Wiedza Jak skonfigurować ustawienia systemu zapobiegania włamaniom (IPS) w QuWAN Orchestrator w celu automatycznego wykrywania i blokowania złośliwej aktywno

Oprogramowanie​

• QuWAN Orchestrator 2.8 i nowsze wersje
• QuRouter 2.6 i nowsze wersje
• QuWAN vRouter 2.8 i nowsze wersje

Sprzęt​

• QHora-301W
• QHora-321
• QHora-322

Przegląd​

Począwszy od QuWAN Orchestrator 2.8 i QuRouter 2.6, dostępne są funkcje systemu zapobiegania włamaniom (IPS), które umożliwiają aktywną ochronę sieci przed cyberatakami. Zintegrowany z urządzeniami QuRouter system IPS wykorzystuje głęboką inspekcję pakietów (DPI) oraz stale aktualizowaną bazę danych identyfikatorów sygnatur utrzymywaną przez firmę Lionic Corp. Działa jako proaktywna kontrola bezpieczeństwa, zapobiegając nieautoryzowanemu dostępowi, zakłóceniom usług oraz próbom wykorzystania luk w zabezpieczeniach urządzeń wewnętrznych.

Po włączeniu system IPS współpracuje z QuWAN Orchestrator, umożliwiając użytkownikom przeglądanie wykrytych zagrożeń, zarządzanie zasadami IPS oraz analizowanie aktywności na podstawie identyfikatorów sygnatur w wielu lokalizacjach sieciowych.

Identyfikator sygnatury to unikatowy identyfikator przypisany do konkretnego wzorca wykrywania zagrożeń w bazie danych IPS. Każdy identyfikator reprezentuje znane złośliwe zachowanie lub sygnaturę ataku sieciowego. Identyfikatory te umożliwiają systemowi IPS efektywne śledzenie, rejestrowanie i zarządzanie zagrożeniami poprzez odwoływanie się do ich konkretnych wzorców wykrywania na potrzeby audytu, analizy i ochrony.

Poprawia to ogólne bezpieczeństwo sieci poprzez dodanie warstwy wykrywania i egzekwowania wykraczającej poza podstawowe filtrowanie zapory sieciowej.

Kluczowe funkcje​

• System IPS stale monitoruje ruch sieciowy, porównując zawartość pakietów ze stale aktualizowaną bazą danych znanych identyfikatorów sygnatur. Pakiety odpowiadające zidentyfikowanemu zagrożeniu są natychmiast blokowane, zanim dotrą do systemów wewnętrznych.
• System IPS analizuje zawartość pakietów wykraczającą poza informacje nagłówkowe w celu wykrywania ataków na warstwę aplikacji, nieautoryzowanego zachowania protokołów oraz niestandardowych wzorców ruchu.
• Baza danych identyfikatorów sygnatur jest automatycznie aktualizowana o najnowsze znane luki w zabezpieczeniach i wzorce zagrożeń. Zapewnia to aktualność możliwości wykrywania bez konieczności ręcznej konserwacji.
• QuWAN Orchestrator konsoliduje zdarzenia IPS z urządzeń, zapewniając jeden interfejs do przeglądania aktywności zagrożeń, dostosowywania zasad IPS i analizowania trendów sieciowych na podstawie identyfikatorów sygnatur.
• Po skonfigurowaniu system IPS działa automatycznie w tle, egzekwując zasady i blokując wykryte zagrożenia bez konieczności dodatkowej interwencji użytkownika.

uwaga
Funkcja IPS jest dostępna jako bezpłatna wersja próbna w QuWAN Orchestrator i QuRouter. W okresie bezpłatnej wersji próbnej można włączyć ochronę IPS na obsługiwanych urządzeniach QuRouter bez wymagań licencyjnych.

WażneQuWAN Orchestrator automatycznie wykrywa i dodaje routery QNAP QHora z oprogramowaniem sprzętowym w wersji 2.6 lub nowszej oraz urządzenia QuWAN vRouter z wersją 2.8 lub nowszą do listy monitorowania IPS. Następnie można indywidualnie włączać lub wyłączać funkcję IPS na każdym dodanym urządzeniu zgodnie z wymaganiami.

Procedura​

Zapoznanie się z warunkami korzystania z bezpłatnej wersji próbnej IPS i ich akceptacja​

Aby włączyć funkcje IPS, należy zapoznać się z warunkami korzystania z bezpłatnej wersji próbnej i wyrazić na nie zgodę. Wyrażenie zgody jest wymagane przed włączeniem systemu IPS na obsługiwanych urządzeniach.

1. Zaloguj się do QuWAN Orchestrator.
2. Wybierz swoją organizację w lewej górnej części banera witryny.
3. Kliknij Intrusion Prevention System w panelu bocznym.
   Zostanie wyświetlone okno IPS Trial Version Terms of Use.
4. Zapoznaj się z warunkami korzystania z usługi, a następnie kliknij Agree and Proceed.
   Okno warunków korzystania z usługi zostanie zamknięte.

Konfigurowanie ustawień alertów e-mail​

Skonfiguruj ustawienia alertów e-mail, aby automatycznie wysyłać raporty o zagrożeniach IPS do określonych odbiorców. Możesz wybrać, które zdarzenia wyzwalają alerty na podstawie poziomów ważności i częstotliwości raportowania.

1. Zaloguj się do QuWAN Orchestrator.
2. Wybierz swoją organizację w lewej górnej części banera witryny.
3. Kliknij Intrusion Prevention System w panelu bocznym.
4. Kliknij Email Alert Settings.
   Zostanie wyświetlone okno Email Alert Settings.
5. Ustaw częstotliwość wysyłania raportów o zagrożeniach IPS.
   
   uwaga
   Raporty dzienne są wysyłane codziennie o 1:00 (UTC+0). Raporty tygodniowe są wysyłane w każdy poniedziałek o 1:00 (UTC+0).
   
6. Wybierz jeden lub więcej poziomów ważności, aby określić, które zdarzenia zagrożeń są uwzględniane w alercie.
7. W sekcji Manage Email Recipients kliknij Add Email Recipient.
8. Wprowadź nazwę odbiorcy i jego adres e-mail.
9. Kliknij
   
   
   
   .
10. Kliknij Save.
    QuWAN Orchestrator zapisze ustawienia alertów e-mail.

Wyświetlanie analiz na pulpicie nawigacyjnym​

1. Zaloguj się do QuWAN Orchestrator.
2. Wybierz swoją organizację w lewej górnej części banera witryny.
3. Kliknij Intrusion Prevention System w panelu bocznym.
4. Wykonaj dowolne z poniższych zadań.
   

   Zadanie	Akcja
   Wyświetlanie liczby zagrożeń według identyfikatora sygnatury	Wyświetl liczbę wykrytych zagrożeń pogrupowanych według identyfikatorów sygnatur w wybranym okresie.
   Wyświetlanie 10 najważniejszych zagrożeń według identyfikatora sygnatury	Wyświetl 10 najczęściej wykrywanych zagrożeń, uszeregowanych według identyfikatorów sygnatur.
   Włączanie systemu IPS dla określonego urządzenia	Włącz ochronę IPS dla określonego urządzenia zarządzanego w QuWAN Orchestrator.

Wykonywanie funkcji IPS na określonym urządzeniu​

Aby zarządzać i monitorować funkcje IPS na poszczególnych urządzeniach, wykonaj następujące kroki.

1. Zaloguj się do QuWAN Orchestrator.
2. Wybierz swoją organizację.
3. Kliknij Intrusion Prevention System w panelu bocznym.
4. Zidentyfikuj urządzenie, którym chcesz zarządzać lub które chcesz monitorować.
5. Kliknij nazwę urządzenia.
   Zostanie wyświetlona strona pulpitu nawigacyjnego urządzenia.
   
   uwaga
   Jeśli chcesz wyświetlić informacje o zagrożeniach IPS dla innego urządzenia, wybierz odpowiedni region i urządzenie z menu rozwijanych, aby zaktualizować wyświetlane dane.
   
6. Wykonaj dowolne z poniższych zadań na stronie Dashboard.
   

   Zadanie	Akcja
   Włączanie systemu IPS na urządzeniu	Kliknij obok Enable IPS, aby monitorować i blokować potencjalne zagrożenia sieciowe w czasie rzeczywistym.
   Sprawdzanie liczby inspekcjonowanych pakietów	W sekcji Inspection History możesz sprawdzić łączną liczbę pakietów sieciowych inspekcjonowanych przez IPS od momentu jego włączenia.
   Wyświetlanie liczby wykrytych zagrożeń na podstawie identyfikatorów sygnatur	W sekcji Signature ID-based Threat Count wyświetl liczbę zagrożeń wykrytych w ciągu ostatnich 24 godzin.
   Wyświetlanie 10 najważniejszych zagrożeń na podstawie identyfikatorów sygnatur	W sekcji Top 10 Signature ID-based Threats wyświetl listę dziesięciu najczęściej wykrywanych zagrożeń wraz z odpowiadającymi im identyfikatorami sygnatur i liczbą wykryć.

7. Kliknij Rules.
8. Wykonaj dowolne z poniższych zadań.
   

   Zadanie	Akcja
   Rejestrowanie dozwolonego identyfikatora sygnatury zagrożenia	Zidentyfikuj identyfikator sygnatury, a następnie w sekcji Log Threat włącz przełącznik, aby zapisać zdarzenie w pliku dziennika.
   Wyświetlanie informacji IPS dotyczących dozwolonego identyfikatora sygnatury	Zidentyfikuj identyfikator sygnatury, a następnie w sekcji Action kliknij , aby wyświetlić podsumowanie, szczegóły i zalecane rozwiązania dla wykrytego identyfikatora sygnatury w witrynie QNAP.
   Usuwanie dozwolonego identyfikatora sygnatury	Zidentyfikuj identyfikator sygnatury, a następnie w sekcji Action kliknij , aby trwale usunąć szczegóły wykrytego identyfikatora sygnatury z QuWAN Orchestrator.

9. Kliknij Threats.
10. Wykonaj dowolne z poniższych zadań.
    

    Zadanie	Akcja
    Pobieranie dzienników zagrożeń IPS	Kliknij Download CSV File, aby pobrać dzienniki zagrożeń IPS do analizy.
    Zezwalanie na identyfikator sygnatury i rejestrowanie zagrożenia	W sekcji Action kliknij +, a następnie wybierz Allow and Log Threat, aby zapisać identyfikator sygnatury w dziennikach.
    Zezwalanie na identyfikator sygnatury bez rejestrowania zagrożenia	W sekcji Action kliknij +, a następnie wybierz Allow and Do Not Log Threat, aby wykluczyć identyfikator sygnatury z dzienników.
    Filtrowanie dzienników	Kliknij pole wyszukiwania lub Advanced Search, aby wprowadzić słowa kluczowe i filtrować określone dzienniki według własnych kryteriów.
    Wyświetlanie informacji IPS dotyczących wykrytego zagrożenia	Zidentyfikuj wykryte zagrożenie, a następnie w sekcji Action kliknij , aby wyświetlić podsumowanie, szczegóły i zalecane rozwiązania dla wykrytego zagrożenia.
    Wyświetlanie dzienników IPS dla określonego zakresu czasu	Aby filtrować dzienniki według czasu, wybierz wstępnie zdefiniowany zakres lub wprowadź niestandardową datę i godzinę rozpoczęcia oraz zakończenia, aby wyświetlić odpowiednie dzienniki IPS.