บทนำ
Threat Protection Logs ใช้สำหรับดู log ด้านความปลอดภัยของ Endpoint ประกอบด้วย Security Logs (IPS, URL Filtering, Antivirus, C2 Activity logs) และ Resolved Events (เหตุการณ์ที่ผู้ดูแลระบบได้แก้ไขแล้ว) ช่วยให้ผู้ดูแลติดตามภัยคุกคามและการตอบสนองได้อย่างมีประสิทธิภาพ
ข้อกำหนดเบื้องต้น (Prerequisites)
- มีสิทธิ์ Administrator
- เปิดใช้งานฟีเจอร์ Threat Protection (IPS, URL Filtering, Antivirus ฯลฯ) ในระบบ
การใช้งาน (Usage)
- เข้าสู่ Sangfor Access Secure console
- ไปที่ Logs > Critical Feature Logs > Threat Protection Logs
- เลือกแท็บ Security Logs:
- ใช้ตัวกรองด้านซ้ายเลือกประเภท Log Type (IPS, URL Filtering, Antivirus, C2 Activity), Severity (High/Med/Low/Info) และ Action (Allow/Reject)
- คอลัมน์: Detected, Log Type, Threat Type, Severity, Action, Username, Display Name, Department, Access Location, Source
- เลือกแท็บ Resolved Events เพื่อดู log เหตุการณ์ที่ผู้ดูแลทำเครื่องหมาย resolved แล้ว
- คอลัมน์: Time Resolved, User, Department, Access Location, Severity, IP Address, Threat Type, Method, Notes, Operator
- สามารถกรองตาม IP address และช่วงเวลาที่กำหนด
การตรวจสอบ (Verification)
ทดสอบเข้าถึง URL ที่อยู่ใน blacklist หรือสร้างเหตุการณ์ทดสอบ แล้วตรวจสอบว่า log ปรากฏในแท็บ Security Logs ทันที
หมายเหตุ (Notes)
- Severity ระดับ High ต้องได้รับการตรวจสอบและตอบสนองโดยด่วน
- การ mark เหตุการณ์เป็น resolved ช่วยให้ทีมความปลอดภัยติดตามว่ามีเหตุการณ์ใดยังคงค้างอยู่
- ใช้ตัวกรองเพื่อแยกประเภทภัยคุกคามและช่วยในการวิเคราะห์ trend
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น