บทนำ
บทความนี้อธิบายข้อพิจารณาและขั้นตอนในการ Deploy Athena NDR ในสภาพแวดล้อมที่ใช้งาน Sangfor HCI (Hyper-Converged Infrastructure) หรือ Virtualization Platform อื่น เพื่อให้สามารถตรวจจับภัยคุกคามในทราฟฟิกที่ไหลระหว่าง VM และภายนอกได้อย่างถูกต้อง
ข้อกำหนดเบื้องต้น (Prerequisites)
- Sangfor HCI หรือ Virtualization Platform ที่ติดตั้งและทำงานปกติ
- Athena NDR Appliance หรือ Virtual Appliance
- Athena STA สำหรับการเก็บและวิเคราะห์ทราฟฟิก
- การตั้งค่า Port Mirror หรือ Flow Export ใน HCI
แนวทาง Deploy
- กรณี AD (Application Delivery / Load Balancer) แบบ Single-Arm: ควรให้ STA รับ Mirror Traffic ระหว่าง Server กับ AD เพื่อให้สามารถระบุ Risky Server ได้อย่างถูกต้อง
- หาก STA ถูก Deploy ระหว่าง AD กับ Internet จะไม่สามารถระบุ Risky Host ภายในได้ เพราะ IP จะถูก NAT เป็น IP ของ AD
- แนะนำให้เปิดใช้งานฟิลด์ XFF (X-Forwarded-For) บน STA เพื่อระบุต้นทางของการโจมตีที่มาจาก WAF
ขั้นตอนการตั้งค่า Mirror บน Sangfor HCI
- ล็อกอินเข้า Sangfor HCI Management Console
- ไปที่ Network > Virtual Switch
- เลือก vSwitch ที่ VM เป้าหมายเชื่อมต่ออยู่
- เปิดใช้งาน Port Mirroring และเลือก VM ต้นทางที่ต้องการ Mirror
- กำหนด Mirror Destination เป็น VM ของ Athena STA หรือพอร์ตที่เชื่อมกับ STA
- บันทึกการตั้งค่า
การตรวจสอบ (Verification)
- ตรวจสอบว่า STA รับทราฟฟิกจาก Mirror Interface ตามปกติ โดยดูที่ System Status
- ตรวจสอบ Detection Logs บน Athena NDR ว่ามีข้อมูลเข้ามาจาก STA ที่ Deploy ใน HCI
- ทดสอบการเปิดใช้งาน XFF โดยจำลองการโจมตีและตรวจสอบฟิลด์ใน Alert
หมายเหตุ (Notes)
- ควรให้ STA รับเฉพาะทราฟฟิกที่จำเป็น เพื่อลดภาระในการประมวลผล
- หากใช้ Virtual Appliance ให้จัดสรร CPU และ RAM ให้เพียงพอตามข้อกำหนดของ Sangfor
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น