通过Command-and-Control(C2)通信检测,支持检测和阻止命令与控制(C2)活动,从而保护终端用户。云端内置千万级威胁情报,并保持快速更新,新的恶意域名一旦被发现,将通过SASE快速同步更新到全球所有位置,使您免受最新的网络威胁,提升企业位置威胁防御能力。
1、授权前置条件:控制台左下角【订阅中心】>【SASE-AF 云端安全防护】服务确认开通,若无授权,参考《快速开通SASE》章节。
2、引流前置条件:已通过硬件引流器(RT/SDW-R/AF)或引流客户端(BYOD客户端或ZTNA客户端)的方式成功接入云安全访问平台,控制台首页可看到用户在线,接入操作参考《快速入门》章节。
1、登录云图,在【订阅商店】登入【SASE上网安全】,在左侧菜单栏选择策略>下一代防火墙>威胁管理页面,开启C2通信检测开关。
2、点击策略配置,进入C2通信检测页面。
3、在动作选项框,自行选择拦截模式或观察模式,点击确定保存。
若选择拦截模式,将对自定义选择的威胁等级进行拦截。共有高危、中危和低危三种威胁等级供选择。
若选择观察模式,则仅记录日志,不进行拦截。
注:该功能需开启 DNS 引流。点击管理>接入管理>客户端>客户端配置,勾选开启DNS引流。若有非公网 DNS 配置,需要做排除引流,否则将影响业务正常访问。
1、通过日志>下一代防火墙>安全日志模块,如果存在挖矿、木马远控、勒索软件、黑客工具、间谍软件和信息窃取程序等攻击行为,可在此页面查看C2通信检测功能记录的详细日志。
建议使用Chrome浏览器访问!
