×
ข้ามไปยังเนื้อหาหลัก

Security Events บน Athena EPP (Overview และประเภท Threat ทั้งหมด)

ปรับปรุงเมื่อ

Overview ของ Security Events

Sangfor Athena EPP มีระบบ Detection and Response ที่ครอบคลุมการตรวจจับภัยคุกคามหลากหลายรูปแบบ ทั้งบน Windows และ Linux endpoints โดยระบบจะแสดงผลผ่านหน้า Security Events บน Management Console ซึ่งรวบรวม event ทั้งหมดที่ตรวจพบ พร้อมรายละเอียดเกี่ยวกับ threat type, endpoint ที่ได้รับผลกระทบ, เวลาที่เกิดเหตุการณ์ และสถานะการจัดการ ผู้ดูแลระบบสามารถ filter ข้อมูลตาม malware type, event type, time range และ IP address ได้

Overview ของ Security Events

 

WebShell Detection

Athena EPP สามารถตรวจจับ WebShell ที่ถูกวางไว้บน server endpoints ได้ โดยจะ scan ไฟล์ที่อยู่ใน web directory และตรวจสอบ pattern ของ malicious script เช่น PHP, ASP, JSP web shells เมื่อพบ WebShell ระบบจะทำการ quarantine ไฟล์และแจ้งเตือนผู้ดูแลระบบ ฟีเจอร์นี้ต้องใช้ Ultimate License จึงจะเปิดใช้งานได้

 

Memory Backdoor Detection

ระบบตรวจจับ Memory Backdoor ใช้เทคโนโลยี memory scanning เพื่อค้นหา malicious code ที่ซ่อนอยู่ใน memory ของ process ต่างๆ ซึ่งเป็นเทคนิคขั้นสูงที่ attacker ใช้เพื่อหลีกเลี่ยงการตรวจจับจาก file-based scanning ฟีเจอร์นี้ต้องใช้ Ultimate License

 

Brute-Force Attack Detection

Athena EPP ตรวจจับการโจมตีแบบ Brute-Force ผ่านทาง RDP, SMB, Microsoft SQL Server บน Windows endpoints และ SSH บน Linux endpoints โดยระบบจะตรวจสอบจำนวนครั้งที่ login ล้มเหลวภายในระยะเวลาที่กำหนด หากเกินเกณฑ์ที่ตั้งไว้ ระบบจะ block IP address ของ attacker ตามระยะเวลาที่กำหนด และสร้าง alert แจ้งผู้ดูแลระบบ

 

Suspicious Login Detection

ระบบตรวจจับ Suspicious Login บน Windows endpoints (รวมถึง PC) ผ่าน RDP และ SMB รวมถึง Linux endpoints ผ่าน SSH สามารถตั้งค่าให้แจ้งเตือนเมื่อมี login จาก IP address ที่ไม่ปกติ หรือ login ในช่วงเวลาที่ผิดปกติ โดยสามารถกำหนด Common Login IP Addresses และ Common Login Time Period ได้ Action ที่เลือกได้มี No Action - Report Only หรือ Block ตามระยะเวลาที่กำหนด

 

Suspicious Scan Detection

ระบบตรวจจับกิจกรรม network scanning ที่น่าสงสัย เช่น port scanning หรือ vulnerability scanning ที่อาจเป็นขั้นตอนแรกของการโจมตี เมื่อตรวจพบ ระบบจะสร้าง security event พร้อมรายละเอียดของ source IP, target และ scan type

 

Advanced Threat Detection

ระบบตรวจจับภัยคุกคามขั้นสูงที่ใช้เทคนิคซับซ้อน เช่น fileless attacks, living-off-the-land techniques และ advanced persistent threats (APT) ฟีเจอร์นี้ต้องใช้ Ultimate License หรือ Lite License และทำงานร่วมกับ Neural-X cloud intelligence

 

Reverse Shell Detection

ตรวจจับ Reverse Shell connections ที่ attacker ใช้เพื่อสร้าง remote command channel กลับไปยัง command & control server ระบบจะวิเคราะห์ network connections และ process behavior เพื่อระบุ reverse shell patterns ฟีเจอร์นี้ต้องใช้ Ultimate License

 

Remote Command Execution Detection

ตรวจจับการ execute command จากระยะไกลที่น่าสงสัย ซึ่งอาจเป็นสัญญาณของการถูก compromise เช่น การใช้ PsExec, WMI หรือเครื่องมืออื่นๆ ในการ execute command บน endpoint จากระยะไกล ฟีเจอร์นี้ต้องใช้ Ultimate License

 

Local Privilege Escalation Detection

ตรวจจับความพยายามในการยกระดับสิทธิ์ (privilege escalation) บน endpoint เช่น การใช้ exploit เพื่อได้สิทธิ์ SYSTEM หรือ root ระบบจะแจ้งเตือนเมื่อตรวจพบ pattern ที่บ่งชี้ถึง privilege escalation ฟีเจอร์นี้ต้องใช้ Ultimate License

 

PowerShell Execution Detection (Fileless Attack Protection)

ตรวจจับ suspicious PowerShell scripts ซึ่งเป็นเทคนิค fileless attack ที่ attacker ใช้ inject malicious code เข้าไปใน memory และ normal system processes เช่น registry, PowerShell scripts และ Microsoft Office documents ตั้งค่าได้ที่ Enable suspicious PowerShell script detection โดย Action มีให้เลือก Block script execution หรือ No Action - Alert Only สำหรับ PC จะ suspend script และให้ user เลือก allow/block ส่วน Server จะแจ้งเตือนแต่ไม่ suspend

Suspicious PowerShell Script Alert

 

Target Endpoints (Target Assets)

หน้า Target Assets แสดง endpoint ที่ถูกจัดประเภทเป็น compromised หรือ at high risk พร้อมรายละเอียดเกี่ยวกับ threat alerts และสถานะ ผู้ดูแลระบบสามารถดูรายละเอียดของแต่ละ endpoint รวมถึง Threat Alerts และ Domain Name Access

 

Threat Hunting

ฟีเจอร์ Threat Hunting ช่วยให้ผู้ดูแลระบบสามารถค้นหาภัยคุกคามเชิงรุก (proactive threat hunting) โดยใช้ query language ที่รองรับ comparison operators (=, >, >=, <, <=, !=) และ logical operators (AND, OR, NOT) เพื่อค้นหา log และ event ที่เกี่ยวข้องกับภัยคุกคาม ฟีเจอร์นี้ต้องใช้ Ultimate License หรือ Lite License

 

Response Actions

เมื่อตรวจพบภัยคุกคาม ผู้ดูแลระบบสามารถดำเนินการตอบสนองได้หลายรูปแบบ:

  • Endpoint Isolation - แยก endpoint ออกจาก network โดยอนุญาตให้สื่อสารกับ Athena EPP Manager เท่านั้น
  • File Quarantine - กักกัน malicious files ไว้ใน quarantine area
  • Access Blocking - ตั้ง ACL เพื่อ block access จาก attacker IP addresses
  • Process Killing - kill malicious processes บน endpoint
  • Domain Blocking - block การเชื่อมต่อไปยัง malicious domains
  • Coordinated Response - ทำงานร่วมกับ Athena NGFW, NDR, MDR, Platform-X และ XDR เพื่อ Lateral Movement Containment, Behavioral Containment และ Threat Remediation

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น