本文档将为您介绍 SASE-AF 功能,可以开启安全上网策略,通过 C2通信检测、URL 过滤、防病毒、漏洞攻击防护等多维度全方位呈现安全上网防护和风险预警能力。
1、授权前置条件:控制台左下角【订阅中心】-【SASE-AF 云端安全防护】服务确认开通,若无授权,参考《SASE授权开通》章节。
2、引流前置条件:已通过硬件引流器(RT/SDW-R/AF)或引流客户端(BYOD客户端或ZTNA客户端)的方式成功接入云安全访问平台,控制台首页可看到用户在线,接入操作参考《安装部署》章节。
1、登录云图,在【我的产品】登入【SASE上网安全】,在左侧菜单栏选择【策略】-【安全威胁管理】-【威胁管理】,进入威胁管理配置页面。
2、如需识别加密流量中的威胁,需提前开启 TLS/SSL 解密功能,点击启用,点击策略配置前往配置;(如已开启或无需识别加密流量,请忽略此步骤)
SSL 加密技术是为保护敏感数据在传送过程中的安全,而设置的加密技术。安全传输层协议(TLS)用于在两个通信 应用程序之间提供保密性和数据完整性,TLS 加密套件和 SSL 数字证书相辅相成,通过解密才可以精准识别数据中的攻击流量。
点击开启证书解密,默认全部勾选,点击保存。
3、解密开启后,点击【策略】-【安全威胁管理】-【威胁管理】,返回威胁管理配置页面。
4、C2通信检测功能配置。
点击开启按钮开启此功能,点击策略配置,支持自定义选择拦截模式或观察模式。拦截模式下支持自定义勾选对高危、中危和低危的威胁等级的拦截。
注:该功能需开启 DNS 引流。点击【管理】-【接入管理】-【客户端】-【客户端配置】,勾选开启DNS引流。若有非公网 DNS 配置,需要做排除,否则将影响业务正常访问,具体排流操作请参考章节。
5、URL过滤功能配置。
点击开启按钮开启此功能,点击策略配置,支持自定义修改内置 URL 分类的执行动作:允许、观察、拒绝,以及自定义需要拦截的 URL 网站。
6、防病毒功能配置。
点击开启按钮开启此功能。(已默认配置最佳策略,暂不支持自定义)。
7、漏洞攻击防护功能配置。
点击开启按钮,点击策略配置。已有一条默认策略,设置为启用并执行动作为全部放行。在此基础上,可根据需求新建策略,自定义适用范围,动作选项选择允许/拒绝(允许:仅记录风险不阻断;拒绝:记录并阻断漏洞攻击流量)。
1、通过【日志】-【安全威胁日志】-【安全日志】模块 ,可查看全量安全日志,支持以表格形式导出。
支持通过资产类型、用户/部门、接入位置、日志类型、威胁等级、威胁类型、动作和源IP筛选日志。
默认展示当天全量安全日志,支持最近24小时、最近7天、最近30天、自定义时间周期筛选日志。
1、通过【管理】-【告警管理】-【告警配置]模块,可自定义安全威胁的告警条件以及告警通知方式(当前仅支持邮件推送)。
建议使用Chrome浏览器访问!
