บทนำ
Threat Management ของ Sangfor Access Secure ประกอบด้วยนโยบายป้องกันภัยคุกคามหลายประเภท บทความนี้ครอบคลุมการตั้งค่า Command and Control (C2) Activity Detection และ URL Filtering ซึ่งเป็นด่านแรกในการป้องกัน Endpoint จากการเชื่อมต่อกับ C2 server ของผู้โจมตี และการเข้าถึงเว็บไซต์ที่เป็นอันตรายหรือไม่เหมาะสม
ข้อกำหนดเบื้องต้น (Prerequisites)
- มีสิทธิ์ administrator ของ Sangfor Access Secure
- เปิดใช้งาน DNS Traffic Forwarding (สำหรับ C2 detection): ไปที่ System > Connections > Traffic Forwarding Policies > Advanced > Forward DNS Traffic
- Threat Intelligence Database ที่อัปเดตจาก Global Threat Intelligence
ขั้นตอนการตั้งค่า C2 Activity Detection
- เข้าสู่ Sangfor Access Secure console
- ไปที่ Core Features > Secured Global Access > Policies > Threat Management > Threat Protection > Command and Control (C2) Activity Detection
- เปิดสวิตช์ที่มุมขวาบนเพื่อ Enable การตรวจจับ จะเห็นการตั้งค่า C2 Domain Name และ C2 IP Address ที่ตรวจจับตาม severity High/Med/Low
- คลิก Configure Policies ที่มุมขวาล่างเพื่อเข้าหน้าตั้งค่านโยบาย
- ในส่วน Action เลือก Block Mode (บล็อกตาม severity ที่เลือก: High, Med, Low) หรือ Monitor Mode (เก็บ log อย่างเดียวไม่บล็อก)
- คลิก OK
ขั้นตอนการตั้งค่า URL Filtering
- ไปที่ Core Features > Secured Global Access > Policies > Threat Management > Threat Protection > URL Filtering
- เปิดสวิตช์ที่มุมขวาบนเพื่อเปิดใช้ URL Filtering
- คลิก Configure Policies ที่มุมขวาล่าง จะเห็น Predefined URL Categories ที่บล็อกอยู่แล้ว เช่น Adult Content, Pornography, Gambling, Illegal Drugs, Fake Site, Phishing, Malicious Website
- หากต้องการเพิ่ม URL Category แบบกำหนดเอง ให้เปิด Custom Blocked URL Categories แล้วคลิก Add New
- ในหน้า URL Categories คลิก Add กำหนด Name, Description, URL, Domain Name Keywords, Rank แล้วคลิก OK
- กลับไปที่ URL Filtering panel คลิก Add ใต้ Custom Blocked URL Categories เพื่อเลือก category ที่สร้างไว้
- คลิก OK นโยบาย URL Filtering ถูกเพิ่มเรียบร้อย
การตรวจสอบ (Verification)
ทดสอบโดยให้ Endpoint พยายามเข้าถึง URL ที่อยู่ใน Custom Blocked Categories ตรวจสอบว่าการเข้าถึงถูกบล็อก และดู log ที่ Security Logs หรือ Blocked Activities
หมายเหตุ (Notes)
- หากไม่เปิด DNS Traffic Forwarding C2 Activity Detection จะไม่ทำงาน
- หากใช้ Internal Domain Resolution ตรวจสอบว่า traffic ภายในไม่ถูก forward ออกไป มิฉะนั้นจะส่งผลกับ business operations
- URL & App Control policies มี priority สูงกว่า URL Filtering policies การกระทำของ URL Filtering จะถูก log ไว้และระบุประเภทเป็น URL Filtering ในคอลัมน์ Threat Type
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น