บทนำ
Authorized Access บน Athena STA ใช้สำหรับกำหนดนโยบายแบบ Whitelist และ Blacklist เพื่อควบคุมและตรวจสอบว่าทราฟฟิกจากเครื่องภายในตรงตามข้อกำหนดขององค์กรหรือไม่ หากเกิดการเข้าถึงที่ไม่ได้รับอนุญาต STA จะส่ง Log Unauthorized Access ไปยัง Athena NDR
ข้อกำหนดเบื้องต้น
- สร้าง IP Group สำหรับ Source และ Destination ไว้แล้ว
- สร้าง Services (ถ้าต้องใช้ Custom Service) และ Schedule ถ้าต้องการจำกัดช่วงเวลา
ขั้นตอนการตั้งค่า
- ไปที่ Monitoring > Authorized Access
- คลิก Add แล้วเลือก Whitelist หรือ Blacklist
- สำหรับ Whitelist Entry กรอก:
- Name: ชื่อนโยบาย
- Dst IP Group: IP Group ของเซิร์ฟเวอร์ปลายทาง
- Services: Service ที่อนุญาตให้เข้าถึง
- Allowed IP Group: IP Group ที่อนุญาตให้เข้าถึง
- Schedule: ช่วงเวลาที่อนุญาต
- Logging: เลือก Log event เพื่อส่ง Log ไปยัง Athena NDR
- สำหรับ Blacklist Entry กรอกในลักษณะเดียวกันแต่เปลี่ยนเป็น Blocked IP Group และ Block Schedule
- คลิก Save and Add หรือ OK เพื่อบันทึก
- เรียงลำดับนโยบายด้วยลูกศรด้านขวา — นโยบายจะถูก Match จากบนลงล่าง
การตรวจสอบ
เข้าสู่ Athena NDR Console ไปที่ Detection > Unauthorized Access เพื่อยืนยันว่า Log จาก STA ถูกส่งและจัดประเภทอย่างถูกต้อง
หมายเหตุ
- นโยบาย Default เป็น Whitelist ที่บันทึกการเข้าถึงทุกรายการ
- สามารถ Export นโยบายเป็นไฟล์ CSV เพื่อแก้ไขแบบ Bulk แล้ว Import กลับเข้ามาได้
- STA ทำงานแบบ Bypass — Authorized Access เป็นเพียงการ Audit/Alert ไม่ได้บล็อกทราฟฟิกโดยตรง (ต้องใช้ TCP Reset ร่วมด้วยถ้าต้องการ Active Response)
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น