首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.80&12.0.80
行为管理AC 文档 产品手册 上网行为审计系统AC 配置指南 终端行为安全 终端上网安全 安全能力 安全配置
{{sendMatomoQuery("行为管理AC","安全配置")}}

安全配置

更新时间:2023-07-03

[终端行为安全/终端上网安全/安全能力/安全配置],配置内容安全、终端安全、网络安全功能,页面如下。

内容安全

泄密风险:深信服防泄密事前准确识别风险用户,事中监控敏感数据并及时告警,事后进行泄密追溯与分析,全面保障用户信息安全,避免信息泄露造成的损失。

点击<防泄密追溯应用分析>按钮,能跳转到日志分析平台-泄密追踪分析应用,查看分析的结果。

泄密风险检测功能需要联动日志分析平台使用。

  1. 配置互联网审计策略。
  2. 如果使用内置日志分析平台,第一次需要进入内置日志分析平台,启用泄密追踪分析应用。
  3. 如果使用外置日志分析平台,保障设备和外置日志分析平台可以正常通信(TPC810801端口),勾选[系统管理/系统配置/日志中心配置/外置日志中心]项“关闭内置日志中心,以减少设备的资源消耗,提高日志记录性能”。

终端安全

  1. 僵尸主机检测

深信服僵尸主机检测,通过僵尸网络行为分析和特征识别相结合,可识别并阻断内网安全域中疑似中了病毒木马的僵尸主机,内置的云安全检测技术,针对未知可疑风险上报云端虚拟沙盒执行并下发分析结果报告,有效防止主机访问非法恶意链接导致中招。

勾选“启用僵尸网络检测”,开启功能。

排除IP不需要检测的IP,可以加入白名单。

排除网站:不需要检测的网站,可以加入白名单。

处理动作:可以选择告警通知(需要配合系统管理-系统配置-告警选项使用)、阻断恶意连接或冻结源IP

  1. 终端监测与响应(EDR

深信服EDR作为终端检测响应平台,轻量级终端+管理平台组成的解决方案,利用对终端威胁的持续检测能力,对威胁事件进行一键隔离的响应设置,深信服的EDR产品与NGAFACSIP产品的联动协同响应,形成新一代的安全防护体系。此功能适用于已部署本地EDRSaaS-EDR产品,AC支持和本地EDRSaaS-EDR联动。

操作步骤

本地部署EDR联动

步骤14.EDR管理平台的[系统设置/系统管理/基本设置]中打开联动设备准入的开关。

如果EDR设备未勾选联动设备准入设置,在AC设备上填写接入IP设置时会提示“自动密码协商失败,请稍后重试”。

 

步骤15.AC设备的[终端行为安全/终端上网安全/安全能力/安全配置/终端检测与响应(EDR]中选择本地接入,填入本地EDR管理IP,点击<接入>

步骤16.联动成功后显示EDR服务信息、接入EDR终端数和已联动处置次数。

步骤17.点击<查看联动详情>,跳转到联动终端详情页面。

上述步骤完成AC和本地EDR的联动,联动完成后可配置ACEDR的联动动作,下面举例AC联动EDR推送EDR agent

步骤18.推送EDR agent设置。点击右上角<推送配置>会跳转到EDR推送配置页面,该功能默认关闭,勾选“启用推送配置”,配置相关参数。

 

策略适用范围:配置需要推送EDR客户端的内网IP或者IP段。对适用范围内的终端推送EDR客户端部署通知的web页面,帮助内网推送EDR的终端。

是否强制重定向:勾选强制重定向后“推送时间间隔”将会失效,未安装EDR终端将始终重定向到EDR agent下载页面。

重定向地址:填写EDR agent下载页面。获取方法:在EDR设备的[系统管理/终端部署/网页推广部署]获取部署时的web页面链接。重定向会推送安装页面导致断网,请挑选业务可终端时间开启。

推送时间间隔(s):定义多长时间向未安装agent的客户端推送一次页面,默认300s

效果展示:

适用策略地址范围的终端,没有安装EDR时,打开浏览器访问网站会重定向到深信服EDR终端防护中心部署通知页面,页面提供WindowLinux两种操作系统的方式。

此时,客户端根据提示,下载对应操作系统的安装包,完成安装。

支持对http/https网页重定向。内网所有用户完成EDR agent安装后,可根据需求关闭推送EDR agent设置。

SaaS-EDR联动

步骤19.ACSaaS-EDR联动时,AC需要加入和SaaS-EDR同一云图平台。在[资产中心/资产管理/安全设备]中新增分支AC

步骤20.SaaS-EDR管理平台的[系统设置/系统管理/基本设置]中打开联动设备准入的开关。

步骤21.AC设备的[终端行为安全/终端上网安全/安全能力/安全配置/终端检测与响应(EDR]中选择云端接入,填写云图的企业ID、接入设备名称、接入密码,其中接入设备名称、接入密码和云图上新建分支AC时所配置的参数保持一致。

步骤22.联动成功后显示EDR服务信息、接入EDR终端数和已联动处置次数。

步骤23.点击<查看联动详情>,跳转到联动终端详情页面

上述步骤完成ACSaaS-EDR的联动,联动完成后可配置ACEDR的联动动作,下面举例AC联动SaaS-EDR推送agent

步骤24.推送SaaS-EDR agent配置。点击右上角<推送配置>会跳转到EDR推送配置页面,该功能默认关闭,勾选“启用推送配置”,配置相关参数。

策略适用范围:配置需要推送EDR客户端的内网IP或者IP段。对适用范围内的终端推送EDR客户端部署通知的web页面,帮助内网推送EDR终端。

是否强制重定向:勾选强制重定向后“推送时间间隔”将会失效,未安装EDR终端将始终重定向到SaaS-EDR agent下载页面。

重定向地址:填写SaaS-EDR agent下载页面。获取方法:在云图平台SaaS-EDR[系统管理/终端部署/网页推广部署]获取部署时的web页面链接。重定向会推送安装页面导致断网,请挑选业务可终端时间开启。

推送时间间隔(s):定义多长时间向未安装agent的客户端推送一次页面,默认300s

效果展示:

适用策略地址范围的终端,终端未安装SaaS-EDR agent时,打开浏览器访问网站会重定向到深信服SaaS-EDR终端防护中心部署通知页面,页面提供WindowLinux两种操作系统的方式。

此时,客户端根据提示,下载对应操作系统的安装包,完成安装。

注意事项:

  1. ACSaaS-EDR联动时需要加入云图,由于AC集中管理只能加入BBC或云图,所以已加入BBCAC设备需要解除集中管理再加入云图,即已部署BBC场景不适用于和SaaS-EDR联动。

  1. ACSaaS-EDR联动时,由于SaaS-EDR部署在互联网,终端重定向的SaaS-EDR终端防护中心部署通知页面,以及SaaS-EDR agent下载链接都处于互联网,AC需要把这些域名加入全局排除地址,如互联网出口有网络安全设备,也需要同步放行(edrsaas.sangfor.com.cndledragent.sangfor.com.cnedragent.sangfor.com.cndownload.sangfor.com.cnedrinterconnection.sangfor.com.cn)。
  2. SaaS-EDR终端防护中心部署通知页面链接有效期是60天,如果需要长时间推送SaaS-EDR agent,需要在EDR推送配置定时刷新重定向地址。
  3. 云图EDR未授权,不能接入,已授权且在有效期内才能正常接入。
  1. 补丁检测

Windows补丁检测功能,能够及时检测客户端计算机当前未安装的补丁和补丁更新提示,能够使安全意识不足的用户主动提高操作系统安全性,帮助管理员减少来自内网安全方面的工作压力。

点击<去设置补丁包检测>跳转到[接入管理/接入认证/检查规则/终端插件检查规则]页面,详细配置请参考终端检查案例

网络安全

  1. 防内网DOS攻击

DOS攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。SANGFOR设备的防内网DOS攻击功能,也可以阻止内网的机器中毒或使用攻击工具发起的DOS攻击。AC的内网DOS攻击功能,只关注LAN口方向。

防内网DOS攻击有三种检测方式:SYN泛洪、UDP泛洪、ICMP泛洪。

SYN泛洪:攻击者发送TCP SYNSYNTCP三次握手中的第一个数据包,而当服务器返回ACK后,该攻击者就不对其进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接,由于每一个都没法完成三次握手,所以在服务器上,这些TCP连接会因为挂起状态而消耗CPU和内存,最后服务器可能死机,就无法为正常用户提供服务了。

UDP泛洪:攻击者发送大量的UDP包给服务器,服务器发送大量回复。

ICMP泛洪:攻击者发送数据包的源IP地址是被攻击者的IP地址,目的IP地址是被攻击者所在网段的广播地址,这样大量ICMP echo reply就到了被攻击者那里。

以下IP地址发起的攻击不会被拦截:对填入列表中的IP地址不进行DOS防御,比如内网有一台向公网提供服务的服务器,并且提供给公网的连接较多,此时建议将服务器的地址排除,避免被DOS防御认为是非法的。

点击<配置>,启用内网网段列表,可配置通过设备上网的内网网段,不在列表的用户默认为攻击用户。启用后不在列表内的用户数据无论是否被攻击会被拦截。

防内网DOS攻击处理动作可选择:告警通知、封锁攻击、推送EDR

告警通知:是启用事件邮件告警功能,详细配置请参考告警选项章节。

封锁攻击:设置设备在检测到攻击以后对主机的封锁时间。

推送EDR:勾选推送EDR需先开启终端检测与响应的推送配置。

点击<提交>,用于保存配置。

  1. ARP欺骗

ARP欺骗是一种常见的内网病毒,中病毒的电脑,不定时地向内网发ARP欺骗的广播包,使内网机器的正常通信受到干扰和破坏,严重时会导致断网。

设备的防ARP欺骗是通过设备和内网PC的准入客户端配合来实现的。

设备通过不接受有攻击特征的ARP请求或回复来保护设备本身的ARP缓存,实现自身的免疫。

如果设备的访问控制用户有绑定IP/MAC,则设备会以绑定的IP/MAC信息为准。

内网PC的防ARP欺骗是通过准入客户端来实现的。安装了准入客户端后,准入客户端会和设备通讯,获取设备和网关的正确IP/MAC关系并静态绑定。

启用ARP欺骗防护:是启用ARP欺骗防护的总开关。

启用静态ARP:如果内网PC的网关不是设备的接口地址,那就需要在这里设置,比如设备使用网桥模式,内网PC的网关地址应该是前面的路由器(或防火墙)接口地址,这时我们就可以把前面路由器的接口IP/MAC填入下面的方框里。内网PC如果安装了准入客户端就可以获取正确的网关IP/MAC并进行绑定,这样可以保证PC机上网关的IP/MAC是正确的,保证PC和网关的正常通信。

设定网关MAC广播间隔时间(秒/次):是设置广播网关(即设备的内网接口)MAC的时间间隔,建议设成10秒。

处理动作可勾选告警通知,启用事件邮件告警功能,详细配置请参考告警选项章节。

点击<提交>,用于保存配置。

  1. 恶意链接

结合深信服云引擎,综合多重恶意软件检测机制,利用静态检测、动态沙箱、污点跟踪、人工分析等技术进行综合判定,实时识别恶意链接,保障用户业务免受影响,包括钓鱼及恶意网站、漏洞利用、挖矿页面、恶意跳转、跨站脚本攻击和病毒文件等。

勾选“启用恶意链接检测”,开启功能。

排除IP不需要检测的IP,可以加入白名单。

排除网站:不需要检测的网站,可以加入白名单。

处理动作:可以选择告警通知详细配置请参考告警选项章节、阻断恶意链接方式。

  1. SAVE杀毒

SAVESangfor AI-based Vanguard Engine)结合深度学习等多种机器学习算法,使用集成学习充分利用各个算法的检测优势,能快速、准确捕捉文件的有效信息,对勒索病毒的检出率达到业界领先水平。通过安全云脑、EDRAF等产品持续汇聚热门威胁的分析,SAVE安全智能检测引擎能够及时演进,从而提升检测能力,并覆盖最新的病毒。

SAVE杀毒主要用于对经过设备的数据进行病毒查杀,保护内网计算机的安全。设备能针对HTTPFTPPOP3SMTP这四种常用协议进行查杀病毒。设备中内置了深信服自主开发的SAVE引擎,具有病毒识别率高和查杀效率高的特点。SAVE引擎不同于传统的规则库更新,为了保持习惯,是以规则库的形式显示,更新周期是2个月。

SAVE杀毒配置界面四种协议杀毒的开关、不需杀毒的网站或文件白名单。

管理员可根据需求启用HTTP下载杀毒、HTTPS下载杀毒、启用FTP下载杀毒、启用POP3/ICMP杀毒,启用SMTP杀毒。

其中HTTPS下载杀毒和POP3IMAP杀毒、SMTP功能需要配合启用访问权限策略中的SSL内容识别和邮件过滤功能。

启用排除网站(域名):可设置访问特殊网站的数据不需要杀毒,输入格式为域名格式,支持通配符,一行一个域名。

启用文件白名单:用于定义不需要杀毒的文件。

扫描文件格式:用于定义需要进行SAVE扫描文件的后缀。

扫描文件大小:用于定义需要进行SAVE扫描文件的大小。

处理动作:勾选告警通知时需要配合[系统管理/系统配置/告警选项],详细配置请参考告警选项章节。

点击<病毒库升级>,会显示升级服务有效期和当前SAVE引擎模型日期。

 

 [从本地加载SAVE引擎模型升级]:用于将下载好的SAVE引擎模型文件手动导入到设备中并完成SAVE引擎模型的升级,点击<选择文件>选择要导入的SAVE引擎模型文件,完成SAVE引擎模型的升级。