Trong bài viết này mình sẽ hướng dẫn cấu hình tính năng Zero-day Protection trên Sophos Firewall dùng để kiếm soát các tập tin độc hại khi người dùng truy cập Web.
Bước 1: Truy cập GUI của Sophos, vào phần PROTECT > Rules and Policies > Firewall Rules > Add firewall rule > New firewall rule:
Bước 2: Tạo rule cho traffic từ máy tính truy cập được Internet, ví dụ như cho phép lớp mạng LAN đến mạng WAN như sau:
Bước 3: Ở phần Security features > Web filtering, tích chọn các mục Block QUIC protocol, Scan HTTP and decrypted HTTPS và Use zero-day protection, sau đó chọn Save để lưu cấu hình:
Bước 4: Trên máy người dùng truy cập đường dẫn
và chọn đường dẫn phù hợp với hệ điều hành, với Window thì chọn như hình (để test được tính năng này của Sophos hãy đảm bảo các bạn đã tắt tính năng Window Defense, các phần mềm Anti virus và tính năng Security của trình duyệt web):
Bước 5: Kiểm tra log trên Sophos bằng cách vào phần MONITOR & ANALYZE > Zero-day protection > Download and attachments:
Để xem chi tiết cũng như report thì sổ chọn View report:
Tại đây chúng ta có thể xem được báo cáo về các thông tin:
Chúc các bạn thành công :">
Bước 1: Truy cập GUI của Sophos, vào phần PROTECT > Rules and Policies > Firewall Rules > Add firewall rule > New firewall rule:
Bước 2: Tạo rule cho traffic từ máy tính truy cập được Internet, ví dụ như cho phép lớp mạng LAN đến mạng WAN như sau:
Bước 3: Ở phần Security features > Web filtering, tích chọn các mục Block QUIC protocol, Scan HTTP and decrypted HTTPS và Use zero-day protection, sau đó chọn Save để lưu cấu hình:
Bước 4: Trên máy người dùng truy cập đường dẫn
Test a Sample Malware File
docs.paloaltonetworks.com
Bước 5: Kiểm tra log trên Sophos bằng cách vào phần MONITOR & ANALYZE > Zero-day protection > Download and attachments:
Để xem chi tiết cũng như report thì sổ chọn View report:
Tại đây chúng ta có thể xem được báo cáo về các thông tin:
- Thông tin tệp tải xuống (Download details): Ví dụ: nguồn, thời gian tải xuống và người dùng đã tải xuống tệp.
- Tổng hợp đánh giá về tệp tải xuống (Analysis summary): Hiển thị kết quả tổng thể của việc phân tích Zero-day protection của tệp. Phân tích và đưa đến phân loại các tệp là sạch, có thể sạch, đáng ngờ, độc hại hoặc Ứng dụng tiềm ẩn không mong muốn (PUA). Bạn cũng có thể xem tổng quan.
- Phân tích học máy (Machine learning analysis): Hiển thị kết quả Machine Learning tổng thể, phân tích tính năng tệp, phân tích tính năng và cấu trúc tệp.
- Phân tích danh tiếng (Reputation analysis): Kết quả phân tích này dựa trên mức độ phổ biến của tệp.
- Kết quả mô phỏng bảo vệ zero-day (Zero-day protection detonation results): Hiển thị các hoạt động mà tệp thực hiện, ảnh chụp màn hình của tệp đang chạy trong chế độ bảo vệ Zero-day, chi tiết về các quy trình mà tệp sử dụng và hoạt động đăng ký được tạo.
- Phân tích tập tin đầy đủ (Full file analysis): Hiển thị đầy đủ chi tiết của tập tin. Phần này chứa thông tin chi tiết về chữ ký tệp và mọi chứng chỉ được sử dụng, tài nguyên được sử dụng, quá trình nhập được thực hiện, chẳng hạn như DLL được sử dụng và bất kỳ chức năng xuất nào.
- Báo cáo VirusTotal (VirusTotal report): Hiển thị số lượng báo cáo về mối đe dọa cụ thể hiện được hiển thị trong cơ sở dữ liệu VirusTotal và số lượng sản phẩm phát hiện phần mềm độc hại hiện đang phát hiện tệp.
Chúc các bạn thành công :">
Attachments
Last edited: