Testando Prevenção de Ameaças para Anti-Malware e IPS

Este artigo fornece recomendações e melhores práticas para testar diferentes aspectos dos serviços de Segurança na Cato Cloud.

Nota

Nota: Esses testes podem envolver malware real. Certifique-se de que você está testando em um ambiente seguro e isolado.

Testando Anti-Malware

Resultado desejado: Transferência de arquivo via HTTP é bloqueada e mostra a Página de Bloqueio do Cato. Download via HTTPS só é bloqueado após a habilitação da inspeção TLS.

Certifique-se de que a Inspeção TLS está desabilitada antes de iniciar este teste.

  1. Vá para o site da EICAR (http://www.rexswain.com/eicar.html) para arquivos de malware HTTP de amostra.

  2. Baixar eicar.com via HTTP e o download é bloqueado.

  3. Baixar eicar.com via HTTPS e o download é bem-sucedido.

    Vá ao website EICAR (https://www.eicar.org/?page_id=3950) para arquivos de malware HTTPS de amostra.

  4. Vá para Segurança > Inspeção TLS e habilite a Inspeção TLS para a conta, e clique em Salvar.

  5. Baixar eicar.com via HTTPS e o download é bloqueado.

  6. Use Inicial > Eventos com o preset de Anti-malware para mostrar os eventos para os arquivos maliciosos bloqueados.

Testando NG Anti-Malware

Resultado desejado: Arquivo é transferido com sucesso com apenas o Anti-Malware habilitado. Após habilitar NG Anti-Malware, a transferência de arquivo é bloqueada.

Certifique-se de estar usando um serviço de download via web como WeTransfer que não está incluído em uma exceção ou na Lista de Permissão. Caso contrário, o download do arquivo é bem-sucedido porque ele não é escaneado pelo motor de NG Anti-Malware.

  1. Vá para Segurança > Anti-Malware, e configure estas configurações:

    • Anti-Malware está habilitado

    • NG Anti-Malware está desabilitado

  2. Clique aqui para baixar eicar_s1.txt e o download é bem-sucedido.

  3. Habilitar NG Anti-Malware.

  4. Abra uma janela privada ou anônima, e clique aqui para baixar eicar_s1.txt novamente. O download é bloqueado.

  5. Use Inicial > Eventos com o preset de Anti-malware para mostrar os eventos para os arquivos de NG Anti-Malware bloqueados.

Testando Reputação de IP com IPS

Resultado desejado: Tentativas de acesso ao site/IP com má reputação são bloqueadas e o evento é registrado nos Eventos.

  1. Use o seguinte site para encontrar domínios que são conhecidos por ter má reputação:

  2. Tente acessar este site/IP com o navegador deles (mais fácil para validar o bloqueio) ou usar telnet a partir de um prompt de comando. Você está bloqueado de acessar o site.

  3. Use a página Inicial > Eventos e analise os eventos do tráfego IPS bloqueado.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário