Bài viết này sẽ hướng dẫn cơ bản về Threat Prevention trên thiết bị firewall CheckPoint. - Threat Prevention bao gồm các Software Blades sau : IPS – Intrusion Prevention System cung cấp khả năng bảo vệ chống lại lưu lượng mạng độc hại và không mong muốn bao gồm các lỗ hổng và khai thác đã biết, sử dụng sai giao thức, giao tiếp phần mềm độc hại gửi đi. Anti-Bot – Phát hiện các máy bị nhiễm bot và ngăn chặn các thiệt hại do bot bằng cách chặn các giao tiếp Lệnh và Điều khiển của bot. Anti-Virus – Cung cấp real-time virus signatures và anomaly-based protections. Threat Emulation – Ngăn chặn sự lây nhiễm từ các hoạt động khai thác chưa được phát hiện, các cuộc tấn công zero-day và targeted attacks dựa trên khả năng phát hiện phần mềm độc hại sandboxing malware detection. Threat Extraction – Xóa nội dung có thể khai thác khỏi tài liệu, bao gồm nội dung đang hoạt động và các đối tượng nhúng, cấu trúc lại tệp để loại bỏ các mối đe dọa tiềm ẩn và nhanh chóng cung cấp nội dung đã được khử độc cho người dùng để duy trì quy trình kinh doanh. 1.Thiết lập Threat Prevention Policy : - Đầu tiên chúng ta cần active Threat Prevention Policy, mở Security Gateway và đánh dấu check tại IPS. - Chọn “According to the Threat Prevention policy” và chọn OK. - Tương tự active Anti-Virus và Anti-Bot. - Khi active Threat Emulation, chọn “ThreatCloud Emulation Service” và chọn Next. - Sau một khoảng thời gian bạn sẽ nhìn thấy activation message, chọn Finish. - Bây giờ enable Threat Extraction blade và chọn “Skip this configuration now”, bởi vì chúng ta sẽ không sử dụng MTA cho cài đặt. - Đi đến Security Policies > Policy, mặc định chúng ta có một protection profile tên là “Optimized”. - Để xem Profile settings. Nhấp phải vào Profile và chọn View. - Bạn có thể nhìn thấy các activated blade đính kèm trong Profile và các cài đặt chính. Performance Impact. Severity. Confidence Level. - Profile này sẽ tự động kích hoạt các biện pháp bảo vệ tại medium or lower cho performance impact và medium or higher cho severity. - Có nhiều hành động khác nhau dành cho các nhóm bảo vệ với mức độ tin cậy khác nhau : Detect. Prevent. Inactive. Ask. - Nếu cần thiết bạn có thể thay đổi active profile từ Optimized đến Strict. Profile này có nhiều biện pháp bảo vệ hơn. - Bạn có thể nhìn thấy phần cấu hình mở rộng tạo góc trái phía dưới SmartConsole. - Threat Tools cho phép cấu hình nâng cao IPS settings. Nó cũng cho phép update IPS signatures. - Cuối cùng bạn cần install Threat Prevention Policy, chọn “Threat Prevention” trong policy installation, sau đó chọn Install. 2.Threat Prevention Logs : - Để xem logs đi đến Logs & Monitor, chọn Queries > Threat Prevention > All. - Tại đây bạn có thể nhìn thấy Threat Prevention logs. !!! Cám ơn các bạn đã theo dõi bài viết !!!
