تكوين سياسة IPS

نظرة عامة

يمكنك تمكين أو تعطيل الحماية من التهديدات الناتجة عن حركة المرور الخبيثة القادمة إلى، والخارجة من المنظمة وعبر شبكة الاتصال الواسعة WAN الخاصة بها. يمكنك أيضًا تكوين الخدمة لحجب حركة المرور أو مراقبتها دون حظرها.

تتألف خدمة IPS الخاصة بـ Cato من عدة طبقات من الأمان تشمل:

  • تحليل السمعة: الحماية من الاتصال الوارد / الصادر مع الموارد المخترقة أو الخبيثة.

  • الثغرات المعروفة: حماية ضد CVEs المعروفة والتكيف بسرعة لتضمين جديدة منها.

  • مكافحة البوت: الحماية ضد حركة المرور الصادرة إلى خوادم C&C استناداً إلى موجزات السمعة وتحليل سلوك الشبكة.

  • تحليل سلوك الشبكة: الحماية ضد فحوصات الشبكة الواردة / الصادرة.

  • التحقق من البروتوكول: الحماية ضد الحزم غير الصالحة (الامتثال للبروتوكول)، وتقليل سطح الهجوم من الاستغلالات باستخدام حركة المرور الشاذة.

  • قيود جغرافية: فرض سياسة مخصصة للقيود الجغرافية لحظر حركة المرور الواردة، الصادرة، أو جميع حركة المرور إلى بلدان معينة.

  • الهجمات عبر الأنفاق: يحدد ويحظر محاولات إخفاء حركة المرور الضارة داخل البروتوكولات الشرعية (مثل HTTP، HTTPS، DNS) لتجنب ضوابط الأمان.

ملاحظة

ملاحظة: نوصي بتمكين فحص TLS حتى توفر خدمة IPS الحماية القصوى لشبكتك.

سياسة IPS متاحة فقط مع ترخيص حماية التهديدات. لمزيد من المعلومات، اتصل بمندوب المبيعات الخاص بك.

وحدات التعلم الآلي في Cato IPS

بالإضافة إلى موجزات التهديد الثابتة، يستخدم Cato IPS وحدات التعلم الآلي لتقديم الحماية في الوقت الفعلي ضد أنواع معينة من الهجمات. يستخدم محرك IPS مئات من موجزات التهديد الثابتة التي تأخذ أنماط الثغرات المعروفة وتحولها إلى تواقيع يتم دمجها بعد ذلك في المحرك. من ناحية أخرى، يستخدم وحدة الكشف عن الوراثة التعلم الآلي مزيجاً من المعلومات المخابراتية المعروفة وغير المعروفة لتحديد إذا كان شيء ما يعد تهديدًا ولا يعتمد على التغذيات الثابتة. تتعرف نماذج التعلم الآلي هذه على المجالات غير المعروفة التي من المحتمل أن تكون خطيرة والتي تم إنشاؤها بواسطة تقنيات DGA وتقنيات التقزم الإلكتروني في الوقت الفعلي.

لماذا نستخدم خوارزميات التعلم الآلي؟

فائدة استخدام نموذج التعلم الآلي لمنع التهديدات هو أن DGA والتقزم الإلكتروني لا يمكن إيقافه باستخدام قوائم سوداء ثابتة فقط، حيث تتغير الأساليب على فترات زمنية عشوائية وتُستخدم طرق جديدة من DGA والتقزم الإلكتروني كل يوم. تسمح لنا خوارزميات التعلم الآلي باكتشاف المجالات التي من المحتمل أن تكون خطيرة في الوقت الفعلي. تكتشف DGA المجالات التي يُحتمل أن يتم إنشاؤها بواسطة خوارزمية (لا تبدو وكأنها تستخدم كلمات من القاموس العادي). يستخدم DGA لاتصالات القيادة والتحكم (C&C)، ويمكن استخدام التقزم الإلكتروني لشن هجمات التصيد.

جزء من خوارزمية التعلم الآلي الخاصة بـ Cato هو قائمة بالعلامات التجارية المعروفة التي نراقبها لجزء التقزم الإلكتروني من المحرك، لكن يمكن للعملاء أيضاً إضافة قائمتهم الخاصة من المجالات للمراقبة. ستعمل نماذج التعلم الآلي لـ DGA على حماية DNS ومحرك IPS، لكن محرك التقزم الإلكتروني سيتم تشغيله فقط على IPS.

عندما يحدث حدث، سيشمل معرّف التوقيع أي نموذج حدد التهديد، لكنه لن يكون قابلاً للتحديد من الحقول الأخرى للحدث.

فهم فئات تهديدات IPS

يوفر قسم فئات IPS تفسيرات لأنواع التهديدات التي حددها محرك IPS. يُظهر القسم جميع فئات التهديدات التي حددتها Cato وعدد الأحداث التي تم تفعيلها لكل نوع تهديد في الأيام السبعة السابقة.

يمكنك النقر فوق رقم لفتح شاشة الأحداث مُسبقة التصفية لنوع التهديد.

إدارة إعدادات IPS

يوضح هذا القسم كيفية تكوين سياسة IPS لحماية الشبكات في حسابك.

IPS_Policy.png

تمكين وتعطيل حماية IPS

لتمكين أو تعطيل IPS لحسابك:

  1. من قائمة التنقل، انقر على الأمان > IPS.

  2. انقر على المنزلق لتمكين (أخضر) أو تعطيل (رمادي) سياسة IPS للحساب.

  3. انقر فوق حفظ.

تحديد إعدادات IPS

لحركة المرور الخاصة بـ WAN والواردة والصادرة، يمكنك تحديد الإجراءات التي يتم تشغيلها بواسطة الكشف عن التهديدات وتعيين التحذيرات الخاصة بها. هذه هي الإجراءات المتاحة:

  • حظر - يحظر حركة المرور الخبيثة من الوصول إلى وجهتها. عند الاقتضاء، يتم تحويل المستخدم إلى صفحة ويب مخصصة للحظر.

  • مراقبة - تولد الأحداث (المعروضة في الصفحة الرئيسية > الأحداث) لحركة المرور الخبيثة. ثم تتابع حركة المرور إلى وجهتها.

تكوين خيارات حماية الملف

لتكوين إجراءات حماية الملفات لسياسة IPS:

  1. من قائمة التنقل، انقر على الأمان > IPS.

  2. انقر على تبويب سياسة الحماية، وحدد الإعدادات لكل نطاق حماية:

    1. في عمود نطاق الحماية، انقر على نوع الحركة. تفتح لوحة تحرير.

    2. في قسم عام، قم بتمكين أو تعطيل نطاق الحماية (الأخضر ممكّن، الرمادي معطل).

    3. في قسم الإجراء، تحدد الإجراء لحركة المرور التي تطابق حماية IPS.

    4. في قسم التتبع، حدد خيارات الإشعار.

      لمزيد من المعلومات حول الإشعارات، انظر المقالة ذات الصلة بخصوص مجموعات الاشتراك، قوائم المراسلات، وتكاملات الإنذار في قسم التنبيهات.

    5. انقر فوق تطبيق.

      يتم إضافة الإعدادات لنطاق الحماية إلى سياسة IPS.

  3. انقر فوق حفظ. تم حفظ سياسة IPS.

تكوين خيارات تنفيذ IPS

خيارات فرض السياسة لـ IPS تسمح لك بإضافة مستوى إضافي من حماية التهديدات لحركة المرور الواردة والصادرة.

حظر المجالات المسجلة حديثًا

لحركة المرور الصادرة يمكنك تكوين IPS لحظر المجالات التلقائي التي تقل أعمارها عن 14 يوماً. غالباً ما تستخدم البرامج الضارة المجالات المسجلة حديثًا لتفادي حماية التهديدات. الأغلبية العظمى من المجالات المسجلة حديثًا تكون خطيرة أو مشبوهة.

لحظر المجالات المسجلة حديثًا:

  1. من قائمة التنقل، انقر على الأمان > IPS.

  2. من تبويب خيارات التنفيذ، انقر على حركة المرور الصادرة - حظر المجالات المسجلة حديثًا.

  3. انقر فوق حفظ.

عزل عناوين IP المشبوهة

تتيح ميزة العزل المؤقت لعناوين IP المشبوهة لـ IPS حظر مؤقت لعناوين IP الواردة المشبوهة التي تجري فحصاً عدوانياً لشبكتك. تحظر هذه الميزة حركة المرور من هذه العناوين IP المشبوهة لمدة خمس دقائق.

لعزل حركة المرور من عناوين IP المشبوهة:

  1. من قائمة التنقل، انقر على الأمان > IPS.

  2. من تبويب خيارات التنفيذ، انقر على حركة المرور الواردة - عزل IP المشبوهة.

  3. انقر فوق حفظ.

تعريف قواعد التقييد الجغرافي

يمكنك تحديد قواعد التقييد الجغرافي لـ IPS لحظر حركة المرور إلى (صادرة) أو من (واردة) بلدان محددة، أو جميع حركة المرور إلى البلدان المحددة في القاعدة.

ملاحظة

ملاحظة: إذا قمت بتكوين قاعدة تقييد جغرافي لحركة المرور الواردة، فإن هذا ينطبق أيضًا على موارد RPF. ومع ذلك، لا يتم تطبيق قواعد التقييد الجغرافي لـ IPS على حركة المرور من عملاء Cato SDP. لحظر اتصالات العملاء من مناطق محددة، يمكنك تكوين القواعد في سياسة اتصال العميل.

لتعريف قاعدة تقييد جغرافي:

  1. من قائمة التنقل، انقر على الأمان > IPS.

  2. من تبويب التقييد الجغرافي، انقر على جديد. تفتح لوحة إضافة.

  3. في قسم عام، قم بتكوين الإعدادات التالية:

    1. أدخل اسم للقاعدة.

    2. تأكد من أن القاعدة مُمكّنة (الأخضر مُمكّن، الرمادي مُعطل).

    3. حدد اتجاه حركة المرور لهذه القاعدة: صادرة، واردة أو كل الاتجاهات.

  4. في قسم البلدان، حدد البلدان لهذه القاعدة التقييد الجغرافي.

    1. ابحث عن البلد، ثم اختره.

    2. كرر الخطوة السابقة لكل بلد تضيفه إلى هذه القاعدة.

  5. في قسم الإجراءات، حدد الإجراء وإعدادات التتبع لهذه القاعدة:

    1. حدد الإجراء للقاعدة: حظر، مراقبة، أو السماح (الإجراءات المتابعة والمسموح بها تولد أحداث بدون حظر حركة المرور).

    2. انقر فوق الحدث، لتوليد الأحداث لحركة المرور التي تتطابق مع حماية IPS.

    3. انقر فوق إرسال إشعار، وحدد التكرار الذي يتم إرسال الإشعارات فيه.

      اختر قائمة المراسلات للمسؤولين الذين يتلقون الإشعارات.

  6. انقر فوق تطبيق. تمت إضافة القاعدة.

  7. انقر فوق حفظ.

تعطيل قواعد التقييد الجغرافي

يمكنك تعطيل قواعد التقييد الجغرافي مؤقتًا ثم إعادة تفعيلها في المستقبل.

لتعطيل قاعدة تقييد جغرافي:

  1. من قائمة التنقل، انقر على الأمان > IPS.

  2. في تبويب التقييد الجغرافي، انقر على أيقونة المزيد في نهاية القاعدة وحدد تعطيل.

  3. انقر فوق حفظ. تم تعطيل القاعدة.

هل كان هذا المقال مفيداً؟

5 من 5 وجدوا هذا مفيداً

لا توجد تعليقات