Ces dernières années, des attaques en expansion rapide ont fait surface. De plus en plus d'entreprises sont confrontées à un risque de transgression plus élevé que jamais, car elles ne sont pas en mesure de conserver leur expertise en matière de sécurité pour protéger leur réseau des menaces actuelles.
La détection et la réponse collaboratives est une amélioration de fonctionnalité qui améliore encore la fonction du service UTM standard. Il peut bloquer tout le trafic IP client lorsqu'il détecte une connexion non sécurisée ou lorsqu'il atteint le seuil prédéfini.
Lorsque le trafic d'un client atteint son seuil dans le CDR, l'appareil bloque le trafic de routage client.
L'utilisation de la fonction CDR nécessite une licence UTM Security Pack et une licence Nebula Pro Pack ; sans licences valides, le CDR cessera ses fonctionnalités complètes ou partielles.
CDR | Sans Pack de sécurité UTM | Avec Pack de sécurité UTM | Après Le pack de sécurité UTM expire |
Avec | Le CDR ne fonctionnera pas : - Grisez tous les paramètres dans la page GUI CDR | CDR pleine fonctionnalité | CDR cessera toutes ses fonctionnalités : 1. Pour l'état « Activé », il affichera « Activé » et sera grisé. |
Avec Nebula Pack Base/Plus | Le CDR ne fonctionnera pas : - Grisez tous les paramètres dans la page GUI CDR | CDR partiellement les fonctions: 1. Chaque page GUI de la fonctionnalité CDR est toujours configurable, y compris le blocage/la quarantaine. La configuration doit être enregistrée.
| CDR cessera toutes ses fonctionnalités : 1. Pour l'état « Activé », il affichera « Activé » et sera grisé. 5. Le VLAN de quarantaine restera conservé et ne sera pas modifié. |
Comment configurer le CDR ?
2. Voici la table de stratégie où vous pouvez configurer les critères et les actions, comme la figure ci-dessous :
Occurrence : combien de fois la menace a été touchée [HW1] par un client.
Durée : dans la durée, le CDR détecte une menace.
Confinement : l'action lorsque les deux critères ont été déclenchés.
Le confinement a 3 options :
- Alerte : NCC envoie un e-mail d'alerte aux administrateurs lorsqu'il est déclenché. Le trafic illégal sera bloqué par la fonction de service de sécurité.
- Bloquer : NCC envoie un e-mail d'alerte aux administrateurs. Gateway ou AP bloquera le trafic et le redirigera vers la page de blocage
Remarque : la fonction de quarantaine ne fonctionne que sur AP.
La base de données CDR comprend :
Signatures de l'IDP :
- CVE-2019-0708(117760, 130797, 130801),CVE-2020-0796(130822,130823,130824,130825), 117723, 117724, 117726
Signature anti-programme malveillant :
- Toutes les signatures
Catégories de filtre de menace d'URL :
- Exploits de navigateur, téléchargements malveillants, sites malveillants, hameçonnage
Bloquer est d'empêcher les clients malveillants d'accéder au réseau sans fil
La quarantaine est pour AP (qui prend en charge CDR) qui utilise l'attribution de VLAN dynamique pour isoler les clients.
5. La liste d'exemptions est une liste blanche dans laquelle vous pouvez saisir l'adresse IP ou MAC de l'appareil que vous ne souhaitez pas bloquer par CDR.
Exemple de client bloqué par CDR
1. Lorsqu'un client a surfé sur un site Web malveillant et que l'acte a déclenché les critères CDR, le navigateur du client affiche un message d'avertissement comme illustré ci-dessous :
Comment l'administrateur peut-il libérer le client ?
1. Allez à À l'échelle du site > Surveiller > Liste de confinement , vous pouvez choisir « Libérer » ou « Ajouter à la liste d'exemptions ».
CLAUSE DE NON-RESPONSABILITÉ:
Cher client, sachez que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Tous les textes peuvent ne pas être traduits avec précision. S'il y a des questions ou des divergences sur l'exactitude des informations dans la version traduite, veuillez consulter l'article original ici : Version originale