Konfigurieren des Netzwerkschutzes
Sie können auf verschiedene Weise konfigurieren, wie
CylanceGATEWAY
Bedrohungen erkennt und auf sie reagiert. Wenn Sie die ACL -Regeln (Access Control List) so konfigurieren, dass der Zugriff auf Ziele zugelassen wird, kann CylanceGATEWAY
weiterhin den Zugriff des Benutzers auf das Ziel blockieren, wenn eine potenzielle Bedrohung erkannt wird. Sie können auch steuern, welche Informationen auf dem Bildschirm „Netzwerkereignisse“ und in der Ansicht „Warnungen“ angezeigt werden können und was an die SIEM-Lösung oder den Syslog-Server gesendet wird, falls konfiguriert. Um den zusätzlichen Netzwerkschutz zu aktivieren, stellen Sie sicher, dass für jede ACL-Regel auch der Parameter „Adressen anhand Netzwerkschutz prüfen“ ausgewählt ist. Diese Einstellung ist standardmäßig aktiviert.- Signaturerkennung: Mithilfe der Signaturerkennung lässt sich die Erkennung tiefer Netzwerkbedrohungen über Netzwerkverbindungssignaturen aktivieren. Wenn die Signaturerkennung aktiviert ist, blockiertCylanceGATEWAYautomatisch Verbindungen, bei denen Bedrohungen erkannt werden, wenn die ACL-Regel mit dem Ziel übereinstimmt, und überprüft den Netzwerkschutz. Wenn die Signaturerkennung deaktiviert ist, werden Bedrohungen protokolliert, die Verbindung wird jedoch nicht blockiert. Weitere Informationen zu einer Liste von Erkennungen und ihren Aktionen finden Sie unter Anzeigen der Netzwerkaktivität. Die Signaturerkennung ist standardmäßig aktiviert.
- Schutzmaßnahmen für das Ziel: Mithilfe der Reputation des Ziels können Sie potenziell schädliche IP-Adressen und FQDNs blockieren, die einer festgelegten Risikostufe entsprechen (niedrig, mittel oder hoch). Wenn diese Option aktiviert ist, ist die standardmäßige Risikostufe hoch.CylanceGATEWAYprotokolliert und blockiert automatisch Verbindungen zu Zielen, die der festgelegten Risikostufe entsprechen, wenn das Ziel der ACL-Regel entspricht, und überprüft den Netzwerkschutz. Wenn die Schutzmaßnahmen für das Ziel deaktiviert sind, werden Bedrohungen protokolliert, die Verbindung wird jedoch nicht blockiert. Weitere Informationen zu einer Liste von Erkennungen und ihren Aktionen finden Sie unter Anzeigen der Netzwerkaktivität. Die Zielreputation ist standardmäßig aktiviert.Risikostufen verwenden eine Kombination aus maschinellen Lernmodellen (ML) und einer IP-Reputationsdatenbank für statische IP-Adressen, um zu bestimmen, ob ein Ziel potenzielle Bedrohungen enthalten könnte.
- ML-Modelle: Die ML-Modelle weisen Zielen, auf die Ihre Benutzer möglicherweise zugreifen, ein Konfidenzniveau zu. Anhand der ML-Modelle wird kontinuierlich untersucht, ob ein Ziel potenzielle Bedrohungen enthalten könnte.
- IP-Reputationsdatenbanken: Die IP-Reputationsdatenbank gibt Aufschluss über die Vertrauenswürdigkeit von IP-Adressen aus offenen und kommerziellen IP-Reputations-Feeds.CylanceGATEWAYnutzt die Reputations-Feeds, um den Risikograd einer IP-Adresse zu bestimmen.CylanceGATEWAYberücksichtigt die Anzahl der Anbieter, die ein bestimmtes Ziel für gefährlich befunden haben, und die Zuverlässigkeit der Quellen, bevor eine Risikostufe zugewiesen wird (wenn beispielsweise die Mehrheit der Quellen und IP-Reputations-Engines ein Ziel als potenzielle Bedrohung einstufen), weistCylanceGATEWAYdem Ziel eine hohe Risikostufe zu. Weitere Informationen zu Risikostufen finden Sie unter Risikoschwellenwert für Zielreputation.
CylanceGATEWAYwendet automatisch die Kategorie „Dynamisches Risiko“ und eine Unterkategorie auf Erkennungen der IP-Reputation an, die mithilfe einer Kombination aus ML-Modellen und IP-Reputationsdatenbank als potenziell schädliche Bedrohungen identifiziert wurden. Die Datenbanken ändern sich kontinuierlich, indem Zieleinträge hinzugefügt oder entfernt werden. Sie können auf dem Bildschirm „Netzwerkereignisse“ zusätzliche Metadaten und Details für Netzwerkereignisse anzeigen, die als dynamisches Risiko eingestuft wurden. Die Kategorie „Dynamisches Risiko“ umfasst die folgenden Unterkategorien:- Beacon
- Command-and-Control
- DNS-Tunneling
- Malware
- Phishing
- Potenziell schädlich
- Verdächtige Website
- Domain Generation Algorithm (DGA)