Skip Navigation

Konfigurieren des Netzwerkschutzes

Sie können auf verschiedene Weise konfigurieren, wie
CylanceGATEWAY
Bedrohungen erkennt und auf sie reagiert. Wenn Sie die ACL -Regeln (Access Control List) so konfigurieren, dass der Zugriff auf Ziele zugelassen wird, kann
CylanceGATEWAY
weiterhin den Zugriff des Benutzers auf das Ziel blockieren, wenn eine potenzielle Bedrohung erkannt wird. Sie können auch steuern, welche Informationen auf dem Bildschirm „Netzwerkereignisse“ und in der Ansicht „Warnungen“ angezeigt werden können und was an die SIEM-Lösung oder den Syslog-Server gesendet wird, falls konfiguriert. Um den zusätzlichen Netzwerkschutz zu aktivieren, stellen Sie sicher, dass für jede ACL-Regel auch der Parameter „Adressen anhand Netzwerkschutz prüfen“ ausgewählt ist. Diese Einstellung ist standardmäßig aktiviert.
  • Signaturerkennung: Mithilfe der Signaturerkennung lässt sich die Erkennung tiefer Netzwerkbedrohungen über Netzwerkverbindungssignaturen aktivieren. Wenn die Signaturerkennung aktiviert ist, blockiert
    CylanceGATEWAY
    automatisch Verbindungen, bei denen Bedrohungen erkannt werden, wenn die ACL-Regel mit dem Ziel übereinstimmt, und überprüft den Netzwerkschutz. Wenn die Signaturerkennung deaktiviert ist, werden Bedrohungen protokolliert, die Verbindung wird jedoch nicht blockiert. Weitere Informationen zu einer Liste von Erkennungen und ihren Aktionen finden Sie unter Anzeigen der Netzwerkaktivität. Die Signaturerkennung ist standardmäßig aktiviert.
  • Schutzmaßnahmen für das Ziel: Mithilfe der Reputation des Ziels können Sie potenziell schädliche IP-Adressen und FQDNs blockieren, die einer festgelegten Risikostufe entsprechen (niedrig, mittel oder hoch). Wenn diese Option aktiviert ist, ist die standardmäßige Risikostufe hoch.
    CylanceGATEWAY
    protokolliert und blockiert automatisch Verbindungen zu Zielen, die der festgelegten Risikostufe entsprechen, wenn das Ziel der ACL-Regel entspricht, und überprüft den Netzwerkschutz. Wenn die Schutzmaßnahmen für das Ziel deaktiviert sind, werden Bedrohungen protokolliert, die Verbindung wird jedoch nicht blockiert. Weitere Informationen zu einer Liste von Erkennungen und ihren Aktionen finden Sie unter Anzeigen der Netzwerkaktivität. Die Zielreputation ist standardmäßig aktiviert.
    Risikostufen verwenden eine Kombination aus maschinellen Lernmodellen (ML) und einer IP-Reputationsdatenbank für statische IP-Adressen, um zu bestimmen, ob ein Ziel potenzielle Bedrohungen enthalten könnte.
    • ML-Modelle: Die ML-Modelle weisen Zielen, auf die Ihre Benutzer möglicherweise zugreifen, ein Konfidenzniveau zu. Anhand der ML-Modelle wird kontinuierlich untersucht, ob ein Ziel potenzielle Bedrohungen enthalten könnte.
    • IP-Reputationsdatenbanken: Die IP-Reputationsdatenbank gibt Aufschluss über die Vertrauenswürdigkeit von IP-Adressen aus offenen und kommerziellen IP-Reputations-Feeds.
      CylanceGATEWAY
      nutzt die Reputations-Feeds, um den Risikograd einer IP-Adresse zu bestimmen.
      CylanceGATEWAY
      berücksichtigt die Anzahl der Anbieter, die ein bestimmtes Ziel für gefährlich befunden haben, und die Zuverlässigkeit der Quellen, bevor eine Risikostufe zugewiesen wird (wenn beispielsweise die Mehrheit der Quellen und IP-Reputations-Engines ein Ziel als potenzielle Bedrohung einstufen), weist
      CylanceGATEWAY
      dem Ziel eine hohe Risikostufe zu. Weitere Informationen zu Risikostufen finden Sie unter Risikoschwellenwert für Zielreputation.
    CylanceGATEWAY
    wendet automatisch die Kategorie „Dynamisches Risiko“ und eine Unterkategorie auf Erkennungen der IP-Reputation an, die mithilfe einer Kombination aus ML-Modellen und IP-Reputationsdatenbank als potenziell schädliche Bedrohungen identifiziert wurden. Die Datenbanken ändern sich kontinuierlich, indem Zieleinträge hinzugefügt oder entfernt werden. Sie können auf dem Bildschirm „Netzwerkereignisse“ zusätzliche Metadaten und Details für Netzwerkereignisse anzeigen, die als dynamisches Risiko eingestuft wurden. Die Kategorie „Dynamisches Risiko“ umfasst die folgenden Unterkategorien:
    • Beacon
    • Command-and-Control
    • DNS-Tunneling
    • Malware
    • Phishing
    • Potenziell schädlich
    • Verdächtige Website
    • Domain Generation Algorithm (DGA)