Настройка политики IPS

Обзор

Вы можете включить или отключить защиту от угроз вредоносного трафика, идущего входящим, исходящим в организацию и через её WAN. Вы также можете настроить сервис для блокировки трафика или мониторинга без блокировки.

Сервис IPS Cato состоит из нескольких уровней безопасности, включая:

  • Анализ репутации: Защита от входящей/исходящей связи с скомпрометированными или вредоносными ресурсами.

  • Известные уязвимости: Защита от известных CVE, быстрое адаптирование для включения новых.

  • Анти-бот: Защита от исходящего трафика к серверам командования и управления (C&C) на основе данных репутации и поведенческого анализа сети.

  • Анализ поведения сети: Защита от входящих/исходящих сканирований сети.

  • Проверка протокола: Защита от недействительных пакетов (соответствие протоколу), уменьшение атак поверхности за счет эксплуатации аномального трафика.

  • Географическое ограничение: Применение пользовательской политики гео-ограничений для блокировки входящего, исходящего или всего трафика для определенных стран.

  • Атаки туннелирования: Обнаруживает и блокирует попытки скрыть вредоносный трафик в пределах легитимных протоколов (например, HTTP, HTTPS, DNS) для обхода средств безопасности.

Примечание

Примечание: Мы рекомендуем включить инспекцию TLS, чтобы сервис IPS обеспечил максимальную защиту вашей сети.

Политика IPS доступна только с лицензией Защита от угроз. Для получения дополнительной информации свяжитесь с вашим торговым представителем.

Модули машинного обучения в IPS Cato

В дополнение к статическим источникам угроз, IPS Cato использует модули машинного обучения для обеспечения защиты в реальном времени от определенных типов атак. Движок IPS использует сотни статических источников угроз, которые берут известные шаблоны уязвимостей и превращают их в сигнатуры, которые затем интегрируются в движок. С другой стороны, модуль эвристики машинного обучения использует смесь известной и неизвестной информации об угрозах, чтобы определить, является ли что-либо угрозой, и не полагается на статические каналы. Эти модели машинного обучения в реальном времени выявляют потенциально вредоносные неизвестные домены, сгенерированные с помощью техник DGA и киберсквоттинга.

Почему использовать алгоритмы машинного обучения?

Преимущество использования модели машинного обучения для предотвращения угроз в том, что DGA и киберсквоттинг нельзя остановить только с помощью статических черных списков, тактики меняются в случайные интервалы, и каждый день используются новые методы DGA и киберсквоттинга. Алгоритмы машинного обучения позволяют нам выявлять потенциально вредоносные домены в реальном времени. DGA выявляет домены, которые, вероятно, созданы алгоритмом (не похожи на обычные словарные слова). DGA используется для связи командования и управления (C&C), а киберсквоттинг может использоваться для фишинговых атак.

Часть алгоритма машинного обучения Cato — это список известных брендов, которые мы мониторим для части движка, связанной с киберсквоттингом, но клиенты также могут добавлять свои собственные списки доменов для мониторинга. Модели машинного обучения DGA будут работать на защите DNS и движке IPS, но движок киберсквоттинга будет работать только на IPS.

Когда происходит событие, ID подписи укажет, какая модель идентифицировала угрозу, но это не будет возможно определить по другим полям события.

Понимание категорий угроз IPS

Раздел Категории IPS предоставляет пояснения по типам угроз, определяемым движком IPS. Раздел показывает все категории угроз IPS, определенные Cato, и количество событий, инициированных для каждого типа угроз за предыдущие семь дней.

Вы можете щелкнуть по числу, чтобы открыть экран События с предварительно отфильтрованным типом угрозы.

Управление настройками IPS

Этот раздел объясняет, как настроить политику IPS для защиты сетей в вашем аккаунте.

IPS_Policy.png

Включение и отключение защиты IPS

Чтобы включить или отключить IPS для вашего аккаунта:

  1. В меню навигации щелкните Безопасность > IPS.

  2. Щелкните ползунок, чтобы включить (зеленый) или отключить (серый) политику IPS для аккаунта.

  3. Щелкните Сохранить.

Определение настроек IPS

Для входящего и исходящего трафика WAN вы можете определить действия, вызываемые обнаружением угроз, и установить их оповещения. Доступные действия:

  • Блокировать - блокирует вредоносный трафик от достижения его пункта назначения. Когда это применимо, пользователь перенаправляется на специальную веб-страницу блокировки.

  • Мониторинг - генерирует события (показаны в Главная > События) для вредоносного трафика. Трафик затем продолжает путь к назначению.

Настройка параметров защиты файлов

Чтобы настроить действия по защите файлов для политики IPS:

  1. В меню навигации нажмите Безопасность > IPS.

  2. Щелкните по вкладке Политика защиты и задайте настройки для каждой Области защиты:

    1. В столбце Область защиты щелкните по типу трафика. Панель Редактирование открывается.

    2. В разделе Общие включите или отключите Область защиты (зеленый - включено, серый - отключено).

    3. В разделе Действие установите действие для трафика, соответствующего защите IPS.

    4. В разделе Отслеживание установите параметры уведомления.

      Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

    5. Нажмите Применить.

      Настройки для области защиты добавлены в Политику IPS.

  3. Щелкните Сохранить. Политика IPS сохранена.

Настройка опций применения IPS

Опции применения для политики IPS позволяют добавить дополнительный уровень защиты от угроз для входящего и исходящего трафика.

Блокировка недавно зарегистрированных доменов

Для исходящего трафика вы можете настроить IPS для автоматического блокирования доменов, зарегистрированных менее чем 14 дней назад. Вредоносные программы часто используют недавно зарегистрированные домены, чтобы избежать защиты от угроз. Большинство недавно зарегистрированных доменов являются вредоносными или подозрительными.

Чтобы блокировать недавно зарегистрированные домены:

  1. В меню навигации нажмите Безопасность > IPS.

  2. На вкладке Опции применения щелкните Исходящий трафик - блокировка недавно зарегистрированных доменов.

  3. Щелкните Сохранить.

Карантин подозрительных IP-адресов

Функция Карантин подозрительных IP-адресов позволяет IPS временно блокировать подозрительные входящие IP-адреса, которые активно сканируют вашу сеть. Эта функция блокирует трафик с этих подозрительных IP-адресов на пять минут.

Чтобы изолировать трафик от подозрительных IP-адресов:

  1. В меню навигации нажмите Безопасность > IPS.

  2. На вкладке Опции применения щелкните Входящий трафик - карантин подозрительных IP.

  3. Щелкните Сохранить.

Определение правил географического ограничения

Вы можете определить правила географического ограничения IPS для блокировки трафика в (исходящий) или из (входящий) определённые страны, или весь трафик в страны, определенные в правиле.

Примечание

Примечание: Если вы настроите правило географического ограничения для входящего трафика, это также применяется к ресурсам RPF. Однако, правила географического ограничения IPS не применяются к трафику от Клиентов SDP Cato. Чтобы блокировать подключения Клиентов из определённых регионов, вы можете настроить правила в Политике доступа Клиента.

Чтобы определить правило географического ограничения:

  1. В меню навигации нажмите Безопасность > IPS.

  2. На вкладке Географическое ограничение щелкните Новый. Панель Добавить открывается.

  3. В разделе Общие настройте следующие параметры:

    1. Введите Имя для правила.

    2. Убедитесь, что правило включено (зеленый — включено, серый — отключено).

    3. Выберите направление трафика для этого правила: Исходящий, Входящий или Оба направления.

  4. В разделе Страны определите страны для этого правила географического ограничения.

    1. Поиск страны, затем выберите её.

    2. Повторите предыдущий шаг для каждой страны, которую вы добавляете к этому правилу.

  5. В разделе Действия установите параметры действия и отслеживания для этого правила:

    1. Определите действие для правила: Блокировать, Мониторинг, или Разрешить (действия Мониторинг и Разрешить генерируют события, не блокируя трафик).

    2. Нажмите Событие, чтобы генерировать события для трафика, который соответствует защите IPS.

    3. Щелкните Отправить уведомление и установите Частота отправки уведомлений.

      Выберите Список рассылки администраторов, которые получают уведомления.

  6. Нажмите Применить. Правило добавлено.

  7. Нажмите Сохранить.

Отключение правил географического ограничения

Вы можете временно отключить правила географического ограничения, а затем повторно включить их в будущем.

Чтобы отключить правило географического ограничения:

  1. В навигационном меню нажмите Безопасность > IPS.

  2. На вкладке Географическое ограничение щелкните значок дополнительные справа от правила и выберите Отключить.

  3. Нажмите Сохранить. Правило отключено.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 5 из 5

0 комментариев