تمكين العمل مع مكافحة البرمجيات الخبيثة و جهاز نظام منع التطفل

مقدمة

بالإضافة إلى جدار الحماية وترشيح عناوين المواقع لـ Cato، هناك خدمات أمان إضافية: مكافحة البرمجيات الخبيثة وجهاز نظام منع التطفل (IPS). يمكن تفعيل كلا الخدمتين فورًا وتتطلبان ضبط إعدادات ضئيلة جدًا. تقدم هذه الخدمات طبقة حماية إضافية لحركة مرور الشبكة الواسعة وحركة مرور الإنترنت أو كليهما.

  • بإيجاز، ستكشف مكافحة البرمجيات الخبيثة عن الملفات الضارة وتقوم بحظرها. يمكن اعتبارها كبوابة مكافحة الفيروسات في السحابة.

  • من ناحية أخرى، سيكشف نظام منع التطفل عن استغلال الثغرات الأمنية الخاصة بالمضيف ويقوم بحظرها. على سبيل المثال، إذا كان المستخدم يستخدم إصدارًا لم يتم تصحيحه من Windows (دون أحدث التحديثات الأمنية)، يمكن للخادم البعيد استغلال ثغرة معينة في المضيف وتنفيذ تعليمات خبيثة على محطة العمل. يُعتبر نظام منع التطفل عادةً خادم تصحيح افتراضي. يكافح قسم تكنولوجيا المعلومات معظم الوقت لضمان حصول جميع المضيفين على أحدث التحديثات الأمنية والتصحيحات. IPS هو الحل الفوري للثغرات الأمنية الجديدة.

أفضل الممارسات

ينصح بشدة بتمكين خدمة مكافحة البرمجيات الضارة ونظام منع التطفل IPS. لا يواجه المستخدم النهائي أي تأخير بسبب معالجة مكافحة البرمجيات الخبيثة. عند اكتشاف ملف ضار، سيتم حظر وصول المستخدم وسيتم توجيهه إلى صفحة حظر.

لا يوجد سبب لعدم تمكين هذه الخدمات. فريق الأمان لدى Cato يحتفظ دائمًا بقاعدة بيانات الحماية من البرمجيات الخبيثة محدثة بناءً على قواعد بيانات استخبارات التهديدات العالمية لضمان الحماية الفعالة ضد التهديدات الحالية.

كأفضل ممارسة لتمكين خدمات مكافحة البرمجيات الضارة وIPS، يُنصح بسير العمل التالي:

  1. قم بتمكين مكافحة البرمجيات الضارة وIPS في وضع المراقبة لكل من حركة مرور WAN وحركة مرور الإنترنت. في وضع المراقبة، يتم تسجيل الحركة الضارة فقط دون إيقافها.

  2. إذا لزم الأمر، يمكنك ضبط التتبع لتلقي تنبيه بريد إلكتروني عند اكتشاف البرمجيات الخبيثة (ولكنها ليست محظورة لأنها في وضع المراقبة).

  3. راجع أحداث مكافحة البرمجيات الخبيثة وIPS في غضون بضعة أيام وانتقل تدريجياً إلى وضع الحظر.

ملاحظة

ملاحظة: للحصول على أفضل نتائج الكشف، يجب تمكين فحص TLS.

يسمح فحص TLS لمحركات الأمان بتحليل حركة المرور المشفرة التي قد تحتوي على ملفات أو تعليمات برمجية ضارة. تمكين فحص TLS هو الخطوة الأخيرة في تمكين مكافحة البرمجيات الضارة وIPS. يمكن العثور على دليل لتمكين فحص TLS وإرشادات لتوزيع شهادة Cato باستخدام GPO هنا.

فيما يلي دليل خطوة بخطوة لتكوين خدمات الأمان ومراجعة النتائج.

تمكين وتهيئة حماية البرامج الضارة

  1. من اللوحة الجانبية، انقر فوق الأمن > مكافحة البرمجيات الخبيثة.

  2. انقر على المؤشر الأيسر لتمكين (أخضر) أو تعطيل (رمادي) حماية مكافحة البرمجيات الخبيثة للحساب.

  3. انقر على المؤشر الأيمن لتمكين (أخضر) أو تعطيل (رمادي) محرك NG مكافحة البرمجيات الخبيثة.

    Anti-Malware__1_.png

الآن تم تمكين محركات مكافحة البرمجيات الخبيثة. الخطوة التالية هي تكوين إعدادات حماية البرمجيات الخبيثة.

لكل قاعدة مكافحة برمجيات خبيثة، انقر في عمود الإجراء واختر أحد الخيارات التالية:

  • الحظر - يمنع الملف الضار من الاستمرار إلى وجهته. عند الاقتضاء، يقوم بتوجيه المستخدم إلى صفحة حظر مخصصة.

  • السماح - دع الملف الضار يستمر إلى وجهته.

للمراقبة دون حظر، قم بتحديد القاعدة إلى السماح، وفي قسم التتبع، قم بتمكين خيار الحدث. هذا ينشئ سجلات أحداث يمكنك مراجعتها في صفحة الأحداث (الصفحة الرئيسية > الأحداث). يمكنك أيضًا إرسال إشعارات يتم تشغيلها بواسطة نوع الحركة. في حالة حدوث حدث أمني (الكشف عن البرمجيات الخبيثة)، سيتم إرسال تنبيه إلى مجموعات الاشتراك المحددة مسبقًا، قوائم البريد وآليات التنبيه. لمزيد من المعلومات حول أنواع الإشعارات هذه، راجع المقالة ذات الصلة في قسم التنبيهات.

تمكين وتهيئة نظام الحماية من التطفل

  1. من اللوحة الجانبية، انقر فوق الأمن > IPS.

  2. انقر على شريط التمرير الخاص بـ IPS لتمكين (أخضر) أو تعطيل (رمادي) حماية IPS للحساب.

مشابه لمحرك مكافحة البرمجيات الخبيثة، قم الآن بتمكين حماية IPS لحركة مرور الشبكة الواسعة، وحركة المرور الداخلة وحركة المرور الخارجة. يُعتبر الشبكة الواسعة أي نوع من حركة المرور بين العناصر المتصلة بشبكة Cato (المواقع والمستخدمين). ينطبق الحماية الداخلية على حركة المرور القادمة من الإنترنت والموجهة للمضيفين الداخليين عبر إعادة توجيه المنافذ عن بعد. حركة المرور الخارجية هي أي نوع من حركة المرور التي تنشأ من المضيفين الداخليين إلى الإنترنت - تصفح الإنترنت العادي.

مراجعة الأحداث الأمنية

كما ذكر أعلاه، بمجرد تمكين خدمات الأمان، يحدد محرك الأمان أي حركة مرور يتم اكتشافها بالفعل ويحتمل أن يتم حظرها.

تعرض صفحة الأحداث (الصفحة الرئيسية > الأحداث) بيانات حول الأحداث التي وقعت في أي أو جميع المواقع والمستخدمين خلال فترة زمنية محددة.

لتصفية الأحداث فقط المتعلقة بمكافحة البرمجيات الخبيثة، من قائمة التحديد المسبقة، اختر مكافحة البرمجيات الخبيثة.

360002146618-mceclip0.png

لتصفية الأحداث فقط المتعلقة بـ IPS، من قائمة التحديد المسبقة، اختر IPS.

قم بالتمرير لأسفل وستجد الأحداث. لكل حدث يمكنك التوسيع للحصول على مزيد من التفاصيل.

360002042337-mceclip2.png

* إذا لم تكن مكافحة البرمجيات الخبيثة و/أو IPS موجودة، فهذا يعني أنه لم يتم إنشاء أحداث. في هذه الحالة، يمكنك تصفية فترة زمنية أكبر.

بمجرد تمكين مكافحة البرمجيات الخبيثة ونظام الحماية من التطفل، يمكنك اختبارها عن طريق محاولة تنزيل ملفات اختبار البرمجيات الخبيثة، انظر اختبار منع التهديدات لمكافحة البرمجيات الخبيثة ونظام الحماية من التطفل.

معلومات إضافية عن خدمات الأمان المتقدمة من Cato

  1. يتم فحص تدفق الشبكة بواسطة جدار الحماية الخاص بالشبكة الواسعة - يمكن لمسؤولي الأمان السماح أو حظر حركة المرور بين الكيانات التنظيمية مثل المواقع، والمستخدمين، والمضيفين، والشبكات الفرعية والمزيد. افتراضيًا، يتبع جدار الحماية الخاص بشبكة Cato الواسعة نهج قائمة السماح، حيث يحتوي على قاعدة حظر ضمنية لأي-أي.

  2. جدار الحماية الخاص بالإنترنت - يمكن لمسؤولي الأمان ضبط قواعد السماح أو الحظر بين كيانات الشبكة مثل المواقع، والمستخدمين الفرديين، والشبكات الفرعية، والمزيد لتطبيقات مختلفة، وخدمات ومواقع الإنترنت. افتراضيًا، يتبع جدار الحماية الخاص بالإنترنت من Cato نهج قائمة الحظر، حيث يحتوي على قاعدة سماح ضمنية لأي-أي. لذلك، لحظر الوصول، يجب عليك تحديد قواعد تحظر بشكل صريح الاتصالات من كيان أو أكثر من كيانات الشبكة إلى التطبيقات.

  3. ترشيح عناوين المواقع - تعزيز جدار الحماية الخاص بالإنترنت. يوفر Cato بشكل افتراضي سياسة مسبقة العشرات من الفئات المختلفة لعناوين المواقع بما في ذلك الفئات الموجهة للأمان مثل البريد المزعوم والبرمجيات المظنونة. بينما يوفر جدار الحماية الخاص بالإنترنت الحماية للإنترنت بشكل ثابت، يكمل ترشيح عناوين المواقع أمان الإنترنت بحمايات ديناميكية.

  4. مكافحة البرمجيات الخبيثة - يمكن اعتبارها كبوابة مكافحة الفيروسات في السحابة. يمكن للعملاء استخدام هذه الخدمة لفحص كل من حركة مرور الشبكة الواسعة وحركة مرور الإنترنت للكشف عن البرمجيات الخبيثة. تشمل معالجة مكافحة البرمجيات الخبيثة ما يلي:

    • تفتيش حزمة البيانات التفصيلي لحركة مرور البيانات الواضحة والمشفرة (إذا تم تمكينه).

    • يتم استخدام كشف نوع الملف الحقيقي لتحديد النوع الفعلي للملف المار عبر الشبكة بغض النظر عن امتداد ملفه أو عنوان نوع المحتوى.

    • الكشف عن البرمجيات الخبيثة باستخدام قاعدة بيانات التوقيعات والتوقعات التي يتم تحديثها باستمرار استنادًا إلى قواعد بيانات استخبارات التهديدات العالمية لضمان الحماية الفعالة ضد التهديدات الحالية. Cato لا تشارك أي ملفات أو بيانات مع مستودعات سحابية لضمان بقاء بيانات العميل سرية.

  5. IPS - نظام منع التطفل المستند إلى السحابة من Cato يقوم بفحص حركة مرور الداخل والخارج والشبكة الواسعة، بما في ذلك حركة بروتوكول SSL. يمكن أن تعمل IPS في وضع المراقبة (IDS) دون اتخاذ أي إجراء حظر. في وضع IDS، يتم تقييم كل حركة مرور وتوليد أحداث الأمان.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات