Trong bài viết này mình sẽ hướng dẫn các bạn cách cấu hình cơ bản tính năng ATP (Advanced Threat Protection) trên Sophos Firewall XGS.
Tính năng ATP giúp phân tích lưu lượng truy cập mạng đến và đi (ví dụ: yêu cầu DNS, yêu cầu HTTP và gói IP) để phát hiện các mối đe dọa. Nó cho phép phát hiện các thiết bị đầu cuối bị xâm nhập trong mạng của mình và đưa ra cảnh báo hoặc loại bỏ lưu lượng truy cập từ các thiết bị này.
Bước 1: Để bật tính năng ATP trên Sophos ta truy cập vào GUI thiết bị, vào phần PROTECT > Advanced protection sau đó Enable tính năng lên:
Bước 2: Để tùy chỉnh việc ghi log hành động chọn Change log settings, phần Policy sổ chọn Log and drop để loại bỏ các kết nối vi phạm:
Bước 3: Có thể cấu hình các lớp mạng/ thiết bị bỏ qua việc quét ATP tại phần Network/Host Exceptions, chọn Add new item, nếu không có sẵn thì chọn Add để thêm mới Object:
Bước 4: Còn để cấu hình các tên miền domain/ địa chỉ IP đích muốn bỏ qua việc quét ATP, điền thông tin vào phần Threat exceptions và chọn dấu +:
Bước 5: Ở mục Settings có thể lựa chọn 2 option, Inspect untrusted content nghĩa là chỉ quét các content không tin cậy còn Inspect all content sẽ quét toàn bộ nội dung (tăng performance thiết bị), sau đó chọn Apply để lưu thông tin cấu hình:
Bước 6: Sử dụng máy tính local kết nối đến Sophos truy cập đường dẫn "http://sophostest.com/callhome/index.html":
Trên Sophos truy cập vào phần Log viewer và lọc chọn Advanced threat protection:
Có thể xem thông tin chi tiết bằng cách đưa chuột vào phần thông tin:
Chúc các bạn thành công :">
Tính năng ATP giúp phân tích lưu lượng truy cập mạng đến và đi (ví dụ: yêu cầu DNS, yêu cầu HTTP và gói IP) để phát hiện các mối đe dọa. Nó cho phép phát hiện các thiết bị đầu cuối bị xâm nhập trong mạng của mình và đưa ra cảnh báo hoặc loại bỏ lưu lượng truy cập từ các thiết bị này.
Bước 1: Để bật tính năng ATP trên Sophos ta truy cập vào GUI thiết bị, vào phần PROTECT > Advanced protection sau đó Enable tính năng lên:
Bước 2: Để tùy chỉnh việc ghi log hành động chọn Change log settings, phần Policy sổ chọn Log and drop để loại bỏ các kết nối vi phạm:
Bước 3: Có thể cấu hình các lớp mạng/ thiết bị bỏ qua việc quét ATP tại phần Network/Host Exceptions, chọn Add new item, nếu không có sẵn thì chọn Add để thêm mới Object:
Bước 4: Còn để cấu hình các tên miền domain/ địa chỉ IP đích muốn bỏ qua việc quét ATP, điền thông tin vào phần Threat exceptions và chọn dấu +:
Bước 5: Ở mục Settings có thể lựa chọn 2 option, Inspect untrusted content nghĩa là chỉ quét các content không tin cậy còn Inspect all content sẽ quét toàn bộ nội dung (tăng performance thiết bị), sau đó chọn Apply để lưu thông tin cấu hình:
Bước 6: Sử dụng máy tính local kết nối đến Sophos truy cập đường dẫn "http://sophostest.com/callhome/index.html":
Trên Sophos truy cập vào phần Log viewer và lọc chọn Advanced threat protection:
Có thể xem thông tin chi tiết bằng cách đưa chuột vào phần thông tin:
Chúc các bạn thành công :">