Включение и работа с антивирусной защитой и IPS

Введение

Помимо файервола и фильтрации URL Кейто, существуют дополнительные службы безопасности: Антивирус и Система предотвращения вторжений (IPS). Обе службы могут быть включены мгновенно и практически не требуют конфигурации. Эти службы предоставляют дополнительный уровень защиты для трафика WAN, интернет-трафика или обоих одновременно.

  • Вкратце, антивирусная защита будет обнаруживать и блокировать вредоносные файлы. Можно рассматривать как антивирусный шлюз в облаке.

  • IPS, с другой стороны, будет обнаруживать и блокировать использование уязвимостей хоста. Например, если пользователь использует непатченную версию Windows (без последних обновлений безопасности), удаленный сервер может воспользоваться определенной уязвимостью хоста и выполнить вредоносный код на рабочей станции. IPS обычно рассматривается как сервер "виртуальных патчей". Чаще всего IT сталкивается с трудностью, чтобы все хосты имели последние обновления безопасности и патчи. IPS — это немедленное решение для новых уязвимостей.

Лучшие Практики

Настоятельно рекомендуется включить антивирус и службу IPS. Пользователь не испытывает задержки из-за обработки антивирусом. Когда обнаруживается вредоносный файл, доступ пользователя будет заблокирован, и пользователь будет перенаправлен на страницу блокировки.

Нет причин не включать эти службы. Команда безопасности Кейто всегда поддерживает базу данных защиты от вредоносных программ в актуальном состоянии на основе глобальных баз данных угроз для обеспечения эффективной защиты от текущих угроз.

В рамках лучших практик для включения служб антивируса и IPS рекомендуется следующий рабочий процесс:

  1. Включите антивирус и IPS в режиме Мониторинг для обоих трафиков, WAN и интернет. В режиме Мониторинг вредоносный трафик только регистрируется и не блокируется.

  2. При необходимости вы можете настроить отслеживание для получения оповещения по электронной почте, когда будет обнаружено вредоносное ПО (но не заблокируется, потому что оно находится в режиме Мониторинг).

  3. В течение нескольких дней просмотрите события AM и IPS и постепенно переключите службы в режим блокировки.

Примечание

Примечание: для максимальных результатов обнаружения необходимо включить инспекцию TLS.

Инспекция TLS позволяет движкам безопасности анализировать зашифрованный трафик, который может содержать вредоносные файлы или код. Включение инспекции TLS — это последний шаг в активации антивируса и IPS. Руководство по включению инспекции TLS и рекомендации по распространению сертификата Кейто с использованием GPO можно найти здесь.

Ниже представлено пошаговое руководство по настройке служб безопасности и анализу результатов.

Включение и настройка антивирусной защиты

  1. В панели навигации нажмите Безопасность > Антивирус.

  2. Нажмите левый слайдер, чтобы включить (зеленый) или отключить (серый) Антивирус для учетной записи.

  3. Нажмите правый слайдер, чтобы включить (зеленый) или отключить (серый) движок NG Антивирус.

    Anti-Malware__1_.png

Теперь антивирусные движки включены. Следующий шаг — настроить настройки защиты от вредоносных программ.

Для каждой антивирусной правила щелкните в столбце Действие и выберите один из следующих вариантов:

  • Блокировать - Предотвратить продолжение вредоносного файла к его адресу. При необходимости перенаправляет пользователя на специальную веб-страницу блокировки.

  • Разрешить - Позволить вредоносному файлу продолжить к его адресу.

Чтобы мониторить без блокировки, установите правило на Разрешить, а в разделе Отслеживание включите опцию Событие. Это создаст журналы событий, которые вы можете просматривать на странице событий (Домашняя > События). Вы также можете Отправить уведомления, активируемые типом трафика. В случае инцидента безопасности (обнаружение вредоносного ПО) уведомление будет отправлено предопределённым группам подписок, спискам рассылки и интеграциям оповещений. Для получения дополнительной информации о этих типах уведомлений, обратитесь к соответствующей статье в разделе Оповещения.

Включение и настройка Системы предотвращения вторжений

  1. В области навигации нажмите Безопасность > IPS.

  2. Щелкните ползунок IPS для включения (зеленый) или отключения (серый) защиты IPS для аккаунта.

Подобно движку AM, теперь активируйте защиту IPS для WAN-трафика, входящего трафика и исходящего трафика. WAN будет рассматриваться как любой вид трафика между сетевыми элементами, подключенными к Cato (сайты и пользователи). Входящая защита применяется к трафику, поступающему из Интернета и перенаправляемому на внутренние хосты с использованием Удаленной переадресации портов. Исходящий трафик - это любой вид трафика, исходящий из внутренних хостов в Интернет - обычный просмотр Интернета.

Просмотр Событий Безопасности

Как упоминалось выше, как только услуги безопасности включены, движок безопасности определяет, какой трафик фактически обнаруживается и потенциально блокируется.

Страница Событий (Главная > События) отображает данные о событиях, которые произошли на любых или всех сайтах и пользователях в течение определённого периода.

Чтобы отфильтровать только события Антивируса, в раскрывающемся меню Выбрать пресет, выберите Антивирус.

360002146618-mceclip0.png

Чтобы отфильтровать только события IPS, в раскрывающемся меню Выбрать пресет, выберите IPS.

Прокрутите вниз, и вы найдете события. Для каждого события вы можете развернуть, чтобы получить больше информации.

360002042337-mceclip2.png

* Если Антивирус и/или IPS отсутствуют, это означает, что события не были созданы. В этом случае, вы можете фильтровать более широкий временной интервал.

Как только Антивирус и IPS включены, вы можете тестировать их, пытаясь скачать вредоносные файлы. См. Рекомендуемые сайты для тестирования Антивируса и IPS

Дополнительная информация о Расширенных Услугах Безопасности Cato

  1. Поток сетевого трафика инспектируется Брандмауэром WAN - администраторы безопасности могут разрешать или блокировать трафик между организационными сущностями, такими как сайты, пользователи, хосты, подсети и более. По умолчанию, Брандмауэр WAN от Cato следует подходу с белым списком, содержащим имплицитное правило блокировки любое-любое.

  2. Межсетевой экран Интернета - администраторы безопасности могут устанавливать правила разрешения или блокирования между сетевыми сущностями, такими как сайты, отдельные пользователи, подсети и более, для различных приложений, услуг и веб-сайтов. По умолчанию, Межсетевой экран Интернета от Cato следует подходу с черным списком, содержащим имплицитное правило разрешения любое-любое. Таким образом, чтобы заблокировать доступ, вы должны определить правила, которые явно блокируют соединения от одной или нескольких сетевых сущностей к приложениям.

  3. Фильтрация URL - улучшение Межсетевого экрана Интернета. Из коробки, Cato предоставляет предопределённую политику десятков различных категорий URL, включая категории, ориентированные на безопасность, такие как Подозрительный спам и Подозрительное вредоносное ПО. Хотя Межсетевой экран Интернета предоставляет статическую защиту от доступа к интернет-приложениям, фильтрация URL завершает интернет-безопасность динамическими защитами.

  4. Антивирус - может считаться антивирусным шлюзом в облаке. Клиенты могут использовать эту услугу для проверки как WAN, так и интернет-трафика на наличие вредоносных программ. Процессинг Антивируса включает следующее:

    • Глубокая инспекция пакетов полезной нагрузки трафика для чистого и зашифрованного трафика (если разрешено).

    • Обнаружение истинного типа файла используется для идентификации реального типа файла, проходящего по сети, независимо от его расширения или заголовка типа содержимого.

    • Обнаружение вредоносных программ с использованием базы данных подписей и эвристики, которая всегда обновляется на основе глобальных баз данных разведки угроз для обеспечения эффективной защиты от текущих угроз. Cato НЕ делится никакими файлами или данными с облачными репозиториями, чтобы обеспечить конфиденциальность данных клиентов.

  5. IPS - Облачная система предотвращения проникновений в сеть (IPS) от Кейто инспектирует входящий, исходящий и WAN трафик, включая SSL трафик. IPS может работать в режиме мониторинга (IDS) без выполнения действия блокировки. В режиме IDS весь трафик оценивается и генерируются события безопасности.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев