positive สูงจะไม่ถูกนำมาสร้างเป็น Incident และ HTTP Alert ที่ไม่มี Response Packet จะถูกตัดทิ้งเป็น Noise ดังนั้น Alert Stitching ข้าม Vendor จึงไม่สามารถทำได้ในปัจจุบัน ต้องจัดการ Configuration และ Expectation ให้เหมาะสม

Q7: การตั้งค่า Domain Name สำหรับ Regional Deployment ต้องทำอย่างไร?

A: สำหรับ ES/STA/CC/NSF Beta Version ที่ Deploy ใน Regional Deployment (เช่น Indonesia หรือ Malaysia) ต้องแก้ไขไฟล์ Hosts บน Server ด้วยตนเองเพื่อ Redirect ไปยัง Regional Domain Name ที่เหมาะสม การตั้งค่านี้จำเป็นสำหรับให้ Service ต่าง ๆ สามารถสื่อสารกับ Regional Server ได้ถูกต้อง

Q8: Athena XDR รองรับ File Audit และ Sandbox หรือไม่?

A: Athena XDR ไม่รองรับ File Audit หรือ Sandbox Feature โดยตรง เนื่องจากผลิตภัณฑ์ไม่ได้ให้ความสำคัญกับ Sandbox Functionality เป็นหลัก หากต้องการใช้งาน Sandbox สามารถใช้ Cyber Command File Threat Feature เป็นทางเลือกแทนได้

Q9: ระบบ Broker ของ Athena XDR ใช้ OS อะไร? มีปัญหาด้าน Compliance หรือไม่?

A: Broker ใช้ระบบ PLATOS ที่พัฒนาขึ้นเอง ใช้ Linux Kernel 4.18.0 ร่วมกับ Community Patches ไม่มีการใช้งาน Red Hat หรือ CentOS ที่อาจก่อให้เกิดปัญหาด้าน License Compliance

Q10: การติดตั้ง HCI VM-Tools โดย Broker มีผลกระทบอะไรหรือไม่?

A: การติดตั้ง HCI VM-Tools โดย Broker ไม่มีผลกระทบต่อการทำงานของระบบ สามารถดำเนินการได้โดยไม่ต้องกังวล

Q11: Security GPT รองรับ Third-Party Device Logs หรือไม่?

A: รองรับ Security GPT สามารถ Interpret Logs จาก Third-Party Device ได้ และสามารถ Aggregate Alerts จากทั้ง Sangfor Device และ Third-Party Vendor เข้าด้วยกันเพื่อวิเคราะห์ร่วมกัน

Q12: ก่อน Integrate Third-Party Device เข้ากับ Athena XDR ต้องเตรียมข้อมูลอะไรบ้าง?

A: ต้องเตรียมข้อมูลดังนี้:

  • ระบุวัตถุประสงค์ของการ Integration อย่างชัดเจน
  • รายละเอียด Third-Party Device: ยี่ห้อ, ประเภท, Deployment Mode
  • ข้อมูล Virtualization Environment ที่ใช้งาน
  • ทรัพยากรสำหรับ Broker Deployment: 4 CPU, 8GB RAM, 256GB Storage
  • Log Transmission Protocol ที่ใช้ (เช่น Syslog, API)
  • ตรวจสอบ Network Connectivity ระหว่าง Device และ Athena XDR
  • ยืนยันขอบเขตของ Data Fusion และ SOAR Integration หลัง Deployment

Q13: Athena XDR ใช้ Outbound Bandwidth เท่าไร?

A: การใช้ Outbound Bandwidth ขึ้นอยู่กับ Component ที่ใช้งาน:

  • STA (Advanced) - ใช้ประมาณ 10MB/s ต่อ 1Gbps Mirrored Traffic
  • EPP (On-Premises) สำหรับ PC - ใช้ประมาณ 0.5MB/s สำหรับ 1,000 เครื่อง
  • EPP (On-Premises) สำหรับ Server - ใช้ประมาณ 2MB/s สำหรับ 1,000 เครื่อง

คำถามเพิ่มเติมที่พบบ่อยจากลูกค้าในประเทศไทย

Q14: SaaS XDR กับ On-Premise XDR ต่างกันอย่างไร?

A: ความแตกต่างหลัก:

  • SaaS XDR (Athena) - ทำงานบน Cloud ของ Sangfor ไม่ต้องจัดการ Server เอง อัปเดตอัตโนมัติ เหมาะสำหรับองค์กรที่ต้องการลดภาระ IT Infrastructure
  • On-Premise XDR (Omni-Command) - ติดตั้งบน Server ขององค์กร ข้อมูลอยู่ภายใน Data Center ต้องจัดการ Maintenance เอง เหมาะสำหรับองค์กรที่ต้องการ Data Sovereignty สูง

Q15: Athena XDR รองรับ Firewall ยี่ห้ออะไรบ้างสำหรับ SOAR Integration?

A: Athena XDR รองรับ Firewall หลากหลายยี่ห้อสำหรับ SOAR Integration ได้แก่ Sangfor Network Secure (NGAF), Hillstone Firewall, Palo Alto Firewall, Fortinet FortiGate (RESTful V2), Huawei Firewall, Sophos Firewall (Sophos XG), WatchGuard Firewall, FortiGate Firewall, Optech Firewall เป็นต้น

Q16: ต้องเปิด Port อะไรบ้างสำหรับ Athena XDR?

A: Port หลักที่ต้องใช้:

  • Port 8443 - สำหรับเข้า Web UI ของ On-Premise XDR Node Management
  • Port 443 (HTTPS) - สำหรับ SaaS XDR Console Access และ API Communication
  • Port สำหรับ Log Collection จะแตกต่างตามประเภท Device และ Protocol ที่ใช้ (เช่น Syslog UDP/TCP 514, etc.)

Q17: หาก Node ใดไม่กลับมา Online หลัง Restart ต้องทำอย่างไร?

A: ขั้นตอนการแก้ไข:

  1. ตรวจสอบ Network Connectivity ระหว่าง Node โดย Ping หรือ Telnet
  2. ตรวจสอบว่า Server Hardware ทำงานปกติ (ไฟ LED, Fan, Disk Status)
  3. ลอง Restart Node นั้นอีกครั้งผ่าน Web UI หรือกดปุ่ม Power ที่ตัวเครื่อง
  4. ตรวจสอบ Log บน Node เพื่อหาสาเหตุของปัญหา
  5. หากยังไม่สามารถแก้ไขได้ ให้ติดต่อ Sangfor Support เพื่อขอความช่วยเหลือ

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น