Nebula - Совместное обнаружение и реагирование (CDR)

Еще есть вопросы? Отправить запрос

Совместное обнаружение и реагирование (CDR) Zyxel Nebula — это функция безопасности, предназначенная для обнаружения и блокировки вредоносного IP-трафика клиентов в вашей сети. Она работает путем выявления небезопасных соединений, которые достигают заранее установленного порога. Когда CDR включена, она может блокировать или помещать в карантин трафик от проводных и WiFi-клиентов, отправляющих вредоносный трафик, предотвращая его распространение по сети.

CDR определяет вредоносный трафик с помощью комбинации фильтрации веб-контента, антивредоносного ПО и сигнатур IPS (IDP).

Для использования полной функциональности CDR вам необходимы:

  • Лицензия Gold/UTM Security Pack.
  • Лицензия Nebula Pro Pack.

Без этих лицензий функциональность CDR будет ограничена или недоступна. Например, при наличии Nebula Base/Plus Pack и отсутствии Gold/UTM Security Pack доступно обнаружение событий CDR и их регистрация, но действия по сдерживанию, такие как оповещение, блокировка или карантин, недоступны.

Вы можете настроить параметры CDR в разделе Site-wide > Configure > Collaborative detection & response в центре управления Nebula.

CDR

 нажмите «Enable» для активации функции CDR

 “Enable” to activate CDR feature

Ниже приведена таблица политик, где вы можете настроить критерии и действия, как показано на рисунке:

 policy table

 

Объяснение терминов:

Occurrence (Количество срабатываний): Сколько раз клиент вызвал угрозу [HW1].

 Duration (Продолжительность): В течение какого времени CDR обнаруживает угрозу.

Containment (Сдерживание): Действие, выполняемое при срабатывании обоих критериев.

Alert (Оповещение): NCC отправляет электронное письмо с оповещением администраторам при срабатывании. Функции службы безопасности блокируют незаконный трафик.

Block (Блокировка): NCC отправляет электронное письмо с оповещением администраторам. Шлюз или точка доступа блокируют трафик и перенаправляют его на страницу блокировки. *Блокировка беспроводного клиента поддерживается только на точках доступа. Клиент не может подключиться к WiFi в течение времени блокировки.

Quarantine (Карантин): NCC отправляет электронное письмо с оповещением администраторам. Точка доступа отключает WiFi-соединение клиента, а при повторном подключении клиент получает IP из VLAN карантина. *Функция карантина работает только на точках доступа.

CDR

4. Блокировка предназначена для предотвращения доступа вредоносного клиента к беспроводной сети, в то время как
Карантин применяется для точек доступа (поддерживающих CDR) и изолирует клиентов с помощью динамического назначения VLAN.

using dynamic VLAN assignment

5. Список исключений — это белый список, в который вы можете добавить IP-адрес или MAC-адрес устройства, которое не должно блокироваться CDR.

 Figure 3. Exempt list

 Рисунок 3. Список исключений

Пример клиента, заблокированного CDR

Когда клиент посещает вредоносный сайт и это действие вызывает срабатывание критериев CDR, в браузере клиента появляется предупреждающее сообщение, как показано на рисунке ниже:

CDR warning message

Рисунок 4. Предупреждающее сообщение CDR

Как администратор может разблокировать клиента?

Перейдите в Site-wide > Monitor > Containment list, где вы можете выбрать «Release» (Освободить) или «Add to Exempt list» (Добавить в список исключений).

Containment list

Рисунок 5. Список сдерживания

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.