บทนำ
Unauthorized Access หมายถึงการเข้าถึงที่ตรงกับ Blacklist/Whitelist ของ Athena STA หรือที่ขัดกับ Application Control Policy ของ Next-Generation Firewall เมื่อ Host ถูกเข้าถึงอย่างผิดปกติบ่อยครั้ง อาจบ่งชี้ว่าเครื่องถูก Hacker ควบคุม หรือเกิดการใช้งานผิดประเภทจากผู้ใช้ภายใน
ข้อกำหนดเบื้องต้น
- ต้องกำหนด Unauthorized Access Policy บน Athena STA ไว้ล่วงหน้า
- STA เชื่อมต่อกับ Athena NDR แล้ว
ขั้นตอนการเข้าถึง
- ไปที่ Detection > Anomalies > Unauthorized Access
- ดูสถิติ Overall Display:
- Lateral Threat: แสดง Lateral Threats ทั้งหมด
- Outbound Threat: แสดง Outbound Threats ทั้งหมด
- เลือกช่วงเวลา Last 24 hours, Last 7 days, Last 30 days หรือ Today
- คลิก Export เพื่อดาวน์โหลดข้อมูลเป็น Excel
Detailed Analysis: Sources และ Destinations
-
Sources: แสดง Src IP, Src Type, Groups, Destinations, Dst Type, Top 3 Policy Breaches และ Logs
- กรองด้วย All, Server to Server, Host to Host, Host to Server หรือ Server to Host
- เลือก Critical Servers Only เพื่อดูเฉพาะการเข้าถึงเกี่ยวกับ Critical Server
- คลิก Src IP หรือ Destinations เพื่อดู GoldenEye Details
- คลิก Top 3 Policy Breaches เพื่อดู Log ที่ตรงเงื่อนไข
- Destinations: แสดง Dst IP, Dst Type, Groups, Sources, Top 3 Risky Access Types และ Logs พร้อมตัวกรอง All, Server, Host
หมายเหตุ
- ควรทำ Baseline Policy บน STA อย่างรอบคอบ เพื่อลด False Positive
- หากไม่ได้กำหนด Policy บน STA หน้า Unauthorized Access จะไม่มีข้อมูลแสดง
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น