Sie können auf verschiedene Weise konfigurieren, wie Gateway Bedrohungen erkennt und auf sie reagiert. Wenn Sie die ACL -Regeln (Access Control List) so konfigurieren, dass der Zugriff auf Ziele zugelassen wird, kann Gateway weiterhin den Zugriff des Benutzers auf das Ziel blockieren, wenn eine potenzielle Bedrohung erkannt wird. Sie können auch steuern, welche Informationen auf dem Bildschirm „Netzwerkereignisse“ und in der Ansicht „Warnungen“ angezeigt werden können und was an die SIEM-Lösung oder den Syslog-Server gesendet wird, falls konfiguriert. Um den zusätzlichen Netzwerkschutz zu aktivieren, stellen Sie sicher, dass für jede ACL-Regel auch der Parameter „Adressen anhand Netzwerkschutz prüfen“ ausgewählt ist. Diese Einstellung ist standardmäßig aktiviert.

• Signaturerkennung: Sie können die Signaturerkennung verwenden, um eine tiefgreifende Erkennung von Netzwerkbedrohungen anhand der Signaturen der Netzwerkverbindung zu ermöglichen. Wenn die Signaturerkennung aktiviert ist, blockiert Gateway automatisch Verbindungen, bei denen Bedrohungen erkannt werden, wenn die ACL-Regel mit dem Ziel übereinstimmt, und überprüft den Netzwerkschutz. Wenn die Signaturerkennung deaktiviert ist, werden Bedrohungen protokolliert, die Verbindung wird jedoch nicht blockiert. Weitere Informationen zu einer Liste von Erkennungen und ihren Aktionen finden Sie unter Anzeigen der Netzwerkaktivität. Die Signaturerkennung ist standardmäßig aktiviert.
• Schutzmaßnahmen für das Ziel: Mithilfe der Reputation des Ziels können Sie potenziell schädliche IP-Adressen und FQDNs blockieren, die einer festgelegten Risikostufe entsprechen (niedrig, mittel oder hoch). Wenn diese Option aktiviert ist, ist die standardmäßige Risikostufe hoch. Gateway protokolliert und blockiert automatisch Verbindungen zu Zielen, die der festgelegten Risikostufe entsprechen, wenn das Ziel der ACL-Regel entspricht, und überprüft den Netzwerkschutz. Wenn die Schutzmaßnahmen für das Ziel deaktiviert sind, werden Bedrohungen protokolliert, die Verbindung wird jedoch nicht blockiert. Weitere Informationen zu einer Liste von Erkennungen und ihren Aktionen finden Sie unter Anzeigen der Netzwerkaktivität. Die Zielreputation ist standardmäßig aktiviert.
  Risikostufen verwenden eine Kombination aus maschinellen Lernmodellen (ML) und einer IP-Reputationsdatenbank für statische IP-Adressen, um zu bestimmen, ob ein Ziel potenzielle Bedrohungen enthalten könnte.

  • ML-Modelle: ML-Modelle weisen Zielen, auf die Ihre Benutzer möglicherweise zugreifen, ein Konfidenzniveau zu. Anhand der ML-Modelle wird kontinuierlich untersucht, ob ein Ziel potenzielle Bedrohungen enthalten könnte.
  • IP-Reputationsdatenbanken: Die IP-Reputationsdatenbank gibt Aufschluss über die Vertrauenswürdigkeit von IP-Adressen aus offenen und kommerziellen IP-Reputations-Feeds. Gateway nutzt die Reputations-Feeds, um den Risikograd einer IP-Adresse zu bestimmen. Gateway berücksichtigt die Anzahl der Anbieter, die ein bestimmtes Ziel für gefährlich befunden haben, und die Zuverlässigkeit der Quellen, bevor eine Risikostufe zugewiesen wird (wenn beispielsweise die Mehrheit der Quellen und IP-Reputations-Engines ein Ziel als potenzielle Bedrohung einstufen), weist Gateway dem Ziel eine hohe Risikostufe zu. Weitere Informationen zu Risikostufen finden Sie unter Risikoschwellenwert für Zielreputation. 

  Gateway wendet automatisch die Kategorie „Dynamisches Risiko“ und eine Unterkategorie auf Erkennungen der IP-Reputation an, die mithilfe einer Kombination aus ML-Modellen und IP-Reputationsdatenbank als potenziell schädliche Bedrohungen identifiziert wurden. Die Datenbanken ändern sich kontinuierlich, indem Zieleinträge hinzugefügt oder entfernt werden. Sie können auf dem Bildschirm „Netzwerkereignisse“ zusätzliche Metadaten und Details für Netzwerkereignisse anzeigen, die als dynamisches Risiko eingestuft wurden. Die Kategorie „Dynamisches Risiko“ umfasst die folgenden Unterkategorien:

  Beacon Command-and-Control DNS-Tunneling

  Malware Phishing Potenziell schädlich

  Verdächtige Website Domain Generation Algorithm (DGA)