Nebula - Yhteistyöhön perustuva havainnointi ja reagointi (CDR)

Zyxel Nebula -alustan Yhteistyöhön perustuva havainnointi ja reagointi (Collaborative Detection & Response, CDR) on tietoturvaominaisuus, joka on suunniteltu havaitsemaan ja estämään haitallista asiakas-IP-liikennettä verkossasi. Se toimii tunnistamalla epäluotettavat yhteydet, jotka saavuttavat ennalta asetetun kynnyksen. Kun CDR on käytössä, se voi estää tai eristää langallisten ja langattomien WiFi-asiakkaiden lähettämän haitallisen liikenteen, estäen sen leviämisen verkon sisällä.

CDR tunnistaa haitallisen liikenteen käyttämällä yhdistelmää Verkkosuodatusta, Haittaohjelmien torjuntaa ja IPS (IDP) -allekirjoituksia.

CDR:n täyden toiminnallisuuden hyödyntämiseksi tarvitset:

  • Gold/UTM Security Pack -lisenssin.
  • Nebula Pro Pack -lisenssin.

Ilman näitä lisenssejä CDR:n toiminnallisuus on rajoitettua tai se ei ole käytettävissä. Esimerkiksi Nebula Base/Plus Pack -lisenssillä ilman Gold/UTM Security Pack -lisenssiä CDR-tapahtumien tunnistus on käytettävissä ja tapahtumat kirjataan, mutta toimenpiteet kuten hälytys, esto tai eristys eivät ole käytettävissä.

Voit määrittää CDR-asetukset kohdassa Site-wide > Configure > Collaborative detection & response Nebula -hallintakeskuksessa.

CDR

 Klikkaa “Enable” aktivoidaksesi CDR-ominaisuuden

 “Enable” to activate CDR feature

Tässä on politiikkataulukko, jossa voit määrittää kriteerit ja toimenpiteet, kuten alla olevassa kuvassa:

 policy table

 

Termien selitykset:

Occurrence (esiintymä): Kuinka monta kertaa uhka on kohdistunut [HW1] -laitteeseen asiakkaan toimesta.

 Duration (kesto): Aikajakso, jonka aikana CDR havaitsee uhan.

Containment (eristys): Toimenpide, kun molemmat kriteerit täyttyvät.

Alert (hälytys): NCC lähettää hälytyssähköpostin ylläpitäjille, kun kynnys ylittyy. Tietoturvapalvelut estävät luvattoman liikenteen.

Block (esto): NCC lähettää hälytyssähköpostin ylläpitäjille. Reititin tai päätepiste (AP) estää liikenteen ja ohjaa sen esto-sivulle. *Langattoman asiakkaan esto on tuettu vain AP:lla. Asiakas ei voi yhdistää WiFi-verkkoon estoajan aikana.

Quarantine (eristys): NCC lähettää hälytyssähköpostin ylläpitäjille. AP katkaisee asiakkaan WiFi-yhteyden, ja kun asiakas yhdistää uudelleen, se saa eristys-VLAN-IP-osoitteen. *Eristystoiminto toimii vain AP:lla.

CDR

4. Esto estää haitallista asiakasta pääsemästä langattomaan verkkoon, kun taas
Eristys on tarkoitettu AP:lle (joka tukee CDR:ää), ja se eristää asiakkaat käyttämällä dynaamista VLAN-määritystä.

using dynamic VLAN assignment

5. Poikkeuslista on valkoinen lista, johon voit lisätä laitteen IP- tai MAC-osoitteen, jota et halua CDR:n estävän.

 Figure 3. Exempt list

 Kuva 3. Poikkeuslista

Esimerkki asiakkaasta, jonka CDR on estänyt

Kun asiakas on selannut haitallista verkkosivustoa ja toiminto on laukaissut CDR-kriteerit, asiakkaan selain näyttää varoitusviestin alla olevan kuvan mukaisesti:

CDR warning message

Kuva 4. CDR-varoitusviesti

Kuinka ylläpitäjä voi vapauttaa asiakkaan?

Siirry kohtaan Site-wide > Monitor > Containment list, josta voit valita “Release” (vapauta) tai “Add to Exempt list” (lisää poikkeuslistaan).

Containment list

Kuva 5. Eristyslista

Tämän osion artikkelit

Oliko tämä artikkeli hyödyllinen?
0/0 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.