บทนำ
ในสภาพแวดล้อมที่ Endpoint ได้รับ IP จาก DHCP Server การระบุ Endpoint ที่มีปัญหาด้านความปลอดภัยอาจทำได้ยาก เนื่องจาก IP Address เปลี่ยนไปตามเวลา บทความนี้อธิบายแนวทางการ Deploy Athena NDR เพื่อทำงานร่วมกับ DHCP และ Sangfor IAG เพื่อแก้ปัญหาดังกล่าว
ปัญหาที่พบ
- เมื่อเกิดเหตุการณ์ด้านความปลอดภัยบน Endpoint ที่ใช้ DHCP ระบบจะไม่สามารถยืนยัน Endpoint ตัวจริงได้จาก IP เพียงอย่างเดียว
- หาก DHCP Lease สั้น IP จะเปลี่ยนบ่อย ทำให้ไม่สามารถย้อนกลับไปหา Endpoint ได้
แนวทางแก้ไข
- ตั้ง DHCP Lease Duration ให้ยาวขึ้น เช่น 1 สัปดาห์ เพื่อให้ IP ค่อนข้างคงที่
- เชื่อมต่อ Athena NDR กับ Sangfor IAG เพื่อให้ IAG ส่ง Username ของผู้ใช้งานเข้ามายัง NDR ทำให้สามารถอ้างอิงเหตุการณ์กับผู้ใช้งานแทน IP
- อัปเดต IAG เป็นเวอร์ชัน 11.X ขึ้นไป หรือ IAG 12.0.5 / 12.0.6 พร้อม Patch ที่เกี่ยวข้อง เพื่อรองรับ Correlation Policy
- เพิ่ม IP ของ IAG เข้า Global Whitelist ของ Athena NDR เพื่อป้องกันการแจ้งเตือน C&C Communication ผิดพลาดจากพฤติกรรมตรวจสอบ Excluded Domain ของ IAG
ขั้นตอนการตั้งค่าบน IAG
- ล็อกอินเข้า IAG Console
- เปิดใช้งาน Correlation Policy กับ Athena NDR โดยระบุ IP ของ NDR
- กำหนด Online Condition ให้ใช้ Password Authentication (ไม่รองรับ Single Sign-On)
- บันทึกและ Apply Policy
ขั้นตอนการตั้งค่าบน Athena NDR
- ไปที่ System > Integration > Sangfor IAG
- เพิ่ม IAG เป็น Data Source พร้อมใส่ข้อมูลการพิสูจน์ตัวตน
- เพิ่ม IP ของ IAG ที่ Policy > Global Whitelist
- บันทึกการตั้งค่า
การตรวจสอบ (Verification)
- ตรวจสอบว่า IAG ปรากฏบน Console ของ NDR ในสถานะ Online
- เมื่อเกิดเหตุการณ์ด้านความปลอดภัย ระบบต้องแสดง Username ของผู้ใช้งานแทน IP (หรือเพิ่มเติมจาก IP)
หมายเหตุ (Notes)
- หาก User ไม่ผ่านการ Authenticate ด้วย Password ข้อมูลผู้ใช้งานจะไม่ถูกส่งไปยัง NDR
- หากไม่มีการเชื่อมต่อ IAG การระบุ Endpoint ใน DHCP Environment อาจต้องพึ่งพา MAC Address หรือ Log จากอุปกรณ์เครือข่ายอื่น
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น