Sophos [LAB 13] Cấu hình tính năng Zero-day Protection trên Sophos XGS

HanaLink

Internship/Fresher
Mar 11, 2022
95
12
8
24
Ho Chi Minh City
Trong bài viết này mình sẽ hướng dẫn cấu hình tính năng Zero-day Protection trên Sophos Firewall dùng để kiếm soát các tập tin độc hại khi người dùng truy cập Web.

1702018202388.png


Bước 1: Truy cập GUI của Sophos, vào phần PROTECT > Rules and Policies > Firewall Rules > Add firewall rule > New firewall rule:
1702018916082.png


Bước 2: Tạo rule cho traffic từ máy tính truy cập được Internet, ví dụ như cho phép lớp mạng LAN đến mạng WAN như sau:
1702019429202.png


Bước 3: Ở phần Security features > Web filtering, tích chọn các mục Block QUIC protocol, Scan HTTP and decrypted HTTPSUse zero-day protection, sau đó chọn Save để lưu cấu hình:
1702019640919.png


Bước 4: Trên máy người dùng truy cập đường dẫn và chọn đường dẫn phù hợp với hệ điều hành, với Window thì chọn như hình (để test được tính năng này của Sophos hãy đảm bảo các bạn đã tắt tính năng Window Defense, các phần mềm Anti virus và tính năng Security của trình duyệt web):
1702020203417.png


Bước 5: Kiểm tra log trên Sophos bằng cách vào phần MONITOR & ANALYZE > Zero-day protection > Download and attachments:
1702020792163.png

Để xem chi tiết cũng như report thì sổ chọn View report:
1702020840554.png


Tại đây chúng ta có thể xem được báo cáo về các thông tin:
  • Thông tin tệp tải xuống (Download details): Ví dụ: nguồn, thời gian tải xuống và người dùng đã tải xuống tệp.
  • Tổng hợp đánh giá về tệp tải xuống (Analysis summary): Hiển thị kết quả tổng thể của việc phân tích Zero-day protection của tệp. Phân tích và đưa đến phân loại các tệp là sạch, có thể sạch, đáng ngờ, độc hại hoặc Ứng dụng tiềm ẩn không mong muốn (PUA). Bạn cũng có thể xem tổng quan.
  • Phân tích học máy (Machine learning analysis): Hiển thị kết quả Machine Learning tổng thể, phân tích tính năng tệp, phân tích tính năng và cấu trúc tệp.
  • Phân tích danh tiếng (Reputation analysis): Kết quả phân tích này dựa trên mức độ phổ biến của tệp.
  • Kết quả mô phỏng bảo vệ zero-day (Zero-day protection detonation results): Hiển thị các hoạt động mà tệp thực hiện, ảnh chụp màn hình của tệp đang chạy trong chế độ bảo vệ Zero-day, chi tiết về các quy trình mà tệp sử dụng và hoạt động đăng ký được tạo.
  • Phân tích tập tin đầy đủ (Full file analysis): Hiển thị đầy đủ chi tiết của tập tin. Phần này chứa thông tin chi tiết về chữ ký tệp và mọi chứng chỉ được sử dụng, tài nguyên được sử dụng, quá trình nhập được thực hiện, chẳng hạn như DLL được sử dụng và bất kỳ chức năng xuất nào.
  • Báo cáo VirusTotal (VirusTotal report): Hiển thị số lượng báo cáo về mối đe dọa cụ thể hiện được hiển thị trong cơ sở dữ liệu VirusTotal và số lượng sản phẩm phát hiện phần mềm độc hại hiện đang phát hiện tệp.
1702022971481.png

1702022994889.png

1702023029169.png


Chúc các bạn thành công :">
 

Attachments

  • 1702019755423.png
    1702019755423.png
    342.6 KB · Views: 0
  • 1702020000150.png
    1702020000150.png
    489.6 KB · Views: 0
  • 1702020909273.png
    1702020909273.png
    388.5 KB · Views: 0
  • 1702020928300.png
    1702020928300.png
    365.1 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu