Как да конфигурирате Synchronized Application Control (SAC)
Тази статия предоставя подробни стъпки как да се конфигурира Synchronized Application Control (SAC).
Synchronized Application Control (SAC) е разширение на Application Control(AC). Следователно AC трябва да бъде активиран в правилата за контролиране на трафик на защитната стена. Всяко приложение, което използва TCP връзки и е свързано към executable файл(.ехе) се отчита от крайната работна станция. Клиентите трябва да инсталират endpoint protection или intercept X или и двете, после да участват в Early Access Program(EAP), ако е нужно. Само връзки, който не са познати от IPS контрол на апликации се докладват от SAC.
Нужен е Sophos Central акаунт, за да включим SAC. SAC е услуга на защитната стена, която получава информация от Endpoint чрез Security Heartbeat и съответно тази функция му е нужна.
Прегледайте статията за това как да инсталираме Security Heartbeat при включване на услугата. За услугите ще ви е нужен валиден абонамент за Network Protection и Endpoint.
Отнася се за следните продукти:
Sophos XG Firewall
Как да конфигурираме SAC
След като регистрирате защитната стена на Sophos с нашият Sophos Central Account. Отидете в Central Synchronization и стартирайте Synchronized Application Control. Ще бъдете уведомени че Security Heartbeat е нужна за тази услуга, изберете ОК.
(кликнете тук, за да видите изображението в пълен размер)
Когато защитната стена на Sophos получи следващият heartbeat, приложенията, които не се знаят от IPS-а ще бъдат изписани в SAC под менюто Applications > Synchornized Application Control.
Приложенията, който са засечени, след това могат да бъдат персонализирани като им въведете подходящо име и категория.
Съответните политики след това могат да бъдат конфигурирани според катогероията на приложението.
(кликнете тук, за да видите изображението в пълен размер)
Забележка:
Само приложенията, който използват TCP и се докладват от endpoint-а са отбелязани. UDP връзки не се докладват.
Поне 8 бита от информация са нужни за да се докладва заплаха/проникване и да бъде приложена политиката на докладваната връзка.
Едно приложение може да стартира няколко изпълними файла, в такъв случай има вероятност те да бъдат докладвани като едно приложение. Това може да предизвика проблем в IPS контрола ако едно такива приложение вече е било докладвано.
Подобрения в SAC v17.5
Като допълнение на подобренията в v17.1, SAC добавя и така желаната възможност да може да разделяте приложения от Windows и MAC в отделни списъци.
Също така може да скривате приложения с новата опция за филтриране.
(кликнете тук, за да видите изображението в пълен размер)
Има и нова опция да маркирате вече видяни приложения от списъка “new” с цел премахване.
(кликнете тук, за да видите изображението в пълен размер)
Подобрения има и в изписването на директориите на приложението.
(кликнете тук, за да видите изображението в пълен размер)
Ръководството на английски език: Sophos XG Firewall: How to configure Synchronized Application Control (SAC)