×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า Threat Intelligence Gateway (TIG) บน NGAF (8.0.106+)

ปรับปรุงเมื่อ

ใช้ได้กับ Firmware 8.0.106 ขึ้นไป — ฟีเจอร์นี้ถูกเพิ่มในเวอร์ชัน 8.0.106

บทนำ

Threat Intelligence Gateway (TIG) ใช้ Engine ตรวจจับของ Sangfor พร้อม Threat Intelligence ขนาดใหญ่บน Cloud เพื่อตรวจจับและบล็อก Malicious Traffic แบบ Real-time ก่อนที่ NGAF จะ Forward Traffic ออกไป

Firmware 8.0.106 เพิ่มความสามารถ TIG ที่สำคัญ — รองรับการ Deploy เพิ่มเติม ใน Mirror Mode, Active-Active Layer 2, VLAN/Sub-interface Outbound, Scenario ที่เปิด DNS Proxy / DNS Transparent Proxy, ปรับ RT Protocol แบบ Adaptive, Deploy ได้ภายใน 1 นาที, และ Real-time Detection สำหรับ Malicious File (ตามที่ Release Notes 8.0.106 ระบุ)

ข้อกำหนดเบื้องต้น

  • Firmware 8.0.106 ขึ้นไป
  • NGAF เชื่อมต่อ Platform-X เรียบร้อย และ Subscription Threat Intelligence Gateway อยู่ในสถานะ Normal (ดูบทความ "การเชื่อมต่อ NGAF กับ Platform-X")
  • มี Security Policy ที่ Match Internet Traffic ของผู้ใช้

ขั้นตอนการตั้งค่า

  1. ไปที่ SOC > Next-Gen Security > Cloud-Based Protection > Threat Intelligence Gateway — หากระบบแสดงเตือนว่ายังไม่ได้ Configure Botnet Detection หรือ Content Security Policy คลิก Configure Now ในข้อความเตือนเพื่อข้ามไปหน้า Policies
  2. ที่หน้า Policies ตรวจให้แน่ใจว่ามี Security Policy ที่เปิด Botnet Detection ใน Section Detection and Response (Action = Deny) — TIG จะส่ง Domain ที่ตรวจไม่เจอ Local ไปเทียบกับ Cloud Threat Intelligence
  1. หากต้องการให้ TIG ตรวจ Malicious File ให้เปิด Content Security Policy เพิ่ม — TIG จะส่ง File Feature ที่ Local ตรวจไม่เจอ ไปเทียบ Cloud
  2. กลับไปที่หน้า Threat Intelligence Gateway — Section Block Summary จะแสดง Block Counts และ Block ล่าสุด พร้อมปุ่ม View Logs
  3. ที่ Security Logs Column Detection Type จะแสดง Threat Intelligence สำหรับเหตุการณ์ที่ TIG ตรวจจับได้

การตรวจสอบ

  • Block Summary เพิ่มจำนวน Block เรื่อย ๆ ตามที่ Internet Traffic ผ่านอุปกรณ์
  • ที่ Security Logs Filter ด้วย Detection Type = Threat Intelligence เพื่อดูรายการ

หมายเหตุ

  • หาก Subscription หมดอายุ TIG จะหยุดส่ง Query ไปที่ Cloud — ตรวจที่ SOC > Product Integration > Cloud Products
  • TIG ทำงานเสริมกับ Local Database — Threat ที่ตรวจเจอใน Local จะไม่ส่ง Query ไปที่ Cloud

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น