Nebula - Collaborative Detection & Response (CDR)

Zyxel Nebulas Collaborative Detection & Response (CDR) är en säkerhetsfunktion utformad för att upptäcka och blockera skadlig klient-IP-trafik inom ditt nätverk. Den fungerar genom att identifiera osäkra anslutningar som når en förinställd tröskel. När CDR är aktiverat kan det blockera eller isolera trafik från trådbundna och WiFi-klienter som skickar skadlig trafik, vilket förhindrar dess spridning i nätverket.

CDR identifierar skadlig trafik med en kombination av webbfiltrering, anti-malware och IPS (IDP) signaturer.

För att använda hela funktionaliteten av CDR behöver du:

  • En Gold/UTM Security Pack-licens.
  • En Nebula Pro Pack-licens.

Utan dessa licenser kommer CDR-funktionaliteten att vara begränsad eller otillgänglig. Till exempel, med en Nebula Base/Plus Pack och utan Gold/UTM Security Pack, är CDR-händelsedetektering tillgänglig och händelser loggas, men åtgärder som varning, blockering eller isolering utförs inte.

Du kan konfigurera CDR-inställningar under Site-wide > Configure > Collaborative detection & response i Nebula kontrollcenter.

CDR

Klicka på ”Enable” för att aktivera CDR-funktionen

 “Enable” to activate CDR feature

Här är policyn där du kan konfigurera kriterier och åtgärder, enligt bilden nedan:

 policy table

 

Förklaring av termer:

Occurrence: Hur många gånger ett hot träffar [HW1] av en klient.

Duration: Inom tidsperioden upptäcker CDR ett hot.

Containment: Åtgärden när båda kriterierna har utlösts.

Alert: NCC skickar en varningsmail till administratörer när det utlöses. Säkerhetstjänstfunktioner blockerar olaglig trafik.

Block: NCC skickar en varningsmail till administratörer. Gateway eller AP blockerar trafiken och omdirigerar den till block-sidan. *Blockering av trådlös klient stöds endast på AP. Klienten kan inte ansluta till WiFi under blockeringstiden.

Quarantine: NCC skickar en varningsmail till administratörer. AP kopplar bort klientens WiFi-anslutning och när klienten ansluter till WiFi igen får den en karantän VLAN-IP. *Karantänfunktionen fungerar endast på AP.

CDR

4. Blockering förhindrar att den skadliga klienten får åtkomst till det trådlösa nätverket, medan
Karantän gäller för AP (som stöder CDR) och isolerar klienter med dynamisk VLAN-tilldelning.

using dynamic VLAN assignment

5. Undantagslistan är en vitlista där du kan lägga in IP- eller MAC-adressen för en enhet som du inte vill ska blockeras av CDR.

 Figure 3. Exempt list

Figur 3. Undantagslista

Exempel på en klient som blockeras av CDR

När en klient har besökt en skadlig webbplats och detta utlöser CDR-kriterierna, kommer klientens webbläsare att visa ett varningsmeddelande som bilden nedan visar:

CDR warning message

Figur 4. CDR varningsmeddelande

Hur kan administratören frigöra klienten?

Gå till Site-wide > Monitor > Containment list, där du kan välja ”Release” eller ”Add to Exempt list”.

Containment list

Figur 5. Containment list

Artiklar i detta avsnitt

Var denna artikel till hjälp?
0 av 0 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.