Ansichten:

Was ist der Alarmmodus?

Im Alarmmodus können Sie erkannte Bedrohungen überwachen, ohne den Datenverkehr zu sperren. Standardmäßig sperren und alarmieren die von TrendAI Vision One™ verwalteten Regelgruppen bei übereinstimmendem Datenverkehr. Bei aktiviertem Alarmmodus:
  • Der Datenverkehr wird überprüft und Warnungen werden generiert.
  • Kein Datenverkehr gesperrt.
  • Gleiche Kosten wie das Standardverhalten ($0.010/GB).
Verwenden Sie den Alarmmodus für erste Tests, und deaktivieren Sie dann den Alarmmodus für Regelgruppen, um übereinstimmenden Datenverkehr zu sperren.

Was ist die Zero Day Initiative (ZDI)?

ZDI ist das Sicherheitslücken-Forschungsprogramm von TrendAI™. ZDI entdeckt weltweit etwa 73 % der Schwachstellen und bietet Bedrohungsinformationen für Cloud-IPS-Signaturen.

Unterstützt Cloud IPS die TLS-Inspektion?

TLS-Inspektion ist eine Funktion der AWS-Netzwerk-Firewall, nicht der Cloud-IPS. Wenn Sie die TLS-Inspektion in Ihrer AWS-Firewall-Konfiguration aktiviert haben, überprüfen die Cloud-IPS-Regelgruppen den entschlüsselten Datenverkehr. Cloud-IPS bietet keine eigenen TLS-Inspektionsfunktionen.

Welchen Inspektions-Engine verwendet Cloud IPS?

Cloud IPS verwendet die auf Suricata basierende Inspektions-Engine, die in die AWS Network Firewall integriert ist. TrendAI Vision One™ stellt die IPS-Signaturen als Partner Managed Rules bereit, die auf dieser Engine laufen. Dies gewährleistet eine native Integration und optimale Leistung innerhalb der AWS Network Firewall-Infrastruktur.

Wie werden Signaturen aktualisiert?

Cloud IPS verwaltet alle Signatur-Updates automatisch:
  • Automatische Updates: Signaturen werden regelmäßig von Cloud IPS aktualisiert.
  • Keine manuelle Eingriffe: Updates werden automatisch auf Ihre Regelgruppen angewendet.
  • Zero Day Initiative: Frühzeitige Bedrohungsinformationen aus der ZDI-Forschung.
  • Digitaler Impfstoff: Signaturtechnologie aus den Forschungslabors von TrendAI™.
Sie müssen keine Signatur-Updates verwalten oder Wartungsfenster planen.

Kann ich einzelne Regeln anpassen?

Nein, das individuelle Anpassen von Regeln wird nicht unterstützt. Sie können nur gesamte Regelgruppen aktivieren oder deaktivieren. Dies ist eine Einschränkung der von Partnern verwalteten Regeln der AWS Network Firewall. Wenn Sie eine feinere Kontrolle benötigen, können Sie:
  • Erstellen Sie benutzerdefinierte zustandsbehaftete Regeln in AWS Network Firewall.
  • Verwenden Sie den Alarmmodus, um zu überwachen, ohne den Datenverkehr zu blockieren.

Kann ich benutzerdefinierte Signaturen erstellen?

Nein, Sie können keine benutzerdefinierten Signaturen innerhalb von Cloud-IPS-Regelgruppen erstellen. Die Regelgruppen werden vollständig von TrendAI™ verwaltet. Sie können jedoch Ihre eigenen benutzerdefinierten zustandsbehafteten Regeln direkt in AWS Network Firewall erstellen, um den Cloud-IPS-Schutz zu ergänzen.

Wie gehe ich mit Fehlalarmen um?

Da die individuelle Regelanpassung nicht verfügbar ist, haben Sie folgende Optionen zur Handhabung von Fehlalarmen:
  1. Alarmmodus: Aktivieren Sie den Alarmmodus, um während Ihrer Untersuchung zu überwachen, ohne zu blockieren.
  2. AWS Network Firewall-Regeln: Erstellen Sie Übergehensregeln in AWS Network Firewall, um bestimmten Datenverkehr zuzulassen, bevor er die Cloud-IPS-Regelgruppen erreicht.
  3. Regelgruppenauswahl: Deaktivieren Sie bestimmte Regelgruppen, wenn sie in Ihrer Umgebung zu viele Fehlalarme erzeugen.
  4. Support kontaktieren: Melden Sie anhaltende Fehlalarme dem TrendAI Vision One™-Support zur Signaturverfeinerung.

Welche Protokolle werden unterstützt?

Cloud IPS unterstützt die Protokolle, die von der Suricata-Engine der AWS Network Firewall inspiziert werden:
  • HTTP/HTTPS: Webverkehrsinspektion (erfordert TLS-Inspektion für HTTPS).
  • DNS: Überprüfung von DNS-Anfragen und -Antworten.
  • SMTP: E-Mail-Protokollinspektion.
  • FTP: Inspektion des File Transfer Protocol.
  • SSH: Inspektion des sicheren Shell-Protokolls.
  • SMB: Inspektion des Server Message Block-Protokolls.
  • Benutzerdefiniertes TCP/UDP: Zusätzliche Protokolle, die von Suricata unterstützt werden.
Die spezifischen erkannten Bedrohungen hängen von der Regelgruppe ab (Malware, Client-seitige CVE oder Server-seitige CVE).

Kann ich Cloud IPS mit bestehenden AWS Network Firewall-Bereitstellungen verwenden?

Ja, Cloud IPS integriert sich in bestehende AWS Network Firewall-Bereitstellungen. Fügen Sie die Cloud IPS-Regelgruppen zu Ihren bestehenden Firewall Policies hinzu. Sie können Cloud IPS zusammen mit verwenden:
  • AWS verwaltete Regelgruppen.
  • Ihre eigenen benutzerdefinierten zustandsbehafteten Regeln.
  • Domain-Filterregeln.
  • Andere von Partnern verwaltete Regeln.

Wie überwache ich Cloud-IPS?

Überwachen Sie Cloud-IPS mit den Standardüberwachungswerkzeugen der AWS-Netzwerk-Firewall:
  • CloudWatch-Metriken: Sehen Sie sich die Verkehrsstatistiken und die Leistung der Regelgruppe an.
  • CloudWatch Logs: Überprüfen Sie Warnungen und Sperrereignisse in Echtzeit.
  • AWS Network Firewall-Konsole: Firewall-Richtlinienstatus und Regelgruppenkonfiguration anzeigen.
  • S3-Protokolle: Analysieren Sie historische Protokolle, die in S3 gespeichert sind.
Siehe Regeln, Überwachung und Warnungen konfigurieren für Überwachungsdetails.

Was ist die Leistungsauswirkung des Cloud-IPS?

Cloud IPS läuft nativ innerhalb der AWS Network Firewall-Infrastruktur, sodass die Leistungsmerkmale der AWS Network Firewall entsprechen:
  • Latenz: Minimale zusätzliche Latenz (die Standardlatenz der AWS-Netzwerk-Firewall gilt).
  • Durchsatz: Skaliert mit der Kapazität der AWS Netzwerk-Firewall.
  • Verfügbarkeit: Erbt das Hochverfügbarkeitsdesign der AWS-Netzwerk-Firewall.
Jede TrendAI Vision One™ verwaltete Regelgruppe verbraucht etwa 6.000 Kapazitätseinheiten. Alle drei Regelgruppen zusammen verbrauchen etwa 18.000 Kapazitätseinheiten, wodurch etwa 12.000 Einheiten für andere Regelgruppen und Funktionen verbleiben.

Kann ich TrendAI Vision One™-Guthaben verwenden, um für Cloud IPS zu bezahlen?

Nein, Cloud IPS wird ausschließlich über den AWS Marketplace abgerechnet. TrendAI Vision One™-Guthaben können nicht verwendet werden.

Wie schätze ich meine Kosten ab?

  1. Bestimmen Sie Ihr monatliches Datenverkehrsvolumen über die AWS-Netzwerk-Firewall.
  2. Multiplizieren mit $0.010/GB.
  3. AWS Network Firewall-Kosten hinzufügen (Endpunkte + Datenverarbeitung).
Verwenden Sie AWS Cost Explorer, um historische Datenverarbeitung der Netzwerk-Firewall anzuzeigen und die TrendAI-Kosten zu schätzen.

Wie erhalte ich Unterstützung für Cloud IPS?

Supportkanäle hängen davon ab, ob Sie ein TrendAI Vision One™-Kunde sind:
Für TrendAI Vision One™-Kunden:
  • Erstellen Sie einen Supportfall direkt über die TrendAI Vision One™ Konsole.
  • Navigieren Sie zum Support-Bereich in Ihrem TrendAI Vision One™ Dashboard.
  • Fügen Sie relevante Details wie AWS-Konto-ID, Region, Firewall-Richtlinienkonfiguration und CloudWatch Logs ein.
Für Nicht-TrendAI Vision One™-Kunden:
  • E-Mail aws.marketplace@trendmicro.com.
  • Fügen Sie in Ihrer E-Mail Ihre AWS-Konto-ID, die betroffene(n) AWS-Region(en), die AWS-Netzwerk-Firewall-Richtlinie und Regelgruppenkonfiguration, relevante CloudWatch Logs, die das Problem zeigen, sowie eine Beschreibung des Problems und der Auswirkungen ein.
Bei Problemen mit dem AWS Marketplace-Abonnement und der Abrechnung:
Kontaktieren Sie den AWS Marketplace-Support direkt über Ihr AWS-Konto.
Beim Öffnen eines Supportfalls geben Sie Ihre AWS-Konto-ID, die betroffene(n) AWS-Region(en), die AWS Network Firewall-Richtlinie und die Regelgruppenkonfiguration, relevante CloudWatch Logs, die das Problem zeigen, sowie eine Beschreibung des Problems und der Auswirkungen an.