教程篇(5.0) 05. 通信控制 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5

  在本课中，你将学习如何使用通信控制。

  在这节课中，你将学习上图显示的主题。

  通过展示通信控制能力，你将了解工作流程。

  首先，什么是通信控制？有些应用程序并不是恶意的，但是使用起来有内在的风险，例如任何torrent应用程序，比如BitTorrent。这些应用程序不会触发事件，因为它们不是恶意软件，但你可能希望主动阻止它们通过网络发送信息。

　　通信控制监控所有通过网络通信的应用程序。通过internet进行通信的应用程序构成了最大的安全风险，仅监控这些应用程序可以显著缩小问题集，以便你可以专注于潜在的漏洞。

　　通信控制使你能够选择阻止哪些应用程序进行通信。它们并没有从电脑中移除，只是通讯被阻断了。通信控制策略是在组级别分配的，就像安全策略一样，因此你可以允许一个组使用应用程序，但对另一个组禁用它。如果已知存在安全漏洞，你还可以阻止应用程序的特定版本，同时允许修复该问题的后续版本。

  为什么使用通信控制？第一个关键优势是避免阻碍生产力的因素。被阻塞的应用程序仍然可以执行，只是不能通信。其次是无摩擦控制，这减少了用户审批应用程序的请求数量。三是可管理性。安全性或IT只需要处理与外部通信的应用程序。第四，FortiEDR提供声誉评分。每个应用程序的每个版本都被分配一个分数，从1(已知的坏)到5(已知的好)。这些分数允许你轻松地识别潜在危险的应用程序。第五，FortiEDR使用最新的CVE数据为每个应用程序版本分配漏洞评分。这意味着你可以精确定位暴露的区域。最后，你可以通过自动阻止不希望的应用程序进行通信来降低风险。你可以设置规则来阻止符合指定条件的任何应用程序的任何版本。例如，你可以阻止信誉评分为1的任何程序、漏洞评分较高或严重的任何版本，或者来自指定供应商的任何应用程序。

  通信控制是如何工作的？它从FortiEDR收集器开始。收集器安装在内核级别，因此它可以看到设备上发生的一切。收集器正在监视的事情之一是哪些应用程序正在用户的终端设备上通信。它将数据发送到核心，进行评估。核心将文件散列发送给信誉服务，该服务返回一个信誉评分。核心还会查询CVE数据库，并接收每个应用程序版本的CVE列表。这个列表会不断更新，所以一旦发现新的漏洞，你就会得到通知。所有检测到的应用程序和版本都显示在管理控制台中，以及它们的信誉和漏洞分数，因此你可以很容易地发现有潜在问题的应用程序。每个应用程序和版本都可以根据手动设置或配置的规则进行通信或拒绝通信。核心将这些信息发送回收集器，收集器根据从核心接收到的判断来管理设备的连接。

  通信控制策略如何与安全策略一起工作？首先要知道的是操作的顺序。来自收集器的所有流量—每次执行程序、修改文件或连接到网络的尝试，都在核心处处理。首先处理安全策略。执行预防是在读取或执行文件时强制执行的。如果进程没有违反执行预防策略，收集器将监视任何连接到网络或修改文件的尝试。核心根据安全策略规则检查这些操作，并阻止任何可能是恶意的操作。如果该进程建立了一个连接，而FortiEDR确定该连接不是恶意的，那么该应用程序将通过通信控制进行评估。首先，基于通信控制策略规则对流程进行评估。应用程序是否名声不好或者存在已知的漏洞？它是由一个被屏蔽的供应商生产的吗？如果没有违反任何规则，则根据管理员或控制台用户预先选择的操作允许或拒绝通信。

　　操作顺序的原因是通信控制系统被设计用来跟踪合法应用程序，而不是恶意软件。这些应用程序可能有风险或不受欢迎，但它们实际上并不是恶意的。恶意软件由安全策略处理，并通过事件跟踪。恶意软件应用程序可能非常嘈杂，在某些情况下，数量非常多。单个事件可能包括多个尝试的连接。在恶意软件流量到达通信控制之前消除它可以让用户专注于跟踪合法的应用程序。

  FortiEDR可以根据你选择的标准主动阻止任何应用程序版本。这是一个很好的功能，因为它允许你阻止未来还不存在的版本。在你设置规则之后，符合你的标准的任何应用程序，例如，任何信誉评分为2或更低的应用程序，或者任何漏洞评分为危急的应用程序，都将被阻止进行通信。你还可以主动阻止特定供应商及其所有当前和未来的产品和版本。

　　设置风险缓解规则意味着你的攻击面要小得多。任何应用程序的任何版本都可以立即被自动阻止。你不需要在主机上花费大量时间评估每个版本，并屏蔽那些你不相信的版本。当严重威胁出现时，FortiEDR会立即阻止它们，并且你可以根据需要在自己的时间查看其他应用程序。例如，假设在旧版本的Java中发现了一个严重的漏洞。如果你设置了阻止任何具有关键漏洞的内容的规则，那么该版本将立即被阻止通信，防止恶意参与者利用该漏洞访问你的系统。其他版本的Java不受影响。

  漏洞评分是评估环境中风险的另一个很好的工具。Fortinet使用最新的CVE数据为每个应用程序版本分配漏洞评分。漏洞评分范围从未知(没有已知漏洞)到严重(高度可利用漏洞)。与信誉评分一样，应用程序的漏洞评分反映了其最脆弱的版本。这就是为什么在本例中，Firefox被列为“严重”的原因，尽管这里显示的一些版本有很高的漏洞得分，而其他版本没有已知的漏洞。单击某个版本可以查看已知漏洞及其严重性的列表。在上图显示的示例中，选择了一个具有关键漏洞的版本。你可以通过检查版本详细信息窗格的顶部来查看选择了哪个版本。你可以看到有41个已知的CVE。记住，漏洞是特定于版本的，所以如果突出显示应用程序而不是特定的版本，则不会看到任何漏洞。单击某个CVE标识符，可以在外部网站上查看该CVE的所有详细信息。注意，在这种情况下，并非所有的漏洞都是关键的。FortiEDR根据一个版本的最容易被利用的漏洞来打分。这再次将你的注意力引向潜在的问题。具有至少一个关键CVE的版本被评为关键，具有至少一个关键版本的应用程序被评为关键。提醒你，只有当你拥有“预测和保护”或“预测、保护和响应”许可证时，你才能看到漏洞数据。

  现在你将了解管理控制台中的COMMUNICATION CONTROL。首先对Applications子选项卡进行非常高级的概述。你可以通过单击COMMUNICATION CONTROL选项卡并选择Applications来访问此屏幕。你首先注意到的是应用程序列表。应用程序列表标识组织中进行过外部通信的所有应用程序。如果应用程序从未尝试建立连接，那么它不会显示在这里。单击一个应用程序可以查看该应用程序的所有版本，这些版本已经从你的环境通信。对于每个应用程序及其每个版本，你可以看到供应商、信誉评分、漏洞评级以及它试图通信的第一次和最后一次日期。

　　在右侧，你可以看到版本详细信息或应用程序详细信息窗格，这取决于你是突出显示了应用程序还是特定的版本。应用程序和版本(如果适用)显示在顶部。在下面，你可以看到为每个通信控制策略中突出显示的应用程序或版本分配的操作。在本例中，你正在查看有关Dropbox特定版本的信息，其中三个策略允许使用该版本，而另一个策略则拒绝使用该版本。你可以向下滚动查看更多策略。策略信息下面是漏洞窗格。如果突出显示的版本有已知的CVE，你可以在这里看到它们的列表。如果没有已知的漏洞，或者你已经选择了一个应用程序，但没有选择特定的版本，则不会看到此面板。

  你可以在Advanced Data面板中看到关于突出显示的应用程序的更多细节。应用程序信息部分显示了所选应用程序的以下高级信息：简要描述、第一次和最后一次连接时间以及进程名称。如果单击进程名左侧的省略号，可以在VirusTotal上搜索该应用程序，也可以通过散列或文件名搜索威胁查找数据库。

　　在“应用使用情况”区域，可以查看所选应用的每天连接数总和和采集器组间的分布情况。单击“更多”，可查看设备的详细信息，如设备名称，并可导出为Excel文件。在Destinations部分中，你可以查看所选应用程序通信的最后5个IP地址。你还可以单击“更多”以查看最多50个目的地的更完整列表，并将该列表导出到Microsoft Excel文件。

  看看如何导航应用程序列表。首先，可以对应用程序进行排序。默认情况下，应用程序是按第一次看到它们通信的日期列出的。如果要按不同的条件排序，请单击列标题。然后，使用顶部的箭头浏览列表。应用列表中同时显示10个应用。

　　你还可以筛选应用程序列表，以专注于特定的集合。使用左上角的状态过滤器只查看已解析或未解析的应用程序、未知供应商的应用程序、低信誉或关键CVE、未读应用程序或所有应用程序。高级筛选器允许你自定义筛选器并基于该筛选器创建规则。

　　最后，你可以使用搜索功能。你可以在搜索栏中输入搜索词，或者单击搜索栏右侧的灰色箭头进行高级搜索。在“搜索应用程序”窗口中，你可以使用右下角图片中显示的条件的任意组合：应用程序名称、供应商和版本、证书状态、信誉、连接日期、选择的操作，等等。完成后，单击搜索栏中的X以清除结果。

  仔细看看信誉评分。当你决定应该允许哪些应用程序和版本进行通信时，信誉评分非常有用。每个新散列都被发送到信誉服务，信誉服务返回一个1(糟糕)到5(可信)的分数。评分结果将显示在应用列表中，方便用户快速识别潜在威胁。你可以设置规则来阻止与信誉评分较低的应用程序版本的通信。

　　注意，每个应用程序版本都有自己的信誉评分。应用评分是基于其版本的最低信誉评分。所以，在这个例子中，你可以看到Microsoft Office的得分是3，这意味着它的可靠性有多种证据。Microsoft Office是一个知名的、值得信任的应用程序，你可以看到它是由Microsoft签名的，那么为什么它的分数会很低呢？看看这些版本。它们中的大多数被评为5级，但位于列表顶端的一个较老的版本被评为3级。最低的分数应用于应用程序，以便管理控制台用户收到任何潜在问题的警报。换句话说，得分较低的应用程序表明，你应该检查不安全的应用程序版本，但同一应用程序的其他版本可能是安全的。你可以拒绝来自某个特定版本的应用程序的通信。在这种情况下，你可以选择阻止可能存在问题的版本，但允许所有评级为5的其他版本。

  通信控制策略可以在“通信控制”的“策略”子选项卡中找到。它们决定应用程序或版本是否可以通信。每个策略都有一个预设的默认动作“允许”或“禁止”。你可以通过列表中策略名称左侧的图标来确定策略的默认操作。灰色图标表示该策略默认允许通信。白色图标表示策略默认拒绝通信。你还可以通过单击策略查看其详细信息来查看默认策略操作。在上图的示例中，选择了默认通信控制策略，默认操作为允许。该策略是三个内置策略之一。其他内置策略(服务器策略和隔离策略)的默认动作为“拒绝”。在这些特殊情况下，更高的安全性超过了潜在的生产力抑制因素。大多数策略都应该有一个默认动作“允许”。

　　对于每个策略，你可以为默认操作创建例外。例如，如果默认操作是允许，你可以阻止各个应用程序或版本之间的通信。你将在本课后面详细地了解这个过程。

　　有两种方法可以设置异常。首先，你可以创建策略规则。规则允许你自动化通信控制。确定一组标准，FortiEDR将自动拒绝符合你的标准的任何应用程序或版本(当前或未来)的通信。你可以根据信誉评分、漏洞评级或供应商配置规则。控制台用户还可以根据需要手动允许或阻止应用程序或版本。因此，如果一个应用程序的声誉得分为3，但它在你的公司的屏蔽列表上，你可以将其设置为拒绝。

　　通信控制策略在收集器组级别分配。每个采集器组分配一个策略——默认为“默认通信控制策略”。策略可以根据你的需要分配任意多的组。每个策略允许或拒绝应用程序，因此可能允许应用程序在一个策略中通信，但在另一个策略中被拒绝。例如，你可能允许大多数用户使用特定的应用程序，但不允许HR使用该应用程序，因为HR要处理敏感数据。同样，Fortinet强烈建议在所有客户端策略中默认允许通信。

 正如你在前面了解到的，FortiEDR带有三个内置的通信控制策略：默认通信控制策略、隔离策略和服务器策略。创建采集器组时，会自动分配给“默认通信控制策略”。默认情况下，它允许所有应用程序通信。这个默认值无法更改，但你可以选择阻止不安全或不希望的应用程序或版本的通信。

　　第二个内置策略是服务器策略。这是默认情况下拒绝通信的少数情况之一，因为服务器需要更高程度的保护。FortiEDR会自动解锁一些绝对安全的常见应用程序，比如由微软签名的应用程序。检查应用程序列表，并允许运行服务器所需的任何应用程序。

　　最后是隔离策略。隔离策略与其他策略不同，因为不能将收集器组分配给隔离策略。如果设备受到感染并进入隔离模式，则该收集器将自动分配给隔离策略，而不管它属于哪个组。隔离是另一种少见的策略，默认设置为Deny。隔离模式是一种临时状态，目的是在设备修复之前遏制任何感染。这意味着该设备不能连接到试图传播其感染的网络。你应该只允许需要调查和修复设备的应用程序。

  现在仔细看看政策规则是如何运作的。如前所述，你可以使用规则主动减少攻击面。规则适用于现有应用程序和还没有安装到网络中的应用程序，甚至还没有开发的应用程序。

　　每个策略都有三条规则：一条基于信誉评分，一条基于漏洞评级，还有一条基于供应商。规则为默认操作创建例外。这意味着如果一个策略默认允许通信，这应该适用于几乎所有收集器，你可以使用规则拒绝不安全的应用程序或不安全的供应商。如果默认操作是拒绝(如服务器策略)，则可以使用规则允许来自可信供应商的通信。

　　缺省情况下，信誉和漏洞规则处于禁用状态。你可以通过单击State列中的Disabled图标来启用一个或两个规则。可以在“Enabled”和“Disabled”之间切换。编辑规则会自动将其状态设置为“启用”。

  答案：A

  答案：A

  现在你了解了通信控制工作流。接下来，你将了解如何配置通信控制策略。

  通过展示你在通信控制策略配置方面的能力，你将了解它们是如何工作的，并能够对它们进行微调。

  如何创建通信控制策略？如前所述，如果希望允许不同的用户组使用不同的应用程序，例如，如果希望对财务部门的限制大于对其他用户的限制，则需要创建其他策略。Fortinet还建议创建一个模拟策略来帮助你排除潜在的阻塞问题。

　　如果需要创建新策略，请克隆已有策略。选中克隆策略前的复选框，单击“克隆”。新策略具有与原始策略相同的设置，所有相同的阻塞和允许的应用程序，并且你可以根据需要更改策略规则和操作。请注意，你不能更改新策略的默认操作，因此请确保使用所需的默认操作克隆策略。在几乎所有情况下，这意味着你应该克隆默认通信控制策略或之前创建的克隆。

  规则有一个默认配置，你可以根据需要编辑它。有几种方法可以做到这一点。如果你正在编辑基于信誉或漏洞的规则，你可以使用高级过滤器从应用程序子选项卡编辑它。在上图展示的例子中，列表被过滤，只显示漏洞严重程度高或更高的应用程序。单击Setup rule查看该标准的所有可用策略的下拉列表。对于这个例子，你可以选择任何默认动作为Allow的策略。你可以看到选择了“默认通信控制策略”。选择策略后，只需单击Save和Enable。注意，每个策略只有一个基于每个标准的规则，所以你要替换现有的规则标准，而不是创建一个新的规则标准。在本例中，你更改了漏洞规则，以阻止具有高或严重漏洞评级的任何内容，而不是默认设置，默认设置仅阻止关键漏洞。

　　你还可以通过单击Policies子选项卡所在行的铅笔图标来编辑规则。你将看到应用程序列表，其中设置了Advanced Filter以显示当前规则参数。根据需要更改参数，然后单击Save和Enable。请注意，每个策略都有自己的一组规则，因此，如果你创建了多个策略，则必须在需要时分别编辑它们。这意味着你可以对需要更高安全性的组应用更严格的规则。

　　编辑供应商规则是一个不同的过程。你可以通过单击规则行中的铅笔图标，或者通过在高级筛选器下拉列表中选择供应商，来打开排除供应商窗口。选择每个供应商旁边的复选框，这些复选框应在标准策略中被视为拒绝异常，或在服务器或隔离策略中被视为允许异常。每个供应商都有一个Signed和Unsigned复选框，因此你可以拒绝处理敏感数据的组的所有未签名应用程序，或者在Servers策略中只允许来自可信供应商的已签名应用程序。

  就像安全策略一样，通信控制策略可以处于模拟或预防模式。在模拟模式下，没有任何应用程序被阻止通信。在预防模式下，根据所选择的设置允许或拒绝通信。策略处于模拟模式。你可以在完成调优阶段时启用它们，这将在本课后面介绍。隔离策略是例外。正如你前面了解到的，这种策略与其他策略的工作方式不同。其中一个不同之处在于它的模式，它被永久地设置为预防模式。这是为了确保处于隔离模式的受感染设备始终受到保护和包含。

　　规则也有自己的状态，你可以启用或禁用这些状态。基于信誉和漏洞的规则被立即禁用。这意味着不管选择的策略模式是什么，它们都不会被强制执行。当确定策略规则的正确设置时，单击行末尾的状态图标以启用它。这是一个切换，所以单击禁用图标(灰色和白色)来启用规则，或者单击启用图标(绿色目标)来禁用规则。一旦启用了规则，它将被强制执行，但只有当策略处于预防模式时才会执行。如果策略处于模拟模式，则不会执行规则。

　　换句话说，如果你想实施规则，请确保它的状态是启用的，并且它的策略处于预防模式。

  现在看看如何手动更改操作。你只需要更改应用程序或版本的操作，如果它没有被现有规则覆盖，并且你想要创建一个异常。在许多情况下可能需要这样做。首先，如果一个应用程序没有严重的漏洞，并且信誉评分为3分或更高，但它在一个预先存在的公司屏蔽列表中，你必须手动将其操作更改为拒绝。如果在调优过程中对应用程序进行评估并决定阻止它，或者决定在高安全性环境中阻止它，而在其他区域允许它，则必须手动将应用程序的操作更改为Deny。在“服务器策略”中，如果需要服务器正常工作，则必须将应用程序的操作更改为“允许”，而在“隔离策略”中，如果远程调查和纠正需要应用程序的操作，则应将其设置为“允许”。

　　你可以为单个策略或多个策略更改应用程序的操作。只需选择应用程序的复选框以选择所有版本，或选择单个版本，然后单击Modify Action。对于像默认通信控制策略这样的客户端策略(默认操作应该是允许)，请从每个策略旁边的下拉列表中选择“拒绝”，在这些策略中，你希望阻止所选的应用程序或版本。如果你选择了该应用程序及其所有版本，则该例外将应用于当前和未来的所有版本。在上图中显示的示例中，Acme Finance策略禁止所有版本的Dropbox和Dropbox Update。Dropbox本身并不是一个危险的应用程序；事实上，在上图的例子中，你可以看到最上面的版本有5分的信誉。一般来说，它是一个已知和可信的实体。但在本例中，你不希望在财务部门等敏感环境中允许Dropbox等文件共享应用程序，因此必须在该策略中将其更改为Deny。被指定为默认策略的用户仍然可以使用Dropbox。

　　在“服务器策略”和“隔离策略”中设置例外的过程相同，只是从策略下拉列表中选择“允许”而不是“拒绝”。

  应用报告是评估通信控制策略的一个很好的工具。生成报告时，列表会反映所选视图中显示的应用程序。例如，如果你进行搜索，则报告只包括搜索的结果。如果你过滤列表，也会发生同样的事情；如果只显示未解析的应用程序，则报告只显示未解析的应用程序。你还可以手动选择特定项目的复选框，以导出一小组应用程序。如果需要完整的报告，请将筛选器设置为All，清除所有搜索结果，并清除所有应用程序的复选框。获得想要导出的列表后，单击应用程序列表顶部的export，然后选择格式。你可以导出为PDF、Excel或JSON。这时会打开一个弹出窗口，显示进度。准备好报告后，单击蓝色的下载链接并将其保存到硬盘驱动器。

  现在仔细看看一般客户政策的决策过程。这些是应用于大多数用户的策略，默认操作是允许的。对于每个应用程序，在决定是否允许或拒绝该应用程序时询问以下问题。首先，应用程序是在现有的黑名单还是白名单上?如果是的话，你可以用这个列表来做决定。

　　如果没有，首先要查看应用程序的漏洞评级(如果你有访问权限的话)。如果评级是关键或高，阻止来自已知CVE版本的通信。记住，你可以配置规则来自动完成这一步，所以这应该只是再次检查。

　　接下来，查看信誉评分。阻挡任何得分为1或2的，允许任何得分为5的。同样，你可以在你的策略中设置规则，自动阻止任何名声不好的东西。如果它介于两者之间，或者标记为Unknown，那么下一个问题是：你信任供应商吗？如果是，请检查证书是否已签名。如果是，你可以允许该应用程序。如果它没有签名，或者你不一定信任供应商，那么就评估风险和好处。允许应用程序通信有已知的风险吗？阻断应用程序之间的通信是否会导致任何潜在的生产力抑制因素？用你的判断。你可以在网上搜索一下这份申请，看看其他公司是否信任它。

  检查服务器策略和隔离策略的过程非常简单。在查看服务器策略时，你需要问一个问题：应用程序是否需要进行通信以允许服务器按预期工作？如果是，请修改为Allow。如果服务器可以在没有它的情况下正常工作，则将其留在Deny。

　　检查隔离策略的过程与此类似。你需要知道应用程序是否需要通信以允许对受感染的设备进行必要的故障排除和修复。如果答案是“是”，则将操作更改为Allow。如果答案是否定的，那就选择Deny。

  查看详细信息后，应用程序版本被标记为已读。未读应用以粗体显示，已读应用以明文显示。当应用程序的所有版本都被读取后，该应用程序被标记为已读。通过选中项目复选框，并在“标记为已读”下拉列表中选择“标记为未读”或“标记为已读”，可以更改项目的状态。例如，你可能希望在不单击每个版本的情况下将应用程序标记为已读，或者如果希望其他人查看应用程序，则可能将其标记为未读。

  若要从到评审列表中删除应用程序或版本，必须更改该项的状态。

　　在检查项目并进行必要的策略更改之后，将其标记为已解析。将一个项目标记为已解析，告诉其他用户他们不需要检查该项目。

　　若要解析项，请打开“修改操作”窗口。你可以通过单击应用程序或版本旁边的灰色Unresolved图标来打开窗口，或者选中复选框并单击Modify Action。更改与项关联的操作后，单击Save并Resolve，可以简化工作流程。如果你不需要更改操作，则使用相同的过程，但不要进行任何更改。如果需要，你可以输入一个说明，然后单击保存和解决。请注意，如果将Applications筛选器设置为仅显示未解析事件，则在将应用程序标记为已解析后，该应用程序将不会显示在列表中。如果你需要再次找到它，你可以更改过滤器以显示所有。

　　在评估一个版本的声誉和已知的CVE后，FCS也可以将其标记为已解决的版本。如果发现了新的漏洞，FCS可能会将该版本标记为未解决，将其重新放到你的审查列表中。

  答案：B

  答案：A

  恭喜你！你已经完成了这一课。现在，你将回顾你在本课中涉及的目标。

  通过掌握本课涉及的目标，你学习了如何配置和管理通信控制策略和规则。

---