Nebula - Samarbeidende deteksjon og respons (CDR)

Zyxel Nebulas samarbeidsbaserte deteksjon og respons (CDR) er en sikkerhetsfunksjon designet for å oppdage og blokkere ondsinnet klient-IP-trafikk innenfor nettverket ditt. Den fungerer ved å identifisere usikre tilkoblinger som når en forhåndsinnstilt terskel. Når CDR er aktivert, kan den blokkere eller sette i karantene trafikk fra kablede og WiFi-klienter som sender ondsinnet trafikk, og dermed forhindre spredning i hele nettverket.

CDR identifiserer ondsinnet trafikk ved hjelp av en kombinasjon av webfiltrering, anti-malware og IPS (IDP) signaturer.

For å kunne bruke full funksjonalitet av CDR, trenger du:

  • En Gold/UTM Security Pack-lisens.
  • En Nebula Pro Pack-lisens.

Uten disse lisensene vil CDR-funksjonaliteten være begrenset eller utilgjengelig. For eksempel, med en Nebula Base/Plus Pack og uten Gold/UTM Security Pack, er CDR-hendelsesdeteksjon tilgjengelig og hendelser logges, men inneslutningshandlinger som varsling, blokkering eller karantene er ikke det.

Du kan konfigurere CDR-innstillinger under Site-wide > Configure > Collaborative detection & response i Nebula kontrollsenter.

CDR

Klikk på "Enable" for å aktivere CDR-funksjonen

 “Enable” to activate CDR feature

Her er policy-tabellen hvor du kan konfigurere kriteriene og handlingene, som vist i figuren under:

 policy table

 

Forklaring av begreper:

Forekomst: Hvor mange ganger en trussel treffes [HW1] av en klient.

Varighet: Innenfor tidsperioden oppdager CDR en trussel.

Inneslutning: Handlingen som utføres når begge kriteriene er utløst.

Varsel: NCC sender en varsel-e-post til administratorer når utløst. Sikkerhetstjenestefunksjoner vil blokkere ulovlig trafikk.

Blokkering: NCC sender en varsel-e-post til administratorer. Gateway eller AP vil blokkere trafikken og omdirigere den til blokkeringssiden. *Blokkering av trådløs klient støttes kun på AP. Klienten kan ikke koble til WiFi i blokkeringstiden.

Karantene: NCC sender en varsel-e-post til administratorer. AP vil koble fra klientens WiFi-tilkobling, og når klienten kobler til WiFi igjen, vil den få en karantene VLAN-IP. *Karantenefunksjonen fungerer kun på AP.

CDR

4. Blokkering er for å forhindre at den ondsinnede klienten får tilgang til det trådløse nettverket, mens
Karantene gjelder for AP (som støtter CDR), som isolerer klienter ved bruk av dynamisk VLAN-tilordning.

using dynamic VLAN assignment

5. Unntaksliste er en hviteliste hvor du kan legge inn IP- eller MAC-adressen til enheten du ikke ønsker skal blokkeres av CDR.

 Figure 3. Exempt list

 Figur 3. Unntaksliste

Eksempel på en klient blokkert av CDR

Når en klient har surfet på et ondsinnet nettsted og handlingen utløser CDR-kriteriene, vil klientens nettleser vise en advarsel som vist i figuren under:

CDR warning message

Figur 4. CDR advarselsmelding

Hvordan kan administratoren frigjøre klienten?

Gå til Site-wide > Monitor > Containment list, hvor du kan velge "Release" eller "Add to Exempt list".

Containment list

Figur 5. Inneslutningsliste

Artikler i denne seksjonen

Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.