บทนำ
หน้า System > Security Capabilities ของ Athena NDR เป็นศูนย์รวมของ Detection Engine, Whitelist, File Detection, Weak Password Rule, XFF Rule และ DetectionGPT ผู้ดูแลระบบสามารถเปิด/ปิดกฎของแต่ละ engine, ปรับพฤติกรรม, สร้าง whitelist และกำหนดขนาดไฟล์/โปรโตคอลที่ต้องการตรวจจับได้ บทความนี้อธิบายการตั้งค่า toggle หลักใน Security Capabilities
ข้อกำหนดเบื้องต้น
- Athena NDR v3.0.98 ขึ้นไป
- Security Database และ Security Engine อัปเดตเป็นเวอร์ชันล่าสุด
- บัญชี Administrator
Detection Engines
- ไปที่ System > Security Capabilities > Detection Engines
- Athena NDR มี engine หลัก: Rule Engine, Threat Intelligence Engine, File Analytics Engine, Attack Analytics Engine และ Abnormal Behavior Analytics Engine
- คลิก engine ทางซ้ายเพื่อดู rule ที่ active แต่ละ rule จะแสดง Alert ID, Incident ID, Threat Name, Severity, Threat Type, Status ฯลฯ
- เลือก rule หนึ่งหรือหลายตัว คลิก Enable / Disable เพื่อเปิด/ปิดแบบ batch
- คลิกไอคอน Edit ของ rule เพื่อปรับ
- Status: Enabled / Disabled
- Security Alert: ให้สร้าง alert หรือไม่
- Security Incident: ให้ escalate เป็น incident หรือไม่
- Severity: High / Medium / Low
Escalate All Alerts
- ในหน้า Detection Engines เปิด toggle Escalate All Alerts เพื่อให้ alert ทุกตัวถูก escalate เป็น Security Incident โดยอัตโนมัติ
- เมื่อปิด feature นี้ การตั้งค่าจะกลับไปสู่สถานะเดิม แต่การปรับกฎเฉพาะบางตัวที่ทำไว้ตอน feature เปิดจะยังคงอยู่
- เหมาะกับสภาพแวดล้อมที่ต้องการความไวสูง ไม่ต้องการให้เหตุการณ์สำคัญถูกข้าม
Whitelists
- ไปที่ System > Security Capabilities > Whitelists ประกอบด้วย
- Security Alert Whitelist: ยกเว้นการสร้าง alert สำหรับ rule หรือ IP ที่กำหนด
- Weakness Scan Whitelist: ยกเว้น asset หรือ vulnerability จากการสแกน
- Audit Whitelist: ไม่ audit log ของ traffic ที่ match
- คลิก Add เพื่อสร้าง whitelist ใหม่ เลือก Threat Type, Rule ID, Src IP, Dst IP, Domain/URL และ Apply to scope
- รองรับ Import/Export ในรูป .xlsx เพื่อจัดการจำนวนมาก
File Detection และ Weak Password Rules
- ไปที่ File Detection เพื่อกำหนดขนาดไฟล์สูงสุด (ไม่เกิน 20 MB), protocol (HTTP, FTP, SMB, SMTP, POP3, IMAP) และ engine ที่ใช้ (Sangfor WebshellKiller, Malicious Script Analytics, Engine-Zero)
- ไปที่ Weak Password Rules สามารถสร้าง Custom Weak Password Rule สำหรับ web application ได้ โดยระบุ Domain Name, Conditions (ความยาวขั้นต่ำ, ความซับซ้อน, empty password ฯลฯ), Account Whitelist และ Weak Password List
- ไปที่ Custom Web Login Result เพื่อกำหนดเงื่อนไขการตรวจ login success/failure สำหรับ web application ที่ตอบกลับไม่ตรง HTTP Status Code มาตรฐาน
หมายเหตุ
- Whitelist แบบ multi-condition จะ match เฉพาะเมื่อทุกเงื่อนไขตรงกันเท่านั้น
- กฎ custom weak password มี priority สูงกว่า default rule และรองรับสูงสุด 50 rule/web domain
- การปิด Detection Engine ทั้งหมดเท่ากับปิดความสามารถในการตรวจจับของ Athena NDR ในส่วนนั้น ๆ ควรปิดเฉพาะกรณีจำเป็นและทดสอบเสมอ
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น