Configurando a Política de IPS

Visão Geral

Você pode habilitar ou desabilitar a proteção contra ameaças de tráfego malicioso originado em Entrada, Saída para a organização e através de sua WAN. Você também pode configurar o serviço para bloquear o tráfego ou monitorar sem bloquear.

O serviço de IPS da Cato é composto por várias camadas de segurança, incluindo:

  • Análise de Reputação: Proteção contra comunicação de entrada/saída com recursos comprometidos ou maliciosos.

  • Vulnerabilidades Conhecidas: Proteção contra CVEs conhecidos, rapidamente se adaptando para incorporar novos.

  • Anti-Bot: Proteger contra tráfego de saída para servidores C&C baseado em feeds de reputação e análise comportamental de rede.

  • Análise Comportamental de Rede: Proteção contra varreduras de rede de entrada/saída.

  • Validação de Protocolo: Protegendo contra pacotes inválidos (conformidade com o protocolo), reduzindo a superfície de ataque de explorações usando tráfego anômalo.

  • Restrição Geográfica: Aplicar uma política de restrição geográfica personalizada para bloquear tráfego de entrada, saída ou todo o tráfego para países específicos.

  • Ataques de Tunelamento: Identifica e bloqueia tentativas de ocultar tráfego malicioso dentro de protocolos legítimos (por exemplo, HTTP, HTTPS, DNS) para evitar controles de segurança.

Nota

Nota: Recomendamos que você habilite a inspeção TLS para que o serviço de IPS forneça a máxima proteção para sua rede.

A Política de IPS só está disponível com uma licença de Proteção contra Ameaças. Para mais informações, contate seu representante de vendas.

Módulos de Aprendizado de Máquina no IPS da Cato

Além de feeds de ameaças estáticos, o IPS da Cato usa módulos de aprendizado de máquina para oferecer proteção em tempo real contra certos tipos de ataques. O motor IPS usa centenas de feeds de ameaças estáticos que capturam padrões de vulnerabilidades conhecidas e os transformam em assinaturas que são então integradas ao motor. Por outro lado, o módulo heurístico de machine learning usa uma mistura de inteligência de ameaças conhecidas e desconhecidas para determinar se algo é uma ameaça e não depende dos feeds estáticos. Esses modelos de aprendizado de máquina identificam potencialmente domínios desconhecidos maliciosos gerados por técnicas de DGA e cybersquatting em tempo real.

Por que usar algoritmos de aprendizado de máquina?

O benefício de usar o modelo de aprendizado de máquina para prevenção de ameaças é que DGA e cybersquatting não podem ser interrompidos apenas com listas negras estáticas; as táticas mudam em intervalos aleatórios e novos métodos de DGA e cybersquatting são usados todos os dias. Os algoritmos de aprendizado de máquina nos permitem detectar domínios potencialmente maliciosos em tempo real. DGA detecta domínios que provavelmente são gerados por um algoritmo (que não parecem usar palavras do dicionário regular). DGA é usado para comunicações de comando e controle (C&C), e o cybersquatting pode ser usado para ataques de phishing.

Parte do algoritmo de aprendizado de máquina da Cato é uma lista de marcas conhecidas que monitoramos para a parte de cybersquatting do motor, mas os clientes também podem ter sua própria lista de domínios adicionados para monitoramento. Os modelos de aprendizado de máquina DGA serão executados na proteção DNS e no motor IPS, mas o motor de cybersquatting será executado apenas no IPS.

Quando um evento ocorre, um ID de Assinatura indicará qual modelo identificou a ameaça, mas não será identificável a partir de outros campos do evento.

Compreendendo as Categorias de Ameaças do IPS

A seção Categorias de IPS fornece explicações sobre os tipos de ameaças identificados pelo motor IPS. A seção mostra todas as categorias de ameaças do IPS definidas pela Cato e o número de eventos desencadeados para cada tipo de ameaça nos sete dias anteriores.

Você pode clicar em um número para abrir a tela de Eventos pré-filtrada para o tipo de ameaça.

Gerenciando as Configurações de IPS

Esta seção explica como configurar a Política de IPS para proteger as redes em sua conta.

IPS_Policy.png

Habilitando e Desabilitando a Proteção IPS

Para habilitar ou desabilitar o IPS para sua conta:

  1. No menu de navegação, clique em Segurança > IPS.

  2. Clique no controle deslizante para habilitar (verde) ou desabilitar (cinza) a política de IPS para a conta.

  3. Clique em Salvar.

Definindo as Configurações de IPS

Para o tráfego WAN, de Entrada e de Saída, você pode definir as ações desencadeadas pela detecção de ameaças e configurar seus alertas. Estas são as ações disponíveis:

  • Bloquear - Bloqueia o tráfego malicioso para que não chegue ao seu destino. Quando aplicável, o usuário é redirecionado para uma página web dedicada ao bloqueio.

  • Monitorar - Gera eventos (mostrados em Inicial > Eventos) para o tráfego malicioso. O tráfego então continua para o destino.

Configurando Opções de Proteção de Arquivos

Para configurar ações de proteção de arquivos para a política IPS:

  1. No menu de navegação, clique em Segurança > IPS.

  2. Clique na aba Política de Proteção e defina as configurações para cada Escopo de Proteção:

    1. Na coluna Escopo de Proteção, clique no tipo de tráfego. O painel de Editar abre.

    2. Na seção Geral, habilite ou desabilite o Escopo de Proteção (verde é habilitado, cinza é desabilitado).

    3. Na seção Ação, defina a ação para o tráfego que corresponde a uma proteção IPS.

    4. Na seção Rastrear, defina as opções de notificação.

      Para mais informações sobre as notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.

    5. Clique em Aplicar.

      As configurações para o escopo de proteção são adicionadas à Política de IPS.

  3. Clique em Salvar. A Política de IPS é salva.

Configurando Opções de Aplicação de IPS

As Opções de Fiscalização para a política IPS permite adicionar um nível extra de proteção contra ameaças para o tráfego de entrada e saída.

Bloqueando Domínios Recém-Registrados

Para tráfego de saída, você pode configurar o IPS para bloquear automaticamente domínios que têm menos de 14 dias. Malware frequentemente usa domínios recém-registrados para evitar a proteção contra ameaças. A maioria dos domínios recém-registrados são maliciosos ou suspeitos.

Para bloquear domínios recém-registrados:

  1. No menu de navegação, clique em Segurança > IPS.

  2. Na aba Opções de Fiscalização, clique em Tráfego de Saída - Bloquear domínios recém-registrados.

  3. Clique em Salvar.

Quarentena de Endereços IP Suspeitos

O recurso de quarentena de IP suspeito permite que o IPS bloqueie temporariamente endereços IP de entrada suspeitos que estejam escaneando agressivamente sua rede. Este recurso bloqueia o tráfego desses endereços IP suspeitos por cinco minutos.

Para colocar em quarentena o tráfego de endereços IP suspeitos:

  1. No menu de navegação, clique em Segurança > IPS.

  2. Na aba Opções de Fiscalização, clique em Tráfego de Entrada - Quarentena de IP suspeito.

  3. Clique em Salvar.

Definindo Regras de Restrição Geográfica

Você pode definir regras de Restrição Geográfica IPS para bloquear tráfego para (saída) ou de (entrada) países específicos, ou todo o tráfego para os países definidos na regra.

Nota

Nota: Se você configurar uma regra de Restrição Geográfica para o tráfego de entrada, isso se aplica também aos recursos RPF. No entanto, regras de Restrição Geográfica IPS não são aplicadas ao tráfego de Clientes SDP da Cato. Para bloquear conexões de Clientes de regiões específicas, você pode configurar regras na Política de Acesso do Cliente.

Para definir uma regra de Restrição Geográfica:

  1. No menu de navegação, clique em Segurança > IPS.

  2. Na aba Restrição Geográfica, clique em Novo. O painel Adicionar é aberto.

  3. Na seção Geral, configure as seguintes configurações:

    1. Digite um Nome para a regra.

    2. Certifique-se de que a regra esteja ativada (verde está ativado, cinza está desativado).

    3. Selecione a direção do tráfego para esta regra: Saída, Entrada ou Ambas as Direções.

  4. Na seção Países, defina os países para esta regra de restrição geográfica.

    1. Pesquise o país e, em seguida, selecione-o.

    2. Repita o passo anterior para cada país que você estiver adicionando a esta regra.

  5. Na seção Ações, defina as configurações de ação e rastreamento para esta regra:

    1. Defina a ação para a regra: Bloquear, Monitorar ou Permitir (tanto as ações de Monitorar quanto Permitir geram eventos sem bloquear o tráfego).

    2. Clique em Evento, para gerar eventos para o tráfego que corresponde a uma proteção IPS.

    3. Clique em Enviar Notificação e defina a Frequência com que as notificações são enviadas.

      Selecione a Lista de Mailing dos administradores que recebem as notificações.

  6. Clique em Aplicar. A regra foi adicionada.

  7. Clique em Salvar.

Desativando Regras de Restrição Geográfica

Você pode desabilitar temporariamente as regras de restrição geográfica e depois reativá-las no futuro.

Para desabilitar uma regra de Restrição Geográfica:

  1. No menu de navegação, clique em Segurança > IPS.

  2. Na aba Restrição Geográfica, clique no ícone de opções à direita da regra e selecione Desativar.

  3. Clique em Salvar. A regra está desabilitada.

Esse artigo foi útil?

Usuários que acharam isso útil: 5 de 6

0 comentário