안티멀웨어 및 IPS와 함께 활성화 및 작업

소개

카토의 방화벽 및 URL 필터링 외에도, 추가적인 보안 서비스가 있습니다: 안티멀웨어 및 침입 방지 시스템 (IPS). 두 서비스 모두 즉시 활성화할 수 있으며 설정이 거의 필요하지 않습니다. 이러한 서비스는 WAN 트래픽, 인터넷 트래픽 또는 양방향 트래픽에 대한 추가적인 보안 계층을 제공합니다.

  • 간단히 말해, 안티멀웨어는 악성 파일을 감지하고 차단합니다. 클라우드 안티-바이러스 게이트웨이로 간주될 수 있습니다.

  • 반면에, IPS는 호스트의 취약점을 악용하는 행위를 감지하고 차단합니다. 예를 들어, 사용자가 최신 보안 업데이트가 없는 Windows의 패치가 적용되지 않은 버전을 사용하는 경우, 원격 서버가 호스트의 특정 취약점을 악용하여 워크스테이션에서 악성 코드를 실행할 수 있습니다. IPS는 일반적으로 "가상 패치" 서버로 간주됩니다. 대부분 IT는 모든 호스트가 최신 보안 업데이트와 패치를 갖추고 있는지 확인하기 위해 고군분투합니다. IPS는 새로운 취약점에 대한 즉각적인 솔루션입니다.

모범 사례

안티멀웨어 및 IPS 서비스 사용을 강력하게 권장합니다. 최종 사용자는 악성코드 처리로 인해 지연을 경험하지 않습니다. 악성 파일이 감지되면, 사용자 액세스가 차단되며 차단 페이지로 리디렉션됩니다.

이러한 서비스를 활성화하지 않을 이유가 없습니다. 카토의 보안 팀은 글로벌 위협 인텔리전스 데이터베이스를 기반으로 악성코드 방지 데이터베이스를 항상 최신 상태로 유지하여 현재 위협에 대한 효과적인 보호를 보장합니다.

안티멀웨어 및 IPS 서비스 활성화를 위한 모범 사례로 다음 워크플로우가 권장됩니다:

  1. WAN 및 인터넷 트래픽에 대해 모니터링 모드에서 안티멀웨어 및 IPS 활성화. 모니터링 모드에서는 악성 트래픽이 로그로만 기록되고 멈추지 않습니다.

  2. 필요한 경우, 악성코드가 감지되었을 때 이메일 알림을 받을 수 있도록 추적을 설정할 수 있습니다 (모니터링 모드이기 때문에 차단되지 않습니다).

  3. 몇 일 내에 AM 및 IPS 이벤트를 검토하고 서비스를 점진적으로 차단 모드로 전환하십시오.

참고

참고: 최대 탐지 결과를 위해 TLS 검사를 활성화해야 합니다.

TLS 검사는 보안 엔진이 악성 파일이나 코드를 포함할 수 있는 암호화된 트래픽을 분석할 수 있도록 합니다. TLS 검사를 활성화하는 것이 안티멀웨어 및 IPS를 활성화하는 최종 단계입니다. TLS 검사를 활성화하고 GPO를 사용하여 카토의 인증서를 배포하는 지침은 여기에서 찾을 수 있습니다.

아래는 보안 서비스를 구성하고 결과를 검토하기 위한 단계별 가이드입니다.

안티멀웨어 보호 활성화 및 구성

  1. 탐색 창에서 보안 > 안티멀웨어를 클릭합니다.

  2. 계정에 대한 안티멀웨어 보호를 활성화(녹색)하거나 비활성화(회색)하려면 왼쪽 슬라이더를 클릭하십시오.

  3. NG 안티멀웨어 엔진을 활성화(녹색)하거나 비활성화(회색)하려면 오른쪽 슬라이더를 클릭하십시오.

    Anti-Malware__1_.png

이제 안티멀웨어 엔진이 활성화되었습니다. 다음 단계는 악성코드 방지 설정을 구성하는 것입니다.

각 안티멀웨어 규칙에 대해, 작업 열에서 클릭하여 다음 옵션 중 하나를 선택합니다:

  • 차단 - 악성 파일이 목적지로 계속 이동하지 않도록 방지합니다. 적용 가능할 경우, 사용자를 전용 차단 웹 페이지로 리디렉션합니다.

  • 허용 - 악성 파일이 목적지까지 계속 가도록 허용합니다.

차단하지 않고 모니터링하려면, 규칙을 허용으로 설정하고, 추적 섹션에서 이벤트 옵션을 활성화합니다. 이는 이벤트 페이지(홈페이지 > 이벤트)에서 검토할 수 있는 이벤트 로그를 생성합니다. 트래픽 유형에 의해 트리거된 알림 보내기를 할 수 있습니다. 보안 이벤트(악성 소프트웨어 감지)가 발생할 경우, 사전 정의된 구독 그룹, 메일링 리스트, 알림 통합에 알림이 전송됩니다. 이러한 알림 유형에 대한 자세한 정보는 알림 섹션의 관련 기사를 참조하십시오.

침입 방지 시스템 활성화 및 구성

  1. 네비게이션 창에서 보안 > IPS를 클릭합니다.

  2. 계정의 IPS 보호를 활성화(녹색)하거나 비활성화(회색)하려면 IPS 슬라이더를 클릭합니다.

AM 엔진과 유사하게, 이제 WAN 트래픽, 인바운드 트래픽, 아웃바운드 트래픽에 대한 IPS 보호를 활성화합니다. WAN은 Cato에 연결된 네트워크 요소(사이트 및 사용자) 간의 모든 종류의 트래픽으로 간주됩니다. 인바운드 보호는 인터넷에서 오고 원격 포트 전달을 통해 내부 호스트로 전달되는 트래픽에 적용됩니다. 아웃바운드는 내부 호스트에서 인터넷으로 나가는 모든 종류의 트래픽을 의미합니다 - 일반적인 인터넷 브라우징.

보안 이벤트 검토

위에서 언급한 것처럼, 보안 서비스가 활성화되면 보안 엔진이 실제로 감지되고 잠재적으로 차단되는 트래픽을 결정합니다.

이벤트 페이지(홈페이지 > 이벤트)에는 특정 기간 동안 모든 사이트와 사용자에서 발생한 이벤트 데이터가 표시됩니다.

AM 이벤트만 필터링하려면, 프리셋 선택 드롭다운 메뉴에서 안티멀웨어를 선택합니다.

360002146618-mceclip0.png

IPS 이벤트만 필터링하려면, 프리셋 선택 드롭다운 메뉴에서 IPS를 선택합니다.

아래로 스크롤하면 이벤트를 찾을 수 있습니다. 각 이벤트에 대해 더 많은 세부 정보를 얻기 위해 확장할 수 있습니다.

360002042337-mceclip2.png

* 안티멀웨어 및/또는 IPS가 없으면 이벤트가 생성되지 않았다는 의미입니다. 이 경우, 더 넓은 시간 범위를 필터링할 수 있습니다.

안티멀웨어와 IPS가 활성화되면, 악성 파일을 다운로드하려고 시도하여 테스트할 수 있습니다, 안티멀웨어 및 IPS 테스트를 위한 권장 사이트를 참조하세요

Cato의 고급 보안 서비스에 대한 추가 정보

  1. 네트워크 흐름은 WAN 방화벽에 의해 검사됩니다 - 보안 관리자는 사이트, 사용자, 호스트, 서브넷 등의 조직적 엔터티 간의 트래픽을 허용하거나 차단할 수 있습니다. 기본적으로, Cato의 WAN 방화벽은 화이트리스트 접근 방식을 따르며, 암시적 전체 전체 차단 규칙을 가지고 있습니다.

  2. 인터넷 방화벽 - 보안 관리자는 사이트, 개별 사용자, 서브넷 등과 같은 네트워크 엔터티와 다양한 애플리케이션, 서비스, 웹사이트 간의 허용 또는 차단 규칙을 설정할 수 있습니다. 기본적으로, Cato의 인터넷 방화벽은 블랙리스트 접근 방식을 따르며, 암시적 전체 전체 허용 규칙을 가지고 있습니다. 그러므로 접근을 차단하려면, 하나 이상의 네트워크 엔터티에서 애플리케이션으로의 연결을 명시적으로 차단하는 규칙을 정의해야 합니다.

  3. URL 필터링 - 인터넷 방화벽 강화. 기본적으로, 카토는 수십 개의 다양한 URL 카테고리, 보안 지향의 범주(예: 의심스러운 스팸 및 의심스러운 멀웨어 포함)에 대한 사전 정의된 정책을 제공합니다. 인터넷 방화벽은 인터넷 애플리케이션에 대한 정적 접근 예방을 제공하는 반면, URL 필터링은 동적 보호를 통해 인터넷 보안을 완성합니다.

  4. 안티-맬웨어 - 클라우드의 안티바이러스 게이트웨이로 간주될 수 있습니다. 고객은 이 서비스를 사용하여 WAN 및 인터넷 트래픽에서 멀웨어를 검사할 수 있습니다. 안티-멀웨어 처리에는 다음이 포함됩니다:

    • 명확하고 암호화된 트래픽(활성화된 경우)을 위한 트래픽 페이로드의 심층 패킷 검사.

    • 네트워크를 통해 전송되는 파일의 실제 유형을 파일 확장자나 콘텐츠 유형 헤더와 상관없이 식별하기 위한 실제 파일 유형 감지 기능이 사용됩니다.

    • 글로벌 위협 인텔리전스 데이터베이스를 기반으로 하여 항상 최신 상태를 유지하는 서명 및 휴리스틱 데이터베이스를 사용하여 멀웨어 감지를 수행하여 현재의 위협에 대한 효과적인 보호를 확보합니다. 카토는 고객 데이터의 기밀성을 보장하기 위해 클라우드 기반 저장소와 파일 또는 데이터를 공유하지 않습니다.

  5. IPS - 카토의 클라우드 기반 네트워크 침입 방지 시스템(IPS)은 인바운드, 아웃바운드 및 WAN 트래픽, 그리고 SSL 트래픽을 검사합니다. IPS는 차단 조치 없이 모니터링 모드(IDS)로 작동할 수 있습니다. IDS 모드에서는 모든 트래픽이 평가되고 보안 이벤트가 생성됩니다.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개