यह लेख आपके एंडपॉइंट्स को सुरक्षित करने के लिए Cato का एंडपॉइंट सुरक्षा (EPP) समाधान कैसे कॉन्फ़िगर करें के बारे में बताता है।
Cato का EPP समाधान तीन प्रकार के EPP इंजनों को शामिल करता है: फ़ाइल सुरक्षा, जो एंडपॉइंट पर फाइलों की जांच करता है; व्यवहार विश्लेषण, जो एंडपॉइंट पर चल रही प्रक्रियाओं की जांच करता है; और एंटी-एक्सप्लॉइट, जो सॉफ़्टवेयर कमजोरियों की सुरक्षा करता है। आपकी एंडपॉइंट सुरक्षा सेटिंग्स Cato प्रबंधन एप्लिकेशन में कॉन्फ़िगर की जाती हैं, जिससे आपके हमले की सतह भर में सुरक्षा को केंद्रीकृत तरीके से प्रबंधित किया जा सके। एंडपॉइंट सुरक्षा प्रोफाइल में, आप हर इंजन के सुरक्षा स्तर को कॉन्फ़िगर कर सकते हैं जिससे यह निर्धारित हो कि यह संभावित खतरों के प्रति कैसे प्रतिक्रिया करता है। एंडपॉइंट सुरक्षा नीति का उपयोग करके एंड उपयोगकर्ता या एंडपॉइंट के लिए एंडपॉइंट सुरक्षा प्रोफाइल लागू करें।
आप अनुमति सूची में एक फ़ाइल या प्रक्रिया जोड़ सकते हैं ताकि वैध फ़ाइलों या प्रक्रियाओं को दुर्भावनापूर्ण के रूप में पहचाने जाने से रोका जा सके, और अतिरिक्त सुरक्षा के लिए, आप एक विशिष्ट एंडपॉइंट पर डिमांड स्कैन चला सकते हैं।
टिप्पणी
नोट: चीन में स्थित डिवाइस क्षेत्रीय प्रतिबंधों के कारण अपने EPP को Cato के साथ पंजीकृत नहीं कर सकते हैं।
आपके एंडपॉइंट को ज्ञात और अज्ञात मालवेयर से बचाने के लिए, Cato का EPP समाधान एक पूर्ण सुरक्षा समाधान के लिए तीन परतें प्रदान करता है। प्रत्येक परत विभिन्न प्रकार के हमलों की पहचान और उन्हें रोकने के लिए विभिन्न पहचान तकनीकों का उपयोग करती है।
फ़ाइल सुरक्षा इंजन 300 से अधिक फ़ाइल प्रकारों की स्कैनिंग का समर्थन करता है, जिसमें संग्रहित फाइलें, ZIP फ़ाइलें, और RAR शामिल हैं। फाइल का स्कैन एंडपॉइंट पर डाउनलोड या कॉपी किए जाने के बाद, और जब एक अंतिम उपयोगकर्ता इसे एक्सेस करने का प्रयास करता है, किया जाता है। आप किसी भी समय मांग पर स्कैन के साथ एंडपॉइंट पर सभी फाइलों का स्कैन भी कर सकते हैं।
व्यवहार विश्लेषण इंजन ह्यूरिस्टिक विधियों का उपयोग अज्ञात और शून्य-दिन खतरों से सुरक्षित करने के लिए करता है। एप्लिकेशन और प्रक्रियाओं को उनके व्यवहार पर आधारित संभावित दुर्भावनापूर्ण गतिविधियों का संकेत पता लगाने के लिए लगातार देखरेख की जाती है। दुर्भावनापूर्ण व्यवहार के उदाहरण शामिल हैं:
-
उच्च विशेषाधिकार के साथ चलाने के लिए कोड को दूसरे प्रक्रिया के स्थान पर निष्पादित या इंजेक्ट करना
-
उच्च विशेषाधिकार की आवश्यकता वाले रजिस्ट्री स्थानों में अनाधिकृत संचालन का उपयोग या निष्पादन करना
-
सिस्टम या विंडोज फ़ोल्डर में फाइल्स की कॉपी करना या स्थानांतरित करना
टिप्पणी
टिप्पणी: EPP v1.1 और ऊपर से समर्थित
एंटी एक्प्लोइट इंजन ज्ञात और अज्ञात खतरों से सुरक्षा करने के लिए मशीन लर्निंग का उपयोग करता है जो सॉफ़्टवेयर कमजोरियों का फायदा उठाते हैं। सिस्टम प्रक्रियाएं, ब्राउज़र, Microsoft Office, और Adobe Reader लगातार मॉनिटर की जाती हैं ताकि सॉफ़्टवेयर कमजोरियों का फायदा उठाने वाली तकनीकों का पता लगाया जा सके। पता लगाई गई तकनीकों के उदाहरण शामिल हैं:
-
विशेषाधिकार वृद्धि: प्रक्रियाएं अवैध विशेषाधिकारों और संसाधनों तक पहुँच प्राप्त करने का प्रयास करती हैं
-
प्रक्रिया अंतर्दृष्टि: चल रही प्रक्रियाओं, सिस्टम संसाधनों, मेमोरी उपयोग और अन्य महत्वपूर्ण डेटा के बारे में विस्तृत जानकारी इकट्ठा करने के प्रयास
-
LSASS क्रिडेंशियल डंपिंग: LSASS प्रक्रिया की मेमोरी तक पहुँच करने और संवेदनशील प्रमाणीकरण क्रिडेंशियल निकालने के प्रयास
जब एक EPP इंजन संभावित दुर्भावनापूर्ण गतिविधि की पहचान करता है, सुरक्षा सेटिंग्स इस बारे में कार्रवाई परिभाषित करते हैं जो EPP लेता है। इसके अलावा, व्यवहार विश्लेषण इंजन के लिए, आप परिभाषित कर सकते हैं कि अज्ञात खतरों की पहचान करने के लिए यह कितना संवेदनशील है।
निम्न तालिका प्रत्येक सुरक्षा स्तर का वर्णन करती है और इसके एक उदाहरण उपयोग केस को बताती है।
|
सुरक्षा |
विवरण |
उदाहरण उपयोग केस |
|---|---|---|
|
बंद |
EPP स्कैन नहीं चलते, कोई घटनाएँ नहीं बनाई जाती हैं। |
आप इस EPP इंजन का उपयोग नहीं करना चाहते। |
|
निगरानी करें |
यदि दुर्भावनापूर्ण गतिविधि की पहचान की जाती है, तो एक घटना बनाई जाती है, लेकिन कोई और कार्रवाई नहीं की जाती है। |
आप हानिकारक फाइलों या प्रक्रियाओं के डेटा को एकत्र करना चाहते हैं, बिना उनके निष्पादन को रोकते हुए। |
|
अवरोधित करें |
एक दुर्भावनापूर्ण फाइल या प्रक्रिया निष्पादित नहीं की जा सकती। फाइल को संशोधित या उसके स्थान से नहीं हटाया जाता। यह व्यवहारीय विश्लेषण और एंटी-एक्सप्लॉइट इंजनों के लिए डिफ़ॉल्ट सेटिंग है। |
आप हानिकारक फाइलों या प्रक्रियाओं की पहचान और रोकथाम करना चाहते हैं। |
|
अवरोधित करें और सुधार करें |
हानिकारक फाइल या प्रक्रिया निष्पादित नहीं की जा सकती। फाइल को एन्क्रिप्ट किया जाता है और क्वोरंटीन किया जाता है या यदि यह संभव नहीं है, तो फाइल को हटा दिया जाता है। यह एंटी-मैलवेयर के लिए डिफ़ॉल्ट सेटिंग है। |
आप हानिकारक फाइलों या प्रक्रियाओं की पहचान, रोकथाम और क्वारंटीन करना चाहते हैं। |
|
मार डालो |
संक्रमित अनुप्रयोग प्रक्रिया समाप्त करें। |
आप चाहते हैं कि दुर्भावनापूर्ण प्रक्रिया को मार डाला जाए ताकि वह चलना जारी न रखे। |
|
मार डालो और सुधार करो
|
संक्रमित प्रक्रिया को समाप्त करें और, यदि सफल हो, तो मैलवेयर के निशान साफ करें। |
आप प्रक्रिया को समाप्त करना चाहते हैं और सुनिश्चित करना चाहते हैं कि आप किसी भी स्थायित्व को हटा दें। |
| प्रक्रिया को मार डालो |
शोषित अनुप्रयोग प्रक्रिया और किसी भी संभवतः जुड़े प्रक्रियाओं को समाप्त करें। |
उन प्रक्रियाओं को मार डालें जिन्होंने शोषित प्रक्रिया में कोड इंजेक्ट किया है। |
व्यवहारिक विश्लेषण इंजन संभावित खतरों का पता एक भविष्यवाणी मॉडल और सीखने के नियम के आधार पर लगाता है। इंजन का संवेदनशीलता स्तर संभावित खतरों की पहचान करने के लिए विश्वास स्तर निर्धारित करता है। उदाहरण के लिए, आक्रामक सेटिंग उन प्रक्रियाओं की पहचान करेगी जिन पर बहुत कम स्तर का विश्वास है कि यह प्रक्रिया हानिकारक है। इस सेटिंग के परिणामी परिणामस्वरूप अधिक गलत-सकारात्मक मिलान हो सकते हैं।
निम्नलिखित विकल्प तालिका संवेदनशीलता स्तर और इसके एक उदाहरण उपयोग केस का वर्णन करती है।
|
संवेदनशीलता स्तर |
विवरण |
उदाहरण उपयोग केस |
|---|---|---|
|
अनुमति |
केवल उन प्रक्रियाओं का पता लगाएं जो अत्यधिक उच्च विश्वास स्तर के साथ हानिकारक मानी जाती हैं। यह सबसे कम संवेदनशीलता के साथ सेटिंग है। |
आप केवल उन प्रक्रियाओं को पता करना चाहते हैं जो निश्चित रूप से हानिकारक हैं। |
|
संतुलित |
प्रक्रियाओं का पता लगाएं जो उच्च विश्वास स्तर के साथ हानिकारक मानी जाती हैं। |
आप उन प्रक्रियाओं का पता लगाना चाहते हैं जो संभावना से हानिकारक हैं। |
|
आक्रामक |
उन प्रक्रियाओं का पता लगाएं जो कम विश्वास स्तर के साथ हानिकारक मानी जाती हैं। यह सबसे अधिक संवेदनशीलता के साथ सेटिंग है। |
आप उन प्रक्रियाओं का पता लगाना चाहते हैं जो संभावना से, लेकिन निश्चित रूप से हानिकारक नहीं हैं। |
यह परिभाषित करने के लिए कि EPP आपके खाते में एंडपॉइंट्स की सुरक्षा कैसे करता है, प्रत्येक इंजन के लिए सुरक्षा का स्तर परिभाषित करने के लिए EPP प्रोफाइल का उपयोग करें। फिर EPP नीति में नियमों का उपयोग करके उन एंडपॉइंट्स की सीमा को परिभाषित करें जिन पर प्रोफाइल लागू होता है। एक प्रोफाइल को विशिष्ट अंत उपयोगकर्ताओं, विशिष्ट समापन बिंदुओं, या दोनों पर लागू किया जा सकता है।
EPP नीतियाँ एक क्रमादेशित नियम पुस्तक है। आपकी नीति में नियम फाइलों और प्रक्रियाओं पर अनुक्रमिक रूप से लागू होते हैं ताकि यह जांचा जा सके कि कोई नियम मेल खाता है या नहीं। नियम जो नियम पुस्तक के शीर्ष पर होते हैं उनकी प्राथमिकता अधिक होती है क्योंकि वे निचले नियमों से पहले लागू होते हैं। उदाहरण के लिए, यदि नियम #1 की फ़ाइल सुरक्षा अवरुद्ध करें प्रतिक्रिया होती है और वह एक समापन बिंदु पर लागू होती है जहाँ एक दुर्भावनापूर्ण फ़ाइल पहचानी जाती है, तो फ़ाइल को अवरुद्ध कर दिया जाता है। फ़ाइल पर कोई अन्य नियम लागू नहीं होते। अंतिम डिफ़ॉल्ट नियम सभी समापन बिंदुओं पर डिफ़ॉल्ट प्रोफाइल लागू करता है और इसे संपादित नहीं किया जा सकता।
EPP प्रोफाइल फाइल सुरक्षा और व्यवहारगत विश्लेषण इंजन सुरक्षा सेटिंग्स को परिभाषित करता है। आप अपनी EPP नीति के आवश्यकताओं के अनुसार विभिन्न प्रोफाइल को परिभाषित कर सकते हैं।
स्रोत और प्रोफाइल के साथ EPP नीति में नियमों को परिभाषित करें। स्रोत एक एंड यूज़र पहचान या एंडपॉइंट आईडी के आधार पर एक एंडपॉइंट डिवाइस हो सकता है। आप प्रत्येक अंत उपयोगकर्ता या एंडपॉइंट (स्रोत) पर लागू होने वाले सुरक्षा स्तर (प्रोफाइल) को भी सेट कर सकते हैं। यह आपको अपने वातावरण में प्रत्येक एंडपॉइंट पर प्रत्येक EPP इंजन का उपयोग कैसे किया जाता है, इसे अनुकूलित करने की अनुमति देता है।
एक एंडपॉइंट सुरक्षा नीति बनाने के लिए:
-
नेविगेशन मेनू से, सुरक्षा > एंडपॉइंट सुरक्षा पर क्लिक करें।
-
नया पर क्लिक करें।
नया एंडपॉइंट सुरक्षा नीति नियम बनाएं पैनल खुलता है।
-
इस नियम के लिए नाम, विवरण, स्रोत, और प्रोफाइल को परिभाषित करें।
-
(Optional) Configure tracking options to generate Events and Send Notification
अधिक जानकारी के लिए अलर्ट अनुभाग में सदस्यता समूह, मेलिंग सूचियाँ, और अलर्ट एकीकरण के लिए संबंधित लेख देखें। अलर्ट्स।
-
लागू करें पर क्लिक करें।
-
प्रत्येक नियम के लिए EPP नीति में स्टेप्स 2-5 दोहराएं।
-
EPP नीति को सक्रिय करें और सहेजें पर क्लिक करें।
स्लाइडर (
) हरा होता है जब EPP सक्षम होता है, और भूरा होता है जब EPP अक्षम होता है।
कभी-कभी एक EPP इंजन वैध व्यावसायिक प्रक्रिया को दुर्भावनापूर्ण मान सकता है। वैध व्यावसायिक प्रक्रियाओं को अवरोधित करने से एंडपॉइंट प्रोटेक्शन को रोकने के लिए, आप एक अंतिम उपयोगकर्ता के लिए या एंडपॉइंट पर एक वस्तु की अनुमति दे सकते हैं (स्रोत)। इसका अर्थ है कि इसे न तो स्कैन किया जाता है, न अवरोधित किया जाता है, और न ही स्थानांतरित किया जाता है। ऑन-डिमांड स्कैन के लिए एक घटना उत्पन्न की जा सकती है जिसमें शमन क्रिया को नजरअंदाज करना शामिल है। फ़ाइल स्कैन के लिए कोई इवेंट नहीं बनाया गया है।
निम्नलिखित वस्तुएं अंतिम उपयोगकर्ता के लिए, एंडपॉइंट पर, या दोनों के लिए क्रियान्वयन की अनुमति दी जा सकती हैं:
नोट
नोट: एंटी-मैलवेयर और व्यवहारिक विश्लेषण इंजन दोनों द्वारा फ़ाइल पथों की अनुमति होती है। अन्य वस्तुएं केवल एंटी-मैलवेयर इंजन द्वारा अनुमत होती हैं।
-
फ़ाइल पथ
-
फ़ोल्डर पथ
-
फ़ाइल का प्रकार
-
SHA256 फ़ाइल हैश
अनुमति सूची के लिए एक वस्तु परिभाषित करने के लिए:
-
नेविगेशन मेनू से, सुरक्षा > एंडपॉइंटसुरक्षा पर क्लिक करें।
-
अनुमति सूची टैब पर क्लिक करें।
-
नया पर क्लिक करें।
नई अनुमति सूची पैनल खुलता है।
-
अनुमति देने के लिए नाम, विवरण, वस्तु, और स्रोत परिभाषित करें।
-
लागू करें पर क्लिक करें।
-
जिस वस्तु की आप अनुमति दे रहे हैं, उसके लिए स्टेप्स 3-5 दोहराएं।
-
सहेजें पर क्लिक करें।
जब एक फ़ाइल एंडपॉइंट पर डाउनलोड की जाती है या कॉपी की जाती है, साथ ही साथ जब अंतिम उपयोगकर्ता इसे एक्सेस करने का प्रयास करता है, तब फ़ाइल सुरक्षा स्कैन चलाए जाते हैं। इसके अलावा, आप किसी भी समय एंडपॉइंट पर आवश्यकतानुसार फ़ाइल सुरक्षा स्कैन चला सकते हैं। अनदेखा करें फ़ाइल सुरक्षा स्कैन चलाकर, आप अंतिम उपयोगकर्ता के प्रयास करने से पहले एक एंडपॉइंट पर मौजूदा मैलवेयर पहचान सकते हैं।
आवश्यकतानुसार स्कैन सभी फाइलों का SHA256 फ़ाइल हैश ज्ञात मैलवेयर हस्ताक्षरों की सूची के साथ तुलना करता है। यदि किसी हानिकारक फ़ाइल का पता चलता है, तो EPP नीति द्वारा परिभाषित कार्रवाई का पालन करता है।
आवश्यकतानुसार स्कैन चलाकर, आप किसी भी समय एक एंडपॉइंट पर हानिकारक फ़ाइलों की पहचान कर सकते हैं। ये स्कैन एजेंट के स्थापित होने के बाद नहीं चलते हैं, वे केवल Cato प्रबंधन एप्लिकेशन से ट्रिगर करने के बाद ही चलते हैं।
आवश्यकतानुसार फाइल सुरक्षा स्कैन चलाने के लिए
-
नेविगेशन मेनू से, पहुंच > सुरक्षित एंडपॉइंट्स पर क्लिक करें।
सुरक्षित एंडपॉइंट्स स्क्रीन दिखाई जाती है।
-
उस एन्डपॉइंट पर तीन बिंदुओं (
) पर क्लिक करें जिसे आप स्कैन करना चाहते हैं।
-
इस एंडपॉइंट पर पूर्ण सिस्टम स्कैन शुरू करें? पर क्लिक करें।
एक फाइल सुरक्षा स्कैन एंडपॉइंट पर चल रही है।
अपने एंडपॉइंट्स पर EEP एजेंट स्थापित करने के बाद, आप समाधान का परीक्षण कर सकते हैं यह सुनिश्चित करने के लिए कि यह आपकी नीति कॉन्फ़िगरेशन के आधार पर दुर्भावनापूर्ण गतिविधियों को रोकता है।
EPP समाधान का परीक्षण करने के लिए:
-
एजेंट स्थापित वाले एक एंडपॉइंट पर, EICAR परीक्षण फ़ाइल डाउनलोड करें और चलाने का प्रयास करें।
-
फ़ाइल को खोलने और चलाने का प्रयास करें।
नोट: यदि आपके नेटवर्क सुरक्षा समाधान या ब्राउज़र द्वारा फ़ाइल डाउनलोडिंग को अवरुद्ध किया जाता है, तो EICAR फ़ाइल में से टेक्स्ट को कॉपी करें, और उसे एक नए .txt फ़ाइल में पेस्ट करें और सहेजें।
-
यदि EPP समाधान सही तरीके से स्थापित और सक्षम है, तो फाइल का व्यवहार आपके कॉन्फ़िगर की गई नीतियों के अनुसार है और एक घटना बनाई जाती है।
जब एक EPP इंजन एक फाइल या प्रक्रिया को स्कैन करता है, तो इसे ज्ञात हानिकारक गतिविधि के डेटाबेस के साथ तुलना की जाती है। इन डेटाबेस को नियमित रूप से स्वचालित रूप से अपडेट किया जाता है ताकि EPP इंजन नवीनतम खतरों से सुरक्षा कर सकें।
डेटाबेस अपडेट की स्थिति EPP एजेंट के स्थिति टैब में दिखाई देती है।
डेटाबेस अपडेट की आवृत्ति हैं:
-
मैलवेयर DB: हर 1 घंटा
-
CTC DB: हर 24 घंटे (इस डेटाबेस का उपयोग क्रॉस-इंजन करेक्शन के लिए किया जाता है)
-
व्यवहारगत DB: हर 2 घंटे
-
एक्सप्लॉइट DB: हर 2 घंटे
ज्ञात वैध फ़ाइलों की सूची वाले डेटाबेस को हर 4 घंटे में अपडेट किया जाता है।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.