บทนำ
Detection Policy บน Athena STA คือชุดนโยบายการตรวจจับภัยคุกคามหลักของ Sensor ครอบคลุมการตรวจจับ Web attack, Vulnerability exploit, APT, Server weakness, Proactive IP scanning, Network topology scanning, Trusted traffic filtering และ Abnormal HTTP traffic ซึ่งเป็นองค์ประกอบสำคัญที่ทำให้ Athena STA สามารถส่ง Security Log ที่มีคุณภาพให้กับ Athena NDR ได้
ข้อกำหนดเบื้องต้น (Prerequisites)
- Athena STA ติดตั้งและเชื่อมต่อกับ Athena NDR เรียบร้อยแล้ว
- Device License และ Database Upgrade License อยู่ในสถานะ Licensed
- มีสิทธิ์ระดับ Security Admin หรือ Ordinary Admin บน STA Web Console
ขั้นตอนการตั้งค่า
- ล็อกอินเข้า STA Web Console แล้วไปที่ Monitoring > Detection Policy
- เลือก Enable เพื่อเปิดใช้งานนโยบายการตรวจจับ จากนั้นเลือกเช็คบ็อกซ์ของนโยบายที่ต้องการเปิด ได้แก่ Web attack, Vuln exploit, APT detection, Server weakness detection, Proactive IP scanning, Network Topology scanning, Trusted traffic filtering และ Abnormal HTTP traffic
- คลิก Settings ข้างนโยบาย Web attack เพื่อเปิด Web Attack Detection และเลือกประเภทการโจมตีที่ต้องการตรวจจับ เช่น SQL Injection, XSS, Trojan, WebShell, CSRF, OS Command Injection, File Inclusion, Path Traversal, Information Disclosure, Website Scan, Cloud-based WAF
- ในส่วน Advanced ของ Web Attack Detection สามารถเปิด Password Protection (FTP weak password, Web-access weak password, Brute-force attack) และ Data Breach Prevention โดยเลือก Sensitive data แล้วกำหนด Hit Count Based On เป็น IP address หรือ Connection
- คลิก Settings ข้างนโยบาย Vuln exploit เพื่อเลือก Server Protection, Brute-Force attack และ Malware ตามชนิดของ Service ที่ทำงานบนเซิร์ฟเวอร์ภายใน
- ในกรณี POC หรือการทดสอบ สามารถเปิด POC test mode ได้ด้วยคลิกเดียว (รองรับตั้งแต่ V3.0.57) เพื่อใช้ชุดการตรวจจับแบบเต็ม และคลิก Comparison Report เพื่อดูความแตกต่างกับ Normal mode
- คลิก OK เพื่อบันทึกการตั้งค่า
การตรวจสอบ
ไปที่ Status > System Status เพื่อยืนยันว่าจำนวน Threats เพิ่มขึ้นเมื่อมีการโจมตีทดสอบ และเข้าสู่ Athena NDR Console ที่ Detection > Logs เพื่อตรวจสอบว่า Security Log จาก STA ถูกส่งและจัดประเภทได้ถูกต้อง
หมายเหตุ
- การเปิด Proactive IP scanning อาจกระทบต่อระบบเป้าหมาย โปรดยืนยันความเสี่ยงก่อนเปิดใช้งาน
- Trusted traffic filtering ถูกเปิดไว้โดยค่าเริ่มต้นเพื่อลดภาระการตรวจจับ
- POC test mode ไม่เปิดใช้งาน Overload Protection
- นโยบายบางส่วนสามารถซิงค์จาก Athena NDR Console ได้ หากรายการถูก dim ให้แก้ไขจากฝั่ง NDR
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น