Nebula - Collaborative Detection & Response (CDR)

Har du flere spørgsmål? Indsend en anmodning

Zyxel Nebula's Collaborative Detection & Response (CDR) er en sikkerhedsfunktion designet til at opdage og blokere ondsindet klient-IP-trafik i dit netværk. Den fungerer ved at identificere usikre forbindelser, der når en forudindstillet tærskel. Når CDR er aktiveret, kan den blokere eller isolere trafik fra kablede og WiFi-klienter, der sender ondsindet trafik, og dermed forhindre spredning i hele netværket.

CDR identificerer ondsindet trafik ved hjælp af en kombination af Web Filtering, Anti-Malware og IPS (IDP) signaturer.

For at udnytte den fulde funktionalitet af CDR skal du have:

  • En Gold/UTM Security Pack licens.
  • En Nebula Pro Pack licens.

Uden disse licenser vil CDR-funktionaliteten være begrænset eller utilgængelig. For eksempel, med en Nebula Base/Plus Pack og uden Gold/UTM Security Pack, er CDR-hændelsesdetektion tilgængelig og hændelser logges, men indekseringshandlinger som alarm, blokering eller karantæne er ikke.

Du kan konfigurere CDR-indstillinger under Site-wide > Configure > Collaborative detection & response i Nebula kontrolcenteret.

CDR

Klik på "Enable" for at aktivere CDR-funktionen

 “Enable” to activate CDR feature

Her er politik-tabellen, hvor du kan konfigurere kriterier og handlinger, som vist i figuren nedenfor:

 policy table

 

Forklaring af termer:

Forekomst: Hvor mange gange en trussel rammer [HW1] af en klient.

 Varighed: Inden for tidsperioden opdager CDR en trussel.

Indeslutning: Handlingen når begge kriterier er udløst.

Alarm: NCC sender en alarmmail til administratorer, når den udløses. Sikkerhedstjenester blokerer ulovlig trafik.

Blokering: NCC sender en alarmmail til administratorer. Gateway eller AP blokerer trafikken og omdirigerer den til blokside. *Blokering af trådløse klienter understøttes kun på AP. Klienten kan ikke oprette forbindelse til WiFi i blokeringens varighed.

Karantæne: NCC sender en alarmmail til administratorer. AP afbryder klientens WiFi-forbindelse, og når klienten forbinder igen, får den en karantæne VLAN IP. *Karantænefunktionen virker kun på AP.

CDR

4. Blokering forhindrer den ondsindede klient i at få adgang til det trådløse netværk, mens
Karantæne er for AP (der understøtter CDR), som isolerer klienter ved hjælp af dynamisk VLAN-tildeling.

using dynamic VLAN assignment

5. Undtagelseslisten er en hvidliste, hvor du kan indtaste IP- eller MAC-adressen på enheder, som du ikke ønsker skal blive blokeret af CDR.

 Figure 3. Exempt list

 Figur 3. Undtagelsesliste

Eksempel på en klient blokeret af CDR

Når en klient har surfet på et ondsindet websted, og handlingen udløser CDR-kriterierne, vil klientens browser vise en advarselsbesked som vist i figuren nedenfor:

CDR warning message

Figur 4. CDR advarselsbesked

Hvordan kan administratoren frigive klienten?

Gå til Site-wide > Monitor > Containment list, hvor du kan vælge "Release" eller "Add to Exempt list".

Containment list

Figur 5. Indeslutningsliste

Artikler i denne sektion

Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.