当前位置：网站首页>教程篇(5.0) 03. 安全策略 * FortiEDR * Fortinet 网络安全专家 NSE 5

教程篇(5.0) 03. 安全策略 * FortiEDR * Fortinet 网络安全专家 NSE 5

2022-06-13 08:53:00 【飞塔老梅子】

在本课中，你将学习在FortiEDR部署中的安全策略。

在这节课中，你将学习上图显示的主题。

通过展示FortiEDR策略的能力，你将了解策略的不同类型和模式。

FortiEDR有三种策略，它们共同维护系统的安全性。最重要的策略类型是安全策略。这些策略确定一个进程是否是恶意的。接下来是剧本，即自动事件响应。如果FortiEDR捕获了一个潜在的恶意进程，你可以使用剧本自动修复设备，并保护你网络的其余部分。最后是通信控制策略。这些政策适用于并非恶意的程序，但可能是不安全的或被公司政策禁止的程序。通信控制策略决定哪些应用程序允许通过网络通信，哪些应用程序阻塞。

现在你将了解关于如何组织收集器的更多信息。每个收集器属于一个收集器组。你可以创建按工作组、角色、地理位置或任何其他对你的组织有意义的标准组织的自定义收集器组。

　　策略在收集器组级别分配。为了充分保护，每个组应分配以下策略之一：执行预防、勒索软件预防、泄漏预防、通信控制和剧本。如果在组织中使用设备控制和扩展检测，还应该分配设备控制和扩展检测策略。

　　可以为一个策略分配多个组。

FortiEDR策略可以在两种模式之一中运行：预防(或阻塞模式)和模拟(或日志记录模式)。当在预防模式下操作时，FortiEDR主动执行策略。大多数情况下，事件被实时阻断，避免对设备或系统造成损害。如果事件是可疑的，但可能是合法的，FortiEDR将记录它以供审查。在模拟模式下运行时，FortiEDR会发出警报，但不会阻塞任何进程。由于每个策略都分别设置为模拟或预防模式，因此可以在其他策略处于模拟模式时执行某些策略。

在控制台上，窗口右上角的滑块是保护模式和模拟模式的主滑块。主滑块仅供紧急情况使用，因为将主滑块设置为模拟模式将使所有策略处于模拟模式。

　　请注意，当滑块显示保护时，就像在上图展示的示例中所做的那样，这并不意味着每个收集器都被分配给保护模式下的策略。在模拟模式下，仍然可以将一些收集器组分配给策略。单击主滑块旁边的向下箭头，可以查看每种策略保护多少收集器的详细情况。例如，在右侧的甜甜圈图中，你可以看到94.1%的收集器被分配给了处于保护模式的“exfiltering Prevention”策略。这个数字会因策略类型而异。当主滑块设置为Simulation时，所有策略都设置为Simulation模式，并且没有任何收集器组被积极保护。

　　如果要将收集器置于模拟模式中作为故障排除的一部分，最好的方法是将单个收集器移动到指定的模拟组中，而不是干扰整个组。故障排除完成后，将收集器移回原来的组中。

答案：A

现在你了解了不同的FortiEDR策略和模式。接下来你将了解安全策略。

通过展示安全策略的能力，你将了解它们是如何工作的以及如何配置它们。

NGAV是什么?这是第一道防线。执行预防，FortiEDR下一代反病毒(NGAV)策略会捕获所有简单或已知的攻击，并在它们执行之前阻止它们。

　　FortiEDR NGAV引擎由机器学习驱动。我们的研究团队将数百万预先分类好的和坏的文件样本以及真实的恶意软件输入NGAV引擎。然后，它生成一种算法，以确定一个文件可能是安全的还是恶意的。相比之下，基于签名的系统一次只能加载少量的签名，而且它无法检测到以前从未见过的恶意软件。

　　Fortinet不断向NGAV引擎添加样本，使算法保持最新。你可以通过定期的内容更新接收这些更新，并将其上传到控制台。

　　NGAV是如何工作的?当一个文件在设备上被保存、读取或执行时，收集器会根据NGAV引擎检查它。FortiEDR实时检查文件，并根据文件恶意的可能性给它打分。分数越高，说明该文件是恶意文件的可能性越大。超过90%的分数表明该文件是恶意文件的高度确定性。根据分配的分数，NGAV引擎决定是否允许、阻塞或记录文件。无论收集器是否在线，该进程都将工作。当收集器脱机时，它进入自治模式，并决定如何独立处理文件。

现在，你将了解安全策略如何工作。安全策略是FortiEDR保护的核心。你可以在管理控制台中配置安全策略—单击SECURITY SETTINGS选项卡并选择security policies。收集器组被分配给策略，策略在最高级别被设置为预防或模拟模式。记住，模拟中的策略并不是主动阻止恶意软件。你将在EVENT VIEWER中看到一个事件，但不会阻塞任何进程。只在模拟模式下使用策略进行初始调优或故障排除。

　　每个策略由一组规则组成，这些规则是开箱即用的。规则会根据其严重性自动分配一个动作(Log或Block)。如果需要，管理控制台用户可以更改单个规则的分配操作。每个规则也可以单独启用或禁用。默认情况下，大多数策略中的所有规则都是启用的，Fortinet不建议禁用这些规则。如果不想执行特定的规则，最好将其设置为Log。这样，当问题发生时，你就有了违规记录，但规则没有得到执行。

现在你将了解安全策略。FortiEDR具有5个安全策略，每个策略都有自己的目的。执行预防，或下一代反病毒，阻止恶意文件执行。该策略在简单或已知的攻击开始之前捕获它们。如果攻击成功地绕过了执行预防，则有另外两个策略可以检测可疑行为，并在它造成伤害之前阻止它。外泄预防阻止恶意演员连接到网络和窃取数据，而勒索软件预防防止恶意演员加密你的数据。你还可以启用设备控制，它可以检测和阻止特定类别的USB设备的使用，如大容量存储设备。你不必阻塞大量存储设备，但在数据非常敏感的环境中，这是一个非常有用的功能。从FortiEDR 5.0版本开始，扩展检测策略已被添加到预定义策略列表中。扩展检测策略只在模拟模式下工作，这意味着它不会阻止任何活动。它们将关联来自多个安全系统的数据，并识别任何恶意活动。

这是另一种观察操作顺序的方法。同样，执行预防策略是第一道防线。如果存在违规，文件将被阻塞。如果它通过了，感染后保护就开始了。“勒索软件阻止”策略监视任何锁定或修改文件的尝试，“过滤阻止”策略监视建立连接的尝试。如果这些策略中的任何一个检测到违规，进程就会被阻塞。如果没有违反安全策略规则，那么当文件试图连接到网络时，通信控制策略将检查该文件。正如我们在前面的课程中讨论的，通信控制策略管理的程序不是恶意的，但可能是不受欢迎的或不安全的。如果一个文件进入了通信控制引擎，我们已经确定它不是恶意软件。

设备控制策略的工作方式与其他安全策略略有不同。一些在高安全领域的组织，如医疗保健，需要限制USB设备，因为行业法规。设备控制策略允许您阻止特定类别的USB设备，如大容量存储设备、USB集线器、CDCdata设备或特定于应用程序的设备。

　　在“设备控制”中，默认禁用所有规则。找到你想要阻止的每个设备类的规则，然后单击状态图标将状态切换到Enabled。如果你的组织不需要限制USB设备，你可以让“设备控制”策略处于模拟模式，并禁用规则。没有设备将被阻止，并没有为USB设备生成通知，除非他们被感染和违反不同的安全策略的规则。

从FortiEDR 5.0开始，你可以在“过滤阻止”策略中应用web过滤规则。被FortiGuard实验室识别为恶意的网站、域名或IP地址，可以使用此策略阻止。你可以在“过滤阻止”策略中启用此规则—单击“安全设置”页签并选择“安全策略”。展开“过滤阻止”策略，将“检测到恶意网站-试图访问恶意网站、域名或IP地址”规则的状态改为“已启用”。然后将该规则的操作更改为Block。当一个终端被FortiEDR收集器监控，试图访问一个网站，在一个恶意类别它被阻止。

反病毒替换认证的要求之一是允许用户定期扫描所有设备，以便发现和修复潜伏的威胁。请记住，你的计算机一直受到收集器的监视，因此你实际上不需要安排扫描，但是如果你愿意，可以在管理控制台的ADMINISTRATION选项卡的TOOLS下使用该功能。你可以选择你喜欢的时间和频率，并在后台扫描文件。扫描使用少量的设备资源。

如前所述，收集器组被分配给策略。当你单击一个策略以突出显示它时，你将在右侧的assigned collector groups窗格中看到当前分配给该策略的收集器组。你可以通过选择策略的复选框并单击分配收集器组按钮来将收集器组添加到策略中。这将打开收集器组分配窗口，在此你可以选择分配哪些组。如果选择的组当前被分配给另一个相同类型的策略（例如，另一个执行预防策略）则会出现警告。单击Yes从旧策略中删除组，并将其添加到您所你的策略中。请记住，为了充分保护，每个收集器组应该分配一个执行预防、一个泄漏预防和一个勒索软件预防策略。设备控制策略为可选配置。如果你处于需要限制USB设备访问的高安全性环境中，请将你的收集器组分配给设备控制策略。

　　在该选项卡的底部是ADVANCED POLICY & RULE DATA，用于突出显示的策略和规则。如果它是折叠的，请单击白色箭头以展开窗格。首先是规则详细信息，你将看到规则的简要描述，以及Fortinet对于处理违反该规则的事件的建议。单击“工厂设置”将所选策略重置为初始状态。

在某些情况下，你可能希望创建多个策略来适应不同的组。

　　例如，新部署的组应该以模拟模式分配给策略，直到调优完成。但是，即使在部署期间，高安全收集器组也应该始终分配给防御模式的策略。你需要在模拟模式下维护一组策略，在预防模式下维护另一组策略。

　　还可能有具有特定需求的收集器组，它们需要不同于其他组的设置。例如，开发人员可能需要禁用某些规则，因为他们日常工作的性质。你可以根据需要创建任意数量的策略副本。

　　通过克隆策略，可以创建自定义副本，应用于不同的组。选中一个现有策略旁边的复选框，然后单击克隆策略按钮。然后，你可以为副本分配一个新名称，并根据需要自定义其设置。通常，每种策略类型都应该有两个副本—一个在预防模式，一个在模拟模式。始终将高安全采集器组分配给防御模式的策略。在调优期间，这可以保护收集器以防感染。Fortinet建议创建一个名为Simulation的收集器组，应该将其分配给处于Simulation模式的策略。在初始调优之后，当所有收集器都应分配给预防模式下的策略时，如果需要进行故障排除，你可以将个别收集器临时移动到模拟组中。