การตั้งค่า GPT Anti-Phishing Email Protection บน NGAF (8.0.106+)

ใช้ได้กับ Firmware 8.0.106 ขึ้นไป — ฟีเจอร์นี้ถูกเพิ่มในเวอร์ชัน 8.0.106

บทนำ

GPT Anti-Phishing Email Protection เป็นฟีเจอร์ใหม่ใน Firmware 8.0.106 ที่ใช้ AI Large Language Model (Security GPT) บน Cloud + Threat Intelligence ของ Sangfor ตรวจสอบเนื้อหาอีเมลแบบ Real-time เพื่อระบุ Phishing Link, Malicious Attachment, Spoofing

Closed-loop Remediation ที่รองรับ:

• Alert ผู้รับและ/หรือ Admin ตอนตรวจพบอีเมลฟิชชิง
• Block URL ฟิชชิงผ่าน NGAF Security Policy (Sync URL ไปที่ on-premises URL category)
• Quarantine Attachment ที่ Endpoint ผ่าน Endpoint Secure (Sync MD5 ของ Malicious File ไปที่ Endpoint Secure)

ข้อกำหนดเบื้องต้น

• Firmware 8.0.106 ขึ้นไป
• NGAF เชื่อมต่อ Platform-X และ Subscription Phishing Email Protection ในสถานะ Normal (ดูบทความ "การเชื่อมต่อ NGAF กับ Platform-X")
• Mailbox สำหรับให้ NGAF Sync อีเมลขาเข้า รองรับ IMAP หรือ POP3 พร้อม SSL/STARTTLS
• SMTP Server สำหรับส่ง Alert (สามารถใช้ Mailbox เดียวกันก็ได้)
• (Optional) Endpoint Secure V6.0.4ENR4 ขึ้นไป — สำหรับ Auto Quarantine Attachment (ตามคู่มือระบุ — ไม่ต้องตั้งค่าเพิ่มที่ Endpoint Secure ฝั่งนั้น)

ขั้นตอน A — Configure Mailbox Protection

1. ไปที่ SOC > Next-Gen Security > Cloud-Based Protection > Phishing Email Protection เลือก Tab Mailbox Protection
2. คลิก Add ที่ส่วน Mailbox
3. กรอกค่า:
   • Mailbox Type — Provider ที่ใช้
   • Protocol — IMAP หรือ POP3
   • Account / Password — Account ที่ใช้ Sync อีเมล (ปรับให้ตรงกับนโยบาย Authentication ของ Provider)
   • Email Server / Port
   • SSL / STARTTLS — เปิดตามที่ Provider บังคับ
   • Auto Deletion — เปิดเพื่อให้ระบบลบอีเมลออกจาก Mailbox ที่ NGAF Sync (ไม่ใช่ Mailbox ของผู้รับจริง) หลัง Forward ไปยัง Cloud GPT เพื่อป้องกัน Storage เต็ม
4. คลิก Test Connectivity เพื่อยืนยัน
5. คลิก OK

6. หลังบันทึก Mailbox จะแสดงในรายการ Connection Status = Normal

ขั้นตอน B — Configure Alert Settings

1. ที่ Tab Mailbox Protection ในส่วน Alert Settings คลิก Edit
2. ส่วน Sender: ตั้ง SMTP Server สำหรับส่ง Alert (Account, Password, Email Server, Port, SSL/STARTTLS) แล้ว Test Connectivity
3. ส่วน Recipients: เลือก All Recipients หรือ Only Administrators (ถ้าเลือก Only Administrators สามารถ Send Test Email ตรวจสอบ)
4. ปรับ Email Template ตามต้องการ
5. คลิก OK

ขั้นตอน C — Configure Actions (Optional)

• Block Phishing Links — Sync Phishing URL ไปยัง on-premises URL Category ของ NGAF อัตโนมัติ (ต้องเปิด Botnet Detection + Content Security Policy ใน Network Security Policy ที่ครอบคลุม User Scope)
• Quarantine Phishing Attachments — Sync MD5 ของ Malicious File ไปยัง Endpoint Secure (V6.0.4ENR4+) เพื่อ Quarantine ที่ Endpoint โดยอัตโนมัติ

การตรวจสอบ

1. Tab Phishing Email Protection > Overview แสดงสถิติ Real-time: Email Analyzed, Phishing Email, Top Attackers / Victims
2. ที่ Monitor > Logs > Phishing Email Protection Logs จะมีรายละเอียดของ Email แต่ละฉบับ — Severity, Attack Type, Sender, Recipient คลิก View เพื่อดู GPT Analysis

หมายเหตุ

• Subscription มี Max Detections (จำนวน Email/Day) — ตรวจที่ SOC > Product Integration
• Auto Deletion ลบอีเมลออกจาก Mailbox ที่ NGAF Sync เท่านั้น ไม่ได้ลบจาก Mailbox ของผู้รับจริง
• หาก Mailbox Provider ใช้ 2-Factor Authentication ต้องตั้งค่า Authentication ตามที่ Provider แนะนำให้ App ภายนอกใช้งาน (เช่น App Password / OAuth ตามนโยบายของ Provider แต่ละราย)