「可疑端點」為端點提供安全防護服務。設定「可疑端點」,以便為其上偵測到 C&C 回呼超過所設閾值的端點提供網路存取控制。
-
「可疑端點」不提供 IPv6 端點的端點檢查和符合性。
-
如果 Cloud Edge 裝置與端點之間存在 NAT 裝置或 Proxy 伺服器,則 Cloud Edge 無法偵測用戶端的真實 IP 位址,並且 Cloud Edge 會改為計算 NAT/Proxy 伺服器裝置的 C&C 回呼事件數。因此,未來任何觸發違規之來自 NAT/Proxy 伺服器裝置的流量皆會遭到封鎖或監控(視所做的設定而定)。這可能不是預期的行為。
在啟動可疑端點後您可以指定的處理行動
您必須啟動此功能。預設為關閉。
在啟動此功能後,您可以指定當 Cloud Edge 在端點上偵測到 C&C 回呼超過所設閾值時所要採取的處理行動(封鎖或監控)。
當在指定的時間範圍內偵測到指定的事件數目時,即表示達到閾值。您可以設定事件數目和時間範圍:
-
事件數(預設值為 50)
範圍:1 到 1000
-
時間範圍(預設值為 1 小時)
有效的時間範圍:30 分鐘、1 小時、6 小時、12 小時、1 天
Cloud Edge 會定期與端點同步處理資訊,以取得更新的資訊。
您可以指定的處理行動
如果符合性檢查發現端點違反閾值設定,Cloud Edge 可以採取兩種處理行動方案中的一種:
- 封鎖
封鎖對 Internet 的所有存取。
例外:如果流量/URL 列在全域核可清單中,則不封鎖端點。不會封鎖 DNS 和 DHCP 的流量。
如果某個端點遭到封鎖,則會向用戶端瀏覽器傳送「可疑端點違規」通知頁面。
註:如果您將處理行動設定為「封鎖」,則可疑端點將無法存取 Internet。
- 監控
允許存取 Internet,但可疑端點會新增到違規清單中。
如何使用違規清單
您可以使用「違規清單」區段來檢視其可疑活動偵測數超過閾值之所有端點的相關資訊。
-
在啟動「可疑端點」後,Cloud Edge 會開始將超過閾值的端點填入到違規清單中。
-
如果處理行動設定為「封鎖」,您可以透過按一下適當列中的「解除」,將違規清單中的特定端點排除封鎖。
如何使用疑難排解頁面上的清單
如果處理行動設定為「封鎖」,則您可以檢視疑難排解頁面上的清單,來查看哪些端點因為違規而遭到封鎖。
如果 Cloud Edge 裝置已經離線,您可以檢視清單,但無法執行任何操作(例如「解除」)。