В последние годы появляются быстро расширяющиеся атаки. Все больше и больше компаний сталкиваются с более высоким риском нарушения, чем когда-либо прежде, поскольку они не могут сохранить опыт безопасности, чтобы уберечь свою сеть от текущих угроз.
Совместное обнаружение и реагирование - это усовершенствованная функция, которая еще больше улучшает работу обычной службы UTM. Он может блокировать весь клиентский IP-трафик при обнаружении небезопасного соединения или при достижении предварительно установленного порога.
Когда клиентский трафик достигает своего порогового значения в CDR, устройство блокирует клиентский маршрутизирующий трафик.
Для использования функции CDR требуется лицензия UTM Security Pack и лицензия Nebula Pro Pack; без действующей лицензии CDR прекращает свою полную или частичную функциональность.
CDR | Без Пакет безопасности UTM | С участием Пакет безопасности UTM | После Срок действия пакета безопасности UTM истекает |
С участием | CDR не будет работать: - Выделите все настройки на странице графического интерфейса CDR серым. | CDR полная функциональность | CDR прекратит полную функциональность: 1. Для состояния «Включено» отображается «Включено» и отображается серым цветом. |
С участием Nebula Base / Plus Pack | CDR не будет работать: - Выделите все настройки на странице графического интерфейса CDR серым. | CDR частично функции: 1. Каждая страница GUI функции CDR по-прежнему настраивается, включая блокировку / карантин. Конфигурация должна быть сохранена.
| CDR прекратит полную функциональность: 1. Для состояния «Включено» отображается «Включено» и отображается серым цветом. 5. Карантинная VLAN останется без изменений. |
Как настроить CDR?
2. Вот таблица политик, в которой вы можете настроить критерии и действия, как показано на рисунке ниже:
Возникновение: сколько раз угроза поражала [HW1] клиентом.
Продолжительность: в течение определенного периода времени CDR обнаруживает угрозу.
Сдерживание: действие при срабатывании обоих критериев.
У сдерживания есть 3 варианта:
- Предупреждение: при срабатывании NCC отправляет администраторам электронное письмо с предупреждением. Незаконный трафик будет заблокирован службой безопасности.
- Блокировать: NCC отправляет администраторам электронное письмо с предупреждением. Gateway или AP заблокирует трафик и перенаправит его на страницу блокировки
Примечание: функция карантина работает только на AP.
База данных CDR включает:
Подписи IDP:
- CVE-2019-0708 (117760, 130797, 130801), CVE-2020-0796 (130822,130823,130824,130825), 117723, 117724, 117726
Подпись защиты от вредоносного ПО:
- Все подписи
Категории фильтров URL-угроз:
- Браузерные эксплойты, вредоносные загрузки, вредоносные сайты, фишинг
Блокировка предназначена для предотвращения доступа злоумышленников к беспроводной сети.
Карантин предназначен для точки доступа (которая поддерживает CDR), которая использует динамическое назначение VLAN для изоляции клиентов.
5. Список исключений - это белый список, в который вы можете ввести IP или MAC устройства, которое вы не хотите блокировать CDR.
Пример клиента, заблокированного CDR
1. Когда клиент просматривал вредоносный веб-сайт и действие запускало критерии CDR, браузер клиента выдает предупреждающее сообщение, как показано на рисунке ниже:
Как администратор может освободить клиента?
1. Перейти к На уровне сайта> Монитор> Список сдерживания , вы можете выбрать «Освободить» или «Добавить в список освобожденных».
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый покупатель, имейте в виду, что мы используем машинный перевод для публикации статей на вашем родном языке. Не весь текст можно перевести точно. Если есть вопросы или неточности в точности информации в переведенной версии, просмотрите исходную статью здесь: Исходная версия
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.