บทนำ
โมดูล Assets > Weaknesses ของ Athena NDR ใช้สำหรับระบุและติดตามช่องโหว่ที่พบในเครือข่ายของ Server และ Business System โดยแบ่งเป็น 5 ประเภทหลัก ได้แก่ Exploit, Improper Configuration, Weak Password, Unencrypted Web Traffic และ Unavailability บทความนี้อธิบายวิธีเข้าถึง อ่านข้อมูล และจัดการช่องโหว่ที่ตรวจพบ
ข้อกำหนดเบื้องต้น
- Athena NDR v3.0.98 ขึ้นไป
- Athena STA ส่ง traffic log เข้าระบบเรียบร้อย
- ได้กำหนด Assets และ Business System ใน Assets > Assets
- Signature Database ถูกอัปเดตเป็นเวอร์ชันล่าสุด
ขั้นตอนการใช้งาน Weaknesses View
- ไปที่ Assets > Weaknesses
- เลือกช่วงเวลาข้อมูลที่มุมขวาบน (Last 24 hours, Last 7 days, Last 30 days)
- ในแท็บ Overview จะแสดง
- Weakness Level: จำนวน High, Medium, Low
- Hot Exploits: ช่องโหว่ที่พบบ่อยในปัจจุบัน (แสดงด้วยสีแดงหากพบในเครือข่ายของคุณ)
- Vulnerability Types: สรุปตามประเภท
- Vulnerability Trend: แนวโน้มจำนวน vulnerability ตามช่วงเวลา
- เลื่อนลงมาที่ Weakness List เพื่อดูรายการช่องโหว่แต่ละรายการ โดยสามารถ filter ตาม Type ได้ (Exploit, Improper Configuration, Weak Password, Unencrypted Web Traffic, Unavailability)
- คลิกชื่อ asset เพื่อดูรายละเอียดแบบเจาะลึก
การอ่านรายละเอียด Vulnerability
- ที่แท็บ Vulnerabilities ระบบจะแสดง Vulnerabilities by Severity, TOP 5 Vulnerable Groups และรายการ vulnerability
- ใช้ช่องค้นหาเพื่อค้นด้วยชื่อหรือ CVE ID
- คลิกที่ vulnerability เพื่อดู
- Name: ชื่อและ CVE
- Server: IP ของ server ที่พบ
- Port: พอร์ตที่มีช่องโหว่
- Severity: ระดับความรุนแรง
- Last Detected: เวลาที่ตรวจพบล่าสุด
- Status: Fixed / Fixing / Whitelist / Suspend
- คลิกไอคอน + ด้านซ้ายของช่องโหว่เพื่อดู Risk Description, Risky Server, Recommendations, Details และ Vulnerability Proof
Weak Password, Unencrypted Traffic และ Improper Configuration
- Weak Password: ไปที่แท็บ Weak Password เพื่อดูรายการบัญชีที่ใช้รหัสผ่านอ่อน รองรับ export เป็นไฟล์บีบอัด (รหัสเริ่มต้น sangfor) คลิก Show password เพื่อดูรหัสจริง ต้องกรอกรหัส admin ยืนยันอีกครั้ง
- Unencrypted Web Traffic: แท็บนี้แสดง traffic ที่ไม่เข้ารหัส สามารถคลิก View Log เพื่อไปดู Detection Log ที่เกี่ยวข้อง
- Improper Configuration: แสดง Risky Port ที่เปิดไว้ เช่น port สำหรับ remote login หรือ file transfer พร้อมข้อมูล Confidence, Inbound/Outbound และ Top 3 External IPs ที่เข้าถึง
หมายเหตุ
- สถานะ Fixed ต้องมาร์คด้วยตนเอง ระบบจะไม่เปลี่ยนสถานะอัตโนมัติ
- กรณีมี asset ที่ไม่ต้องการให้ scan ให้เพิ่มใน System > Security Capabilities > Whitelists > Weakness Scan Whitelist
- ควรใช้ข้อมูลจาก Weaknesses ประกอบกับ Security Incidents เพื่อจัดลำดับความสำคัญในการแก้ไข
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น