Professional Documents
Culture Documents
GravityZone Installation Guide-TH
GravityZone Installation Guide-TH
ฉบับภาษาไทย
P a g e 1 | 165
สารบัญ
P a g e 2 | 165
1. เกี่ยวกับ GravityZone - About GravityZone
GravityZone เป็ นผลิตภัณฑ์ปอ้ งกันและรักษาความปลอดภัยสาหรับองค์กร (Business Security) โดยนาเทคโนโลยี
Virtualization และ Cloud Services มาให้บริการ โดยรองรับเครื่องคอมพิวเตอร์ทงั้ Laptop, Servers, Virtualization
(Private/Public Cloud) และ Exchange mail servers.
GravityZone เป็ นผลิตภัณฑ์ท่มี ีคอนโซลการจัดการแบบรวมศูนย์ ที่พร้อมใช้งานในระบบคลาวด์ซ่งึ โฮสต์โดย Bitdefender
หรือบน Virtual appliance ที่ติดตัง้ ในสถานที่ของ บริษัท และเป็ นศูนย์กลางสาหรับการปรับใช้บงั คับใช้และจัดการนโยบาย
ความปลอดภัย ให้กบั เครื่องลูกข่ายทุกประเภท ทุกสถานที่
P a g e 3 | 165
2. GravityZone Protection Layers
• Antimalware
• Advanced Threat Control
• HyperDetect
• Advanced Anti-Exploit
• Firewall
• Content Control
• Patch Management
• Device Control
• Full Disk Encryption
• Security for Exchange
• Sandbox Analyzer
• Hyper Memory Introspection (HVI)
• Endpoint Detection and Response (EDR)
• Endpoint Risk Management (ERM)
• Security for Storage
• Security for Mobile
2.1 Antimalware
Antimalware Protection ใช้เทคนิคการสแกนด้วย Signature Base และ Heuristic analysis (B-HAVE)
เป็ นหลัก ในการตรวจจับ viruses, worms, trojans, spyware, adware, keyloggers, rootkits และ malicious
software ต่างๆ โดยใช้เทคโนโลยีของ Bitdefender Antimalware Scanning ในการสแกนหลายขัน้ ตอน
• ขัน้ พืน้ ฐาน, ใช้เทคโนโลยีท่วั ไปที่ทาการจับคู่สแกนไฟล์ เทียบกับฐานข้อมูล (Signature Database) โดย
ฐานข้อมูลนีจ้ ะประกอบไปด้วยข้อมูลเฉพาะเจาะจงของมัลแวร์ต่างๆ ที่มีการรูจ้ กั จากฐานข้อมูลหลัก
ของ Bitdefender และการสแกนด้วยฐานข้อมูลรูปแบบนีเ้ ป็ นการมั่นใจได้ว่าไฟล์ท่ตี รวจจับหากตรงตาม
ฐานข้อมูล ถือว่าไฟล์นนั้ เป็ นมัลแวร์จริงๆ ดังนัน้ ผูใ้ ช้งานจาเป็ นต้องทาการอัปเดตฐานข้อมูลให้ทนั สมัย
P a g e 4 | 165
อย่างสม่าเสมอและนอกเหนือจากนัน้ จาเป็ นต้องทาการอัปเดตช่องโหว่ของวินโดว์ และโปรแกรมต่างๆ
เพื่อป้องกันการโจมตีของมัลแวร์ท่อี าศัยช่องโหว่นนั้ ๆ
• ขัน้ ตอนที่สอง การตรวจจับไฟล์ท่ไี ม่ตรงตามฐานข้อมูล ไม่มีเอกสารอ้างอิง เป็ นมัลแวร์ชนิดใหม่ท่ียงั ไม่
เป็ นที่รูจ้ กั โดยอาศัยเทคโนโลยีท่เี รียกว่า B-HAVE ระบบการจาลองสภาวะแวดล้อมเสมือนจริง เพื่อ
ทดสอบพฤติกรรมของไฟล์ท่ตี อ้ งสงสัยว่าจะมีผลกระทบกับการทางานของระบบหรือไม่ หากตรวจพบจะ
ทาการป้องกันไม่ให้ไฟล์นนั้ ทางานหรือเปิ ดใช้
Scanning Engines
Bitdefender GravityZone สแกนเอนจิน้ สามารถกาหนดการตัง้ ค่าการสแกนแบบอัตโนมัติ เมื่อมีการสร้าง
แพ็กเกจการติดตัง้ (Security Agent Packages) โดยแบ่งประเภทของการสแกนดังนี ้
1. Local Scan การสแกนโดยใช้ทรัพยากรของเครื่องคอมพิวเตอร์นนั้ ๆ ซึ่งจะมีการเก็บ Signature ทัง้ หมด
ไว้ท่เี ครื่องของตนเอง
2. Hybrid Scan with Light Engines (Public Cloud) การสแกนโดยใช้ Signature บางส่วนในเครื่อง และ
บางส่วนส่งไปสแกนยัง Bitdefender Cloud ผลทาให้เครื่องใช้งานทรัพยากรน้อยลง
3. Central Scan in Public or Private Cloud การสแกนโดยใช้ทรัพยากรน้อยที่สดุ ด้วยอาศัยการสแกน
จากส่วนกลาง โดยติดตัง้ Security Server เพื่อรับการสแกนจากเครื่องลูกข่าย (มีใน Package
Advance Solution ขึน้ ไป) โดยเครื่องลูกข่ายจะไม่มีการเก็บ Signature ในตัวเครื่อง
4. Central Scan (Public or Private Cloud with Security Server) with fallback* on Local Scan (Full
Engines) เป็ นการสแกนผ่าน Security Server เป็ นหลัก หาก Security Server ไม่สามารถทางานได้ จะ
กลับมาใช้การสแกนแบบ Local Scan แบบข้อที่ 1 โดยอัตโนมัติและจะมีการเก็บ Signature ไว้ในเครื่อง
ลูกข่ายด้วย
5. Central Scan (Public or Private Cloud with Security Server) with fallback* on Hybrid Scan
(Public Cloud with Light Engines) เป็ นการสแกนผ่าน Security Server เป็ นหลัก หาก Security
Server ไม่สามารถทางานได้ จะกลับมาใช้การสแกนแบบข้อที่ 2 โดยอัตโนมัติ
หมายเหตุ Scan Engine ในแบบที่ 2-5 จะมีใน Package Advanced เป็ นต้นไป
P a g e 5 | 165
2.2 Advanced Threat Control
เทคโนโลยีการตรวจจับมัลแวร์ท่มี ีความสามารถในหลบหลีก กลไกการตรวจจับของโปรแกรมป้องกันไวรัส
สาหรับควบคุมภัยคุกคามขัน้ สูง (Advanced Threat) เป็ นการป้องกันอีกลาดับขัน้ โดยตรวจสอบไฟล์ท่ตี อ้ งสงสัย
อย่างต่อเนื่อง เช่น การรันไฟล์ สร้างไฟล์ ซ่อนไฟล์ การใช้งานหรือสร้างกระบวนการทางาน (Process) อื่นๆ การ
ปลอมโพรเซส การเข้าใช้งานในพืน้ ที่หน่วยความจา รวมทัง้ การยกระดับ การเพิ่มสิทธิ์ในการเข้าถึงไฟล์,
หน่วยความจาและการทางานอื่นๆ โดยจะนาพฤติกรรมของไฟล์เหล่านีม้ าวิเคราะห์ จัดลาดับการให้คะแนนและเมื่อ
ถึงระดับที่เป็ นภัยคุกคาม จะทาการแจ้งเตือนและหยุดการทางานของไฟล์หรือโปรแกรมนัน้ ๆ ทันที
2.3 HyperDetect
Bitdefender HyperDetect เป็ นขัน้ ตอนการรักษาความปลอดภัยเพิ่มเติมอีกลาดับชัน้ เพื่อตรวจจับภัยคุกคาม
ขัน้ สูงและพฤติกรรมที่น่าสงสัย ก่อนกระบวนการทางานของไฟล์หรือพฤติกรรมที่ตอ้ งสงสัยจะเริ่มขึน้ โดย
HyperDetect ประกอบไปด้วย การเรียนรูข้ องปัญญาประดิษฐ์ (Machine Learning) และเทคโนโลยีการตรวจจับภัย
คุกคามที่มองไม่เห็นหรือหลบซ่อน (Stealth Attack Detection Technology) เพื่อป้องกันภัยคุกคาม ได้แก่ การโจมตี
แบบ Zero-day attack, Advanced Persistent threats(APT), มัลแวร์ท่มี ีการทางานซับซ้อน, การโจมตีแบบไม่อาศัย
ไฟล์ในการประมวลผล (Fileless Attacks) ใช้คาสั่งผ่านเน็ตเวิรก์ เช่น PowerShell, Windows Management
Instrumentation ไปยังเครื่องลูกข่ายโดยตรง, การโจมตีจากช่องโหว่ของโปรแกรมต่างๆ, เครื่องมือของแฮ็คเกอร์,
โปรแกรมที่ไม่พงึ ประสงค์ และมัลแวร์เข้ารหัส (Ransomware)
2.4 Advanced Anti-Exploit
Advanced Anti-Exploit เป็ นเทคโนโลยีเชิงรุก เพื่อหยุดการโจมตีแบบ Zero-day attacks ที่หลบเลี่ยงการ
ตรวจจับและอาศัยช่องโหว่ของโปรแกรมในการโจมตี และแสวงหาประโยชน์จากเครื่องลูกข่ายผ่านทางช่องโหว่นนั้ ๆ
ในแบบเรียลไทม์ ลดความเสี่ยงของการเข้าใช้งานของหน่วยความจา โดยป้องกันโปรแกรมที่มีการใช้งานบ่อยๆ ได้แก่
เบราว์เซอร์ในการใช้งานอินเทอร์เน็ต (Browser), Microsoft Office, Acrobat Reader และโปรแกรมอื่นๆ ป้องกัน
การเข้าถึงกระบวนการทางานของโปรแกรม การแย่งใช้งานของกระบวนการทางาน (Hijacking Process).
2.5 Firewall
Firewall มีหน้าที่ในการควบคุมแอปพลิเคชันที่ทาการเข้าถึงระบบเครือข่ายและอินเทอร์เน็ต การเข้าถึงเครือข่าย
ต้องได้รบั การอนุญาต จากการควบคุมของแอปพลิเคชันจากฐานข้อมูลที่รูจ้ กั โดยอัตโนมัติ นอกจากนีไ้ ฟร์วอลล์ยงั
สามารถป้องกันการสแกนพอร์ต การจาการเข้าถึงไฟล์แชร์ และโหมดการแจ้งเตือนเมื่อมีการเชื่อมต่อ Wi-Fi
P a g e 6 | 165
2.6 Content Control
Content Control มีหน้าที่ในการควบคุม การเข้าถึงเนือ้ หาต่างๆ ตามกฎระเบียบข้อบังคับของบริษัท การรับส่ง
ข้อมูล การเข้าถึงเว็บไซต์ แอปพลิเคชันที่อนุญาต โดยผูด้ แู ลระบบสามารถกาหนดการใช้งาน แยกตามช่วงเวลาที่
กาหนด ป้องกันการเข้าถึงเว็บไซต์บางหมวดหมู่หรือบางเว็บไซต์ ตามสิทธิ์ของผูใ้ ช้งานทัง้ เวบไซต์และแอปพลิเคชัน
2.7 Patch Management
Bitdefender GravityZone สามารถทาการบริหารจัดการแพตซ์ได้อย่างสมบูรณ์แบบ ช่วยให้ระบบปฎิบตั ิการ
คอมพิวเตอร์และแอปพลิเคชันนัน้ อัปเดตให้ทนั สมัย ป้องกันช่องโหว่ต่างๆที่เกิดขึน้ และสามารถแสดงมุมมองที่
ครอบคลุมสถานะแพตซ์ของเครื่องลูกข่าย Patch Management เป็ นโมดูลที่มีการทางานที่หลากหลายรูปแบบ ได้แก่
การสแกนตามคาสั่งโดยทันที ตามกาหนดเวลาทัง้ แบบอัตโนมัติหรือกาหนดด้วยตนเอง สามารถแสดงรายงานแพตซ์
ที่ขาดหายไม่ได้ทาการอัปเดตให้ทนั สมัย และสั่งติดตัง้ จากส่วนกลางโดยทันทีหรือตามเวลาที่กาหนด
Patch Management เป็ นความสามารถเพิ่มเติมที่ใช้งานโดยแยก License Key ที่มอี ยู่ของ GravityZone package
2.8 Device Control
Device Control โมดูลทาหน้าที่ควบคุมการรั่วไหลของข้อมูลที่มีความสาคัญขององค์กรและป้องกันการ
ติดมัลแวร์จากการใช้งานอุปกรณ์ภายนอกมาเชื่อมต่อเครื่องคอมพิวเตอร์ โดยสามารถกาหนดนโยบายการเข้า
(Read/Write, Read Only) และบล็อกการใช้งานกับอุปกรณ์หลากหลายประเภท เช่น USB แฟลซไดร์ฟ อุปกรณ์บลู
ทูธ เครื่องเล่นซีดี/ดีวีดี และ อุปกรณ์เก็บข้อมูลอื่นๆ
2.9 Full Disk Encryption
การป้องกันของโมดูลนีช้ ่วยให้สามารถจัดการ การเข้ารหัสฮาร์ดดิสก์แบบเต็มรูปแบบบนเครื่องลูกข่ายทัง้
BitLocker ของระบบปฎิบตั ิการ Windows และ File Vault ของระบบ MacOS สามารถทาการเข้ารหัสและถอดรหัส
ในบูตวอลลุมซ์ หรือไม่ใช้บูตวอลลุมซ์ เพียงไม่กี่คลิก โดยผูใ้ ช้งานไม่ตอ้ งยุ่งยากในการจัดการ นอกจากนี ้
GravityZone ยังทาการจัดเก็บคียใ์ นการกูค้ ืนข้อมูล การปลดล๊อกข้อมูล กรณีผใู้ ช้งานลืมรหัสผ่าน
Full Disk Encryption เป็ นความสามารถเพิ่มเติมที่ใช้งานโดยแยก License Key ที่มอี ยู่ของ GravityZone package
2.10 Security for Exchange
Bitdefender Security for Exchange เป็ นโมดูลในการป้องกันมัลแวร์ antispam anti-phishing ไฟล์แนบและ
เนือ้ หาต่างๆ ที่ทางานร่วมกับ Microsoft Exchange Server อย่างไร้รอยต่ออย่างมีประสิทธิภาพ เพื่อมั่นใจในการส่ง
ข้อความ จดหมายต่างๆ ได้อย่างปลอดภัย
P a g e 7 | 165
2.11 Application Control
Application Control ป้องกันมัลแวร์และ Zero-day attack จากการใช้งานหรือติดตัง้ แอปพลิเคชันที่ไม่ปลอดภัย
ไม่น่าไว้วางใจและมีความเสี่ยง มีความยึดหยุ่นในการใช้งานสามารถกาหนด White List แอปพลิเคชันที่ปลอดภัย
และไว้วางใจให้สามารถใช้งานได้
2.12 Sandbox Analyzer
Bitdefender Sandbox Analyzer เป็ นอีกขัน้ ตอนการป้องกันภัยคุกคามขัน้ สูง โดยทาการวิเคราะห์ไฟล์ท่นี ่า
สงสัยแบบอัตโนมัติในเชิงลึก ในระหว่างที่ Bitdefender antimalware engine ยังไม่สามารถวิเคราะห์หรือรูจ้ กั ไฟล์
นัน้ ในการป้องกันมัลแวร์
Bitdefender Sandbox ใช้เทคโนโลยีภายใต้ Bitdefender ดาเนินการทดสอบไฟล์ payloads ที่มีอยู่ ใน
สภาพแวดล้อมเสมือนที่สร้างโฮสต์โดย Bitdefender วิเคราะห์พฤติกรรมของพวกเขาและรายงานการเปลี่ยนแปลง
ระบบย่อยๆ ที่บ่งบอกถึงเจตนาร้าย Sandbox Analyzer จะส่งไฟล์ท่นี ่าสงสัยที่อยู่ในเครื่องลูกข่ายไปวิเคราะห์โดย
อัตโนมัติ จากโมดูลฮิวริสติกเฉพาะที่ฝังอยู่ในโมดูล Antimalware on-access จาก Bitdefender Endpoint Security
กระบวนการส่งไฟล์ไปวิเคราะห์ยงั Sandbox สามารถป้องกันภัยคุกคามที่ไม่รูจ้ กั บนเครื่องลูกข่าย มีการทางาน
ในโหมดต่างๆ เช่น การตรวจสอบการบล็อก การอนุญาตหรือปฏิเสธการเข้าถึงไฟล์ท่นี ่าสงสัยจนกว่าจะได้รบั การ
ตัดสิน จากการวิเคราะห์ใน Sandbox ป้องกันภัยคุกคามที่คน้ พบโดยอัตโนมัติตามนโยบายความปลอดภัย
นอกจากนีห้ ากเป็ นกรณีนี ้ Sandbox Analyzer ช่วยให้คณ
ุ สามารถส่งไฟล์ท่นี ่าสงสัยได้โดยตรงจากโปรแกรมควบคุม
จากส่วนกลางให้คณ ุ ตัดสินใจว่าจะทาอะไรต่อไป
2.13 Hyper Memory Introspection (HVI)
เป็ นที่ทราบกันอย่างกว้างขวางว่าผูโ้ จมตี ที่มีการควบคุมระยะไกลและแสวงหาผลกาไรจากช่องโหว่ท่ไี ม่รูจ้ กั
(ช่องโหว่แบบ zero-day) หรือใช้ช่องโหว่แบบ one-off ที่สร้างเพื่อจุดประสงค์อย่างใดอย่างหนึ่ง (ช่องโหว่แบบ zero-
day) และเครื่องมืออื่นๆ ผูโ้ จมตียงั ใช้เทคนิคขัน้ สูงเพื่อชะลอการตรวจจับและจัดลาดับการโจมตีเพื่อปกปิ ดกิจกรรมที่
เป็ นอันตราย การโจมตีท่ขี บั เคลื่อนด้วยการแสดงหาผลประโยชน์ถูกสร้างขึน้ เพื่อหลบซ่อนตัวและเอาชนะเครื่องมือ
รักษาความปลอดภัยแบบดัง้ เดิม
สาหรับสภาพแวดล้อมเสมือนจริง (Visualization Environment) ปัญหาเหล่านีไ้ ด้รบั การแก้ไขแล้วในขณะนี ้ ด้วย
Hyper Memory Introspection (HVI) ในการป้องกันศูนย์ขอ้ มูล (Data Center) ที่มีความหนาแน่นสูงของข้อมูลจาก
การทางานของระบบเสมือน (Virtual Machine ) ให้ปลอดภัยจากภัยคุกคามขัน้ สูงและซับซ้อน ที่ระบบการตรวจจับ
แบบปกติไม่สามารถป้องกันได้ (signature-based engines), HVI สามารถสร้างความมั่นใจในการตรวจจับการ
โจมตีแบบเรียลไทม์ปิดกัน้ มัลแวร์ท่ีเกิดขึน้ และกาจัดภัยคุกคามทันที
P a g e 8 | 165
ไม่ว่าจะเป็ นระบบปฎิบตั ิการทัง้ Windows หรือ Linux เซิรฟ์ เวอร์หรือเดสก์ท็อป การสแกนของ HVI จะให้ขอ้ มูล
เชิงลึกจากการสแกนมัลแวล์ในระดับที่คาดไม่ถึงของแต่ละเครื่องเสมือน (Virtual Guest) เช่นการทางานของไฮเปอร์
ไวเซอร์ท่คี วบคุมการทางาน การเข้าถึงฮาร์ดแวร์ในแต่ละเครื่องเสมือน (Virtual Guest) โดย HVI มีความสามารถใน
การเข้าถึงการทางานทัง้ ในโหมดผูใ้ ช้งานและเคอร์เนลในหน่วยความจาของแต่ละเครื่องเสมือน (Guest Memory) ทา
ให้ HVI เข้าใจอย่างลึกซึ่งในการสแกนระบบเสมือน
HVI ทางานแยกออกจากเครื่องเสมือน (Virtual Guest) ที่ได้รบั ป้องกัน เช่นเดียวกับไฮเปอร์ไวเซอร์ท่ถี กู แยก
ออกมาดาเนินงานในระดับไฮเปอร์ไวเซอร์ ประโยชน์จากการทางานในระดับฟั งก์ชนั ของไฮเปอร์ไวเซอร์ HVI สามารถ
เอาชนะความท้าทายทางเทคนิคการรักษาความปลอดภัยแบบดัง้ เดิม เพื่อเปิ ดเผยการกระทากรรมที่เป็ นอันตรายใน
ศูนย์ขอ้ มูล (Data Center)
HVI สามารถระบุเทคนิคการโจมตีมากกว่ารูปแบบการโจมตีปกติ ด้วยวิธีนีจ้ ึงระบุรายงานและป้องกันไม่ให้มีการ
ใช้เทคนิคต่างๆ ในการหาประโยชน์จากช่องโหว่ (Exploitation techniques) เคอร์เนลได้รบั การปกป้องการโจมตีจาก
เทคนิค Hooking technic, Rootkit รวมทัง้ ปกป้องในโหมดผูใ้ ช้งานจาก code injection code, stack และ heap
HVI เป็ นความสามารถเพิ่มเติมที่ใช้งานโดยแยก License Key ที่มีอยู่ของ GravityZone package
2.14 Endpoint Detection and Response (EDR)
Bitdefender EDR ทาหน้าที่คน้ หาและตอบสนองภัยคุกคามขัน้ สูงแบบอัตโนมัติ โดยรวบรวมองค์ประกอบ
ความสัมพันธ์ของเหตุการณ์ (Event) และการกระทาต่างๆของเครื่องลูกข่าย เพื่อระบุภยั คุกคามขัน้ สูงหรือการโจมตีท่ี
กาลังดาเนินอยู่ โดย EDR เป็ นส่วนหนึ่งของ Endpoint Protection เพิ่มความเป็ นอัจฉริยะในการตรวจจับภัยคุกคาม
ให้กบั ระบบเน็ตเวิรก์ ทาให้ผดู้ แู ลระบบสามารถทาการตอบสนองและป้องกันภัยคุกคามขัน้ สูงได้
Bitdefender Endpoint Security Tools ที่ติดตัง้ บนเครื่องลูกข่าย เราสามารถเปิ ดใช้งานด้วยโมดูลที่เรียกว่า
EDR เซ็นเซอร์ เพื่อทาการเก็บข้อมูลเมตาดาต้า (Metadata) ของฮาร์ดแวร์และระบบปฏิบตั ิการ ตามเฟรมเวิรก์
ไคลเอ็นต์ – เซิรฟ์ เวอร์ เพื่อประมวลผลทัง้ สองด้าน
EDR คอมโพแนนท์จะส่งรายละเอียดของเหตุการณ์ท่ีตรวจเจอ พร้อมแผนผังการทางานของเหตุการณ์ การ
โต้ตอบการดาเนินการ รวมเข้ากับ Sandbox Analyzer และ HyperDetect เพื่อวิเคราะห์และประมวลผล
P a g e 9 | 165
2.15 Endpoint Risk Management (ERM)
Endpoint Risk Management (ERM) ทาหน้าที่ในการประเมินและแก้ไขจุดอ่อน ความเสี่ยงด้านความปลอดภัย
ของระบบปฎิบตั ิการ Windows บนเครื่องลูกข่าย โดยการสแกนความเสี่ยงที่จะเกิดขึน้ ในเครื่องลูกข่าย แสดงผล
ออกมาเป็ นภาพรวมตัวชีว้ ดั ดัชนี แสดงสถานะความเสี่ยงต่างๆ ผ่านหน้าแดชบอร์ด โดยผูบ้ ริหารเครือข่ายสามารถทา
การแก้ไขและรับคาแนะนาความปลอดภัยด้านความเสี่ยงนัน้ ๆ ได้โดยอัตโนมัติผ่าน GravityZone Control Center
2.16 Security for Storage
GravityZone Security for Storage ให้การปกป้องแบบเรียลไทม์สาหรับการแชร์ไฟล์และระบบจัดเก็บข้อมูล
เครือข่ายชัน้ นา การอัปเกรดอัลกอริทมึ ระบบตรวจจับภัยคุกคามเกิดขึน้ โดยอัตโนมัติโดยหรือหยุดชะงัก การทางาน
สาหรับผูใ้ ช้ปลายทาง
GravityZone Security Servers สามารถทางานมากกว่าสองแพลตฟอร์ม ในการทาหน้าที่ของ ICAP เซิรฟ์ เวอร์
ที่ให้บริการ Antimalware ไปยังอุปกรณ์ Network-Attached Storage (NAS) และระบบแบ่งปันไฟล์ท่สี อดคล้องกับ
Internet Content Adaptation Protocol (ICAP ตามที่กาหนดไว้ใน RFC 3507)
เมื่อผูใ้ ช้รอ้ งขอให้เปิ ดอ่าน เขียนหรือปิ ดไฟล์จากแล็ปท็อป เวิรก์ สเตชัน อุปกรณ์พกพาหรืออุปกรณ์อ่นื ไคลเอ็นต์
ICAP (NAS หรือระบบแชร์ไฟล์) จะส่งการสแกนไปยัง Security Server และรับคาตัดสิน เกี่ยวกับไฟล์ Security
Server อนุญาตให้เข้าถึง ปฏิเสธการเข้าถึงหรือลบไฟล์ทงั้ นีข้ นึ ้ อยู่กบั ผลลัพธ์จากการสแกน
Security for Server เป็ นความสามารถเพิ่มเติมที่ใช้งานโดยแยก License Key ที่มีอยู่ของ GravityZone package
2.17 Security for Mobile
การรักษาความปลอดภัย ควบคุมและจัดการ ของอุปกรณ์ iPhone, iPad และ Android และอุปกรณ์พกพา
ทัง้ หมด ให้ปฏิบตั ิตามกฎระเบียบขององค์กร ด้วยการจัดหาซอฟต์แวร์ท่เี ชื่อถือได้และกระจายการอัปเดตของ Apple
หรือ Android โซลูชนั ดังกล่าวได้รบั การออกแบบมาเพื่อให้สามารถควบคุม การนาอุปกรณ์ BYOD มาใช้ รวมถึง
คุณสมบัติดา้ นความปลอดภัย หน้าจอ GravityZone Protection Layers Block, การควบคุมการเข้าถึงด้วยรหัสผ่าน,
แสดงตาแหน่งที่ตงั้ (Location) , การลบข้อมูลจากระยะไกล (Remote wipe), การตรวจจับอุปกรณ์ท่ีรูท (Root) หรือ
เจลเบรค (Jail Break) สาหรับอุปกรณ์ Android ระดับความปลอดภัยนัน้ ได้รบั การปรับปรุงด้วยการสแกนแบบ
เรียลไทม์และการเข้ารหัสของอุปกรณ์เก็บข้อมูลภายนอก (Removable media )
P a g e 10 | 165
3. GravityZone Architecture
GravityZone โซลูช่นั มีสว่ นประกอบดังต่อไปนี:้
• Web Console (Console Center)
• Security Server
• Security Agents
3.1 Web Console (Console Center)
Bitdefender Security Solution เป็ นการรักษาความปลอดภัยแบบรวมศูนย์ ควบคุมการทางานผ่านเว็บคอนโซล
(Web Console) ที่มีการจัดการง่ายและครอบคลุมระบบรักษาความปลอดภัยทุกโมดูลที่มี ทัง้ ระบบเสมือน (Virtual)
เครื่องคอมพิวเตอร์ตงั้ โต๊ะ เเล็ปท๊อป เครื่องเซิรฟ์ เวอร์แม่ข่ายและ Amazon Instance. ด้วยความสามารถของ
GravityZone สามารถทาการบริหารจัดการจ่ายส่วนกลางทัง้ องค์กรทัง้ ไปจนถึงองค์กรขนาดใหญ่ (Largest
Organization)
3.2 Security Server
Security Server เป็ นเครื่องเสมือน (Virtual Machine) ที่แยกออกมาทาหน้าที่โดยเฉพาะเพื่อเป็ นเซิรฟ์ เวอร์
ศูนย์กลางในการทาหน้าที่รบั การสแกนมัลแวร์ (Antimalware Scan Server) จากเครื่องลูกข่าย ที่มีฟังก์ชนั การ
สแกนมัลแวร์ท่ีปอ้ งกันการสแกนข้อมูลที่ซา้ ซ้อน. Security Server สามารถติดตัง้ ได้มากกว่าหนึ่งโฮสต์หรือหลาย
โฮสต์เพื่อรองรับข้อมูลที่สง่ มาสแกนมัลแวร์จานวนมากจากเครื่องลูกข่าย
3.3 Security Agents
ปกป้องเครื่องคอมพิวเตอร์ลกู ข่ายด้วย Bitdefender จะต้องติดตัง้ GravityZone agent ที่เหมาะสมในเครื่องลูก
ข่าย ดังต่อไปนี ้
• Bitdefender Endpoint Security Tools
• Bitdefender Security for Mac
Bitdefender Endpoint Security Tools
Bitdefender Endpoint Security Tools (BEST) เป็ นซอฟต์แวร์ติดตัง้ บนเครื่องลูกข่าย ทัง้ แบบ Physical
และ Virtual Environment โดยสามารถติดตัง้ ได้ทงั้ ระบบปฎิบตั ิการ Windows, Linux ทัง้ แบบ Desktop และ Server
ซึ่งเป็ นเอเจนต์สาหรับรักษาความปลอดภัย (Antivirus Agent) ให้กบั เครื่องคอมพิวเตอร์ ด้วยเทคโนโลยีของ
Bitdefender นอกจากนีย้ งั สามารถติดตัง้ ได้บนระบบเมล์เซิรฟ์ เวอร์สาหรับ Microsoft Exchange Server โดย
P a g e 11 | 165
Bitdefender Endpoint Security Tools นัน้ จะรับการตัง้ ค่าจากส่วนกลางแบบ Single Policy ที่รองรับทัง้ สภาวะจริง
หรือระบบเสมือน (physical or virtual)
Bitdefender Endpoint Security for Mac
Bitdefender Endpoint Security for Mac เป็ น Security Agent ที่ออกมาเพื่อรองรับการป้องกันความปลอดภัยบน
เครื่องที่ใช้งาน Intel-Base Macintosh ไม่ว่าจะเป็ นเวิรก์ สเตชั่นหรือแล็ปท็อปที่ใช้ Intel เทคโนโลยี โดยมีเทคโนโลยีความ
ปลอดภัยในการแก้ไฟล์ทงั้ แบบ Local Scan และเนือ้ หาต่างๆที่จดั เก็บไว้ในเครื่อง
Bitdefender Endpoint Security for Mac มีโมดูลในการป้องกันดังนี ้
• Antimalware
• Content Control
• Device Control
• Full Disk Encryption
3.4 Power User
ผูด้ แู ลระบบจากส่วนกลางสามารถให้สิทธิ์แก่ผใู้ ช้งานปลายทางเป็ น Power Usre ผ่านการตัง้ ค่าในโมดูล Power User เพื่อ
เปิ ดใช้งานสิทธิ์การดูแลระบบในระดับผูใ้ ช้ ทาให้ผใู้ ช้ปลายทางสามารถเข้าถึงและแก้ไขการตัง้ ค่าความปลอดภัยผ่านโลคัล
คอนโซล (Local Console) ผูด้ แู ลระบบจากส่วนกลางจะได้รบั แจ้งเมื่อปลายทางอยู่ในโหมด Power User และผูด้ แู ลระบบ
สามารถรีโมตเขียนทับการตัง้ ค่าความปลอดภัยจาก Power User ในเครื่องได้เสมอ
Power user โมดูลรองรับการเท่างานเฉพาะ Windows Desktop และ Server Operation Systems เท่านัน้
3.5 Relay
Endpoint Security Tools Relay Roles เป็ นโมดูลเพิ่มเติมจากการทางานของ Endpoint Agent นอกจากจะทาหน้าที่
ป้องกันภัยคุกคามต่างๆ รวมทัง้ มัลแวร์ ยังเพิ่มเติมความสามารถในการให้บริการการอัปเดตฐานข้อมูลของมัลแวร์ (Update
Signature Server) และยังทาหน้าที่เป็ นตัวกลางของการเชื่อมโยงการสื่อสารระหว่างเครื่องลูกข่ายไปยัง GravityZone Server
เพื่อลดการใช้งานการรับส่งข้อมูลของเน็ตเวิรก์ และลดการเชื่อมโยงระบบอินเทอร์เน็ต โดยเฉพาะเครื่องที่ไม่ได้เชื่อมโยงกับ
ระบบอินเทอร์เน็ตให้สามารถอัปเดตฐานข้อมูลและใช้งานการป้องกันภัยคุกคามได้อย่างเต็มประสิทธิภาพ โดย Bitdefender
Endpoint Security Tools Relay ทาหน้าที่เพื่อวัตถุประสงค์ดงั ต่อไปนี:้
P a g e 12 | 165
• ค้นหาเครื่องปลายทางในระบบที่ไม่มีการป้องกัน ไม่ได้ติดตัง้ Security Agent ในเครือข่าย เป็ นตัวแทนในการค้นหา
เครื่องปลายทางจากการใช้งาน Cloud Gravityzone environment
• เป็ นศูนย์กลางในการติดตัง้ โปรแกรม (Endpoint Agent) ส่ง Package ติดตัง้ ให้กบั เครื่องภายในเครือข่าย
• เป็ นศูนย์กลางในการอัปเดตฐานข้อมูล (Signature Database) ให้กบั เครื่องที่ติดตัง้ Endpoint Agent ในเครือข่าย
• เป็ นตัวแทนการเชื่อมโยงสื่อสารระหว่างศูนย์ควบคุมส่วนกลาง (GravityZone Server) กับเครื่องภายในเครือข่าย
• เพิ่มประสิทธิ์ภาพการรับส่งข้อมูลเครือข่าย การอัปเดต การติดตัง้ การใช้งานตามนโยบาย การสแกนและอื่นๆ
Patch caching server เป็ นเครื่องลูกข่ายที่ติดตัง้ Relay Role สามารถให้บริการแพตซ์อปั เดต เมื่อเปิ ดใช้งานฟี เจอร์นี ้
เครื่องจะทาการจัดเก็บแพตซ์ซอฟต์แวร์โดยดาวน์โหลมาจากเว็บไซต์ของผูจ้ ดั จาหน่ายต่างๆ และแชร์ให้กบั เครื่องลูกข่าย เมื่อมี
การสแกนเครื่องในลูกข่ายและพบว่าไม่ได้ติดตัง้ แพตซ์ สามารถทาการดาวน์โหลดติดตัง้ แพตซ์โดยไม่ตอ้ งไปยังเว็บไซต์ของผูจ้ ดั
จาหน่าย ผ่านการควบคุมจากส่วนกลาง ทาให้เพิ่มประสิทธิภาพในการรับส่งข้อมูลและแบรนด์วิธในระบบเครือข่าย
3.7 Sandbox Analyzer Architecture Bitdefender Sandbox Analyzer เป็ นอีกขัน้ ตอนการป้องกันภัยคุกคามขัน้ สูง โดยทา
การวิเคราะห์ไฟล์ท่นี ่าสงสัยแบบอัตโนมัติในเชิงลึก ในระหว่างที่ Bitdefender antimalware engine ยังไม่สามารถวิเคราะห์
หรือรูจ้ กั ไฟล์นนั้ ในการป้องกันมัลแวร์
P a g e 13 | 165
ขัน้ ตอนการทางานของ Sandbox Analyzer Server หลังจากที่ทาการเปิ ดใช้งานบนเครื่องลูกข่ายดังนี ้
1. Bitdefender Security Agent จะเริ่มทาการส่งไฟล์ท่นี ่าสงสัยที่ตรงกับกฎการป้องกันที่กาหนดไว้
2. หลังจากวิเคราะห์ไฟล์แล้ว จะส่งข้อมูลกลับไปยังศูนย์กลางและเครื่องลูกข่ายนัน้
3. หากไฟล์ท่ถี กู วิเคราะห์แล้วพบว่าเป็ นอันตราย ผูใ้ ช้จะได้รบั แจ้งให้ดาเนินการแก้ไขหรือตามที่กาหนดตามนโยบาย
ผลลัพธ์การวิเคราะห์ไฟล์ต่างๆ จะถูกรักษาไว้โดยค่าแฮชของไฟล์ในฐานข้อมูล Sandbox Analyzer เมื่อไฟล์ท่วี ิเคราะห์
ก่อนหน้านีถ้ ูกส่งมาจากปลายทางที่แตกต่างกันการตอบสนองจะถูกส่งกลับทันทีเนื่องจากผลลัพธ์มีอ ยู่แล้วในฐานข้อมูล
EDR ประกอบด้วยสององค์ประกอบหลัก:
P a g e 14 | 165
4. Getting Started เริ่มต้นการใช้งาน GravityZone
4.1 Connecting to Control Center การเชื่อมต่อการบริหารจัดการจากส่วนกลาง GravityZone
• รองรับเบราว์เซอร์ Internet Explorer 9+, Mozilla Firefox 14+, Google Chrome 15+, Safari 5+, Microsoft Edge
20+, Opera 16+
• ความคมชัดของหน้าจอแสดงผลที่ 1280 x 800 หรือสูงกว่า
วิธีการเชื่อมต่อไปยัง Control Center (GravityZone)
1. เปิ ดเว็บเบราว์เซอร์
2. ไปยัง address url: https://gravityzone.bitdefender.com
3. ล๊อกอินเข้าระบบด้วย email address และรหัสผ่านที่ได้รบั
P a g e 15 | 165
4.2 Endpoint Protection
เพื่อปกป้องเครือข่ายด้วย Bitdefender จะต้องติดตัง้ GravityZone Security Agents บนเครื่องลูกข่าย เพื่อความ
เหมาะสมในการสแกนขององค์กร สามารถติดตัง้ ร่วมกับ Security Server ได้ หากต้องการที่จะรีโมตติดตัง้ เครื่องลูกข่ายผ่าน
ั ชีผใู้ ช้งาน (Account) ที่มีสิทธิใ์ นการ
ระบบเน็ตเวิรก์ ผ่านโปรแกรมบริหารจัดการจากส่วนกลาง ผูด้ แู ลระบบจาเป็ นจะต้องมีบญ
เข้าถึงเครื่องลูกข่ายในการรีโมตติดตัง้
Security Agent
CPU
OS Single Engine
Local Scanning Hybrid Scanning Centralized Scanning
Windows 1024 1200 512 660 256 400
Linux 1024 1024 512 512 256 256
macOS 1024 1024 n/a n/a n/a n/a
P a g e 16 | 165
Free Disk Space at Installation (MB)
Number of CPU to support Update Server RAM Free disk space for
connected update Server
endpoints
1-300 Minimun Intel Core i3 or equivalent processors, 1 GB 10 GB
2 vCPU per core
300-1000 Minimun Intel Core i5 or equivalent processors, 1 GB 10 GB
4 vCPU per core
Security Agent ที่ทาหน้าที่เป็ นอัปเดตแพตซ์เซิรฟ์ เวอร์ Patch Caching Server ต้องเป็ นไปตามข้อกาหนดต่อไปนี ้
P a g e 17 | 165
4.2.2 Supported Operating System รองรับระบบปฎิบตั ิการบนเครื่องคอมพิวเตอร์ดงั นี ้
Windows Desktop Full Support
Linux
P a g e 19 | 165
Endpoint Detection and Rsponse (EDR) Support for Linux
Bitdefender สามารถทาการป้องกันและติดตัง้ ได้บนระบบ File systems ดังต่อไปนี:้ AFS, BTRFS, ext2, ext3, ext4,
FAT, FAT16, FAT32, VFAT, exFAT, NTFS, UFS, ISO 9660 / UDF, NFS, CIFS/SMB, VXFS, XFS
หมายเหตุ: On-Acces สแกนไม่รอบรับบน NFS และ CIFS/SMB
P a g e 20 | 165
macOS
Relay Clients and Update Server ทราฟฟิ กจากการใช้งานของเครื่องที่ทาหน้าที่เป็ น Relay Role ในการดาวน์โหลดไฟล์
เนือ้ หาความปลอดภัย (Content Update) จากอัปเดตเซิรฟ์ เวอร์ (Update Server) ประมาณ 16 MB / Day
Endpoint Client and Control Center Web Console (GravityZone) ค่าเฉลี่ยการใช้งานทราฟฟิ กเน็ตเวิรก์ ระหว่างเครื่อง
ลูกข่ายไปเชื่อมโยงไปยังศูนย์ควบคุมส่วนกลาง (Control Center Web Console) ของแต่ละเครื่องจะอยู่ท่ี 618 KB / day
4.2.6 GravityZone Communication Port
การติดตัง้ การป้องกัน Bitdefender จะต้องทาการติดตัง้ GravityZone Security Agent บนเครื่องคอมพิวเตอร์ลกู ข่าย เพื่อ
ทาการควบคุมการใช้งานโปรแกรมและสิทธิ์ในการแก้ไขค่าต่างๆ ภายใต้โปรแกรมบริหารจัดการจากส่วนกลาง
ประเภทของ License จะเป็ นแบบ Subscription รายปี หากต้องการเพิ่มจานวน License สามารถซือ้ เพิ่มได้โดยไม่ตอ้ งรอ
ให้หมดอายุ รวมทัง้ การซือ้ แบบอัปเกรดฟี เจอร์เช่นเดียวกัน
Activating Your License
เมื่อทาการสั่งซือ้ โปรแกรมเรียบร้อย ผูใ้ ช้จะได้รบั ใบรับรอง Certificate ที่ระบุรหัส License Key โดยให้นารหัสดังกล่าว
P a g e 23 | 165
2. คลิกที่ User Menu ตรงมุมขวาบน เลือก My Company
P a g e 24 | 165
6. กดปุ่ ม Check และรอจนกว่า Control Center แสดงวันหมดอายุและจานวน License ที่ซือ้
7. Add-on key ใส่ License Key ที่เป็ นคียแ์ ยกสาหรับการใช้งาน Encryption, Patch Management
8. คลิก Add จากนัน้ จะปรากฎข้อมูลรายละเอียดของคียท์ ่ใี ช้งาน
9. กดปุ่ ม Save
Security Agent จะต้องติดตัง้ บนเครื่องเสมือน (Virtual Machine) ที่มีการเชื่อมต่อกับ Security Server ผ่าน TCP/IP
P a g e 25 | 165
ขัน้ ตอนการดาวน์โหลดแพ็กเกจติดตัง้ Security Server
1. ไปยังเมนู Network > Packages
2. เลือก Security Server Virtual Appliance
เมื่อทาการติดตัง้ Security Server ไปยังโฮสต์ท่ตี อ้ งการเรียบร้อยแล้ว ผูใ้ ช้งานจะได้ Virtual Machine ขึน้ มาหนึ่งเครื่อง
จากนัน้ ทาการปรับตัง้ ค่าดังต่อไปนี ้
P a g e 26 | 165
3. ใช้คาสั่ง sva-setup เพื่อเข้าไปยังหน้าต่างการตัง้ ค่า
P a g e 27 | 165
c) เลือก IP configuration ที่ตอ้ งการ
o DHCP หากต้องการให้ Security Server รับค่าเน็ตเวิรก์ อัตโนมัติผ่าน DHCP Server
o Static หากต้องการกาหนดค่าเน็ตเวิรก์ เอง โดยมีการกาหนดค่าดังนี ้ hostname, IP addrss, network
mask, gateway และ DNS
ทาการกาหนดค่า address ของ Communication Server อันใดอันหนึ่งที่รองรับ cloud server ของผูใ้ ช้งาน ดังนี ้
• https://cloud-ecs.gravityzone.bitdefender.com:433
• https://cloudgz-ecs.gravityzone.bitdefender.com:433
P a g e 28 | 165
หมายเหตุ ตรวจสอบ address ของ communication server ที่ผใู้ ช้งาน ได้ท่ี Control center ไปยังเมนู Policies -
> General -> Communication -> Endpoint Communication Assignment
P a g e 29 | 165
5.2.2 การติดตัง้ Security Agents (Bitdefender Endpoint Security Tools)
การป้องกันภัยคุกคามบนเครื่องคอมทัง้ แบบ Physical และ Virtualization จะต้องทาการติดตัง้ โปรแกรม Bitdefender
Endpoint Security Tools ในแต่ละเครื่อง โดยโปรแกรมจะทางานภายใต้การสื่อสารระหว่าง Control Center เพื่อรับคาสั่งการ
ทางานต่างๆ จากผูด้ แู ลระบบ การติดตัง้ Security Agent บนระบบปฎิบตั ิการ Windows OS และ Linux OS สามารถทางาน
ได้สองบทบาทหน้าที่ดงั นี ้
P a g e 30 | 165
เครื่องคอมพิวเตอร์เครื่องแรกที่ติดตัง้ เมื่อติดตัง้ เสร็จ สามารถทาการค้นหาเครื่องลูกข่ายที่เหลือผ่าน Network Discovery
เพื่อทาการรีโมตติดตัง้ เครื่องอื่นๆ ในเครือข่ายได้
P a g e 31 | 165
4. Relay Modules ให้เลือก Relay หากต้องการเครื่องลูกข่ายทาหน้าที่ Relay
5. Patch Management สามารถทาการเลือก Patch Management Cache Server เพื่อทาการเก็บไฟล์แพตซ์ทอ์ ปั เดต
6. Remove Competitors เป็ นการถอดโปรแกรมด้านความปลอดภัยอื่นออก เพื่อป้องกันการทางานทับซ้อนกัน
7. Scan mode เลือกเทคโนโลยีการสแกนที่เหมาะสมที่สดุ กับเครือข่ายตามสภาวะแวดล้อมของเครื่องในองค์กร
P a g e 32 | 165
8. Use custom installation path สามารถทาการกาหนดเลือกตาแหน่งติดตัง้ Anti – Virus
9. Set uninstall password สามารถทาการกาหนด Password ในตัวแอนตีไ้ วรัสได้ตอนสร้างไฟล์ติดตัง้
10. Use custom folders สามารถเลือกกาหนดกลุม่ หลังจากติดตัง้ Anti – Virus เสร็จ
11. Deployer เลือกการใช้งานเพื่อติดตัง้ และอัปเดตโปรแกรมให้กบั เครื่องลูกข่าย
a. Bitdefender Cloud กรณีท่ีตอ้ งการไฟล์ติดตัง้ และอัปเดตผ่านอินเทอร์เน็ต
Use proxy for communication เลือกเมนูนหี ้ ากเครื่องลูกข่ายออกอินเทอร์เน็ตผ่าน Proxy Server
b. Endpoint Security Relay กรณีท่ตี อ้ งการใช้ไฟล์ติดตัง้ และอัปเดตผ่าน Relay Server
หมายเหตุ: หากต้องการไฟล์ติดตัง้ และอัปเดตผ่าน Endpoint Security Relay จะต้องเปิ ดใช้งาน TCP Port 7074
P a g e 33 | 165
12. คลิกเมนู Save เป็ นการเสร็จสิน้ การสร้าง Package Install
Downloading Installation Packages ดาวน์โหลดโปรแกรมติดตัง้ โดยไปที่ Network > Package ที่สร้างขึน้ คลิกเมนู
Download จากนัน้ เลือก Package Installation ที่ตอ้ งการจากนัน้ Save ลงเครื่องคอมพิวเตอร์
P a g e 34 | 165
Running Installation Packages การติดตัง้ โปรแกรม Security Agent ของ Bitdefendre Endpoint Security Toools
(BEST) ทาการดาวน์โหลดไฟล์ติดตัง้ ไปยังเครื่องคอมพิวเตอร์แล้ว จะได้ไฟล์ท่เี ป็ น zip files จากนัน้ ทาการ Extrack Files จะ
ประกอบไปด้วยไฟล์ .exe และ .xml การติดตัง้ จะต้องมีไฟล์ครบทัง้ สองไฟล์ และมีสิทธิ์ในระดับ Administrator ของเครื่อง
P a g e 35 | 165
P a g e 36 | 165
2. ตรวจสอบการติดตัง้ โดยการคลิกชวาที่ไอคอน Bitdefender เลือก Show
P a g e 37 | 165
Remote Install Control Center สามารถช่วยให้ติดตัง้ Security Agent บนเครื่องลูกข่ายระยะไกลผ่านเน็ตเวิรก์ ได้ โดย
จะต้องติดตัง้ เครื่องลูกข่ายเครื่องแรกด้วย Bitdefender Endpoint Security Tools พร้อมด้วยความสามารถของ Relay Roles
เพื่อบริหารจัดการเครื่องลูกข่ายผ่านเครื่อง Relay Server ไปยังเครื่องปลายทางต่างๆ
P a g e 38 | 165
Remote Installation Requirements
P a g e 39 | 165
4. เลือก User / Password สาหรับยืนยันสิทธิใ์ นการติดตัง้ โดยสามารถเลือกได้ทีละหลายๆ Account กรณีท่เี ลือกเป็ น
Group โดยจะเลือกใช้สิทธิ์ในการติดตัง้ จากบนลงล่าง
หมายเหตุ: การติดตัง้ โดยผ่าน Relay จะต้องเปิ ด Port 7074 เพื่อการเชื่อมต่อระหว่าง Clients กับ Relay Server
P a g e 40 | 165
6. เลือก Package ที่จะติดตัง้
P a g e 41 | 165
6. การกาหนดและตัง้ ค่า Policies
Bitdefender Endpoint Security Tools หลังจากที่ติดตัง้ เป็ นที่เรียบร้อยแล้ว การทางานจะยังไม่สมบูรณ์จนกว่าจะได้การตัง้
ค่าที่ดีท่สี ดุ สาหรับการป้องกันภัยคุกคาม โดยคลิกที่เมนู Policies > จะปรากฎหน้าต่างเมนูการตัง้
ค่า Policy ดังนี ้
P a g e 42 | 165
6.1 Gereral การตัง้ ค่า Policy เมนู General ประกอบด้วย
P a g e 43 | 165
Notifications ใช้ค่า default ที่กาหนดมา เพื่อให้สามารถแสดงผลการแจ้งเตือน Alert ต่างๆได้
P a g e 44 | 165
Setting
P a g e 45 | 165
Communication Endpoint Communication Assignment เป็ นการกาหนดการรับสั่งข้อมูลระหว่างเครื่อง Clients กับ
Control Center (Cloud Service)
• ให้เลือก Name, IP ของเครื่อง Relay Server (การเลือกชื่อ Relay Server จะมีให้เลือกอัตโนมัติเมื่อติดตัง้ Relay
Server แล้วเท่านัน้ )
Update
P a g e 46 | 165
• Update Locations
Priority 1 Relay Servers สาหรับเครื่องลูกข่ายอัปเดตไปยัง Relay Server
Priority 2 update.cloud.2d585.cdn.bitdefender.net:80 กรณีเมื่อเครื่อง Relay Server Down ไม่สามารถเชื่อมต่อ
ได้ จะทาการ Direct Connect ผ่านทางอินเทอร์เน็ต
สามารถกาหนดค่า Relay Servers ได้โดยใส่ค่า IP Address ตามด้วย Port 7074 เช่น 10.0.1.10:7074
P a g e 47 | 165
• On-Access การตัง้ ค่าการสแกนทัง้ File และ Application ที่ทาการเข้าใช้งาน Accessed
• On-access Scanning ป้องกันมัลแวร์ในระบบโดยการสแกนทุกไฟล์ ทัง้ แบบ Local และ Network ที่มีการ
Access (Opened, moved, copied, excuted) ทัง้ boot sectors และ potentially unwamt applications (PUA) ให้
ตัง้ ค่าการสแกนแบบ Aggressive เป็ นการป้องกันระดับสูงสุด
• Ransomware Vaccine ป้องกัน Ransomware ที่รูจ้ กั โดยทาการบล็อกกระบวนการเข้ารหัส
On-Execute ทาการป้องกัน Malicious Process เมื่อถูกสั่งให้ทางาน ป้องกันภัยคุกคามขัน้ สูง
• Cloud-based threat detection ! (This scanning technology is available only on endpoints with security
agents operating in EDR (Report Only) mode)
เทคโนโลยีการตรวจจับภัยคุกคามบนคลาวด์ระบุภยั คุกคามขัน้ สูงโดยใช้อลั กอริธึมแมชชีนเลิรน์ นิ่งบนคลาวด์ในขณะที่
รับรองการอัปเดตแบบทันที เทคโนโลยีนีป้ รับปรุงประสิทธิภาพของสภาพแวดล้อมของคุณโดยการลดปริมาณดิสก์ใน
เครื่องและการใช้ทรัพยากรที่จาเป็ น
• Advanced Threat Control เป็ นเทคโนโลยีการตรวจจับมัลแวร์เชิงรุกแบบเรียลไทม์ คอยจับตาดูโปรแกรมที่มีการ
ใช้งาน ว่ามีพฤติกรรมเป็ นมัลแวร์หรือไม่ โดยรองรับการทางานบน
o Windows for Workstation
o Winodws for Server
o macOS
P a g e 48 | 165
เลือก Defualt action for infected application เป็ น Disinfect และ Aggressive เพื่อการป้องกันที่สงู ที่สดุ
P a g e 49 | 165
2. เลือกโหมดการตรวจสอบที่ตอ้ งการใช้งาน
• Locally. GravityZone ตรวจสอบกระบวนการและตรวจจับ Ransomware การโจมตีท่ีเริ่มต้นในเครื่อง
ปลายทาง ขอแนะนาสาหรับเวิรก์ สเตชัน ใช้ดว้ ยความระมัดระวังบนเซิรฟ์ เวอร์เนื่องจากผลกระทบด้าน
ประสิทธิภาพ
• Remote. ตรวจสอบการเข้าถึงเส้นทางแชร์เครือข่ายและตรวจจับการโจมตีของ Ransomware ที่เริ่มต้นจาก
เครื่องอื่น ใช้ตวั เลือกนีห้ ากปลายทางเป็ นไฟล์เซิรฟ์ เวอร์หรือเปิ ดใช้งานการแชร์เครือข่าย
3. เลือกวิธีการกูค้ ืน
• On-demand. เลือกการโจมตีดว้ ยตนเองที่จะกูค้ ืนไฟล์ โดยเข้าไปเลือกที่ Reports > Ransomware Activity
ได้ทกุ เมื่อที่สะดวกแต่ไม่เกิน 30 วัน นับจากการโจมตีหลังจากนัน้ การกูค้ ืนจะไม่สามารถทาได้อีกต่อไป
• Automatic. GravityZone จะกูค้ ืนไฟล์โดยอัตโนมัติทนั ทีหลังจากตรวจจับ Ransomware
เพื่อให้การกูค้ ืนประสบความสาเร็จจาเป็ นต้องมี Bitdefender Endpoint ที่เครื่องปลายทาง เมื่อเปิ ดใช้งานจะมี
หลายทางเลือกในการตรวจสอบว่าเครือช่ายของคุณอยู่ภายใต้ไฟล์ท่โี ดน Ransomware โจมตี
• ตรวจสอบการแจ้งเตือนและค้นหาการตรวจจับแรนซัมแวร์
• ตรวจสอบ Security Audit Report
• ตรวจสอบ Ransomware Activity page
• On-Demand ตัง้ ค่าให้มีการสแกนมัลแวร์บนเครื่องคอมเป็ นประจาตามระยะเวลาที่กาหนด
•
P a g e 50 | 165
Scan Tasks คลิกปุ่ ม เพื่อสร้างรายการสแกน จากนัน้ เลือก Full Scan
P a g e 51 | 165
• Task Name: ให้กาหนดชื่อ
• Start date and time: กาหนดช่วงเวลาสแกน แนะนา 11:50 AM
• Run task every : Fri ควรจะสแกนทุกวันศุกร์
• If scheduled run time is missed, run task as soon as possible: หากการสแกน Task ที่กาหนดไม่เริ่มทางาน
เช่น เครื่องปิ ดอยู่ ให้เริ่มทางานทันทีเมื่อเครื่องพร้อมใช้งาน
• Skip if next scheduled scan is due to start in less than: ข้ามการทางาน Task นี ้ ถ้าหาก การสแกนครัง้ ต่อไป
จะเริ่มในอีก 1 วัน
• Hyper Detect เพิ่มระดับการรักษาความปลอดภัยเป็ นพิเศษ จากการสแกนแบบ On-Access, On-Demand และ
Traffic Scan ที่มีอยู่ เพื่อป้องกันภัยคุกคามขัน้ สูงใหม่ๆ ด้วย Artificial Intelligence (AI) และ Machine Learning
ในการวิเคราะห์พฤติกรรมและคาดการณ์การโจมตีของ Advance Malware ที่จะเกิดขึน้ ซึ่งจะทาการตรวจจับได้
ดีกว่าการใช้งานแบบตรวจสอบพฤติกรรมและ SIngature Base แบบทั่วไป
• Protection Level ให้เลือกการป้องกัน Targeted Attack, Suspicious files and network traffic, Exploits,
Ransomware, Grayware ให้เลือกการสแกนแบบ Aggressive
• Actions
o Files เลือก Disinfect
o Network Traffic เลือก Block
P a g e 52 | 165
หมายเหตุ: Hyper Detect รองรับการทางานบน Windows for Workstation, Windows for Server และ Linux
P a g e 53 | 165
• Setting กาหนดค่าการยกเว้นการตรวจจับหรือสแกน รวมทัง้ จานวนวันที่ Quarantine ไฟล์
P a g e 54 | 165
• Delete files older than (days): ค่า default คือ 30 วัน ในการเก็บไฟล์ไว้ใน Quarantined ก่อนลบทิง้
• Submit quarantined files to Bitdefender Labs every (hours): ส่งไฟล์ใน Quarantine ไปยัง Bitdefender Lab
เพื่อทาการวิเคราะห์ไฟล์ทกุ ๆ 1 ชั่วโมง
• Rescan quarantine after malware security content update: ทาการสแกนไฟล์ใน Quaratnine ทุกๆครัง้ ที่มี
การอัปเดต security content ใหม่ เพื่อ cleanup malware อีกครัง้
• Copy files to quarantine before applyinh the disinfect actine: ทาการ copy ไฟล์ท่จี ะทาการ cleanup
malware ไว้ใน Quarantine ก่อน ป้องกันไฟล์เสียหรือถูกลบ
• Custom Exclusion ยกเว้นการสแกน Malware หรือโปรแกรมที่น่าเชื่อถือได้ไม่ให้สแกน โดยสามารถระบุได้ทงั้
o File ระบบเฉพาะไฟล์เท่านัน้
o Folder ระบุทกุ ไฟล์และโปรเซส ที่อยู่ใน Folder นัน้ รวมทัง้ ใน Subfolders
o Extension ระบุเฉพาะนามสกุลของไฟล์เท่านัน้
o Process ระบุเฉพาะโปรเซสเท่านัน้
o File Hash ระบุ hash ของไฟล์
o Certificate Hash ทุกโปรแกรมที่อยู่ภายใต้การใช้งาน Certificate hash นัน้
o Threat Name ทุกไฟล์ท่ถี กู ตรวจจับและระบุเป็ นมัลแวร์ชนิดนัน้
o Command Line คาสั่ง command ที่ตอ้ งการ (รองรับเฉพาะ Windows OS)
P a g e 55 | 165
ตัวอย่างการกาหนดค่า Example Excluded Items File, Folder or Process ดังด้านล่างนี ้
o Path
▪ C:\temp
▪ UNC Path \\HostName\ShareName\FilePath or \\IPAddress\ShareName\FilePath
o System Variables
▪ %ProgramFiles% ยกเว้นสแกนทัง้ Program File โฟลเดอร์
▪ %WINDIR%\system32 ยกเว้นสแกนโฟลเดอร์ system32 ใน Windows
o Wildcards * ทุกตัวอักษร, ? อักษรตัวเดียว, ??? สามตัวอักษร
▪ File exclusions: C:\Test\* ทุกไฟล์ท่อี ยู่ในโฟล์เดอร์ Test
▪ Folder exclusion: C:\Test\*.png ทุกไฟล์นามสกุล PNG ในโฟล์เดอร์ Test
▪ Process exclusion: C:\Program Files\WindowsApps\Microsoft.Not??.exe
หมายถึงยกเว้นสแกนโปรเซส Microsoft.Notes.exe
P a g e 56 | 165
• Security Servers ทาการคลิก Security Server assignment list จะปรากฎชื่อของ Security Virtual Appliance
(SVA) ที่ได้ติดตัง้ ไว้ ทาการเลือก SVA นัน้ จากนัน้ กดปุ่ ม + และ Save
P a g e 57 | 165
• Remediation Actions จัดการภัยคุกคามทันทีท่ตี รวจพบ โดยเลือกดังนี ้
▪ Default actoin: Move to quarantine
▪ Fallback action: Delete
• Content Prefiltering ใน Protection Level ให้ทาการเลือก Application, Documents, Scripts, Archives,
Emails เป็ น Aggressive
หมายเหตุ: Sandbox Analyzer รองรับการทางานบน Windows for Workstation, Windows for Server
P a g e 58 | 165
6.3. Firewall ป้องกันเครื่องลูกข่ายที่พยายามเชื่อมต่อระบบเน็ตเวิรก์ ทัง้ Inbound, Outbound โดยไม่ได้รบั อนุญาต
General
หมายเหตุ: การตัง้ ค่า IDS นีส้ าหรับ Endpoint Security Legacy Security Agent สาหรับ Bitdefender Endpoint
Security Tools มีความสามารถในการทา Host-Based Intrusion Detection ใน Advanced Threat Control (ATC)
module
P a g e 59 | 165
• Settings การตัง้ ค่าเน็ตเวิรก์ และ Adapter ในการป้องกัน
• Networks
o Name ตัง้ ชื่อให้สื่อความหมายอุปกรณ์เน็ตเวิรก์ ที่จะทางานเช่น Printer Name
o Network Profile
▪ Trusted network ปิ ดการใช้งานไฟร์วอลล์สาหรับอะแดปเตอร์ท่เี กี่ยวข้องนี ้
▪ Home/Office network อนุญาต Traffic ทัง้ หมดที่ติดต่อกันระหว่างเครือข่ายภายใน
▪ Public Network ทาการตรวจสอบ Traffic ทัง้ หมด
▪ Untrusted network ปิ ดการเชื่อมต่อ Network ทัง้ หมดรวมทัง้ Internet จาก อะแดปเตอร์ท่เี กี่ยวข้องนี ้
▪ Identification
- DNS ระบุว่าทุกเครื่องใช้งาน DNS นี ้
- Gateway ระบุว่าทุกเครื่องสื่อสารผ่านเน็ตเวิรค์ เกตเวย์นี ้
- Network ระบุเน็ตเวิรก์ ของเครื่อง ทัง้ แบบ วงเน็ตเวิรก์ เน็ตเวิรก์ แอดเดรส
▪ MAC ใช้สาหรับเจาะจง Mac Address สาหรับ Indetification ที่เป็ น DNS หรือ Gateway ที่เลือก
สามารถใส่ค่าได้ 2 แบบคือ 00-50-56-84-32-2b หรือ 00:50:56:84:32:2b
▪ IP ใช้สาหรับระบุไอพีในเน็ตเวิรก์ เช่น 192.168.1.0/24 หรือ IP Gateway, IP DNS Address
▪ Adapters หากไม่ตอ้ งการระบุเป็ น Network Table สามารถจะระบุตาม Network Adepter แทนได้ โดย
ประกอบด้วย Wired , Wireless, Virtual
P a g e 60 | 165
▪ Network Discovery เป็ นการซ่อนเครื่องคอมพิวเตอร์จากซอฟต์แวร์ท่เี ป็ นอันตรายและแฮ็กเกอร์ในเครือข่าย
หรืออินเทอร์เน็ต ไม่สามารถมองเห็นเครื่องคอมพิวเตอร์ได้ โดยกาหนดได้ดงั นี ้
- Yes ทุกคนสามารถมองเห็นทัง้ ใน Local และ Internet และ Ping เพื่อค้นหาได้
- No ไม่สามารถมองเห็นหรือค้นหาได้ทงั้ Local และ Internet
- Remote ไม่สามารถมองเห็นหรือค้นหาจาก Internet ได้ ยกเว้นภายใน Local Network ที่สามารถ
มองเห็นและ Ping เพื่อทาการค้นหาได้
▪ Rule เป็ นการตัง้ ค่ากฎข้อบังคับให้ Application ที่จะรับส่งข้อมูลในเครือข่ายต้องถูกบังคับใช้โดย Firewall
โดยจะมีผลกับ Profile Home/Office และ Public เท่านัน้
• Settings ตัง้ ค่าการป้องกัน Protection Level เป็ น Ruleset, known files and ask
Protection level: ระดับการป้องกันที่กาหนดให้ Firewall ตัดสินใจเมื่อ Application ร้องขอการเข้าถึงเครือข่ายและ
บริการอินเทอร์เน็ต โดยมีตวั เลือกดังนี ้
o Ruleset and allow ใช้กฎไฟร์วอลล์ท่มี ีอยู่และอนุญาตการเชื่อมต่ออื่นๆโดยอัตโนมัติ เมื่อมีการเชื่อมต่อใหม่แต่ละ
ครัง้ จะทาการสร้างและเพิ่มในกฎ
o Ruleset and ask ใช้กฎไฟร์วอลล์ท่มี ีอยู่และแจ้งให้ผใู้ ช้เมื่อมีการพยายามเชื่อมต่อ โดยแสดงหน้าต่างการแจ้ง
เตือนพร้อมข้อมูลรายละเอียดเกี่ยวกับการเชื่อมต่อที่ไม่รูจ้ กั ปรากฎขึน้ บนหน้าจอของผูใ้ ช้ แต่ละการเชื่อมต่อใหม่
กฎจะถูกสร้างและเพิ่มในกฎ
o Ruleset and deny ใช้กฎไฟร์วอลล์ท่มี ีอยู่และปฏิเสธการเชื่อมต่ออื่น ๆ ทัง้ หมดโดยอัตโนมัติ ความพยายาม
เชื่อมต่อใหม่แต่ละครัง้ จะมีการสร้างและเพิ่มกฎ
P a g e 61 | 165
o Ruleset, known files and allow ใช้กฎไฟร์วอลล์ท่มี ีอยู่และอนุญาตการพยายามเชื่อมต่อโดยแอปพลิเคชันที่รูจ้ กั
และอนุญาตการพยายามเชื่อมต่อที่ไม่รูจ้ กั ทัง้ หมดโดยอัตโนมัติ สาหรับความพยายามในการเชื่อมต่อใหม่แต่ละ
ครัง้ กฎจะถูกสร้างและเพิ่มไปยังชุดกฎ
o Ruleset, known files and ask ใช้กฎไฟร์วอลล์ท่มี ีอยู่และอนุญาตการเชื่อมต่อโดยแอปพลิเคชันที่รูจ้ กั และแจ้งให้
ผูใ้ ช้ดาเนินการสาหรับการพยายามเชื่อมต่อที่ไม่รูจ้ กั ทัง้ หมด แสดงหน้าต่างการแจ้งเตือนพร้อมข้อมูลโดยละเอียด
เกี่ยวกับความพยายามในการเชื่อมต่อที่ไม่รูจ้ กั สาหรับความพยายามในการเชื่อมต่อใหม่แต่ละครัง้ กฎจะถู กสร้าง
และเพิ่มไปยังชุดกฎ
o Ruleset, known files and deny ใช้กฎไฟร์วอลล์ท่มี ีอยู่และอนุญาตการเชื่อมต่อโดยแอปพลิเคชันที่รูจ้ กั การ
เชื่อมต่อที่ไม่รูจ้ กั จะบังคับให้หยุดการเชื่อมต่ออัตโนมัติ สาหรับการเชื่อมต่อใหม่แต่ละครัง้ กฎจะถูกสร้างและเพิ่ม
ไปยังชุดกฎ
• Create aggreeive rules ไฟล์วอลล์จะสร้างกฎสาหรับแต่ละ process ที่แตกต่างกันและเปิ ดใช้แอปพลิเคชันในการ
ร้องขอการใช้งานเครือข่ายหรืออินเทอร์เน็ต
• Create rules for apploications blocked by IDS ไฟล์วอลล์จะสร้างกฎในการปฎิเสธการเข้าถึงเครือข่ายหรือ
อินเทอร์เน็ตทันทีอตั โนมัติของแอปพลิเคชันนัน้ ๆ หากตรวจพบการบุกรุกระบบโดย IDS
• Monitor process changes ทาการตรวจสอบแอปพลิเคชันต่างๆที่เชื่อต่ออินเทอร์เน็ต ว่ามีโปรแกรมมีการ
เปลี่ยนแปลงหรือไม่ หากมีการเปลี่ยนแปลงให้มีการสร้างกฎใหม่ตามการป้องกันที่ตงั้ ไว้
o Ignore signed processes แอปพลิเคชันไหนที่มีการรองรับความหน้าเชื่อถือจากการใช้งานให้ขา้ มกระบวนการ
ตรวจสอบอนุญาตให้ทาการเชื่อมต่ออินเทอร์เน็ตได้โดยอัตโนมัติ
P a g e 62 | 165
• Rules เป็ นตารางแสดงรายการกฎไฟร์วอลล์ท่ีสาคัญที่มีอยู่ โดยมีขอ้ มูลดังนี ้
o Incoming ICMP / ICMPv6 อนุญาตหรือปฏิเสธข้อความ ICMP / ICMPv6 แฮ็กเกอร์มกั ใช้ขอ้ ความ ICMP เพื่อ
โจมตีเครือข่ายคอมพิวเตอร์ ตามค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะได้รบั อนุญาต
o Incoming Remote Desktop Connections อนุญาตหรือปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องอื่นผ่านการเชื่อมต่อ
Remote Desktop ตามค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะได้รบั อนุญาต
o Sending Emails อนุญาตหรือปฏิเสธการส่งอีเมลผ่าน SMTP ตามค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะได้รบั อนุญาต
o Web Browsing HTTP อนุญาตหรือปฏิเสธ เรียกเว็บด้วย HTTP ตามค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะได้รบั อนุญาต
o Network Printing อนุญาตหรือปฏิเสธการเข้าถึงเครื่องพิมพ์ในเครือข่ายอื่น โดยค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะถูก
ปฏิเสธ
o Windows Explorer traffic on HTTP / FTP อนุญาตหรือปฏิเสธการรับส่งข้อมูล HTTP และ FTP จาก Windows
Explorer โดยค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะถูกปฏิเสธ
• Configuring Custom Rules การกาหนดค่า Firewall Rule เอง โดยแบ่งได้เป็ นสองแบบคือ
o Application-based rules สร้างกฎสาหรับใช้กบั ซอฟต์แวร์เฉพาะที่พบในคอมพิวเตอร์ไคลเอนต์
o Connection-based rules สร้างกฎสาหรับใช้กบั แอปพลิเคชันหรือบริการใดๆที่ใช้การเชื่อมต่อ การตัง้ ค่า Custom
Rules ประกอบไปด้วย
▪ Rule name ป้อนชื่อภายใต้กฎที่จะแสดงรายการในตารางกฎ (เช่นชื่อของแอปพลิเคชันที่ใช้กบั กฎ)
P a g e 63 | 165
▪ Application path (กฎสาหรับแอปพลิเคชันเท่านัน้ ) จะต้องระบุ Path ที่เรียกใช้งานแอปพลิเคชันบนเครื่อง
คอมพิวเตอร์ เลือกตาแหน่งที่กาหนดให้เช่น %ProgrmFiles% จากนัน้ ทา Path ให้สมบูรณ์โดยการใช้ (\) และ
ชื่อของโฟลเดอร์, ชื่อของไฟล์แอปพลิเคชันนัน้ %ProgramFiles%\PuTTY\putty.exe
P a g e 64 | 165
o Local Address ระบุ IP เครื่องคอมพิวเตอร์และพอร์ตหรือช่วงพอร์ตที่ตอ้ งการใช้
o Remote Address ระบุ IP ปลายทางและพอร์ตที่ตอ้ งการเชื่อมต่อส่งข้อมูลเข้าและออกจากเครื่องคอมพิวเตอร์
o Apply rule only for directly connected competers ระบุกฎการใช้งานตาม Mac Address นีเ้ ท่านัน้
P a g e 65 | 165
o Direction เลือกการใช้งานกฎกับ Traffic ที่ใช้งาน ( Both ทัง้ หมด, Inbound ข้อมูลขาเข้า, Outbound ข้อมูลขา
ออก)
o IP Version เลือกการใช้งานกฎกับ IP Version (IPv4, IPv6 หรือทัง้ หมด)
o Network เลือกการใช้งานกฎกับ Network ที่เลือก
o Permission กาหนดการใช้งาน (Allow อนุญาต, Deny ไม่อนุญาต) ทัง้ เครือข่ายและ Internet Access
• General
• Content Control
• Web Protection
• Network Attacks
P a g e 66 | 165
• General Setting กาหนดการตัง้ ค่าใช้งานเปิ ดหรือปิ ดฟั งก์ชนั การตัง้ ค่าประกอบไปด้วย
o General Settings การตัง้ ค่าทั่วไป
▪ Scan SSL สแกนการรับส่งข้อมูลจากเว็บที่ใช้ Secure Sockets Lasyer (SSL) ด้วย Bitdefender Security
Agents
▪ Show browser toolbar (*legacy) แสดงแถบเครื่องมือของ Bitdefender เพื่อแจ้งการจัดอันดับเว็บที่เข้าดู ซึ่ง
จะไม่ใช่แถบเครื่องมือของเเบราว์เซอร์ท่ใี ช้ แต่จะแสดงเป็ นโฆษณาเล็กๆ ด้านบนหน้าเว็บไซต์
▪ Browser Search Advisor (*legacy) ให้คะแนนผลลัพธ์การค้าหาของ Google, Bing และ Yahoo รวมถึง
ลิงค์ใน Facebook และ Twitter โดยจะมีการวางไอคอนแสดงไว้ดา้ นหน้าของผลการค้นหา
หมายเหตุ * Legacy ฟี เจอร์นไี ้ ด้ถกู นาออกไปแล้วใน Bitdefender Endpoint Security Tools version 6.6.5.82
P a g e 68 | 165
• Web Access Control
• Application Blacklisting
• Data Protection
P a g e 69 | 165
สีแดงคือ ไม่อนุญาต สีขาวคือ อนุญาต
P a g e 70 | 165
Exclusion กาหนดกฎการอนุญาตหรือบล็อกเว็บ แทนการตัง้ ค่าการเข้าถึงเว็บไซต์ท่ีมีอยู่ ผูใ้ ช้สามารถจะเข้าถึงหรือถูก
บล็อกได้ เช่น เข้าถึงเว็บ youtube.com ได้ ถึงแม้จะมีการบล็อกจาก Web Access Control
P a g e 71 | 165
Application Blacklisting กาหนดค่า Application Blacklisting ช่วยให้บล็อกหรือจากัดการเข้าถึงแอปพลิเคชัน
การกาหนดค่าสามารถทาได้ 2 แบบคือ
• Predifined location เช่น AppData เลือก %AppData% ตามด้วย (\) และชื่อของ Folder, Files นัน้
• แบบกาหนด Full path เช่น C:\Users\samar\AppData\Local\LINE\bin\current\LINE.exe
P a g e 72 | 165
Data Protection ป้องกันข้อมูลส่วนบุคคลหรือข้อมูลที่เป็ นความลับ เช่น
• ข้อมูลส่วนบุคคลของลูกค้า
• ชื่อและรายละเอียดที่สาคัญของผลิตภัณฑ์และเทคโนโลยีท่กี าลังพัฒนา
• ข้อมูลการติดต่อของผูบ้ ริหาร บริษัท
P a g e 73 | 165
• Web Protection
o Antiphishing ป้องกันเว็บหลอกลวงอัตโนมัติ ไม่ให้ผใู้ ช้เปิ ดเผยข้อมูลส่วนตัว ข้อมูลลับ โดยไม่ตงั้ ใจจากการโจมตี
ออนไลน์ ซึ่งจะแสดงหน้าเว็บแจ้งเตือนในเบราว์เซอร์ให้ผใู้ ช้งานทราบว่าเป็ นเว็บอันตรายแทนหน้าเว็บที่เป็ นฟิ ชชิ่ง
▪ Protection against fraud เลือกตัวเลือกนีเ้ พื่อเพิ่มการป้องกันการหลอกลวงประเภทอื่นๆ นอกเหนือจาก
ฟิ ชชิ่ง เช่น เว็บไซต์บริษัทปลอม ข้อมูลส่วนตัวไม่ตรงแต่พยายามหลวกลวงเพื่อให้ร่วมการทาธุรกิจและกาไรที่
ไม่ชอบด้วยกฎหมาย
▪ Protection against phishing เลือกตัวเลือกนีเ้ พื่อป้องกันผูใ้ ช้จากฟิ ชชิ่ง ที่ตรวจพบว่าเป็ นฟิ ชชิ่งถึงแม้ว่าจะ
เป็ นเว็บไซต์ท่ถี กู ต้อง
P a g e 74 | 165
o Web Traffic Scan สแกนอีเมลขาเข้า (POP3) และการรับส่งข้อมูลจากเว็บแบบ Real-Time ป้องกันไม่ให้ดาวน์
โหลดมัลแวร์ไปยังเครื่องลูกข่าย สแกนอีเมลขาออก (SMTP) เพื่อป้องกันการแพร่กระจายของมัลแวร์ การสแกนเว็บ
อาจจะทาให้การใช้งานเว็บช้าลงเล็กน้อย แต่จะช่วยในการตรวจสอบมัลแวร์ หากพบเว็บที่เป็ นมัลแวร์จะถูกบล็อกการ
เข้าใช้งาน และจะถูกแทนที่ดว้ ยหน้าเว็บแจ้งเตือน หากพบอีเมลติดไวรัส อีเมลนัน้ จะถูกแทนที่ดว้ ยอีเมลที่ใช้สาหรับ
แจ้งเตือนผูใ้ ช้ให้รบั ทราบว่ามีมลั แวร์
P a g e 75 | 165
o Initial Access - ป้องกันการเข้าถึง การโจมตีเครือข่ายหลากหลายวิธี ที่อาศัยช่องโหว่ของเว็บเซิรฟ์ เวอร์สาธารณะ
เช่น ช่องโหว่ในการเปิ ดเผยข้อมูล, SQL injection exploit, drive-by download
o Credential Access – ป้องกันแฮกเกอร์ขโมยข้อมูลเช่น username, password เพื่อเข้าถึงระบบคอมพิวเตอร์ เช่น
brute-force, unauthorized uthentication, password stealers
o Discovery – ป้องกันแฮกเกอร์ท่พี ยายามดักจับข้อมูลเกี่ยวกับระบบและเครือข่ายภายใน ก่อนที่จะโจมตีระบบ
เช่น การหาช่องโหว่ การค้นหาไดเรกทอรี ไฟล์แชร์ ช่องโหว่การใช้งานแชร์ไฟล์ผ่าน HTTP directory
o Lateral Movement – ป้องกันแฮกเกอร์ท่เี ข้าพยายามเข้ามาสารวจเครือข่ายบ่อยครัง้ จากการย้ายตัวเองไปมา
ระหว่างเครือข่ายและระบบ เพื่อค้นหาเป้าหมาย โดยอาจจะใช้เครื่องมือเฉพาะเพื่อการค้นหา เช่น command
injection, shellshock เป็ นต้น
o Crimeware – ป้องกันเทคนิคที่ออกแบบมาเพื่อการประกอบอาชญากรรมอัตโนมัตต่างๆเช่น Trojan, Bot, nuclear
exploit เป็ นต้น
P a g e 76 | 165
6.6 Patch Management เป็ นการบริหารจัดการแพทช์ดา้ นความปลอดภัย เพื่อให้เครื่องลูกข่ายอัปเดตเป็ นเวอร์ช่นั ล่าสุด
อยู่สม่าเสมอ โดยสามารถทาการแชร์ไฟล์และติดตัง้ โดยอัตโนมัติ โดยมีตงั้ ค่าดังนี ้
• Patch Download Setting หากมีเครื่องคอมพิวเตอร์ท่ีติดตัง้ Relay Module พร้อม Patch Caching Server
o จะแสดงรายชื่อเครื่องคอมพิวเตอร์เครื่องนัน้ ในรายชื่อให้เลือก เพื่อให้เครื่องลูกข่ายรับทราบว่าต้องทาการ
download patch อัปเดตยังเครื่องที่ระบุ
• Use vender websites as fallback localtion to download patches ตัวเลือกนีห้ ากไม่พบเครื่องที่ทาหน้าที่เป็ น
Patch caching server ให้ไปอัปเดตโดยตรงจากเจ้าของผลิตภัณฑ์
• Automatic patch scan ทาการสแกนค้นหาแพทช์อปั เดตของแอปพลิเคชันและระบบ ตามเวลาที่ตอ้ งการกาหนด
• Install patches automatically after scan ให้ทาการติดตัง้ แพทช์ หลังจากที่ทาสแกนแพทช์ท่ไี ม่ได้ติดตัง้ หรือไม่ได้อปั
เดตล่าสุด
P a g e 77 | 165
• Update status สถานะการอัปเดตมีให้เลือกการติดตัง้ สองแบบคือ
o Security ติดตัง้ แพทซ์เกี่ยวกับความปลอดภัย
o Non-security ติดตัง้ แพทซ์ท่ีไม่เกี่ยวกับความปลอดภัย
หมายเหตุ ฟี เจอร์สาหรับการใช้งาน Patch Management รองรับเฉพาะบน Windows for Workstation และ Server
การใช้งาน Device Control โมดูล ต้องทาการติดตัง้ รวมกับ Security agent ก่อนและเปิ ดการใช้งานการควบคุมอุปกรณ์
หลังจากนัน้ ทุกครัง้ ที่มีการเชื่อมต่ออุปกรณ์ต่อพ่วง Security Agent จะทาการส่งข้อมูลการเชื่อมต่อไปยังส่วนกลาง control
center เพื่อเก็บข้อมูลการเชื่อมต่อและใช้เป็ นข้อมูลในการออกกฎการใช้งาน
P a g e 78 | 165
การใช้งาน Device Control จะรองรับการทางานบน Windows for workstation, Windows for servers และ macOS
โดยรองรับการควบคุมอุปกรณ์ดงั นี ้
P a g e 79 | 165
SCSI Raid x
Printers x Supports only locally connected printers
Network Adapter x x (including Wi-Fi dongles)
Wireless Network Adapters x x
Internal Storage x
External Storage x x
P a g e 80 | 165
Exclusion เป็ นการตัง้ กฎแยกอุปกรณ์บางประเภท เพื่ออนุญาตให้ใช้งานหรือไม่ใช้งานแยกต่างหากจากกฎหลักที่ตงั้ ไว้
โดยสามารถตัง้ การยกเว้นทัง้ แบบ หมายเลขอุปกรณ์ (Device ID) หรือ รหัสสินค้า (Product ID) โดยสามารถทาการเพิ่มกฎได้
จากการคลิกเมนู Add ตามด้วยเลือกการเพิ่มอุปกรณ์ ดังนี ้
P a g e 81 | 165
P a g e 82 | 165
6.8 Relay การตัง้ ค่าการติดต่อสื่อสารและการอัปเดตสาหรับเครื่องคอมพิวเตอร์ท่ีติดตัง้ Relay Modules ประกอบด้วยการ
ตัง้ ค่าดังนี ้
• Communication
• Update
Communication การตัง้ ค่าการเชื่อมต่อสื่อสาร ประกอบด้วยการตัง้ ค่า Proxy ทัง้ การสื่อสารระหว่าง Relay Endpoint กับ
GravityZone และ Relay Endpoint กับ Bitdefender Cloud Services
P a g e 83 | 165
Update การตัง้ ค่าการอัปเดตสาหรับเครื่องคอมพิวเตอร์ท่ตี ิดตัง้ Relay Modules ประกอบด้วยการตัง้ ค่าดังนี ้
• Use Proxy หากการเชื่อมต่อสื่อสารระหว่าง Relay Endpoint กับ Updater Server ภายในองค์กร ผ่าน Proxy server
ให้เลือก Proxy โดยการตัง้ ค่านีจ้ ะไปรับการตัง้ ค่า Proxy จากเมนู Gereral > Settings
• Add Location การกาหนดค่า Update Server เอง ในช่อง Add location โดยกาหนดดังนี ้
o Update_server_ip:port
o Update_server_ip:port
โดย Port ที่ใช้งาน default คือ 7074
P a g e 84 | 165
6.9 Encryption Management เป็ นโมดูลการเข้ารหัส จัดการการเข้ารหัสดิสก์เต็มรูปแบบโดยใช้ BitLocker บน Windows
และ FileVault, diskutil บน macOS
P a g e 85 | 165
6.10 Incident Sensor เป็ นการตรวจสอบ Endpoint Activity กิจกรรมการทางานต่างๆ อย่างต่อเนื่อง ได้แก่ การเชื่อมต่อ
ระบบเครือข่าย, การเปลี่ยนแปลงค่า Registry และพฤติกรรมการใช้งานของผูใ้ ช้ โดยรวบรวมข้อมูลและประมวลผลตาม
อัลกอริทมึ ของ Machine Learning ปัญญาประดิษฐ์ และเทคโนโลยีการป้องกันและตรวจจับไฟล์ท่ีตอ้ งสงสัยในระบบ
P a g e 86 | 165
7. Report แสดงรายงานการทางานต่างๆ ของการทางาน โดยการสร้างรายงานจะประกอบด้วยหมวดหมู่ดงั ต่อไปนี ้
P a g e 87 | 165
คลิกไปยังจานวนครัง้ ที่ Blocked Website จากนัน้ จะแสดงหน้าต่างรายละเอียดของ URL นัน้
P a g e 88 | 165
• Blocked Applications แจ้งให้ทราบเกี่ยวกับการทางานของโมดูล Antimalware, Firewall, Content Control,
Advanced Anti-Exploit และ ATC/IDS สามารถดูรายละเอียดแอปพลิเคชันที่ถูกบล็อกในเครื่องลูกข่าย
P a g e 89 | 165
• Data Protection แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ ของโมดูลการปกป้องข้อมูล สามารถดูจานวนอีเมลและ
เว็บไซต์ท่ถี ูกบล็อกในเครื่องลูกข่าย รวมถึงผูใ้ ช้ท่เี ข้าสูร่ ะบบโดยแสดงรายชื่อผูใ้ ช้งานเวลาที่ตรวจจับล่าสุด
P a g e 90 | 165
• Device Control Activity แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ เมื่อเครื่องลูกข่ายเข้าถึงอุปกรณ์ต่อพ่วงสามารถดู
จานวนการเข้าถึงที่ได้รบั อนุญาต ถูกบล็อกและเหตุการณ์แบบอ่านข้อมูลได้อย่างเดียว
P a g e 91 | 165
• Endpoint Modules Status แสดงภาพรวมของโมดูลต่างๆ ที่ติดตัง้ บนเครื่องลูกข่าย แสดงรายละเอียดการใช้งานโมดูล
ใดที่เปิ ดใช้งาน โมดูลใดปิ ดการใช้งาน หรือไม่ได้ติดตัง้
P a g e 92 | 165
• Firewall Activity แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ ของโมดูลไฟร์วออล์ แสดงจานวนการพยายามรับส่งข้อมูลที่
ถูกบล็อกและการสแกนพอร์ตที่ถกู บล็อก รวมถึงชื่อของผูใ้ ช้งานเครื่องลูกข่ายล่าสุดที่ตรวจจับ
P a g e 93 | 165
• HyperDetect Activity Activity แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ ของโมดูล HyperDetect แสดงแผนภูมิ
รายงานการพยายามในการโจมตีระบบและการกระจายการโจมตีในแต่ละประเภท ประกอบด้วย สถานที่เก็บ Malicious
file หรือ URL อันตราย ที่ตรวจจับพบว่าติดไวรัส หากพบว่าเป็ นการโจมตีแบบ File-less attack จะแสดงชื่อไฟล์ท่ใี ช้ในการ
ส่งคาสั่ง และ malicious command line string รวมทัง้ แสดงประเภทของการโจมตีเช่น Target Attack, grayware,
exploits, ransomware, suspicious file, network traffic และสถานะของไฟล์
P a g e 94 | 165
• Malware Status ช่วยให้สามารถค้นหาเครื่องปลายทางที่ได้รบั ผลกระทบจากมัลแวร์ และสามารถคลิกเข้าไปดูใน
ตัวเลขจานวนไฟล์ท่ตี รวจจับนัน้ ๆ เพื่อดูรายละเอียดของไฟล์ในการจัดการแต่ละอันได้แก่ Cleaned, Ignored,
Quarantine, Deleted, Unresolved
P a g e 95 | 165
• Network Incident แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ ของโมดูล Network Attack Defense โดยแสดงกราฟ
จานวนของการพยายามโจมตีเครื่องลูกข่ายที่ตรวจพบ พร้อมระบุรายละเอียดดังนี ้ ชื่อเครื่อง, IP, Username ของผูใ้ ช้งาน,
Detection Name, attack technique, จานวนครัง้ ที่โจมตี, Attacker’s IP, Targeted IP และ Port
P a g e 96 | 165
สามารถทาการคลิกไปยังตัวเลขจานวนสถานะที่แสดงเพื่อดูรายละเอียดเพิ่มเติม และทาการสั่งติดตัง้ ได้ Patch ที่ไม่ได้
ติดตัง้ ได้
P a g e 97 | 165
• Network Protection Status ให้ขอ้ มูลรายละเอียดเกี่ยวกับสถานะความปลอดภัยโดยรวมของเครื่องลูกข่ายได้แก่
สถานะการทางาน, managed and unmanaged, license status, infected status, update status, patch status
P a g e 98 | 165
• Security Audit ให้ขอ้ มูลเกี่ยวกับเหตุการณ์ความปลอดภัยที่เกิดขึน้ กับเครื่องลูกข่ายที่เลือก โดยข้อมูลแสดงเหตุการณ์
ต่อไปนี ้ Malware detection, Blocked application, scan port, traffic, website, device, email, process, Advanced Anti-
Exploit and Network Attack Defense event และยังสามารถแสดงรายละเอียดมัลแวร์ท่ต ี รวจจับได้ เพราะการทางานของโมดูล
ป้องกันอะไร
P a g e 99 | 165
Creating Report วิธีการสร้างรายงาน
P a g e 100 | 165
Details:
Settings:
P a g e 101 | 165
Schdule ประกอบด้วยการตัง้ ค่า
P a g e 102 | 165
8. Quarantine เป็ นโฟลเดอร์ท่เี ข้ารหัสซึ่งมีไฟล์ท่อี าจเป็ นอันตรายเช่น ไฟล์ท่สี งสัยว่าเป็ นมัลแวร์ ไฟล์ท่ีติดมัลแวร์หรือไฟล์อ่นื ๆ
ที่ไม่ตอ้ งการ เมื่อไวรัสหรือมัลแวร์ท่มี ีอยู่ในรูปแบบอื่นๆ ที่อยู่ในการกักกันมันจะไม่ทาอันตรายใดๆ กับเครื่องคอมพิวเตอร์
เพราะไม่สามารถดาเนินการ Run program หรืออ่านไฟล์ได้ GravityZone จะทาการย้ายไฟล์ไปยังการกักกันตามนโยบายที่
กาหนดให้กบั เครื่องลูกข่าย โดยค่าเริ่มต้นการตัง้ ค่า ไฟล์ท่ไี ม่สามารถ disinfected (กาจัดไวรัส) จะถูกกักกัน การกักกันจะถูก
บันทึกไว้ในเครื่องลูกข่ายของแต่ละเครื่องที่ตรวจพบมัลแวร์
Restoring Quarantined Files เป็ นการกูค้ ืนไฟล์ท่จี าเป็ นต้องใช้งาน ที่ถกู กักกันไว้ ไม่ว่าจะถูกกักกันในตาแหน่งเดิมหรือถูก
ย้ายตาแหน่งไปที่อ่นื โดยเลือกไฟล์ท่ตี อ้ งการกูค้ ืน จากนัน้ ทาการคลิกเมนู จากนัน้ จะปรากฎหน้าต่าง
P a g e 103 | 165
• Restore to the original location คืนการกักกันไปยังที่อยู่เดิมของไฟล์
• Restore to this folder คืนการกักกัน ย้ายไฟล์คืนไปยังโฟลเดอร์ท่ีตอ้ งการระบุ
• Automatically add exclusion in policy ให้ทาการเพิ่มใน Policy สาหรับยกเว้นการสแกนมัลแวร์สาหรับไฟล์ท่เี ลือกนี ้
อัตโนมัติ
P a g e 104 | 165
9. User Account
สาหรับการตัง้ ค่าและการบริหารจัดการ GravityZone ได้จาก Control Center ควบคุมบัญชีผใู้ ช้งาน โดยสามารถปรับแต่ง
การเข้าถึงคุณสมบัติของ GravityZone หรือเฉพาะส่วนตามเครือข่ายที่ตอ้ งการ การควบคุมสิทธิ์จะสามารถทาได้เฉพาะ
ผูใ้ ช้งานที่มีระดับสิทธิก์ ารใช้งานเท่าเทียมกันหรือลาดับสิทธิน์ อ้ ยกว่า ถึงจะปรับแต่งสิทธิก์ ารเข้าใช้งานได้
P a g e 105 | 165
การกาหนดสิทธิ์ ควบคุมบัญชีการโดย คลิกที่เมนู จากนัน้ จะปรากฎหน้าต่าง
P a g e 106 | 165
• Role คือสิทธิ์การบริหารจัดการสาหรับผูใ้ ช้งานที่สร้างนี ้ ประกอบด้วย
P a g e 107 | 165
10. Sandbox Analyzer แสดงหน้าวิเคราะห์การทางานของ Sandbox สามารถเลือกแสดงผลการวิเคราะห์และค้นหาการส่ง
ไฟล์ไปยัง Sandbox ทัง้ แบบอัตโนมัติและแบบ Manual โดยหน้าวิเคราะห์ประกอบด้วยสองส่วนคือ
• Sample name and hash (MD5) กรอกค่าที่คน้ หาเป็ นชื่อไฟล์ หรือค่าตัวเลข Hash จากนัน้ กดเลือกช่วงวันที่ตอ้ งการ
ค้นหา และกดเมนู Search เพื่อค้นหา
P a g e 108 | 165
Date เป็ นการกาหนดช่วงเวลาที่ตอ้ งการค้นหาผลการวิเคราะห์ โดยสามารถเลือกช่วงเวลา จากวันที่ ถึงวันที่ หรือเลือก
คลิกแสดงผลแบบ 7, 14, 30, 90, 180 วัน
P a g e 109 | 165
o Endpoint sensor ส่งไฟล์ไปวิเคราะห์โดย Bitdefender Endpoint Security Tools โดยการตัง้ ค่าจาก Policy
Snadbox Analyzer ที่ Control Center
• Submission status แสดงผลการวิเคราะห์ตามสถานะที่วิเคราะห์ ดังนี ้
o Finished - Sandbox Analyzer ทาการวิเคราะห์และส่งผลการวิเคราะห์เสร็จสิน้ แล้ว
o Pending analysis - อยู่ระหว่างการวิเคราะห์ของ Sandbox Analyzer
o Failed – Sandbox Analyzer ไม่สามารถทาการวิเคราะห์ไฟล์ตวั อย่างได้
• ATT&CK techniques แสดงผลการวิเคราะห์จากการตรวจจับไฟล์ดว้ ยเทคนิค ATT&CK ขึน้ อยู่เหตุการณ์ท่พี บ
P a g e 110 | 165
HTML Web Report แสดงรายละเอียดการวิเคราะห์ภาพแบบละเอียด
P a g e 111 | 165
Submision details แสดงรายละเอียดของไฟล์เช่น File name, command line, File type, File Size, MD5, SHA1,
SHA256, SHA512, CRC32, Submission Time
P a g e 112 | 165
Detection แสดงรายละเอียด เทคโนโลยีท่ไี ช้ในการตรวจจับไฟล์ว่าใช้เทคนิคอะไร
P a g e 113 | 165
Behavior System Change แสดงรายละเอียด การเปลี่ยนแปลงค่าในระบบ เช่น การสร้างไฟล์ การแก้ไข registry
P a g e 114 | 165
Behavior Network แสดงรายละเอียดของการเชื่อมต่อเน็ตเวิรก์ ประเทศที่ทาการเชื่อต่อ IP Address
P a g e 115 | 165
Behavior Timeline กราฟแสดงช่วงเวลาของการทางานมัลแวร์แต่ละช่วง
P a g e 116 | 165
Behavior Chronology แสดงลาดับเหตุการณ์ของการทางาน
P a g e 117 | 165
Manual Submission เป็ นเมนูสาหรับการอัปโหลดไฟล์ท่ีตอ้ งสงสัยแบบ Manual ให้ Sandbox Anlyzer ทาการวิเคราะห์
โดยสามารถทาการตรวจสอบได้สองแบบคือ Files, URL, Command-line argument
P a g e 118 | 165
11. Incidents (EDR)
Incidents ช่วยวิเคราะห์เหตุการณ์ ตรวจสอบและดาเนินการกับเหตุการณ์ความปลอดภัยทัง้ หมดที่ตรวจพบโดย Incident
Sensor ตามช่วงเวลาที่กาหนด ประกอบด้วย
P a g e 119 | 165
The Filters Grid ตารางตัวกรองการแสดงผล
P a g e 120 | 165
• Score คะแนนความเชื่อมั่นระหว่าง 100 และ 10 บ่งชีเ้ หตุการณ์ความปลอดภันที่อาจจะเป็ นอันตราย ยิ่งคะแนนสูงยิ่ง
เป็ นเหตุการณ์ท่เี ป็ นอันตรายมากขึน้ คะแนนจะปรับตามตัวบ่งชีว้ ดั การโจมตีและเทคนิค ATT&CK สามารถปรับตัวเลขการ
กรองตามคะแนนความเชื่อมั่นจากตัวเลื่อนแถบเลื่อน
P a g e 121 | 165
• Status แสดงสถานะปัจจุบนั ของเหตุการณ์ โดยการเลือกดูแต่ละสถานะจากการกดเมนู drop-down จะพบ
Investigate: กิจกรรมของเหตุการณ์ความปลอดภัยที่อยู่ระหว่างการตรวจสอบ
P a g e 122 | 165
• Alert แสดงจานวนตัวเลข จานวนครัง้ จากการตรวจพบเหตุการณ์นี ้
• Endpoint OS แสดงเหตุการณ์ความปลอดภัยตามระบบปฏิบตั ิของเครื่องลูกข่าย
คลิกที่ เพื่อดูหน้าแสดงผลกราฟฟิ ก
P a g e 123 | 165
การแก้ไข Status ของเหตุการณ์ท่ตี รวจจับ คลิกที่เมนู Status และเลือกสถานะที่ตอ้ งการเปลี่ยน
P a g e 124 | 165
Critical Path คือลาดับเหตุการณ์ท่อี นั ตรายและเชื่อมโยงเหตุการณ์ไปจนถึงการปิ ดการแจ้งเตือน จากจุดเริ่มต้นใน
เครือข่ายไปยังโหนดต่างๆ ไล่ลงมา ตามลาดับเหตุการณ์ โดยเส้นทางสาคัญจะถูกไฮไลต์แสดงเป็ นกราฟอย่างง่าย และ
ล้อมรอบด้วยแผงข้อมูลเพิ่มเติมของเหตุการณ์
P a g e 125 | 165
Filter เมนูตวั กรอง มีความสามารถในการกรองขัน้ สูง ซึ่งจะช่วยให้การจัดการกราฟิ กเหตุการณ์โดยสมบูรณ์ โดยการเน้น
องค์ประกอบตามประเภทหรือความเกี่ยวข้องหรือซ่อนไว้เพื่อทาให้เหตุการณ์มีขนาดกะทัดรัดและง่ายต่อการวิเคราะห์มากขึน้
P a g e 126 | 165
Critical Path เน้นแสดงเหตุการณ์ท่ีอนั ตราย จากการถูกยึดครองจากมัลแวร์
Endpoint เน้นแสดงรายละเอียดของเครื่องคอมพิวเตอร์ท่ีเกิดในเหตุการณ์
P a g e 127 | 165
Process เน้นแสดงโหนดของโปรเซสที่เกี่ยวข้องกับเหตุการณ์
P a g e 128 | 165
Neutral node ไม่มีผลกระทบกับเหตุการณ์ความปลอดภัย
P a g e 129 | 165
Details Panel for Endpoint Nodes กรอบรายละเอียดสาหรับ Endpoint Node
Remediation แสดงข้อมูลกี่ยวกับการกระทาที่
GravityZone อัตโนมัติ เพื่อลดภัยคุกคามและการกระทาที่
สามารถจะกระทาได้ ได้แก่
Isolate host - สาหรับการแก้ไขแยกเครื่องออกจาก
เครือข่าย
Install patchs – ติดตัง้ แพตซ์รกั ษาความปลอดภัยที่ไม่ได้
ติดตัง้ จะต้องมีโมดูลและ License สาหรับการใช้งาน
Patch management ถึงจะสามารถใช้งานเมนูนีไ้ ด้
Remote Connection - สร้างการเชื่อมต่อระยะไกลไปยัง
เครื่องคอมพิวเตอร์และสามารถเรียกใช้คาสั่ง shell
commands ที่ตอ้ งการได้โดยตรงบนระบบปฎิบตั ิการ
Device Info แสดงข้อมูลทั่วไปของเครื่องคอมพิวเตอร์ท่ี
กระทบกับเหตุการณ์นี ้ ได้แก่ ชื่อเครื่อง, IP Address, OS,
สถานะ, Policy ที่ใช้งานอยู่
Remote Connection
P a g e 130 | 165
Details Panel for Process Nodes แผงข้อมูลแสดงรายละเอียดการทางานของ Process ที่ตรวจจับเหตุการณ์
P a g e 131 | 165
Details Panel for File Nodes แผงข้อมูลแสดงรายละเอียดของไฟล์ จากเหตุการณ์ท่ีตรวจจับ
P a g e 132 | 165
Alert – แสดงความรุนแรงของโดเมนที่มีการตรวจจับ สาเหตุ
ของเหตุการณ์ดว้ ยเทคโนโลยีของ Bitdefender ตามวันและ
เวลาที่ตรวจพบ
Investigation – แสดงวันที่เริ่มต้นตรวจจับและสิน้ สุด
องค์ประกอบการทางานของเหตุการณ์นี ้
Remediation - แสดงข้อมูลเกี่ยวกับการกระทาของ
GravityZone ที่ดาเนินการอัตโนมัติเพื่อลดภัยคุกคามและ
สามารถสั่งการกระทาเองได้ ดังนี ้
- เพิ่ม URL เป็ นข้อยกเว้นการสแกน – ใช้ตวั เลือกนีเ้ พื่อ
ยกเว้นในการสแกนใน Policy > Antimalware > Setting
P a g e 133 | 165
Event ลาดับเหตุการณ์ว่าเกิดขึน้ ได้อย่างไร ใช้ในการตรวจสอบลาดับเหตุการณ์ของระบบที่มีความสัมพันธ์กนั และแจ้ง
เตือนการตรวจพบด้วยเทคโลโลยีอะไรของ GravityZone เช่น EDR, Network Attack Defense, Anomaly Detection,
Advanced Anti-Exploit, Windows Antimalware Scan Interface (AMSI)
P a g e 134 | 165
สามารถทาการ Add Hashes เพื่อทาการ Block File นัน้ จากการคลิกที่ เมนู จะปรากฎหน้าต่างใน
การเพิ่มค่า
P a g e 135 | 165
12. Risk Management
Endpoint Risk Analytics (ERA) ช่วยให้ประเมินความเสี่ยงและให้สามารถกาหนดค่าความปลอดภัยของเครื่องลูกข่ายให้
ปลอดภัยมากขึน้ จากแนวปฏิบตั ิท่ีดีท่สี ดุ ตามมาตรฐานเพื่อลดพืน้ ที่การโจมตีของภัยคุกคาม
P a g e 136 | 165
Company Risk Score
คะแนนความเสี่ยงโดยรวมจะแสดงระดับความเสี่ยงที่องค์กรต้องเผชิญด้วยการตัง้ ค่าระบบที่ไม่ถกู ต้อง คะแนนจะสะท้อน
ถึงความรุนแรง คะแนนแสดงถึงค่าเฉลี่ยของความเสี่ยงมีสองประเภทคือกาหนดค่าผิดพลาดและช่องโหว่ของแอปพลิเคชัน
P a g e 137 | 165
Risk Score Breakdown แสดงผลกระทบความเสี่ยง ตามแต่ละประเภทในการให้คะแนนโดยรวม ประกอบด้วย
P a g e 138 | 165
Top Vulnerable Apps แอปที่มีช่องโหว่ยอดนิยม วิดเจ็ตนีแ้ สดงผลลัพธ์ 15 อันดับแรกสาหรับช่องโหว่ของแอพพลิเคชันที่
ทราบจากการแจ้งเตือนความเสี่ยงหลังจากสแกนเครื่องลูกข่ายตามลาดับการแสดงแต่ละอันจะแสดงถึงตัวบ่งชีห้ นึ่งตัวที่ แจ้ง
เตือนความเสี่ยงสาหรับเครื่องคอมพิวเตอร์อย่างน้อยหนึ่งตัว สามารถคลิกดูรายละเอียดเพิ่มเติมได้จากเมนู View All
P a g e 139 | 165
Servers by Severity วิดเจ็ตแสดงความรุนแรงของความเสี่ยงที่คกุ คามเซิรฟ์ เวอร์ในสภาพแวดล้อมขององค์กร ผลกระทบ
ของการกาหนดค่าผิดพลาดที่พบและช่องโหว่ของแอปพลิเคชัน โดยจะแสดงค่าเป็ นเปอร์เซ็นต์ สามารถคลิกดูรายละเอียด
เพิ่มเติมได้จากเมนู View All
P a g e 140 | 165
Workstations by Severity วิดเจ็ตแสดงความรุนแรงของความเสี่ยงที่คกุ คามเวิรก์ สเตชันในสภาพแวดล้อมขององค์กร
ผลกระทบของการกาหนดค่าผิดพลาดที่พบและช่องโหว่ของแอปพลิเคชัน โดยจะแสดงค่าเป็ นเปอร์เซ็นต์ สามารถคลิกดู
รายละเอียดเพิ่มเติมได้จากเมนู View All
P a g e 141 | 165
Top Devices at Risk วิดเจ็ตแสดงเซิรฟ์ เวอร์และเวิรก์ สเตชันที่มีช่องโหว่มากที่สดุ ในสภาพแวดล้อมขององค์กร ตาม
คะแนนโดยรวมที่คานวณ หลังจากสแกนหาการกาหนดค่าผิดพลาดและช่องโหว่ คลิกรายละเอียดเพิ่มเติมได้จากเมนู View All
P a g e 142 | 165
Security Risks แสดงความเสี่ยงและอุปกรณ์ท่ไี ด้รบั ผลกระทบที่พบในสภาพแวดล้อมขององค์กร หลังจากรันงานการ
สแกนความเสี่ยง ประกอบด้วยการแสดง
P a g e 143 | 165
App Vulnerabilities แท็บช่องโหว่ของแอป ช่องโหว่ของแอปจะแสดงแอปพลิเคชันที่มีช่องโหว่ทงั้ หมดที่พบในเครืองลูกข่าย
ในองค์กรระหว่างการสแกน ให้ขอ้ มูลโดยละเอียดเกี่ยวกับระดับความรุนแรงจานวน CVE ที่ทราบต่อแอปพลิเคชันและจานวน
เครื่องลูกข่ายที่ได้รบั ผลกระทบ
P a g e 144 | 165
Executive Summary บทสรุปสาหรับการจัดการนาเสนอภาพรวมความปลอดภัยที่กระชับของอุปกรณ์ปลายทางที่ได้รบั การ
ป้องกันทัง้ หมด ในเครือข่ายของคุณและได้รบั การออกแบบมาเป็ นพิเศษเพื่อช่วยคุณตรวจสอบวิเคราะห์และจัดหา การจัดการ
ด้วยข้อมูลที่ง่ายต่อการตีความ ส่วนใหญ่ประกอบด้วยวิดเจ็ตช่วยเพิ่มการมองเห็นภาพรวม โดยการเสนอรายละเอียดเกี่ยวกับ
เครื่องปลายทาง (Endpoint) โมดูลการตรวจจับและการดาเนินการประเภทภัยคุกคามและเทคนิคเกี่ยวกับ บริษัท ของคุณ
คะแนนความเสี่ยงและอื่น ๆ
Executive Summary
สาคัญ
● สถิติท่ใี ห้มาทัง้ หมดเป็ นไปตามข้อมูลที่รวบรวมหลังจากเปิ ดใช้งานคุณลักษณะนี ้ ไม่มีเหตุการณ์ก่อนหน้านีร้ วมอยู่ดว้ ย
P a g e 145 | 165
ส่วนเริ่มต้นที่ดา้ นบนของหน้า ได้แก่ :
ปลายทางที่มีการจัดการ
จุดสิน้ สุดที่ใช้งานอยู่
ส่วนนีจ้ ะแจ้งให้คณ
ุ ทราบเกี่ยวกับปลายทางทัง้ หมดที่ออนไลน์อยู่ในรายการที่เลือก
ระยะเวลาหรือออนไลน์ในขณะที่รายงาน
ภัยคุกคามที่ถูกบล็อก
ส่วนนีจ้ ะแสดงจานวนภัยคุกคามที่ถูกบล็อกทัง้ หมดที่ระบุบนอุปกรณ์ปลายทางของคุณ
รายละเอียดเครื่องปลายทาง
คะแนนความเสี่ยงของ บริษัท
ในส่วนนีค้ ณ
ุ สามารถค้นหาข้อมูลเกี่ยวกับระดับความเสี่ยงของ บริษัท ของคุณ
P a g e 146 | 165
ที่มมุ ขวาบนของหน้าคุณสามารถพิมพ์ช่ือ บริษัท หรือเลือก จากเมนูแบบเลื่อนลง บริษัท ที่สนใจ โปรดทราบว่าไฟล์
สรุปแสดงสถิติสาหรับ บริษัท เดียวในแต่ละครัง้ ไม่ใช่สาหรับทัง้ บริษัท คุณยังสามารถเลือกช่วงเวลาที่กาหนดไว้ลว่ งหน้าโดย
สัมพันธ์กบั เวลาปัจจุบนั :
● 24 ชั่วโมงล่าสุด
● 7 วันที่ผ่านมา
● 30 วันที่ผ่านมา
บันทึก
● เพื่อให้แน่ใจว่าคอนโซลแสดงข้อมูลล่าสุดให้ใช้ปมุ่ รีเฟรช
ช่วงเวลาเฉพาะ:
● ช่วงเวลาก่อนช่วงเวลาที่เลือกโดยมีจานวนวันหรือชั่วโมงเท่ากัน
● ช่วงเวลาที่เลือก
P a g e 147 | 165
วิดเจ็ตหลักของสรุป ได้แก่ : ภัยคุกคามที่ถูกบล็อก 5 อันดับแรก
วิดเจ็ตนาเสนอข้อมูลเกี่ยวกับประเภทภัยคุกคามที่พบบ่อยที่สดุ โดยอ้างอิงจาก จานวนการตรวจจับบนอุปกรณ์ปลายทางของ
คุณ คอลัมน์ทางด้านซ้ายจะปรากฏขึน้ ประเภทภัยคุกคามและความสัมพันธ์ในคอลัมน์ดา้ นขวาคุณจะพบจานวน การตรวจจับ
สาหรับแต่ละประเภทเช่นเดียวกับค่าเดลต้า
สถานะเหตุการณ์
หมวดหมู่เหตุการณ์อธิบายไว้ดงั นี:้
การดาเนินการแก้ไข
P a g e 148 | 165
สถานะโมดูลปลายทาง
ให้ภาพรวมของการครอบคลุมโมดูลการป้องกันสาหรับอุปกรณ์ปลายทางของคุณ แผนภูมิแสดงโมดูลและไม่ว่าจะเปิ ดใช้งาน
ปิ ดใช้งานหรือไม่ ติดตัง้ บนอุปกรณ์ปลายทางของคุณ
คะแนนความเสี่ยงของ บริษัท
● การเชื่อมต่อที่ถูกบล็อก: จานวนการตรวจจับตามกฎของไฟร์วอลล์
เว็บไซต์ท่ถี ูกบล็อก
วิดเจ็ตนีแ้ สดงจานวนการตรวจจับที่จดั เรียงตามประเภทภัยคุกคามและระบุบนปลายทางของคุณโดยการป้องกันเครือข่าย
เทคนิคการโจมตีเครือข่ายที่ถกู บล็อก
P a g e 149 | 165
การสารวจข้อมูลหลายมิติ
บทสรุปสาหรับการจัดการช่วยให้คณุ มีความเป็ นไปได้ในการสารวจข้อมูลโดยการเรียกดูจากระดับสถิติไปสูม่ มุ มองที่ละเอียด
และละเอียดยิ่งขึน้ ความสามารถในการเจาะลึกช่วยให้คณุ นาทางได้ทนั ทีจากวิดเจ็ตไปยังส่วนต่างๆของศูนย์ควบคุม ในการนา
ทางจากแต่ละวิดเจ็ต:
1. คลิกหน้าแดชบอร์ดและเลือกบทสรุปสาหรับผูบ้ ริหาร
2. ค้นหาวิดเจ็ตที่น่าสนใจ
3. คลิกชื่อวิดเจ็ตหรือเนือ้ หาขึน้ อยู่กบั การเลือกของคุณ ตัวอย่างเช่นถ้า คุณต้องการดูเฉพาะภัยคุกคามที่คน้ พบในเวิรก์ สเตชัน
โดยตรงคลิกที่ เวิรก์ สเตชันแทนชื่อวิดเจ็ต หลังจากการเลือกของคุณคุณจะถูกเปลี่ยนเส้นทางไปยังพืน้ ที่ท่เี กี่ยวข้องโดยอัตโนมัติ
ของศูนย์ควบคุม แต่ละส่วนแสดงข้อมูลที่ซบั ซ้อนในแบบกาหนดเอง เพื่อให้คณ ุ สามารถระบุและวิเคราะห์ได้อย่างง่ายดายใน
แง่มมุ ที่คณ
ุ เป็ นสนใจใน
ภัยคุกคามในเครือข่ายของคุณใช้วิดเจ็ตต่อไปนี:้
● ภัยคุกคามที่ถกู บล็อก
● การแบ่งภัยคุกคามตามประเภทเครื่อง
● การดาเนินการแก้ไข
● การตรวจจับตามกฎของนโยบาย
● เว็บไซต์ท่ถี กู บล็อก
● เทคนิคการโจมตีเครือข่ายที่ถกู บล็อก
P a g e 150 | 165
ในการนาทางไปยังพืน้ ที่เครือข่ายที่คณ
ุ สามารถดูรายการปลายทางได้ไฟล์ระบบปฏิบตั ิการและเวอร์ชนั ที่เกี่ยวข้องประเภทของ
อุปกรณ์ปลายทางและอื่น ๆ
ใช้วิดเจ็ตต่อไปนี:้
● ปลายทางที่มีการจัดการ
● จุดสิน้ สุดที่ใช้งานอยู่
● รายการทรัพย์สิน
วิดเจ็ตสถานะโมดูลปลายทางสร้างโมดูลปลายทางโดยอัตโนมัติรายงานสถานะเมื่อเข้าถึง รายงานให้รายละเอียดเกี่ยวกับการ
ป้องกันครอบคลุมโมดูลสาหรับปลายทางของคุณ
สาคัญ
●ส่วนที่คณ
ุ เปลี่ยนเส้นทางจะถูกกรองโดยอัตโนมัติตามการเลือกวิดเจ็ตของคุณ
P a g e 151 | 165
ตัวอย่างเช่นเมื่อคุณคลิกวิดเจ็ตภัยคุกคามที่ถกู บล็อกและคุณจะถูกเปลี่ยนเส้นทางไปที่ หน้า Threats Xplorer คอลัมน์ต่อไปนี ้
จะถูกเลือกไว้ลว่ งหน้าและเปิ ดใช้งาน
ตัวกรอง:
● ประเภทอุปกรณ์
● โมดูลการตรวจจับ
● ดาเนินการ
● เทคโนโลยีการตรวจจับ
P a g e 152 | 165
THREATS XPLORER
Threats Xplorer ได้รบั การออกแบบมาเป็ นพิเศษเพื่อให้คณ
ุ สามารถมองเห็นได้มากขึน้ ภัยคุกคามที่ตรวจพบในเครือข่ายของ
คุณ คุณลักษณะนีร้ วมศูนย์เหตุการณ์การตรวจจับจาก เทคโนโลยี GravityZone หลายรายการและจาแนกตามหมวดหมู่
ประเภทภัยคุกคาม การดาเนินการแก้ไขและอื่น ๆ อีกมากมายคุณสามารถระบุและวิเคราะห์เหตุการณ์ใด ๆ จาก บริษัท ของ
คุณได้อย่างง่ายดาย ช่วงเวลาโดยใช้ตวั กรองที่มีอยู่
Threats Xplorer
●ตารางแสดงเหตุการณ์การตรวจจับในช่วง 90 วันที่ผ่านมา
P a g e 153 | 165
คุณลักษณะนีร้ วบรวมเหตุการณ์การตรวจจับจากโมดูลต่อไปนี:้
● Antimalware
● Network Protection
● Storage Protection
● Exchange Protection
● Device Control
● Firewall
การวิเคราะห์เหตุการณ์การตรวจจับ
P a g e 154 | 165
ภัยคุกคาม Xplorer - คอลัมน์
คุณสามารถเลือก บริษัท ที่สนใจจากด้านขวาบนของหน้าเป็ นและดูเหตุการณ์จากช่วงเวลาหนึ่ง
● 24 ชั่วโมงล่าสุด
● 7 วันที่ผ่านมา
● 30 วันที่ผ่านมา
●กาหนดเอง
รายละเอียด
ชื่ออุปกรณ์
คอลัมน์นีร้ ะบุช่ืออุปกรณ์ท่ีตรวจพบเกิดขึน้ คุณสามารถค้นหาอุปกรณ์ท่ีตอ้ งการได้โดยพิมพ์ช่ือในการค้นหาแถบของตัวกรอง
P a g e 155 | 165
ตรวจพบเมื่อ
คอลัมน์นีร้ ะบุเวลาและวันที่ท่แี น่นอนของการตรวจจับ
บรรทัดคาสั่ง
ในส่วนนีค้ ณ
ุ สามารถดูรายละเอียดเกี่ยวกับบรรทัดคาสั่งที่ใช้ในการตรวจพบภัยคุกคามถ้ามี
ประเภทภัยคุกคาม
ในส่วนนีค้ ณ
ุ สามารถค้นหาที่อยู่ IP ของอุปกรณ์ท่ีตรวจพบเกิดขึน้
ประเภทอุปกรณ์
ผูใ้ ช้
ในคอลัมน์นคี ้ ณ
ุ จะพบชื่อผูใ้ ช้ท่ใี ช้ในการโจมตี
กาลังตรวจจับโมดูล
ส่วนนีร้ ะบุช่ือโมดูล GravityZone ที่ ระบุภยั คุกคาม สาหรับผลการค้นหาที่แม่นยายิ่งขึน้ ให้ใช้ตวั กรองที่มี
เทคโนโลยีการตรวจจับ
ส่วนนีใ้ ห้ขอ้ มูลเกี่ยวกับเทคโนโลยี GravityZone ที่ใช้ระบุภยั คุกคาม
ชื่อภัยคุกคาม
คอลัมน์นีแ้ สดงชื่อที่แน่นอนของภัยคุกคามที่ระบุ
การโจมตีแบบไม่ใช้ไฟล์
คอลัมน์นีใ้ ห้รายละเอียดเกี่ยวกับการมีอยู่ของการโจมตีแบบไม่ใช้ไฟล์
P a g e 156 | 165
บันทึก
หมายเลขรายการที่อยู่เหนือพืน้ ที่คอลัมน์ทางด้านซ้ายของหน้า แสดงจานวนเหตุการณ์การตรวจจับทัง้ หมดตามตัวกรองที่เลือก
นอกจากนีค้ ณ
ุ สามารถค้นหาจานวนเหตุการณ์ท่รี ะบุจานวนครัง้ ได้ตรวจพบเหตุการณ์
คุณสามารถใช้ตวั เลือกที่มีอยู่ทางด้านขวาบนของหน้าเพื่อ:
●ลบส่วนตัวกรองที่อยู่เหนือคอลัมน์
●รีเฟรชตารางและแสดงเหตุการณ์ล่าสุด
●ล้างตัวกรองที่เลือกและนาไปใช้ทงั้ หมด
●เลือกหรือยกเลิกการเลือกคอลัมน์หลักที่คณ
ุ ต้องการดูตามความต้องการของคุณ
●ปรับเส้นตารางเป็ นมุมมองที่กะทัดรัด
GravityZone ช่วยให้คณ
ุ สร้างและดูรายงานจากส่วนกลางเกี่ยวกับสถานะความปลอดภัยของอ็อบเจ็กต์เครือข่ายที่มีการ
จัดการ รายงานสามารถใช้เพื่อวัตถุประสงค์หลายประการ
เช่น:
●ตรวจสอบและรับรองการปฏิบตั ิตามนโยบายความปลอดภัยขององค์กร
●ตรวจสอบและประเมินสถานะความปลอดภัยของเครือข่าย
●ระบุปัญหาด้านความปลอดภัยของเครือข่ายภัยคุกคามและช่องโหว่
●ตรวจสอบเหตุการณ์ดา้ นความปลอดภัย
●ให้การจัดการระดับสูงด้วยข้อมูลที่ง่ายต่อการตีความเกี่ยวกับความปลอดภัยของเครือข่าย
P a g e 157 | 165
มีรายงานหลายประเภทเพื่อให้คณุ สามารถรับข้อมูลได้อย่างง่ายดายคุณต้องการ. ข้อมูลจะถูกนาเสนอเป็ นแผนภูมิเชิงโต้ตอบที่
อ่านง่ายและ ตารางช่วยให้คณ
ุ ตรวจสอบสถานะความปลอดภัยของเครือข่ายและระบุได้อย่างรวดเร็ว ปัญหาด้านความ
ปลอดภัย.
รายงานสามารถรวมข้อมูลจากเครือข่ายทัง้ หมดของออบเจ็กต์เครือข่ายที่มีการจัดการ
หรือจากกลุม่ เฉพาะเท่านัน้ ด้วยวิธีนจี ้ ากรายงานฉบับเดียวคุณสามารถค้นหา:
●ข้อมูลทางสถิติเกี่ยวกับออบเจ็กต์เครือข่ายที่มีการจัดการทัง้ หมดหรือกลุม่
● ข้อมูลโดยละเอียดสาหรับออบเจ็กต์เครือข่ายที่มีการจัดการแต่ละรายการ
ปิ ดใช้งานการป้องกันมัลแวร์)
บางรายงานยังช่วยให้คณ
ุ แก้ไขปัญหาที่พบในเครือข่ายของคุณได้อย่างรวดเร็ว สาหรับ
P a g e 158 | 165
Appendix
Bitdefender Endpoint Security Tools for Linux best practices
Bitdefender Endpoint Security Tools สาหรับ Linux ให้การป้องกันมัลแวร์สาหรับระบบปฏิบตั ิการ Linux ที่ได้รบั
ความนิยมส่วนใหญ่โดยใช้การสแกนแบบ on-access และ on-demand รวมทัง้ โมดูล Endpoint Detection และ Response
(EDR) ที่สามารถรองรับบนปฎิบตั ิการ Linux
• Kernel 2.6.38 or higher – รองรับทุก Linux ทุกเวอร์ช่ นั ที่มี Kernel นี ้ รวมทัง้ เปิ ดใช้งานฟั งก์ชนั fanotify kernel
• Kernel 2.6.32 – 2.6.37 – CentOS 6.x Red Hat Enterprise Linux 6.x – Bitdefender ต้องการใช้งาน DazukoFS
ร่วมกับ prebuilt kernel modules
• ตัวอย่างการเช็ค Kernel ของ Linux OS ในการเช็คเวอร์ช่ นั ของ Kernel ในการรองรับ On-access scanning
P a g e 159 | 165
ความต้องการเพิ่มเติม
• Fedora 28 or higher ต้องติดตัง้ libnsl package โดยใช้ command: sudo dnf install libnsl -y
• Debian 8 ต้องเปิ ดใช้งาน Fanotify แล้วตัง้ ค่าเป็ น enforcing mode
• CentOS ต้องติดตัง้ libnsl package โดยใช้ command: sudo yum install libnsl
1. Manual Download Package ติดตัง้ สาหรับ Linux โดยไปที่เมนู Packages เลือก Packages ที่ตอ้ งการ จากนัน้ คลิก
เมนู Download > Linux kit (64-bit) ขึน้ อยู่กบั ระบบปฎิบตั ิการว่าเป็ น 32-bit หรือ 64-bit โดยเมื่อคลิก download
แล้วจะปรากฎไฟล์ช่ือ fullKit_unix64.tar
2. ทาการ Copy ไฟล์ fullKit_unix64.tar ที่ได้จากการ Download ไปยังโฟลเดอร์ /tmp ของเครื่อง Linux ที่ตอ้ งการติดตัง้
P a g e 160 | 165
4. ใช้คาสั่ง Commands ดังนี ้
#chmod +x installer
#./installer
P a g e 161 | 165
Interface การใช้งาน Bitdefender Endpoint Security Tools Command Line Interface (CLI) ด้วยคาสั่งดังนี ้
• GravityZone Web Console โดยไปที่เมนู Network จากนัน้ เลือกเครื่องคอมพิวเตอร์ท่ตี อ้ งการ คลิกขวาเลือก Task
P a g e 162 | 165
scan -s full | quick | (custom <path1> <path2> ..) คาสั่งสแกนมัลแวร์แบบ full หรือ quick หรือ custom กาหนด path
สแกนเองตาม folder หรือ files ที่กาหนด
ยกตัวอย่าง:
scan -s full สาหรับสั่ง full scan ดังนี ้ $ sudo /opt/Bitdefender/bin/bduitool scan -s full
scan -p
scan -r
Resume all paused scan task สแกนต่อจากที่หยุดไว้
get scantasks
แสดงรายละเอียดของ task ทัง้ หมดที่มีการสั่งสแกน
get scanlog
แสดงรายละเอียดข้อมูล Log ของ task ที่เสร็จสิน้ การสแกน
P a g e 163 | 165
get quar [-s <integer_value>] แสดงลิสต์ของไฟล์ท่อี ยู่ใน quarantine
ดังตัวอย่างดังนี ้
get events [-s <integer value>] แสดงรายละเอียดของ event ที่ malware module ตรวจจับ
Product status and updates การสั่งโปรดักส์อปั เดตและอัปเดต Signature โดยใช้คาสั่งภายใต้คาสั่ง bduitool ดังนี ้
get ps แสดงข้อมูลเกี่ยวกับการทางานของโปรดักส์
P a g e 164 | 165
-v แสดงข้อมูลเวอร์ช่นั ที่ใช้งาน
-p: ทาการอัปเดตโปรดักส์
-ps: ทาการอัปเดตทัง้ สองอย่าง ฐานข้อมูลไวรัสและโปรดักส์ท่ใี ช้
P a g e 165 | 165