يمكنك تمكين أو تعطيل الحماية من التهديدات الناتجة عن حركة المرور الخبيثة القادمة إلى، والخارجة من المنظمة وعبر شبكة الاتصال الواسعة WAN الخاصة بها. يمكنك أيضًا تكوين الخدمة لحجب حركة المرور أو مراقبتها دون حظرها.
تتألف خدمة IPS الخاصة بـ Cato من عدة طبقات من الأمان تشمل:
-
تحليل السمعة: الحماية من الاتصال الوارد / الصادر مع الموارد المخترقة أو الخبيثة.
-
الثغرات المعروفة: حماية ضد CVEs المعروفة والتكيف بسرعة لتضمين جديدة منها.
-
مكافحة البوت: الحماية ضد حركة المرور الصادرة إلى خوادم C&C استناداً إلى موجزات السمعة وتحليل سلوك الشبكة.
-
تحليل سلوك الشبكة: الحماية ضد فحوصات الشبكة الواردة / الصادرة.
-
التحقق من البروتوكول: الحماية ضد الحزم غير الصالحة (الامتثال للبروتوكول)، وتقليل سطح الهجوم من الاستغلالات باستخدام حركة المرور الشاذة.
-
قيود جغرافية: فرض سياسة مخصصة للقيود الجغرافية لحظر حركة المرور الواردة، الصادرة، أو جميع حركة المرور إلى بلدان معينة.
-
الهجمات عبر الأنفاق: يحدد ويحظر محاولات إخفاء حركة المرور الضارة داخل البروتوكولات الشرعية (مثل HTTP، HTTPS، DNS) لتجنب ضوابط الأمان.
ملاحظة
ملاحظة: نوصي بتمكين فحص TLS حتى توفر خدمة IPS الحماية القصوى لشبكتك.
سياسة IPS متاحة فقط مع ترخيص حماية التهديدات. لمزيد من المعلومات، اتصل بمندوب المبيعات الخاص بك.
بالإضافة إلى موجزات التهديد الثابتة، يستخدم Cato IPS وحدات التعلم الآلي لتقديم الحماية في الوقت الفعلي ضد أنواع معينة من الهجمات. يستخدم محرك IPS مئات من موجزات التهديد الثابتة التي تأخذ أنماط الثغرات المعروفة وتحولها إلى تواقيع يتم دمجها بعد ذلك في المحرك. من ناحية أخرى، يستخدم وحدة الكشف عن الوراثة التعلم الآلي مزيجاً من المعلومات المخابراتية المعروفة وغير المعروفة لتحديد إذا كان شيء ما يعد تهديدًا ولا يعتمد على التغذيات الثابتة. تتعرف نماذج التعلم الآلي هذه على المجالات غير المعروفة التي من المحتمل أن تكون خطيرة والتي تم إنشاؤها بواسطة تقنيات DGA وتقنيات التقزم الإلكتروني في الوقت الفعلي.
فائدة استخدام نموذج التعلم الآلي لمنع التهديدات هو أن DGA والتقزم الإلكتروني لا يمكن إيقافه باستخدام قوائم سوداء ثابتة فقط، حيث تتغير الأساليب على فترات زمنية عشوائية وتُستخدم طرق جديدة من DGA والتقزم الإلكتروني كل يوم. تسمح لنا خوارزميات التعلم الآلي باكتشاف المجالات التي من المحتمل أن تكون خطيرة في الوقت الفعلي. تكتشف DGA المجالات التي يُحتمل أن يتم إنشاؤها بواسطة خوارزمية (لا تبدو وكأنها تستخدم كلمات من القاموس العادي). يستخدم DGA لاتصالات القيادة والتحكم (C&C)، ويمكن استخدام التقزم الإلكتروني لشن هجمات التصيد.
جزء من خوارزمية التعلم الآلي الخاصة بـ Cato هو قائمة بالعلامات التجارية المعروفة التي نراقبها لجزء التقزم الإلكتروني من المحرك، لكن يمكن للعملاء أيضاً إضافة قائمتهم الخاصة من المجالات للمراقبة. ستعمل نماذج التعلم الآلي لـ DGA على حماية DNS ومحرك IPS، لكن محرك التقزم الإلكتروني سيتم تشغيله فقط على IPS.
عندما يحدث حدث، سيشمل معرّف التوقيع أي نموذج حدد التهديد، لكنه لن يكون قابلاً للتحديد من الحقول الأخرى للحدث.
يوضح هذا القسم كيفية تكوين سياسة IPS لحماية الشبكات في حسابك.
لحركة المرور الخاصة بـ WAN والواردة والصادرة، يمكنك تحديد الإجراءات التي يتم تشغيلها بواسطة الكشف عن التهديدات وتعيين التحذيرات الخاصة بها. هذه هي الإجراءات المتاحة:
-
حظر - يحظر حركة المرور الخبيثة من الوصول إلى وجهتها. عند الاقتضاء، يتم تحويل المستخدم إلى صفحة ويب مخصصة للحظر.
-
مراقبة - تولد الأحداث (المعروضة في الصفحة الرئيسية > الأحداث) لحركة المرور الخبيثة. ثم تتابع حركة المرور إلى وجهتها.
لتكوين إجراءات حماية الملفات لسياسة IPS:
-
من قائمة التنقل، انقر على الأمان > IPS.
-
انقر على تبويب سياسة الحماية، وحدد الإعدادات لكل نطاق حماية:
-
في عمود نطاق الحماية، انقر على نوع الحركة. تفتح لوحة تحرير.
-
في قسم عام، قم بتمكين أو تعطيل نطاق الحماية (الأخضر ممكّن، الرمادي معطل).
-
في قسم الإجراء، تحدد الإجراء لحركة المرور التي تطابق حماية IPS.
-
في قسم التتبع، حدد خيارات الإشعار.
لمزيد من المعلومات حول الإشعارات، انظر المقالة ذات الصلة بخصوص مجموعات الاشتراك، قوائم المراسلات، وتكاملات الإنذار في قسم التنبيهات.
-
انقر فوق تطبيق.
يتم إضافة الإعدادات لنطاق الحماية إلى سياسة IPS.
-
-
انقر فوق حفظ. تم حفظ سياسة IPS.
خيارات فرض السياسة لـ IPS تسمح لك بإضافة مستوى إضافي من حماية التهديدات لحركة المرور الواردة والصادرة.
لحركة المرور الصادرة يمكنك تكوين IPS لحظر المجالات التلقائي التي تقل أعمارها عن 14 يوماً. غالباً ما تستخدم البرامج الضارة المجالات المسجلة حديثًا لتفادي حماية التهديدات. الأغلبية العظمى من المجالات المسجلة حديثًا تكون خطيرة أو مشبوهة.
تتيح ميزة العزل المؤقت لعناوين IP المشبوهة لـ IPS حظر مؤقت لعناوين IP الواردة المشبوهة التي تجري فحصاً عدوانياً لشبكتك. تحظر هذه الميزة حركة المرور من هذه العناوين IP المشبوهة لمدة خمس دقائق.
يمكنك تحديد قواعد التقييد الجغرافي لـ IPS لحظر حركة المرور إلى (صادرة) أو من (واردة) بلدان محددة، أو جميع حركة المرور إلى البلدان المحددة في القاعدة.
ملاحظة
ملاحظة: إذا قمت بتكوين قاعدة تقييد جغرافي لحركة المرور الواردة، فإن هذا ينطبق أيضًا على موارد RPF. ومع ذلك، لا يتم تطبيق قواعد التقييد الجغرافي لـ IPS على حركة المرور من عملاء Cato SDP. لحظر اتصالات العملاء من مناطق محددة، يمكنك تكوين القواعد في سياسة اتصال العميل.
لتعريف قاعدة تقييد جغرافي:
-
من قائمة التنقل، انقر على الأمان > IPS.
-
من تبويب التقييد الجغرافي، انقر على جديد. تفتح لوحة إضافة.
-
في قسم عام، قم بتكوين الإعدادات التالية:
-
أدخل اسم للقاعدة.
-
تأكد من أن القاعدة مُمكّنة (الأخضر مُمكّن، الرمادي مُعطل).
-
حدد اتجاه حركة المرور لهذه القاعدة: صادرة، واردة أو كل الاتجاهات.
-
-
في قسم البلدان، حدد البلدان لهذه القاعدة التقييد الجغرافي.
-
ابحث عن البلد، ثم اختره.
-
كرر الخطوة السابقة لكل بلد تضيفه إلى هذه القاعدة.
-
-
في قسم الإجراءات، حدد الإجراء وإعدادات التتبع لهذه القاعدة:
-
حدد الإجراء للقاعدة: حظر، مراقبة، أو السماح (الإجراءات المتابعة والمسموح بها تولد أحداث بدون حظر حركة المرور).
-
انقر فوق الحدث، لتوليد الأحداث لحركة المرور التي تتطابق مع حماية IPS.
-
انقر فوق إرسال إشعار، وحدد التكرار الذي يتم إرسال الإشعارات فيه.
اختر قائمة المراسلات للمسؤولين الذين يتلقون الإشعارات.
-
-
انقر فوق تطبيق. تمت إضافة القاعدة.
-
انقر فوق حفظ.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.