บทนำ
Custom Rules บน Athena STA ใช้สำหรับสร้างกฎการตรวจจับเฉพาะทางที่นอกเหนือจาก Predefined Signature ได้แก่ Custom Web App Detection Rules, Custom IPS Rules และ Custom Login Rules เหมาะสำหรับองค์กรที่มี Application เฉพาะหรือต้องการตรวจจับรูปแบบการโจมตีเฉพาะ
ข้อกำหนดเบื้องต้น
- มีข้อมูล Signature ของการโจมตีที่ต้องการตรวจจับ (Character String หรือ Regular Expression)
- สิทธิ์ระดับ Security Admin
ขั้นตอนการตั้งค่า
- ไปที่ Monitoring > Custom Rules
- Custom Web App Detection Rules — คลิก Add แล้วกรอก Rule ID, Rule Name, Description, Impacts เลือก Threat Level (High/Medium/Low) และ Status Enable/Disable จากนั้นกำหนด Character String, Regular Expression และ Direction สำหรับการ Match
- Custom IPS Rules — คลิก Add ในแท็บ Custom IPS Rules กรอก Rule ID, Rule Name, Impacts, Threat Level และเพิ่ม Character String/Regex, Direction, Protocol, Port พร้อมเลือก Type (ประเภทของ Object ที่ต้องการป้องกัน)
- Custom Login Rules — คลิก Add ในแท็บ Custom Login Rules กรอก Rule ID, Rule Name, Description และระบุ Account Parameters กับ Password Parameters เพื่อใช้ระบุรูปแบบการ Login ของ Application เป้าหมาย
- คลิก OK เพื่อบันทึก
หมายเหตุ
- หากเว้น Character String และ Regular Expression ไว้ว่าง จะไม่มีการตรวจ Match เนื้อหา
- หากกฎถูก dim และแก้ไขไม่ได้ แสดงว่ากฎนั้นซิงค์มาจาก Athena NDR Console — ต้องไปแก้ไขจากฝั่ง NDR
- Custom IPS Rules ทำงานร่วมกับ Detection Policy โดยเฉพาะส่วน Vuln exploit
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น