تكوين حماية النقاط النهائية

توضح هذه المقالة كيفية تكوين حل الحماية للنقاط النهائية (EPP) من Cato لتأمين نقاطك النهائية.

نظرة عامة

تشمل حل EPP لشبكة Cato ثلاثة أنواع من محركات EPP: حماية الملفات، التي تفحص الملفات على النقطة النهائية؛ التحليل السلوكي، الذي يفحص العمليات الجارية على النقطة النهائية؛ ومكافحة الاستغلال، التي تحمي من نقاط الضعف في البرامج. يتم تكوين إعدادات EPP الخاصة بك في تطبيق إدارة Cato، مما يوفر طريقة مركزية لإدارة الأمان عبر سطح هجومك. في ملف تعريف حماية النقاط النهائية، يمكنك تكوين مستوى الحماية لكل محرك لتعريف كيفية استجابته للتهديدات المحتملة. استخدم سياسة حماية النقاط النهائية لتطبيق ملفات تعريف حماية النقاط النهائية على المستخدم النهائي أو النقطة النهائية.

يمكنك إضافة ملف أو عملية إلى قائمة السماح لمنع التعرف على الملفات أو العمليات الشرعية كمؤذية، وللحماية الإضافية، يمكنك تشغيل فحص حسب الطلب على نقطة نهائية محددة.

ملاحظة

ملحوظة: لا تستطيع الأجهزة الموجودة في الصين تسجيل EPP الخاص بها إلى Cato بسبب القيود الإقليمية.

محركات EPP

لحماية النقاط النهائية الخاصة بك من البرمجيات الخبيثة المعروفة وغير المعروفة، يوفر حل EPP لـ Cato ثلاث طبقات حماية لكامل الحل الأمني. تستخدم كل طبقة تقنيات اكتشاف مختلفة للتعرف على أنماط أنواع مختلفة من الهجمات ومنعها.

مكافحة البرامج الضارة (حماية الملفات)

يدعم محرك حماية الملفات فحص أكثر من 300 نوع من الملفات، بما في ذلك الملفات المؤرشفة، وملفات ZIP، وRAR. يتم فحص الملف بمجرد تنزيله أو نسخه إلى نقطة النهاية كما يحدث عند محاولة المستخدم النهائي الوصول إليه. يمكنك أيضًا فحص جميع الملفات على نقطة نهاية في أي وقت باستخدام فحص عند الطلب.

التحليل السلوكي

يستخدم محرك التحليل السلوكي أساليب استدلالية للحماية من التهديدات غير المعروفة والتهديدات الجديدة (zero-day). تتم مراقبة التطبيقات والعمليات باستمرار للتحقق من وجود إشارات إلى نشاط ضار بناءً على سلوكها. أمثلة على السلوك الضار تشمل:

  • تنفيذ أو حقن تعليمات برمجية في مساحة عملية أخرى لتشغيلها بامتيازات أعلى

  • الوصول إلى العمليات القانونية أو تنفيذها في مواقع السجل التي تتطلب امتيازات مرتفعة

  • نسخ الملفات أو نقلها داخل مجلدات النظام أو Windows

مكافحة الاستغلال

ملاحظة

ملاحظة: مدعوم من EPP الإصدار 1.1 وما فوق

يستخدم محرك مكافحة الاستغلال التعلم الآلي للحماية من التهديدات المعروفة وغير المعروفة التي تستفيد من نقاط ضعف البرمجيات. يتم مراقبة عمليات النظام والمتصفحات وMicrosoft Office وAdobe Reader باستمرار للكشف عن التقنيات المستخدمة لاستغلال نقاط ضعف البرمجيات. تشمل أمثلة على التقنيات التي يتم اكتشافها:

  • تصعيد الامتيازات: عمليات تسعى للحصول على امتيازات غير مصرح بها والوصول إلى الموارد

  • فحص العمليات: محاولات لجمع معلومات مفصلة حول العمليات الجارية وموارد النظام واستخدام الذاكرة وغيرها من البيانات الحيوية

  • تفريغ بيانات اعتماد LSASS: محاولات للوصول إلى ذاكرة عملية LSASS واستخراج بيانات اعتماد المصادقة الحساسة

الاستجابة للتهديدات

بعد أن يحدد محرك EPP نشاطاً يحتمل أن يكون ضاراً، تحدد إعدادات الحماية الإجراء الذي يتخذه EPP. بالإضافة إلى ذلك، لمحرك التحليل السلوكي، يمكنك تحديد مدى حساسيته في التعرف على التهديدات غير المعروفة.

تصف الجدول التالي كل مستوى الحماية ومثالا على حالة استخدامه.

الحماية

الوصف

حالة استخدام نموذجية

إيقاف

لا يتم تشغيل فحوصات EPP، ولا يتم تكوين أي أحداث.

لا ترغب في استخدام محرك EPP هذا.

المراقبة

يتم إنشاء حدث إذا تم تحديد نشاط ضار، ولكن لم يُتخذ أي إجراء آخر.

تريد جمع بيانات عن الملفات أو العمليات الضارة دون منع تنفيذها.

البلوك

لا يمكن تنفيذ ملف أو عملية ضارة. لا يتم تعديل الملف أو نقله من موقعه.

هذا هو الإعداد الافتراضي لمحرك التحليل السلوكي و مكافحة الاستغلال.

ترغب في تحديد الملفات أو العمليات الضارة وحظرها.

البلوك والمعالجة

لا يمكن تنفيذ الملف أو العملية الضارة. يتم تشفير الملف وتخصيصه في الحجر الصحي، أو إذا لم يكن ذلك ممكنًا، يتم حذفه.

هذا هو الإعداد الافتراضي لمكافحة البرمجيات الخبيثة.

ترغب في تحديد الملفات أو العمليات الضارة وحظرها وتخصيصها في الحجر الصحي.

قتل

إنهاء العملية المصابة للتطبيق.

أنت تريد قتل العملية الخبيثة لتجنب استمرار تشغيلها.
القتل والتعافي

 

إنهاء العملية المصابة، وإذا نجح ذلك، تنظيف آثار البرامج الضارة.
قد يشمل ذلك الرجوع عن تغييرات الملفات، إزالة مفاتيح التسجيل، إلغاء تثبيت الخدمات، إلخ.

أنت تريد قتل العملية والتأكد من إزالة أي دلالة على البقاء.
قتل العملية

إنهاء العملية المستغلة وأية عمليات مرتبطة محتملة 

قتل العمليات التي حقنت الشيفرة في العملية المستغلة.

مستوى حساسية التحليل السلوكي الاستدلالي

يكتشف محرك التحليل السلوكي التهديدات المحتملة بناءً على نموذج تنبئي وأساليب استدلال. يحدد مستوى الحساسية للمحرك مستوى الثقة الذي يحدد التهديدات المحتملة. على سبيل المثال، سيتعرف الإعداد العنيف على العمليات بمستوى منخفض من التأكيد على أنها ضارة. يمكن أن يؤدي هذا الإعداد إلى المزيد من المطابقات الإيجابية الكاذبة.

يصف الجدول التالي خيارات مستوى الحساسية ومثال لحالة استخدامه.

مستوى الحساسية

الوصف

حالة استخدام نموذجية

متسامح

اكتشف العمليات التي تُحدَّد بأنها ضارة بمستوى عالٍ جداً من التأكيد. هذا هو الإعداد بأقل مستوى من الحساسية.

تريد فقط اكتشاف العمليات التي تكون بالتأكيد ضارة.

متوازن

اكتشف العمليات التي تُحدَّد بأنها ضارة بمستوى عالٍ من التأكيد.

تريد اكتشاف العمليات التي يُحتمل أن تكون ضارة.

عنيف

اكتشف العمليات التي تُحدَّد بأنها ضارة بمستوى منخفض من التأكيد. هذا هو الإعداد بأعلى مستوى من الحساسية.

تريد اكتشاف العمليات التي يُحتمل أن تكون ضارة ولكن لا تتأكد من ذلك.

تكوين إعدادات حماية النقاط النهائية

لتحديد كيفية حماية EPP للنقاط النهائية في حسابك، استخدم ملف تعريف EPP لبدء مستوى الحماية لكل محرك. ثم استخدم القواعد في سياسة EPP لتحديد نطاق النقاط النهائية التي ينطبق عليها الملف الشخصي. يمكن تطبيق الملف الشخصي على مستخدمين نهائيين محددين، نقاط نهائية محددة، أو كليهما.

سياسات EPP هي قاعدة مرتبة. تُطبق القواعد في سياستك على الملفات والعمليات بشكل تسلسلي للتحقق مما إذا كانت قاعدة تتطابق. تحظى القواعد الموجودة في أعلى القاعدة بأولوية أعلى لأنها تُطبَّق قبل القواعد الأدنى. على سبيل المثال، إذا كان لدى القاعدة رقم #1 استجابة بلوك لحماية الملفات وتنطبق على نقطة نهاية حيث تم تحديد ملف ضار، فسيتم حظر الملف. لا يتم تطبيق أي قواعد أخرى على الملف. تُطبق القاعدة الافتراضية النهائية الملف الشخصي الافتراضي على جميع النقاط النهائية ولا يمكن تحريرها.

تحديد ملف تعريف حماية النقاط النهائية

يُعرِّف ملف تعريف EPP إعدادات حماية الملفات والتحليل السلوكي. يمكنك تحديد ملفات تعريف مختلفة بناءً على المتطلبات لسياسة EPP الخاصة بك.

EPP_Profile.png

لتحديد ملف تعريف حماية النقاط النهائية:

  1. من قائمة التنقل، انقر على الأمان > حماية النقاط النهائية.

  2. انقر على علامة التبويب الملفات الشخصية.

  3. انقر على جديد.

    يفتح اللوحة إنشاء ملف تعريف حماية النقاط النهائية الجديد.

  4. حدد إعدادات الملف الشخصي.

  5. انقر على تطبيق ثم حفظ.

إنشاء سياسة حماية النقاط النهائية

حدد القواعد في السياسة EPP باستخدام المصدر والملف الشخصي. يمكن أن يكون المصدر هو هوية المستخدم النهائي أو جهاز النقطة النهائية بناءً على معرف النقطة النهائية. يمكنك أيضًا تعيين مستوى الحماية (الملف الشخصي) الذي يُطبق على كل مستخدم نهائي أو نقطة نهاية (المصدر). يتيح لك ذلك تخصيص كيفية استخدام كل محرك من محركات EPP على كل نقطة نهاية عبر بيئتك.

image3.png

لإنشاء سياسة حماية النقاط النهائية:

  1. من قائمة التنقل، انقر على الأمان > حماية النقاط النهائية.

  2. انقر على جديد.

    يفتح اللوحة إنشاء قاعدة سياسة حماية النقاط النهائية الجديدة.

  3. حدد الاسم، الوصف، المصدر، والملف الشخصي لهذه القاعدة.

  4. (اختياري) قم بتكوين خيارات التتبع لتوليد الأحداث وإرسال الإشعارات

    لمزيد من المعلومات حول الإشعارات، راجع المقالة ذات الصلة بجماعات الاشتراك والقوائم البريدية ودمج التنبيهات في التنبيهات القسم.

  5. انقر على تطبيق.

  6. كرر الخطوات 2-5 لكل قاعدة في سياسة EPP.

  7. قم بتمكين سياسة EPP وانقر على حفظ.

    يكون الشريط المنزلق ( slider.png ) باللون الأخضر عندما يتم تمكين EPP، وباللون الرمادي عندما يتم تعطيله.

السماح بالملفات والمسارات لـ EPP

أحياناً قد يعتبر محرك EPP عملية شرعية للأنشطة التجارية ضارة. لمنع حماية النقاط النهائية من مقاطعة العمليات التجارية الشرعية، يمكنك السماح كائن لمستخدم نهائي أو على نقطة نهاية (المصدر). هذا يعني أنه لم يتم فحصه أو حظره أو نقله. بالنسبة لالفحوصات عند الطلب، قد يتم تحفيز حدث مع إجراء التخفيف تجاهله. لا يتم إنشاء حدث لفحص الملفات.

يمكن السماح للأشياء التالية بالتنفيذ للمستخدم النهائي على نقطة النهاية أو كليهما:

ملحوظة

ملاحظة: يتم السماح لمسارات الملفات بواسطة محرك التحليل السلوكي ومحرك مكافحة البرامج الضارة. تسمح محرك مكافحة البرامج الضارة فقط للأشياء الأخرى.

  • مسار الملف

  • مسار المجلد

  • نوع الملف

  • SHA256 تجزئة الملف

2023-03-16_18-15-55.png

لتعريف موضوع لقائمة السماح:

  1. من القائمة التنقل، انقر الحماية > حماية النقاط.

  2. انقر على علامة تبويب قائمة السماح.

  3. انقر جديد.

    تفتح لوحة قائمة السماح الجديدة.

  4. حدد الاسم والوصف والموضوع والمصدر للسماح.

  5. انقر تطبيق.

  6. كرر الخطوات 3-5 لكل موضوع الذي تسمح به.

  7. انقر حفظ.

عمليات الفحص عند الطلب لحماية الملفات

تجري عمليات الفحص لحماية الملف عند تنزيل ملف أو نسخه إلى نقطة النهاية وكذلك عندما يحاول المستخدم النهائي الوصول إليه. بالإضافة إلى ذلك، يمكنك إجراء فحص لحماية الملف نقطياً عند الطلب في أي وقت. بإجراء فحص لحماية الملف عند الطلب، يمكنك تحديد البرامج الضارة الموجودة على نقطة النهاية قبل أن يحاول المستخدم النهائي الوصول إليها.

تقارن عمليات الفحص عند الطلب تجزئة الملف SHA256 لجميع الملفات المحفوظة في نقاط النهاية بقائمة توقيعات البرامج الضارة المعروفة. إذا تم اكتشاف ملف ضار، يتبع EPP الإجراء المحدد في السياسة.

تشغيل فحص حماية الملفات عند الطلب

يمكنك تحديد الملفات الضارة في نقطة النهاية في أي وقت بإجراء فحص عند الطلب. هذه الفحوصات لا تجري بعد تثبيت العميل، فهي تجري فقط بعد أن تشغل من تطبيق إدارة كاتو.

لتشغيل فحص حماية الملفات عند الطلب

  1. من القائمة التنقل، انقر الوصول > نقاط النهاية المحمية.

    يتم عرض شاشة نقاط النهاية المحمية.

  2. انقر على الثلاث نقاط (Three_Dots.png) على نقطة النهاية التي تريد فحصها.

  3. انقر فحص نقطة النهاية.

    يجري فحص حماية الملفات على نقطة النهاية.

اختبار حل EPP

بعد تثبيت العميل EPP على نقاط النهاية الخاصة بك، يمكنك اختبار الحل لضمان أنه يمنع الأنشطة الضارة بناءً على تكوين السياسة الخاصة بك.

لاختبار الحل EPP:

  1. على نقطة نهاية تم تثبيت العميل عليها، قم بتنزيل وحاول تشغيل ملف اختبار EICAR.

  2. حاول فتح وتشغيل الملف.

    ملاحظة: إذا تم حظر تنزيل الملف بواسطة حل الأمان الشبكي أو المتصفح الخاص بك، انسخ النص في ملف EICAR، ألصقه في ملف .txt جديد واحفظه.

  3. إذا تم تثبيت وتمكين الحل EPP بشكل صحيح، فإن سلوك الملف سيكون وفقًا للسياسات التي تم تكوينها ويُنشأ حدث.

فهم تردد تحديثات قاعدة البيانات

عند فحص محرك EPP لملف أو عملية، فإنه يقارنها بقاعدة بيانات تحتوي على نشاط ضار معروف. يتم تحديث هذه القواعد تلقائيًا بانتظام لضمان أن محركات EPP تحمي ضد أحدث التهديدات.

حالة تحديث قاعدة البيانات مرئية في علامة التبويب الحالة لوكيل EPP.

تردد تحديثات قاعدة البيانات:

  • قاعدة بيانات البرمجيات الضارة: كل 1 ساعة

  • قاعدة بيانات CTC: كل 24 ساعة (تستخدم لتصحيحات بين المحركات)

  • قاعدة بيانات السلوك: كل 2 ساعة

  • قاعدة بيانات الاستغلال: كل 2 ساعة

قاعدة البيانات التي تحتوي على قائمة الملفات الشرعية المعروفة والتي لا تتطلب فحص يتم تحديثها كل 4 ساعات.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات