บทนำ
หน้า Risky Users บน Athena NDR แสดงรายชื่อผู้ใช้ที่เกี่ยวข้องกับสินทรัพย์ที่มีความเสี่ยง โดยต้องเชื่อมต่อกับระบบยืนยันตัวตน เช่น Sangfor IAG, SVPN หรือ Wireless Access Controller (WAC) เพื่อดึงข้อมูล User Mapping เข้ามาใช้
ข้อกำหนดเบื้องต้น
- เชื่อมต่อ Athena NDR กับ Sangfor IAG, SVPN หรือ WAC เพื่อซิงค์ข้อมูลผู้ใช้
- สินทรัพย์ต้องมี Mapping ไปยัง Username/Hostname
ขั้นตอนการใช้งาน
- ไปที่ Response > Risky Users
- คลิก Settings เพื่อเลือก Display Name: Hostname หรือ Username
- ดู Risky User ตามสถานการณ์:
- All in Groups: ผู้ใช้เสี่ยงทั้งหมดในกลุ่มที่เลือก
- Today: เฉพาะที่เพิ่มขึ้นวันนี้ สามารถขยายได้สูงสุด 30 วัน
- กรองตาม Tags ของเหตุการณ์ เช่น Ransomware, DNS Tunnel เพื่อหา User ที่เกี่ยวข้องกับภัยคุกคามเฉพาะ
การตรวจสอบ
โดยดีฟอลต์หน้า Risky Users จะ Auto Refresh ทุก 3 นาที สามารถปรับเปลี่ยนได้ตามต้องการ
หมายเหตุ
- หากไม่ได้เชื่อมต่อ IAG/SVPN/WAC หน้า Risky Users จะไม่สามารถแสดงข้อมูล Username ได้
- สามารถใช้งานร่วมกับ Coordinated Response บน IAG เพื่อ Block User ที่ผิดปกติได้โดยตรง
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น