บทนำ
ใน Athena NDR 3.0.98 ได้เพิ่มกฎตรวจจับการสแกนเครือข่าย (Network Scan) และการโจมตีแบบ Brute-Force ใหม่หลายรายการ เพื่อเพิ่มความครอบคลุมและความแม่นยำในการตรวจจับพฤติกรรมต้องสงสัย เช่น Port Scan, Credential Brute-Force บน RDP, SSH, SMB และ Web Login
ข้อกำหนดเบื้องต้น (Prerequisites)
- Athena STA เวอร์ชัน 3.0.98en ขึ้นไป
- Signature Database ได้รับการอัปเดตเป็นเวอร์ชันล่าสุด
- Detection Policy ของ STA ต้องเปิดใช้งานหมวด Scan และ Brute-Force
ขั้นตอนการเปิดใช้งาน
- ล็อกอินเข้า Web Console ของ Athena STA
- ไปที่ Policy > Detection Policy
- ค้นหาหมวด Scan Detection และ Brute-Force Detection
- เปิดใช้งานกฎที่ต้องการ และปรับ Threshold เช่น จำนวนครั้งที่ล้มเหลวภายในเวลาที่กำหนด
- กด Save และ Apply Policy
การตรวจสอบ (Verification)
หลังเปิดใช้งาน ให้จำลองการสแกนหรือ Brute-Force ในสภาพแวดล้อมทดสอบ และตรวจสอบที่หน้า Detection > Logs และ Security Alerts ของ Athena NDR ว่ามี Alert ตามกฎที่เปิดใช้งาน
หมายเหตุ (Notes)
- การตั้ง Threshold ต่ำเกินไปอาจทำให้เกิด False Positive จากการทำงานของเครื่องมือ Monitoring ภายใน
- ควรเพิ่ม IP ของเครื่องมือ Vulnerability Scanner ที่ใช้งานปกติเข้า Audit Whitelist เพื่อหลีกเลี่ยงการแจ้งเตือนผิดพลาด
- อัปเดต Signature Database อย่างสม่ำเสมอเพื่อให้ได้กฎตรวจจับล่าสุด
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น