សុវត្ថិភាពបណ្តាញវិភាគ និង Cisco XDR
សេចក្តីផ្តើម
ជាងview
មគ្គុទ្ទេសក៍នេះផ្តល់ការណែនាំសម្រាប់កំណត់រចនាសម្ព័ន្ធការរួមបញ្ចូលនៃ Cisco Secure Network Analytics ជាមួយ Cisco XDR ។ Cisco XDR គឺជាដំណោះស្រាយដែលមានមូលដ្ឋានលើពពក ដែលត្រូវបានរចនាឡើងដើម្បីសម្រួលប្រតិបត្តិការសុវត្ថិភាព និងផ្តល់សិទ្ធិអំណាចដល់ក្រុមសន្តិសុខក្នុងការស្វែងរក កំណត់អាទិភាព និងឆ្លើយតបទៅនឹងការគំរាមកំហែងដ៏ទំនើបបំផុត។ វាកាត់បន្ថយភាពវិជ្ជមានមិនពិត និងបង្កើនការរកឃើញការគំរាមកំហែង ការឆ្លើយតប និងសមត្ថភាពកោសល្យវិច្ច័យតាមរយៈការកំណត់អាទិភាពច្បាស់លាស់នៃការជូនដំណឹង និងផ្តល់នូវផ្លូវខ្លីបំផុតពីការរកឃើញទៅ
ការឆ្លើយតប។
ការរួមបញ្ចូលនេះអនុញ្ញាតឱ្យអ្នកធ្វើដូចខាងក្រោមៈ
- ផ្ញើការជូនដំណឹងនិងការជូនដំណឹងផ្នែកសុវត្ថិភាពវិភាគបណ្ដាញសុវត្ថិភាពទៅ Cisco XDR។
- អនុញ្ញាតឱ្យ Cisco XDR ស្នើសុំព្រឹត្តិការណ៍សុវត្ថិភាពកំពូលពី Secure Network Analytics ដើម្បីបង្កើនបរិបទស៊ើបអង្កេតនៅក្នុង Cisco XDR Threat Response workflows។
- ប្រើក្បឿងវិភាគបណ្តាញសុវត្ថិភាពនៅលើផ្ទាំងគ្រប់គ្រង Cisco XDR ដើម្បីតាមដានរង្វាស់ប្រតិបត្តិការសំខាន់ៗ ដូចជាម៉ាស៊ីនរោទិ៍កំពូល ការជូនដំណឹងកំពូលតាមចំនួន ខាងលើខាងក្នុង
- រៀបចំក្រុមតាមចរាចរណ៍ និងច្រើនទៀត។
ទស្សនិកជន
ទស្សនិកជនដែលមានបំណងសម្រាប់ការណែនាំនេះរួមមានអ្នកគ្រប់គ្រងបណ្តាញ និងបុគ្គលិកផ្សេងទៀតដែលទទួលខុសត្រូវក្នុងការកំណត់រចនាសម្ព័ន្ធផលិតផលវិភាគបណ្តាញសុវត្ថិភាព។
ប្រើការណែនាំនេះលុះត្រាតែអ្នកមាន Secure Network Analytics v7.5.3 និង Cisco XDR។
ការអនុវត្តល្អបំផុត
មុនពេលអ្នកចាប់ផ្តើមការកំណត់រចនាសម្ព័ន្ធឡើងវិញview ការណែនាំ ដូច្នេះអ្នកយល់អំពីផែនការ ពេលវេលា និងតម្រូវការសម្រាប់កំណត់រចនាសម្ព័ន្ធឧបករណ៍របស់អ្នក។
នីតិវិធីមានដូចខាងក្រោម៖
- ការចុះឈ្មោះអ្នកគ្រប់គ្រងរបស់អ្នកនៅក្នុង Cisco Security Cloud Control (ពីមុន Cisco Security Service Exchange)
- ការបញ្ជាក់កម្រិតនៃភាពធ្ងន់ធ្ងរសម្រាប់ការជូនដំណឹង
- ការកំណត់រចនាសម្ព័ន្ធគោលការណ៍សម្រាប់ការជូនដំណឹង
- កំណត់រចនាសម្ព័ន្ធការវិភាគបណ្តាញសុវត្ថិភាពដើម្បីផ្ញើទិន្នន័យ
- កំណត់រចនាសម្ព័ន្ធការរួមបញ្ចូលនៅក្នុង Cisco XDR
តម្រូវការ
ការណែនាំនៅក្នុងការណែនាំនេះតម្រូវឱ្យអ្នកមានសិទ្ធិចូលប្រើ Secure Network Analytics v7.5.3 និង Cisco XDR ។ ការមានអាជ្ញាប័ណ្ណផ្តល់ព័ត៌មានគំរាមកំហែងជាមួយនឹងការវិភាគបណ្តាញសុវត្ថិភាព និងការចុះឈ្មោះសម្រាប់ Cisco XDR ក៏ជាតម្រូវការផងដែរ។
បិទ Webទំពក់
ប្រសិនបើអ្នកបានដំឡើងកំណែទៅ Secure Network Analytics v7.5.3 ពី 7.4.2 ឬ 7.5.0 ហើយអ្នកបានបើកការផ្សព្វផ្សាយទិន្នន័យសំឡេងរោទិ៍ជាក់លាក់ទៅ Cisco XDR ដោយប្រើ webhook បញ្ជាក់ថាវាត្រូវបានបិទ មុនពេលអ្នកចាប់ផ្តើមការកំណត់រចនាសម្ព័ន្ធសម្រាប់ v7.5.3។
ដើម្បីបិទ ក webទំពក់, ធ្វើដូចខាងក្រោម:
- ពីម៉ឺនុយរុករក សូមជ្រើសរើស កំណត់រចនាសម្ព័ន្ធ > ការរកឃើញ > ការគ្រប់គ្រងការឆ្លើយតប។
- នៅលើទំព័រគ្រប់គ្រងការឆ្លើយតប សូមជ្រើសរើសផ្ទាំងសកម្មភាព។
- កំណត់ទីតាំងដែលត្រូវការ webសកម្មភាពទំពក់ដែលត្រូវបានបង្កើតឡើងដើម្បីចូលប្រើ Cisco XDR ។
- បិទបើកវាលដែលបានបើក។
ស៊ីស្កូ XDR
ត្រូវប្រាកដថាអ្នកបានចុះឈ្មោះសម្រាប់ Cisco XDR មុនពេលអ្នកចាប់ផ្តើមនីតិវិធីនៅក្នុងការណែនាំនេះ។ ដើម្បីបញ្ជាក់ថាអ្នកបានចុះឈ្មោះសម្រាប់ Cisco XDR សូមទាក់ទងដៃគូ Cisco របស់អ្នក។ សម្រាប់ព័ត៌មានបន្ថែមអំពី Cisco XDR សូមចូលទៅកាន់ មជ្ឈមណ្ឌលជំនួយ Cisco XDR.
Cisco Security Cloud Control (អតីត Cisco Security Service Exchange)
ជាផ្នែកមួយនៃការរួមបញ្ចូលនេះ ឧបករណ៍របស់អ្នកចាំបាច់ត្រូវចុះឈ្មោះនៅក្នុង Cisco Security Cloud Control (ពីមុន Cisco Security Service Exchange)។ ការចុះឈ្មោះឧបករណ៍ផ្តល់នូវការអនុញ្ញាត Cisco XDR ដើម្បីចូលប្រើវា។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើល 1. ការចុះឈ្មោះអ្នកគ្រប់គ្រងរបស់អ្នកនៅក្នុង Cisco Security Cloud Control (ពីមុន Cisco Security Service Exchange)។
អាជ្ញាប័ណ្ណចំណីគំរាមកំហែង
ត្រូវប្រាកដថាអ្នកបានដំឡើងអាជ្ញាបណ្ណការគំរាមកំហែងរបស់អ្នក ព្រោះវាតម្រូវឱ្យបើកដំណើរការ Bot Infected Host - ការជូនដំណឹងអំពីសកម្មភាព C&C ជោគជ័យ។
អាជ្ញាប័ណ្ណ
បន្ថែមអាជ្ញាបណ្ណការគំរាមកំហែងដល់គណនី Cisco Smart របស់អ្នក។ សម្រាប់ការណែនាំ សូមមើល មគ្គុទ្ទេសក៍អាជ្ញាប័ណ្ណកម្មវិធីឆ្លាតវៃ ការវិភាគបណ្តាញសុវត្ថិភាព.
ការបើកដំណើរការ
ដើម្បីបើកដំណើរការព័ត៌មាននៅក្នុងការគ្រប់គ្រងកណ្តាល សូមអនុវត្តតាមការណែនាំនៅក្នុងជំនួយ។ សូមចំណាំថាអ្នកនឹងកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ DNS និងជញ្ជាំងភ្លើងជាផ្នែកនៃការណែនាំ។ ដូចគ្នានេះផងដែរ ប្រសិនបើអ្នកមានការកំណត់រចនាសម្ព័ន្ធបរាជ័យ អ្នកត្រូវបើកដំណើរការ Threat Feed នៅលើអ្នកគ្រប់គ្រងចម្បង និងអ្នកគ្រប់គ្រងបន្ទាប់បន្សំរបស់អ្នក។
- ចូលទៅអ្នកគ្រប់គ្រងចម្បងរបស់អ្នក។
- ជ្រើសរើស កំណត់រចនាសម្ព័ន្ធ > សកល > ការគ្រប់គ្រងកណ្តាល។
- ចុចលើ
រូបតំណាង (អ្នកប្រើប្រាស់) ។ ជ្រើសរើសជំនួយ។ - ជ្រើសរើសការកំណត់រចនាសម្ព័ន្ធឧបករណ៍ > មតិព័ត៌មានគំរាមកំហែង។
ដែន
Cisco XDR មិនគាំទ្រដែនវិភាគបណ្តាញសុវត្ថិភាពច្រើនទេ។ អ្នកនឹងជ្រើសរើសដែនដែលនឹងត្រូវបានប្រើក្នុងការរួមបញ្ចូលគ្នានេះ។
ការចុះឈ្មោះអ្នកគ្រប់គ្រងរបស់អ្នកនៅក្នុង Cisco Security Cloud Control (ពីមុន Cisco Security Service Exchange)
Cisco Security Cloud Control (អតីត Cisco Security Service Exchange) មានសម្រាប់អ្នកគ្រប់គ្រងរបស់អ្នកនៅក្នុង Central Management។ ការចុះឈ្មោះអ្នកគ្រប់គ្រងរបស់អ្នកនៅក្នុង Cisco Security Cloud Control នឹងអនុញ្ញាតឱ្យ Cisco XDR ទាញយកទិន្នន័យបន្ថែមដូចជា Security Events ពីអ្នកគ្រប់គ្រងរបស់អ្នក ដើម្បីបញ្ចូលទៅក្នុងដំណើរការស៊ើបអង្កេត និងទាញយកផ្ទាំង Secure Network Analytics សម្រាប់ Cisco XDR dashboard។ វាក៏នឹងអនុញ្ញាតឱ្យ Secure Network Analytics ផ្ញើការជូនដំណឹងសុវត្ថិភាពទៅកាន់ Cisco XDR ផងដែរ។ សម្រាប់ព័ត៌មានលម្អិត សូមមើល Secure Network Analytics Enrichment Data សម្រាប់ Cisco XDR និង Secure Network Analytics Tiles សម្រាប់ Cisco XDR dashboard ផ្នែក។
- Cisco Security Cloud Control ត្រូវបានបើកតាមលំនាំដើម។
- ប្រសិនបើអ្នកប្រើការចុះឈ្មោះដោយស្វ័យប្រវត្តិ អ្នកនឹងត្រូវភ្ជាប់គណនី Cisco Security Cloud Control របស់អ្នក និងគណនី Smart Licensing របស់អ្នក។
តម្រូវការសម្រាប់ការជ្រើសរើសពពកក្នុងតំបន់
ជាផ្នែកនៃនីតិវិធីនេះ អ្នកនឹងជ្រើសរើសពពកក្នុងតំបន់។
- នៅពេលដែលអាចធ្វើទៅបាន សូមប្រើពពកក្នុងតំបន់ដែលនៅជិតបំផុតទៅនឹងការដាក់ឱ្យប្រើប្រាស់ការវិភាគបណ្តាញសុវត្ថិភាពរបស់អ្នក។
- ទិន្នន័យក្នុងពពកផ្សេងគ្នាមិនអាចត្រូវបានរួមបញ្ចូល ឬបញ្ចូលគ្នាបានទេ។
- ប្រសិនបើអ្នកត្រូវការប្រមូលផ្តុំទិន្នន័យពីតំបន់ជាច្រើន ឧបករណ៍នៅក្នុងតំបន់ទាំងអស់ត្រូវតែបញ្ជូនទិន្នន័យទៅកាន់ពពកក្នុងតំបន់ដូចគ្នា។ បញ្ជាក់អ្នកគ្រប់គ្រងរបស់អ្នកបានភ្ជាប់ទៅ Cisco clouds ខាងក្រៅ Cisco XDR Private
Intelligence API និងវិបផតថល Cisco XDR Analytics ក្នុងតំបន់៖
- ពពកអាមេរិកខាងជើង៖
- api-sse.cisco.com, ច្រក 443
- sensor.ext.obsrvbl.com, ច្រក 443
- ពពកសហភាពអឺរ៉ុប៖
- api.eu.sse.itd.cisco.com, ច្រក 443
- sensor.eu-prod.obsrvbl.com, ច្រក 443
- o ពពកអាស៊ី (APJC)៖
- api.apj.sse.itd.cisco.com, ច្រក 443
- sensor.anz-prod.obsrvbl.com, ច្រក 443
ការចុះឈ្មោះឧបករណ៍
អនុវត្តតាមការណែនាំដោយផ្អែកលើការកំណត់របស់អ្នក។
- ប្រសិនបើអ្នកគ្រប់គ្រងរបស់អ្នកបានចុះឈ្មោះនៅក្នុង Cisco Smart Software Licensing សូមចូលទៅកាន់ ចុះឈ្មោះឧបករណ៍ដោយស្វ័យប្រវត្តិ
- ប្រសិនបើអ្នកគ្រប់គ្រងរបស់អ្នកស្ថិតនៅក្នុងរបៀបវាយតម្លៃអាជ្ញាប័ណ្ណកម្មវិធី Cisco Smart សូមចូលទៅកាន់ការចុះឈ្មោះឧបករណ៍ដោយដៃ
ចុះឈ្មោះឧបករណ៍ដោយស្វ័យប្រវត្តិ
អ្នកគ្រប់គ្រងរបស់អ្នកនឹងចុះឈ្មោះដោយស្វ័យប្រវត្តិនៅក្នុង Cisco Security Cloud Control ប្រសិនបើលក្ខខណ្ឌខាងក្រោមត្រូវបានបំពេញ៖
- ជម្រើស Cisco Security Cloud Control ត្រូវបានបើកសម្រាប់អ្នកគ្រប់គ្រងរបស់អ្នកនៅក្រោមសេវាកម្មខាងក្រៅ។
- អ្នកគ្រប់គ្រងរបស់អ្នកមិនទាន់បានចុះឈ្មោះនៅក្នុង Cisco Security Cloud Control នៅឡើយទេ។
- អ្នកគ្រប់គ្រងរបស់អ្នកត្រូវបានចុះឈ្មោះជាមួយ Cisco Smart Software Licensing ។ ដើម្បីពិនិត្យមើលស្ថានភាពចុះឈ្មោះរបស់អ្នក សូមចូលទៅកាន់ កំណត់រចនាសម្ព័ន្ធ > សកល > ការគ្រប់គ្រងកណ្តាល > អាជ្ញាប័ណ្ណឆ្លាតវៃ។
សម្រាប់ព័ត៌មានបន្ថែម សូមមើល មគ្គុទ្ទេសក៍អាជ្ញាប័ណ្ណកម្មវិធីឆ្លាតវៃ ការវិភាគបណ្តាញសុវត្ថិភាព.
ដើម្បីបើក ឬបិទ Cisco Security Cloud Control សូមបំពេញជំហានខាងក្រោម៖
- ចូលទៅអ្នកគ្រប់គ្រងរបស់អ្នក។
- ជ្រើសរើស កំណត់រចនាសម្ព័ន្ធ > សកល > ការគ្រប់គ្រងកណ្តាល។
- ចុចរូបតំណាង (ពងក្រពើ) នៅក្រោមជួរឈរសកម្មភាពសម្រាប់អ្នកគ្រប់គ្រងរបស់អ្នក បន្ទាប់មកចុចកែសម្រួលការកំណត់រចនាសម្ព័ន្ធឧបករណ៍។
- ចុច ទូទៅ។
- នៅក្រោមសេវាកម្មខាងក្រៅ ធីកប្រអប់ធីក Cisco Security Cloud Control ដើម្បីបើកការចុះឈ្មោះដោយស្វ័យប្រវត្តិ។
- ចុចអនុវត្តការកំណត់។
ប្រសិនបើអ្នកបានបើកដំណើរការ Cisco Security Cloud Control សូមបន្តទៅជំហានទី 7 ដើម្បីចុះឈ្មោះឧបករណ៍របស់អ្នក។ - ត្រឡប់ទៅផ្ទាំងគ្រប់គ្រងការយល់ដឹងអំពីសុវត្ថិភាព។
- ជ្រើសរើស Configure > Integrations > Cisco XDR។
- នៅក្នុងផ្នែក ចុះឈ្មោះឧបករណ៍ សូមចុច New Device Registration។
- នៅក្នុងប្រអប់ដែលបើក សូមជ្រើសរើសតំបន់ពពកដែលត្រូវគ្នានឹងពពកក្នុងតំបន់ Cisco XDR របស់អ្នក។
- ជ្រើសរើសចុះឈ្មោះដោយស្វ័យប្រវត្តិ។
- ចុចរក្សាទុក។
ប្រសិនបើអាចធ្វើទៅបាន សូមប្រើពពកក្នុងតំបន់ដែលនៅជិតបំផុតជាមួយអ្នកគ្រប់គ្រងការវិភាគបណ្តាញសុវត្ថិភាពចម្បងរបស់អ្នក។
ចុះឈ្មោះឧបករណ៍ដោយដៃ
ដើម្បីចុះឈ្មោះអ្នកគ្រប់គ្រងរបស់អ្នកដោយដៃនៅក្នុង Cisco Security Cloud Control សូមបំពេញជំហានខាងក្រោម៖
- ចូលទៅកម្មវិធីគ្រប់គ្រងបណ្តាញវិភាគសុវត្ថិភាពរបស់អ្នក។
- ពីម៉ឺនុយរុករក សូមជ្រើសរើស កំណត់រចនាសម្ព័ន្ធ > ការរួមបញ្ចូល > Cisco XDR ។
- នៅក្នុងផ្នែក ចុះឈ្មោះឧបករណ៍ សូមចុច New Device Registration។
- ជ្រើសរើសចុះឈ្មោះដោយប្រើសញ្ញាសម្គាល់ឧបករណ៍។
- ចុចលើតំណ Cisco Security Cloud Control Portal ដើម្បីយកទៅក្នុងវិបផតថល។
- ជ្រើសរើសផ្ទាំងសេវាកម្ម Cloud ហើយបើក Cisco XDR។
- ជ្រើសរើសផ្ទាំង Devices ហើយចុច Generate Token។
- បញ្ជាក់ចំនួនឧបករណ៍ និងរយៈពេលផុតកំណត់នៃសញ្ញាសម្ងាត់ (លំនាំដើមគឺ 1 ម៉ោង) ហើយចុច បន្ត។
- ចម្លងសញ្ញាសម្ងាត់ដែលបានបង្កើត (ចុចចម្លងទៅក្ដារតម្បៀតខ្ទាស់ ឬរក្សាទុកទៅ File) ហើយចុច Close ដើម្បីចេញពីប្រអប់។
- បញ្ជាក់ថាឧបករណ៍ត្រូវបានបង្កើតនៅលើទំព័រឧបករណ៍។ ថូខឹនថ្មី និងមិនបានប្រើបង្ហាញនៅក្នុងបញ្ជីឧបករណ៍ជាឧបករណ៍ថ្មីដែលមានលេខចៃដន្យ។
- ត្រឡប់ទៅផ្នែកចុះឈ្មោះឧបករណ៍។
- នៅក្នុងប្រអប់ដែលបើក សូមជ្រើសរើសតំបន់ពពកដែលត្រូវគ្នានឹងពពកក្នុងតំបន់ Cisco XDR របស់អ្នក ហើយបញ្ចូលនិមិត្តសញ្ញាឧបករណ៍ដែលបានបង្កើត និងរក្សាទុកក្នុងជំហានទី 9 ហើយចុច រក្សាទុក។
- ឧបករណ៍នេះនឹងត្រូវបានចុះឈ្មោះនៅក្នុង Cisco Security Cloud Control ហើយស្ថានភាពនឹងបង្ហាញជាចុះឈ្មោះ។
- ផ្ទៀងផ្ទាត់ស្ថានភាពឧបករណ៍នៅក្នុងវិបផតថល Cisco Security Cloud Control។ ស្ថានភាពរបស់ឧបករណ៍គួរតែបង្ហាញជាបានចុះឈ្មោះ។
ការបញ្ជាក់កម្រិតនៃភាពធ្ងន់ធ្ងរសម្រាប់ការជូនដំណឹង
ការជូនដំណឹងគឺជាការជូនដំណឹងអំពីសកម្មភាពបណ្តាញមិនធម្មតាដែលបំពេញ ឬលើសពីសំណុំលក្ខណៈវិនិច្ឆ័យដែលបានកំណត់ដែលបង្ហាញពីអាកប្បកិរិយាមិនអាចទទួលយកបាននៅលើបណ្តាញរបស់អ្នក។ មានតែសំឡេងរោទិ៍បីខាងក្រោមប៉ុណ្ណោះដែលបង្កើតទិន្នន័យដើម្បីផ្ញើទៅកាន់ Cisco XDR៖
- Bot Infected Host - សកម្មភាព C&C ជោគជ័យ
- សង្ស័យស្តុកទុកទិន្នន័យ
- សង្ស័យការបាត់បង់ទិន្នន័យ
ខណៈពេលដែលការជូនដំណឹងទាំងនេះជាធម្មតាកំណត់លំនាំដើមទៅកម្រិតនៃភាពធ្ងន់ធ្ងរនៃ Major សូមប្រាកដថាដើម្បីបញ្ជាក់កម្រិតនៃភាពធ្ងន់ធ្ងរគឺ Critical ឬ Major សម្រាប់នីមួយៗ។ ប្រសិនបើសំឡេងរោទិ៍មិនមានភាពធ្ងន់ធ្ងរនៃ Critical ឬ Major នោះទិន្នន័យរបស់វានឹងមិនត្រូវបានបញ្ជូនទៅ Cisco XDR ទេ។ តារាងខាងក្រោមផ្តល់ព័ត៌មានអំពីកម្រិតនៃភាពធ្ងន់ធ្ងរនៃការជូនដំណឹងសំខាន់ និងសំខាន់
កំណត់ ឬបញ្ជាក់ភាពធ្ងន់ធ្ងរនៃការជូនដំណឹងសម្រាប់ការជូនដំណឹងនីមួយៗ
ដើម្បីកំណត់រចនាសម្ព័ន្ធ ឬបញ្ជាក់ថាភាពធ្ងន់ធ្ងរនៃការជូនដំណឹងសម្រាប់រាល់ការជូនដំណឹងទាំងបីត្រូវបានកំណត់ទៅ
វិចារណកថា ឬ មេ ធ្វើដូចខាងក្រោមៈ
- ពីម៉ឺនុយមេ ជ្រើសរើស កំណត់រចនាសម្ព័ន្ធ > ការរកឃើញ > ភាពធ្ងន់ធ្ងរនៃការជូនដំណឹង។
- នៅពេលដែលទំព័រភាពធ្ងន់ធ្ងរនៃការជូនដំណឹងបង្ហាញ កំណត់ទីតាំងការជូនដំណឹងដំបូង មេមេរោគ Bot - សកម្មភាព C&C ជោគជ័យ។
អាជ្ញាបណ្ណការគំរាមកំហែងត្រូវបានទាមទារដើម្បីបើកដំណើរការ Bot Infected Host – ការជូនដំណឹងសកម្មភាព C&C ជោគជ័យ។ សូមមើលអាជ្ញាប័ណ្ណចំណីគំរាមកំហែងសម្រាប់ព័ត៌មានបន្ថែម។
Review ព័ត៌មានបន្ថែមអំពីសំឡេងរោទិ៍
តារាងខាងក្រោមផ្តល់នូវព័ត៌មានលម្អិតបន្ថែមអំពីម៉ោងរោទិ៍ទាំងនេះ។
| សុវត្ថិភាពបណ្តាញវិភាគ | យុទ្ធសាស្ត្រ និងបច្ចេកទេសរបស់ MITER | |||||
| បង្ហាញ ឈ្មោះ | ព្រឹត្តិការណ៍ ID | ការពិពណ៌នាព្រឹត្តិការណ៍ | MITER
កលល្បិច |
កលល្បិច ID |
MITER បច្ចេកទេស |
បច្ចេកទេស ID |
|
Bot Infected Host - សកម្មភាព C&C ជោគជ័យ |
42 |
ម៉ាស៊ីនប្រភពបានទាក់ទងដោយជោគជ័យនូវម៉ាស៊ីនមេ C&C ដោយប្រើច្រកដែលកំណត់អត្តសញ្ញាណនៅក្នុង Command-
and-Control (C&C) server list. ការទំនាក់ទំនងមានពីរផ្លូវ ដែលបង្ហាញថាម៉ាស៊ីនមេ C&C បានឆ្លើយតប។ ម្ចាស់ផ្ទះខាងក្នុង ជាអ្នកផ្តួចផ្តើមប្រមូលពិន្ទុ Concern Index (CI)។ ប្រសិនបើម៉ាស៊ីនមេ C&C ដែលវាទាក់ទងក៏ជាម៉ាស៊ីនខាងក្នុងដែរ នោះម៉ាស៊ីនមេ C&C នោះប្រមូលផ្តុំពិន្ទុសន្ទស្សន៍គោលដៅ (TI) ។ |
ពាក្យបញ្ជា និងការគ្រប់គ្រង (C&C) |
TA0011 |
ពិធីការស្រទាប់កម្មវិធី |
T1071 |
|
សង្ស័យស្តុកទុកទិន្នន័យ |
315 |
ម៉ាស៊ីនប្រភពបានទាញយកចំនួនទិន្នន័យមិនធម្មតាពីម៉ាស៊ីនមួយ ឬច្រើន។ |
ការប្រមូល |
TA0009 |
ទិន្នន័យ Staged |
T107 |
| សុវត្ថិភាពបណ្តាញវិភាគ | យុទ្ធសាស្ត្រ និងបច្ចេកទេសរបស់ MITER | |||||
| បង្ហាញ ឈ្មោះ | ព្រឹត្តិការណ៍ ID | ការពិពណ៌នាព្រឹត្តិការណ៍ | MITER
កលល្បិច |
កលល្បិច ID |
MITER បច្ចេកទេស |
បច្ចេកទេស ID |
|
សង្ស័យការបាត់បង់ទិន្នន័យ |
40 |
នេះបង្ហាញថាម៉ាស៊ីនខាងក្នុងបានបង្ហោះចំនួនទិន្នន័យមិនប្រក្រតីទៅកាន់ម៉ាស៊ីនខាងក្រៅ។ |
ការបណ្តេញចេញ |
TA0010 |
ការចម្រាញ់ចេញពីប៉ុស្តិ៍ C2 |
T1041 |
ការកំណត់រចនាសម្ព័ន្ធគោលការណ៍សម្រាប់ការជូនដំណឹង
ដើម្បីកំណត់រចនាសម្ព័ន្ធ ឬបញ្ជាក់គោលការណ៍ជូនដំណឹងសម្រាប់ការជូនដំណឹងនីមួយៗនៃម៉ោងរោទិ៍ទាំងបី សូមធ្វើដូចខាងក្រោម៖
- ពីម៉ឺនុយមេ ជ្រើសរើស កំណត់រចនាសម្ព័ន្ធ> ការរកឃើញ> ការគ្រប់គ្រងគោលនយោបាយ
- នៅពេលដែលទំព័រគ្រប់គ្រងគោលនយោបាយបង្ហាញ សូមចុចផ្ទាំងព្រឹត្តិការណ៍ស្នូល។
- កំណត់ទីតាំងសំឡេងរោទិ៍ដំបូង ម៉ាស៊ីនឆ្លងមេរោគ Bot - សកម្មភាព C&C ជោគជ័យ។
- ជ្រើសរើស On + Alarm on When Host គឺជាជួរឈរប្រភពសម្រាប់គោលការណ៍នីមួយៗ។
- ជ្រើសរើស បើក + សំឡេងរោទិ៍ នៅពេលម៉ាស៊ីនគឺជាជួរឈរគោលដៅសម្រាប់គោលការណ៍នីមួយៗ
- ធ្វើជំហានទី 3 ដល់ទី 5 ម្តងទៀតសម្រាប់ការជូនដំណឹងពីរផ្សេងទៀត។
- ចុចរក្សាទុក។
កំណត់រចនាសម្ព័ន្ធការវិភាគបណ្តាញសុវត្ថិភាពដើម្បីផ្ញើទិន្នន័យ
- ចូលទៅកម្មវិធីគ្រប់គ្រងបណ្តាញវិភាគសុវត្ថិភាពរបស់អ្នក។
- ពីម៉ឺនុយរុករក សូមជ្រើសរើស កំណត់រចនាសម្ព័ន្ធ > ការរួមបញ្ចូល > Cisco XDR ។
- នៅលើផ្នែក Cisco XDR Configuration សូមចុច Add New Configuration។
- ជ្រើសរើស Domain ដែលនឹងត្រូវបានប្រើដើម្បីត្រឡប់ទិន្នន័យទៅ Cisco XDR ។
- បញ្ជាក់ជម្រើសនៃការរួមបញ្ចូល Cisco XDR ត្រូវបានធីក៖
- បើកការផ្ញើការរកឃើញសុវត្ថិភាពទៅ Cisco XDR
- បើកដំណើរការសំណើសេវាកម្មផ្ទាំងគ្រប់គ្រងផ្ទាំងគ្រប់គ្រង Cisco XDR
- បើកដំណើរការសំណើបង្កើនការស៊ើបអង្កេត Cisco XDR
- ជ្រើសរើសចំនួនព្រឹត្តិការណ៍សុវត្ថិភាពកំពូល។ ព្រឹត្តិការណ៍សុវត្ថិភាពទាំងនេះនឹងត្រូវបានបង្ហាញជាការមើលឃើញនៅក្នុងកុងសូលស៊ើបអង្កេត Cisco XDR ។
- ជ្រើសរើសរយៈពេល (ថ្ងៃ) ។
- ចុចរក្សាទុក។
- បញ្ជាក់ថាវាលស្ថានភាព API បង្ហាញការកំណត់រចនាសម្ព័ន្ធជាបានតភ្ជាប់។
កំណត់រចនាសម្ព័ន្ធការរួមបញ្ចូលនៅក្នុង Cisco XDR
- ចូលទៅ Cisco XDR ។
- នៅក្នុងម៉ឺនុយរុករក សូមជ្រើសរើស រដ្ឋបាល > ការរួមបញ្ចូល។
- នៅលើទំព័រសមាហរណកម្ម ចុចលើផ្ទាំង Cisco ហើយចូលទៅកាន់ការរួមបញ្ចូល Secure Network Analytics។
- ចុចចាប់ផ្តើម។ ទំព័ររួមបញ្ចូលការវិភាគបណ្តាញសុវត្ថិភាពត្រូវបានបង្ហាញ។
- ពង្រីកតំបន់មគ្គុទ្ទេសក៍សមាហរណកម្ម ហើយធ្វើតាមការណែនាំអំពីរបៀបបន្ថែមការរួមបញ្ចូលការវិភាគបណ្តាញសុវត្ថិភាពនៅក្នុង Cisco XDR ។ សម្រាប់ព័ត៌មានបន្ថែមសូមមើល ជំនួយ Cisco XDR.
- បន្ទាប់ពីអ្នកបានបញ្ចប់ការកំណត់រចនាសម្ព័ន្ធនៅក្នុង Cisco XDR សូមកំណត់រចនាសម្ព័ន្ធបន្ថែម និងក្រឡា។
- កំណត់រចនាសម្ព័ន្ធទិន្នន័យពង្រឹងការវិភាគបណ្តាញសុវត្ថិភាពសម្រាប់ Cisco XDR៖ ភាពវៃឆ្លាត
- កំណត់រចនាសម្ព័ន្ធក្រឡាវិភាគបណ្តាញសុវត្ថិភាពសម្រាប់ Cisco XDR៖ កំណត់រចនាសម្ព័ន្ធផ្ទាំងគ្រប់គ្រង និងក្រឡា
ទិន្នន័យពង្រឹងការវិភាគបណ្តាញសុវត្ថិភាពសម្រាប់ Cisco XDR
នៅពេលដែលអ្នកគ្រប់គ្រងរបស់អ្នកត្រូវបានចុះឈ្មោះជាមួយ Cisco Security Cloud Control និង Secure Network Analytics module ត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុង Cisco XDR នោះអ្នកនឹងអាចឃើញទិន្នន័យបន្ថែមពី Secure Network Analytics នៅក្នុង Cisco XDR ស៊ើបអង្កេតលំហូរការងារ។ សម្រាប់រាល់អាសយដ្ឋាន IP ដែលមានសុពលភាពដែលបានស្នើសុំនៅក្នុងការស៊ើបអង្កេតនោះ Secure Network Analytics នឹងត្រឡប់ព្រឹត្តិការណ៍សុវត្ថិភាពដែលភ្ជាប់ជាមួយ IP នេះក្នុងទម្រង់នៃការមើលឃើញ និងវត្ថុសូចនាករដែលត្រូវគ្នា។
អ្នកអាចកំណត់រចនាសម្ព័ន្ធប៉ារ៉ាម៉ែត្រខាងក្រោមសម្រាប់ព្រឹត្តិការណ៍សុវត្ថិភាពដែលបានត្រឡប់មកវិញនៅក្នុងទម្រង់កំណត់រចនាសម្ព័ន្ធ Cisco XDR៖
- ថាតើត្រូវអនុញ្ញាតសំណើស៊ើបអង្កេតពី Cisco XDR ដែរឬទេ។
- តើដែនវិភាគបណ្តាញសុវត្ថិភាពណាដែលត្រូវត្រឡប់ព្រឹត្តិការណ៍សុវត្ថិភាព។
- ចំនួនព្រឹត្តិការណ៍កំពូលដែលត្រូវផ្ញើ។
- តើរយៈពេលប៉ុន្មានដើម្បីត្រឡប់ព្រឹត្តិការណ៍សុវត្ថិភាព។
Secure Network Analytics Tiles សម្រាប់ Cisco XDR
ក្បឿងវិភាគបណ្តាញសុវត្ថិភាពខាងក្រោមមានសម្រាប់ផ្ទាំងគ្រប់គ្រង Cisco XDR៖
|
ឈ្មោះក្បឿង |
ការពិពណ៌នា |
ពេលវេលាដែលមាន |
ចំណុចទាញទៅ… |
|
កំពូលម៉ាស៊ីនរោទិ៍ |
ផ្ដល់ជូនកំពូលទាំង 7 នៅខាងក្នុងម៉ាស៊ីន តម្រៀបតាមកម្រិតសំឡេងរោទិ៍ ដែលសកម្មនៅលើបណ្តាញរបស់អ្នកចាប់តាំងពីម៉ោងកំណត់ឡើងវិញចុងក្រោយ។ |
24 ម៉ោងចុងក្រោយ |
របាយការណ៍ម្ចាស់ផ្ទះ |
|
ម្ចាស់ផ្ទះរោទិ៍តាមប្រភេទ |
កំពូលទាំង 7 នៅខាងក្នុងម៉ាស៊ីន តម្រៀបតាមកម្រិតសំឡេងរោទិ៍ ដែលសកម្មនៅលើបណ្តាញរបស់អ្នកចាប់តាំងពីម៉ោងកំណត់ឡើងវិញចុងក្រោយ។ |
24 ម៉ោងចុងក្រោយ |
ផ្ទាំងគ្រប់គ្រងសុវត្ថិភាពបណ្តាញ |
| ការជូនដំណឹងកំពូលតាមចំនួន | តំណាងឱ្យការជូនដំណឹងកំពូលទាំង 10 តាមចំនួន។ | 24 ម៉ោងចុងក្រោយ
7 ថ្ងៃចុងក្រោយ |
ផ្ទាំងគ្រប់គ្រងសុវត្ថិភាពបណ្តាញ |
|
ការវាយតម្លៃភាពមើលឃើញ |
ចំនួនម៉ាស៊ីននៅក្នុងប្រភេទវាយតម្លៃលទ្ធភាពមើលឃើញ រួមទាំងម៉ាស៊ីនស្កេនបណ្តាញខាងក្នុង ការបំពានការចូលប្រើពីចម្ងាយ មេរោគដែលអាចកើតមាន ម៉ាស៊ីនមេពិធីការដែលងាយរងគ្រោះ ហានិភ័យ DNS ។ |
24 ម៉ោងចុងក្រោយ 7 ថ្ងៃចុងក្រោយ |
ផ្ទាំងគ្រប់គ្រងការវាយតម្លៃភាពមើលឃើញ |
|
ភាពមើលឃើញបណ្តាញ |
ផ្តល់ស្ថិតិសម្រាប់ចំនួនម៉ាស៊ីន និងចំនួនចរាចរណ៍។ |
24 ម៉ោងចុងក្រោយ 7 ថ្ងៃចុងក្រោយ |
ផ្ទាំងគ្រប់គ្រងការវាយតម្លៃភាពមើលឃើញ |
|
ឈ្មោះក្បឿង |
ការពិពណ៌នា |
ពេលវេលាដែលមាន |
ចំណុចទាញទៅ… |
|
ក្រុមម្ចាស់ផ្ទះ Top Inside តាមចរាចរណ៍ |
ក្រុមម្ចាស់ផ្ទះខាងក្នុងកំពូលទាំង 10 ដោយចរាចរណ៍ទំនាក់ទំនងគ្នាទៅវិញទៅមក។ |
12 ម៉ោងចុងក្រោយ |
របាយការណ៍ក្រុមម្ចាស់ផ្ទះសម្រាប់ក្រុមម្ចាស់ផ្ទះខាងក្នុង |
|
ក្រុមម្ចាស់ផ្ទះខាងក្រៅកំពូលដោយចរាចរណ៍ |
ក្រុមម្ចាស់ផ្ទះខាងក្រៅកំពូលទាំង 10 តាមចរាចរណ៍ដែលទាក់ទងជាមួយ Inside Hosts Group ។ |
12 ម៉ោងចុងក្រោយ |
របាយការណ៍ក្រុមម្ចាស់ផ្ទះសម្រាប់ក្រុមម្ចាស់ផ្ទះខាងក្នុង |
ការផ្លាស់ប្តូរការរួមបញ្ចូល Cisco XDR
ដើម្បីកែសម្រួលការរួមបញ្ចូល Cisco XDR សូមធ្វើដូចខាងក្រោម៖
- ពីម៉ឺនុយរុករក សូមជ្រើសរើស កំណត់រចនាសម្ព័ន្ធ > ការរួមបញ្ចូល > Cisco XDR ។
- នៅលើទំព័រការកំណត់រចនាសម្ព័ន្ធ Cisco XDR សូមជ្រើសរើស Cisco XDR Configuration ។
- នៅលើវាល សកម្មភាព ចុចរូបតំណាង (ពងក្រពើ) ។
- ជ្រើសរើស កែសម្រួល។
ជាជម្រើស អ្នកអាចធ្វើឱ្យស្រស់ ឬលុបការកំណត់រចនាសម្ព័ន្ធ។ នៅលើផ្នែកចុះឈ្មោះឧបករណ៍ អ្នកអាចធ្វើឱ្យស្រស់ ឬលុបឧបករណ៍តែប៉ុណ្ណោះ។
ទំនាក់ទំនងផ្នែកគាំទ្រ
ប្រសិនបើអ្នកត្រូវការជំនួយផ្នែកបច្ចេកទេស សូមធ្វើមួយក្នុងចំណោមខាងក្រោម៖
- ទាក់ទងដៃគូ Cisco ក្នុងតំបន់របស់អ្នក។
- ទាក់ទងផ្នែកគាំទ្រ Cisco
- ដើម្បីបើកសំណុំរឿងដោយ web: http://www.cisco.com/c/en/us/support/index.html
- សម្រាប់ជំនួយទូរស័ព្ទ៖ ១-៨៦៦-៤៤៧-២១៩៤ (អាមេរិក)
- សម្រាប់លេខគាំទ្រទូទាំងពិភពលោក៖
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
ផ្លាស់ប្តូរប្រវត្តិ
| កំណែឯកសារ | កាលបរិច្ឆេទចេញផ្សាយ | ការពិពណ៌នា |
| 1_0 | ថ្ងៃទី ២១ ខែសីហា ឆ្នាំ ២០២២ | កំណែដំបូង។ |
ព័ត៌មានរក្សាសិទ្ធិ
Cisco និងនិមិត្តសញ្ញា Cisco គឺជាពាណិជ្ជសញ្ញា ឬពាណិជ្ជសញ្ញាដែលបានចុះបញ្ជីរបស់ Cisco និង/ឬសាខារបស់ខ្លួននៅក្នុងសហរដ្ឋអាមេរិក និងប្រទេសដទៃទៀត។ ទៅ view បញ្ជីនៃពាណិជ្ជសញ្ញា Cisco សូមចូលទៅកាន់នេះ។ URL: https://www.cisco.com/go/trademarks. ពាណិជ្ជសញ្ញាភាគីទីបីដែលបានលើកឡើងគឺជាទ្រព្យសម្បត្តិរបស់ម្ចាស់រៀងៗខ្លួន។ ការប្រើប្រាស់ពាក្យថាដៃគូរមិនមានន័យថាទំនាក់ទំនងភាពជាដៃគូរវាង Cisco និងក្រុមហ៊ុនណាមួយផ្សេងទៀតនោះទេ។ (1721R)
ឯកសារ/ធនធាន
 |
CISCO Secure Network Analytics និង Cisco XDR [pdf] ការណែនាំអ្នកប្រើប្រាស់ Secure Network Analytics និង Cisco XDR, Network Analytics និង Cisco XDR, Analytics និង Cisco XDR, Cisco XDR |