策略在收集器组级别分配。为了充分保护,每个组应分配以下策略之一:执行预防、勒索软件预防、泄漏预防、通信控制和剧本。如果在组织中使用设备控制和扩展检测,还应该分配设备控制和扩展检测策略。
可以为一个策略分配多个组。
请注意,当滑块显示保护时,就像在上图展示的示例中所做的那样,这并不意味着每个收集器都被分配给保护模式下的策略。在模拟模式下,仍然可以将一些收集器组分配给策略。单击主滑块旁边的向下箭头,可以查看每种策略保护多少收集器的详细情况。例如,在右侧的甜甜圈图中,你可以看到94.1%的收集器被分配给了处于保护模式的“exfiltering Prevention”策略。这个数字会因策略类型而异。当主滑块设置为Simulation时,所有策略都设置为Simulation模式,并且没有任何收集器组被积极保护。
如果要将收集器置于模拟模式中作为故障排除的一部分,最好的方法是将单个收集器移动到指定的模拟组中,而不是干扰整个组。故障排除完成后,将收集器移回原来的组中。
FortiEDR NGAV引擎由机器学习驱动。我们的研究团队将数百万预先分类好的和坏的文件样本以及真实的恶意软件输入NGAV引擎。然后,它生成一种算法,以确定一个文件可能是安全的还是恶意的。相比之下,基于签名的系统一次只能加载少量的签名,而且它无法检测到以前从未见过的恶意软件。
Fortinet不断向NGAV引擎添加样本,使算法保持最新。你可以通过定期的内容更新接收这些更新,并将其上传到控制台。
NGAV是如何工作的?当一个文件在设备上被保存、读取或执行时,收集器会根据NGAV引擎检查它。FortiEDR实时检查文件,并根据文件恶意的可能性给它打分。分数越高,说明该文件是恶意文件的可能性越大。超过90%的分数表明该文件是恶意文件的高度确定性。根据分配的分数,NGAV引擎决定是否允许、阻塞或记录文件。无论收集器是否在线,该进程都将工作。当收集器脱机时,它进入自治模式,并决定如何独立处理文件。
每个策略由一组规则组成,这些规则是开箱即用的。规则会根据其严重性自动分配一个动作(Log或Block)。如果需要,管理控制台用户可以更改单个规则的分配操作。每个规则也可以单独启用或禁用。默认情况下,大多数策略中的所有规则都是启用的,Fortinet不建议禁用这些规则。如果不想执行特定的规则,最好将其设置为Log。这样,当问题发生时,你就有了违规记录,但规则没有得到执行。
在“设备控制”中,默认禁用所有规则。找到你想要阻止的每个设备类的规则,然后单击状态图标将状态切换到Enabled。如果你的组织不需要限制USB设备,你可以让“设备控制”策略处于模拟模式,并禁用规则。没有设备将被阻止,并没有为USB设备生成通知,除非他们被感染和违反不同的安全策略的规则。
在该选项卡的底部是ADVANCED POLICY & RULE DATA,用于突出显示的策略和规则。如果它是折叠的,请单击白色箭头以展开窗格。首先是规则详细信息,你将看到规则的简要描述,以及Fortinet对于处理违反该规则的事件的建议。单击“工厂设置”将所选策略重置为初始状态。
例如,新部署的组应该以模拟模式分配给策略,直到调优完成。但是,即使在部署期间,高安全收集器组也应该始终分配给防御模式的策略。你需要在模拟模式下维护一组策略,在预防模式下维护另一组策略。
还可能有具有特定需求的收集器组,它们需要不同于其他组的设置。例如,开发人员可能需要禁用某些规则,因为他们日常工作的性质。你可以根据需要创建任意数量的策略副本。
通过克隆策略,可以创建自定义副本,应用于不同的组。选中一个现有策略旁边的复选框,然后单击克隆策略按钮。然后,你可以为副本分配一个新名称,并根据需要自定义其设置。通常,每种策略类型都应该有两个副本—一个在预防模式,一个在模拟模式。始终将高安全采集器组分配给防御模式的策略。在调优期间,这可以保护收集器以防感染。Fortinet建议创建一个名为Simulation的收集器组,应该将其分配给处于Simulation模式的策略。在初始调优之后,当所有收集器都应分配给预防模式下的策略时,如果需要进行故障排除,你可以将个别收集器临时移动到模拟组中。
844
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
