Как да конфигурирате Synchronized Application Control (SAC)

Тази статия предоставя подробни стъпки как да се конфигурира Synchronized Application Control (SAC). 

Synchronized Application Control (SAC) е разширение на Application Control(AC). Следователно AC трябва да бъде активиран в правилата за контролиране на трафик на защитната стена. Всяко приложение, което използва TCP връзки и е свързано към executable файл(.ехе) се отчита от крайната работна станция. Клиентите трябва да инсталират endpoint protection или intercept X или и двете, после да участват в Early Access Program(EAP), ако е нужно. Само връзки, който не са познати от IPS контрол на апликации се докладват от SAC.

Нужен е Sophos Central акаунт, за да включим SAC. SAC е услуга на защитната стена, която получава информация от Endpoint чрез Security Heartbeat и съответно тази функция му е нужна.

Прегледайте статията за това как да инсталираме Security Heartbeat при включване на услугата. За услугите ще ви е нужен валиден абонамент за Network Protection и Endpoint.

 

Отнася се за следните продукти:
Sophos XG Firewall



Как да конфигурираме SAC

След като регистрирате защитната стена на Sophos с нашият Sophos Central Account. Отидете в Central Synchronization и стартирайте Synchronized Application Control. Ще бъдете уведомени че Security Heartbeat е нужна за тази услуга, изберете ОК.

 

(кликнете тук, за да видите изображението в пълен размер)

 

Когато защитната стена на Sophos получи следващият heartbeat, приложенията, които не се знаят от IPS-а ще бъдат изписани в SAC под менюто Applications > Synchornized Application Control.

Приложенията, който са засечени, след това могат да бъдат персонализирани като им въведете подходящо име и категория.

Съответните политики след това могат да бъдат конфигурирани според катогероията на приложението.

 

(кликнете тук, за да видите изображението в пълен размер)

 

Забележка:

  • Само приложенията, който използват TCP и се докладват от endpoint-а са отбелязани. UDP връзки не се докладват.

  • Поне 8 бита от информация са нужни за да се докладва заплаха/проникване и да бъде приложена политиката на докладваната връзка.

  • Едно приложение може да стартира няколко изпълними файла, в такъв случай има вероятност те да бъдат докладвани като едно приложение. Това може да предизвика проблем в IPS контрола ако едно такива приложение вече е било докладвано.

 

Подобрения в SAC v17.5

 

Като допълнение на подобренията в v17.1, SAC добавя и така желаната възможност да може да разделяте приложения от Windows и MAC в отделни списъци.

Също така може да скривате приложения с новата опция за филтриране.

(кликнете тук, за да видите изображението в пълен размер)

 

Има и нова опция да маркирате вече видяни приложения от списъка “new” с цел премахване.

(кликнете тук, за да видите изображението в пълен размер)

 

Подобрения има и в изписването на директориите на приложението.

(кликнете тук, за да видите изображението в пълен размер)

 


 Ръководството на английски език: Sophos XG Firewall: How to configure Synchronized Application Control (SAC)

Свързани материали