Giới thiệu tính năng Bảo vệ AMP (Advanced Malware Protection) trên Meraki MX

TỔNG QUAN:
- Tính năng Bảo vệ Malware nâng cao - Advanced Malware Protection (AMP) là một công nghệ chống malware hàng đầu trong ngành từ Sourcefire®, đã được tích hợp vào các thiết bị bảo mật & SD-WAN Meraki MX.

! AMP chỉ có trên thiết bị với các gói license "Advanced Security Edition" và "SD-WAN".

! Đã triển khai các bản cập nhật quan trọng cần thiết cho giao tiếp MX với "AMP" và "Threat Grid". Để đảm bảo rằng các dịch vụ AMP và Threat Grid của MX tiếp tục hoạt động như mong đợi, hãy nâng cấp lên các phiên bản firmware sau đây hoặc cao hơn.

• MX 14.56 trở lên
• MX 15.43 trở lên
• MX 16.7 trở lên

​

- Các thiết bị MX đã kích hoạt AMP sẽ cần được nâng cấp trước nửa cuối năm 2023.

- Các thiết bị MX đã kích hoạt Threat Grid sẽ cần được cập nhật trước tháng Hai/2023.

Lưu ý: Nếu các thiết bị MX hỗ trợ AMP không được nâng cấp trước những ngày nêu trên, thì AMP sẽ không kết nối được với AMP Cloud và dẫn đến hiện tượng đóng không thành công. Điều này sẽ khiến tất cả các lượt tải xuống tệp được kiểm tra AMP đều bị chặn trừ khi AMP bị tắt theo cách thủ công.​

! Công cụTraffic Analysis phải được bật lên trong Network-wide > Configure > General > Traffic analysis dành cho tính năng AMP.​

KHÁI NIỆM CHÍNH:
- Nó rất quan trong để hiệu các ý chính với tính năng AMP:

Phân Loại
Sự phân bổ file là sự phân loại từ AMP Cloud nhằm xác định hành động nào được thực hiện tải file xuống.

- Có ba cách sắp xếp tập tin:

• Clean - File được nhận biết là tốt/sạch.
• Malicious - Tệp được nhận biết là có hại.
• Unknown - Không có đủ dữ liệu để phân loại file là sạch hoặc độc hại.

Nhìn Lại
- Đôi khi các file sẽ thay đổi cách xử lý, dựa trên thông tin về mối đe dọa mới mà AMP Cloud thu thập được. Việc phân loại lại này cũng có thể tạo ra các cảnh báo và thông báo hồi cứu.

KHÁI QUÁT VỀ TÍCH HỢP AMP:
- Bộ thiết bị bảo mật Cisco Meraki MX sẽ chặn tải xuống file dựa trên HTTP tùy vào cách xử lý nhận được từ AMP Cloud. Nếu MX nhận được hành vi độc hại khi tải file xuống, nó sẽ bị chặn lại. Nếu MX nhận được quyết định 'Clean' hoặc 'Unknown' không xác định thì quá trình tải xuống tệp sẽ được phép hoàn tất.

- Các loại file hỗ trợ để xét duyệt là:

• MS OLE2 (.doc, .xls, .ppt)
• MS Cabinet (Chuẩn nén Microsoft)
• MS EXE
• ELF
• Mach-O/Unibin
• DMG (Apple Disk Image)
• Java (class/bytecode, jar, serialization)
• PDF
• ZIP
• EICAR (file tiêu chuẩn để kiểm tra)
• SWF (shockwave flash 6, 13, và không nén)

Cấu Hình:
- Bạn có thể bật tính năng AMP bằng cách thiết lập Mode thành 'Enabled' bên trong phần Advanced Malware Protection (AMP) có trong trang Security & SD-WAN > Configure > Threat protection

​

Giám Sát:
- Bạn có thể thực hiện giám sát các sự kiện AMP bằng cách sử dụng trang Security Center bên trong Security & SD-WAN > Monitor > Security center.

​

Cảnh Báo:
- Cảnh báo qua email có thể được cấu hình cho các sự kiện malware được nhìn lại trong trang Network-wide > Configure > Alerts. Để bật những tính năng này, hãy chọn Malware is downloaded trong phần Alerts > Alerts Settings > WAN appliance. Cảnh báo này sẽ gửi email cho người nhận đã định cấu hình khi xảy ra cảnh báo AMP hồi cứu, thông báo cho quản trị viên rằng file đã được tải xuống hiện có nguy cơ độc hại.

--- Cám ơn các bạn đã xem bài viết này ---​