Installation Guide

ฉบับภาษาไทย
P a g e 1 | 165
 สารบัญ

1. เกี่ยวกับ GravityZone – About GravityZone 3

2. GravityZone Protection Layers 4
3. GravityZone Architecture 11
4. Getting Started เริ่มต้นการใช้งาน GravityZone 15
5. Installing Protection 24
6. การกาหนดและตัง้ ค่า Policy 42
7. Report 86
8. Quarantine 102
9. User Account 104
10. Sandbox Analyzer 107
11. Incident (EDR) 118
12. Risk Management 135
13. Executive Summary 145
14. Threats Xplorer 153
Appendix

Bitdefender Endpoint Security Tools for Linux best practices

How to delete the device and get key back

P a g e 2 | 165
1. เกี่ยวกับ GravityZone - About GravityZone
GravityZone เป็ นผลิตภัณฑ์ปอ้ งกันและรักษาความปลอดภัยสาหรับองค์กร (Business Security) โดยนาเทคโนโลยี
Virtualization และ Cloud Services มาให้บริการ โดยรองรับเครื่องคอมพิวเตอร์ทงั้ Laptop, Servers, Virtualization
(Private/Public Cloud) และ Exchange mail servers.
GravityZone เป็ นผลิตภัณฑ์ท่มี ีคอนโซลการจัดการแบบรวมศูนย์ ที่พร้อมใช้งานในระบบคลาวด์ซ่งึ โฮสต์โดย Bitdefender
หรือบน Virtual appliance ที่ติดตัง้ ในสถานที่ของ บริษัท และเป็ นศูนย์กลางสาหรับการปรับใช้บงั คับใช้และจัดการนโยบาย
ความปลอดภัย ให้กบั เครื่องลูกข่ายทุกประเภท ทุกสถานที่

GravityZone มีการป้องกันหลายลาดับชัน้ ในการป้องกันภัยคุกคามสาหรับเครื่องลูกข่าย (Endpoint). Microsoft

Exchange Mail Server ได้แก่ การตรวจจับพฤติกรรมที่มีความเสี่ยง (Antimalware with Behavioral monitoring, zero-day
threat, Application Black List, และเทคโนโลยี Sandbox, Firewall, Device Control และ Content control, anti-phishing,
antispam

P a g e 3 | 165
2. GravityZone Protection Layers

• Antimalware
• Advanced Threat Control
• HyperDetect
• Advanced Anti-Exploit
• Firewall
• Content Control
• Patch Management
• Device Control
• Full Disk Encryption
• Security for Exchange
• Sandbox Analyzer
• Hyper Memory Introspection (HVI)
• Endpoint Detection and Response (EDR)
• Endpoint Risk Management (ERM)
• Security for Storage
• Security for Mobile
2.1 Antimalware
Antimalware Protection ใช้เทคนิคการสแกนด้วย Signature Base และ Heuristic analysis (B-HAVE)
เป็ นหลัก ในการตรวจจับ viruses, worms, trojans, spyware, adware, keyloggers, rootkits และ malicious
software ต่างๆ โดยใช้เทคโนโลยีของ Bitdefender Antimalware Scanning ในการสแกนหลายขัน้ ตอน
• ขัน้ พืน้ ฐาน, ใช้เทคโนโลยีท่วั ไปที่ทาการจับคู่สแกนไฟล์ เทียบกับฐานข้อมูล (Signature Database) โดย
ฐานข้อมูลนีจ้ ะประกอบไปด้วยข้อมูลเฉพาะเจาะจงของมัลแวร์ต่างๆ ที่มีการรูจ้ กั จากฐานข้อมูลหลัก
ของ Bitdefender และการสแกนด้วยฐานข้อมูลรูปแบบนีเ้ ป็ นการมั่นใจได้ว่าไฟล์ท่ตี รวจจับหากตรงตาม
ฐานข้อมูล ถือว่าไฟล์นนั้ เป็ นมัลแวร์จริงๆ ดังนัน้ ผูใ้ ช้งานจาเป็ นต้องทาการอัปเดตฐานข้อมูลให้ทนั สมัย

P a g e 4 | 165
 อย่างสม่าเสมอและนอกเหนือจากนัน้ จาเป็ นต้องทาการอัปเดตช่องโหว่ของวินโดว์ และโปรแกรมต่างๆ
เพื่อป้องกันการโจมตีของมัลแวร์ท่อี าศัยช่องโหว่นนั้ ๆ
• ขัน้ ตอนที่สอง การตรวจจับไฟล์ท่ไี ม่ตรงตามฐานข้อมูล ไม่มีเอกสารอ้างอิง เป็ นมัลแวร์ชนิดใหม่ท่ียงั ไม่
เป็ นที่รูจ้ กั โดยอาศัยเทคโนโลยีท่เี รียกว่า B-HAVE ระบบการจาลองสภาวะแวดล้อมเสมือนจริง เพื่อ
ทดสอบพฤติกรรมของไฟล์ท่ตี อ้ งสงสัยว่าจะมีผลกระทบกับการทางานของระบบหรือไม่ หากตรวจพบจะ
ทาการป้องกันไม่ให้ไฟล์นนั้ ทางานหรือเปิ ดใช้
Scanning Engines
Bitdefender GravityZone สแกนเอนจิน้ สามารถกาหนดการตัง้ ค่าการสแกนแบบอัตโนมัติ เมื่อมีการสร้าง
แพ็กเกจการติดตัง้ (Security Agent Packages) โดยแบ่งประเภทของการสแกนดังนี ้
1. Local Scan การสแกนโดยใช้ทรัพยากรของเครื่องคอมพิวเตอร์นนั้ ๆ ซึ่งจะมีการเก็บ Signature ทัง้ หมด
ไว้ท่เี ครื่องของตนเอง
2. Hybrid Scan with Light Engines (Public Cloud) การสแกนโดยใช้ Signature บางส่วนในเครื่อง และ
บางส่วนส่งไปสแกนยัง Bitdefender Cloud ผลทาให้เครื่องใช้งานทรัพยากรน้อยลง
3. Central Scan in Public or Private Cloud การสแกนโดยใช้ทรัพยากรน้อยที่สดุ ด้วยอาศัยการสแกน
จากส่วนกลาง โดยติดตัง้ Security Server เพื่อรับการสแกนจากเครื่องลูกข่าย (มีใน Package
Advance Solution ขึน้ ไป) โดยเครื่องลูกข่ายจะไม่มีการเก็บ Signature ในตัวเครื่อง
4. Central Scan (Public or Private Cloud with Security Server) with fallback* on Local Scan (Full
Engines) เป็ นการสแกนผ่าน Security Server เป็ นหลัก หาก Security Server ไม่สามารถทางานได้ จะ
กลับมาใช้การสแกนแบบ Local Scan แบบข้อที่ 1 โดยอัตโนมัติและจะมีการเก็บ Signature ไว้ในเครื่อง
ลูกข่ายด้วย
5. Central Scan (Public or Private Cloud with Security Server) with fallback* on Hybrid Scan
(Public Cloud with Light Engines) เป็ นการสแกนผ่าน Security Server เป็ นหลัก หาก Security
Server ไม่สามารถทางานได้ จะกลับมาใช้การสแกนแบบข้อที่ 2 โดยอัตโนมัติ
หมายเหตุ Scan Engine ในแบบที่ 2-5 จะมีใน Package Advanced เป็ นต้นไป

P a g e 5 | 165
 2.2 Advanced Threat Control
เทคโนโลยีการตรวจจับมัลแวร์ท่มี ีความสามารถในหลบหลีก กลไกการตรวจจับของโปรแกรมป้องกันไวรัส
สาหรับควบคุมภัยคุกคามขัน้ สูง (Advanced Threat) เป็ นการป้องกันอีกลาดับขัน้ โดยตรวจสอบไฟล์ท่ตี อ้ งสงสัย
อย่างต่อเนื่อง เช่น การรันไฟล์ สร้างไฟล์ ซ่อนไฟล์ การใช้งานหรือสร้างกระบวนการทางาน (Process) อื่นๆ การ
ปลอมโพรเซส การเข้าใช้งานในพืน้ ที่หน่วยความจา รวมทัง้ การยกระดับ การเพิ่มสิทธิ์ในการเข้าถึงไฟล์,
หน่วยความจาและการทางานอื่นๆ โดยจะนาพฤติกรรมของไฟล์เหล่านีม้ าวิเคราะห์ จัดลาดับการให้คะแนนและเมื่อ
ถึงระดับที่เป็ นภัยคุกคาม จะทาการแจ้งเตือนและหยุดการทางานของไฟล์หรือโปรแกรมนัน้ ๆ ทันที
2.3 HyperDetect
Bitdefender HyperDetect เป็ นขัน้ ตอนการรักษาความปลอดภัยเพิ่มเติมอีกลาดับชัน้ เพื่อตรวจจับภัยคุกคาม
ขัน้ สูงและพฤติกรรมที่น่าสงสัย ก่อนกระบวนการทางานของไฟล์หรือพฤติกรรมที่ตอ้ งสงสัยจะเริ่มขึน้ โดย
HyperDetect ประกอบไปด้วย การเรียนรูข้ องปัญญาประดิษฐ์ (Machine Learning) และเทคโนโลยีการตรวจจับภัย
คุกคามที่มองไม่เห็นหรือหลบซ่อน (Stealth Attack Detection Technology) เพื่อป้องกันภัยคุกคาม ได้แก่ การโจมตี
แบบ Zero-day attack, Advanced Persistent threats(APT), มัลแวร์ท่มี ีการทางานซับซ้อน, การโจมตีแบบไม่อาศัย
ไฟล์ในการประมวลผล (Fileless Attacks) ใช้คาสั่งผ่านเน็ตเวิรก์ เช่น PowerShell, Windows Management
Instrumentation ไปยังเครื่องลูกข่ายโดยตรง, การโจมตีจากช่องโหว่ของโปรแกรมต่างๆ, เครื่องมือของแฮ็คเกอร์,
โปรแกรมที่ไม่พงึ ประสงค์ และมัลแวร์เข้ารหัส (Ransomware)
2.4 Advanced Anti-Exploit
Advanced Anti-Exploit เป็ นเทคโนโลยีเชิงรุก เพื่อหยุดการโจมตีแบบ Zero-day attacks ที่หลบเลี่ยงการ
ตรวจจับและอาศัยช่องโหว่ของโปรแกรมในการโจมตี และแสวงหาประโยชน์จากเครื่องลูกข่ายผ่านทางช่องโหว่นนั้ ๆ
ในแบบเรียลไทม์ ลดความเสี่ยงของการเข้าใช้งานของหน่วยความจา โดยป้องกันโปรแกรมที่มีการใช้งานบ่อยๆ ได้แก่
เบราว์เซอร์ในการใช้งานอินเทอร์เน็ต (Browser), Microsoft Office, Acrobat Reader และโปรแกรมอื่นๆ ป้องกัน
การเข้าถึงกระบวนการทางานของโปรแกรม การแย่งใช้งานของกระบวนการทางาน (Hijacking Process).
2.5 Firewall
Firewall มีหน้าที่ในการควบคุมแอปพลิเคชันที่ทาการเข้าถึงระบบเครือข่ายและอินเทอร์เน็ต การเข้าถึงเครือข่าย
ต้องได้รบั การอนุญาต จากการควบคุมของแอปพลิเคชันจากฐานข้อมูลที่รูจ้ กั โดยอัตโนมัติ นอกจากนีไ้ ฟร์วอลล์ยงั
สามารถป้องกันการสแกนพอร์ต การจาการเข้าถึงไฟล์แชร์ และโหมดการแจ้งเตือนเมื่อมีการเชื่อมต่อ Wi-Fi

P a g e 6 | 165
 2.6 Content Control
Content Control มีหน้าที่ในการควบคุม การเข้าถึงเนือ้ หาต่างๆ ตามกฎระเบียบข้อบังคับของบริษัท การรับส่ง
ข้อมูล การเข้าถึงเว็บไซต์ แอปพลิเคชันที่อนุญาต โดยผูด้ แู ลระบบสามารถกาหนดการใช้งาน แยกตามช่วงเวลาที่
กาหนด ป้องกันการเข้าถึงเว็บไซต์บางหมวดหมู่หรือบางเว็บไซต์ ตามสิทธิ์ของผูใ้ ช้งานทัง้ เวบไซต์และแอปพลิเคชัน
2.7 Patch Management
Bitdefender GravityZone สามารถทาการบริหารจัดการแพตซ์ได้อย่างสมบูรณ์แบบ ช่วยให้ระบบปฎิบตั ิการ
คอมพิวเตอร์และแอปพลิเคชันนัน้ อัปเดตให้ทนั สมัย ป้องกันช่องโหว่ต่างๆที่เกิดขึน้ และสามารถแสดงมุมมองที่
ครอบคลุมสถานะแพตซ์ของเครื่องลูกข่าย Patch Management เป็ นโมดูลที่มีการทางานที่หลากหลายรูปแบบ ได้แก่
การสแกนตามคาสั่งโดยทันที ตามกาหนดเวลาทัง้ แบบอัตโนมัติหรือกาหนดด้วยตนเอง สามารถแสดงรายงานแพตซ์
ที่ขาดหายไม่ได้ทาการอัปเดตให้ทนั สมัย และสั่งติดตัง้ จากส่วนกลางโดยทันทีหรือตามเวลาที่กาหนด
Patch Management เป็ นความสามารถเพิ่มเติมที่ใช้งานโดยแยก License Key ที่มอี ยู่ของ GravityZone package
2.8 Device Control
Device Control โมดูลทาหน้าที่ควบคุมการรั่วไหลของข้อมูลที่มีความสาคัญขององค์กรและป้องกันการ
ติดมัลแวร์จากการใช้งานอุปกรณ์ภายนอกมาเชื่อมต่อเครื่องคอมพิวเตอร์ โดยสามารถกาหนดนโยบายการเข้า
(Read/Write, Read Only) และบล็อกการใช้งานกับอุปกรณ์หลากหลายประเภท เช่น USB แฟลซไดร์ฟ อุปกรณ์บลู
ทูธ เครื่องเล่นซีดี/ดีวีดี และ อุปกรณ์เก็บข้อมูลอื่นๆ
2.9 Full Disk Encryption
การป้องกันของโมดูลนีช้ ่วยให้สามารถจัดการ การเข้ารหัสฮาร์ดดิสก์แบบเต็มรูปแบบบนเครื่องลูกข่ายทัง้
BitLocker ของระบบปฎิบตั ิการ Windows และ File Vault ของระบบ MacOS สามารถทาการเข้ารหัสและถอดรหัส
ในบูตวอลลุมซ์ หรือไม่ใช้บูตวอลลุมซ์ เพียงไม่กี่คลิก โดยผูใ้ ช้งานไม่ตอ้ งยุ่งยากในการจัดการ นอกจากนี ้
GravityZone ยังทาการจัดเก็บคียใ์ นการกูค้ ืนข้อมูล การปลดล๊อกข้อมูล กรณีผใู้ ช้งานลืมรหัสผ่าน
Full Disk Encryption เป็ นความสามารถเพิ่มเติมที่ใช้งานโดยแยก License Key ที่มอี ยู่ของ GravityZone package
2.10 Security for Exchange
Bitdefender Security for Exchange เป็ นโมดูลในการป้องกันมัลแวร์ antispam anti-phishing ไฟล์แนบและ
เนือ้ หาต่างๆ ที่ทางานร่วมกับ Microsoft Exchange Server อย่างไร้รอยต่ออย่างมีประสิทธิภาพ เพื่อมั่นใจในการส่ง
ข้อความ จดหมายต่างๆ ได้อย่างปลอดภัย

P a g e 7 | 165
 2.11 Application Control
Application Control ป้องกันมัลแวร์และ Zero-day attack จากการใช้งานหรือติดตัง้ แอปพลิเคชันที่ไม่ปลอดภัย
ไม่น่าไว้วางใจและมีความเสี่ยง มีความยึดหยุ่นในการใช้งานสามารถกาหนด White List แอปพลิเคชันที่ปลอดภัย
และไว้วางใจให้สามารถใช้งานได้
2.12 Sandbox Analyzer
Bitdefender Sandbox Analyzer เป็ นอีกขัน้ ตอนการป้องกันภัยคุกคามขัน้ สูง โดยทาการวิเคราะห์ไฟล์ท่นี ่า
สงสัยแบบอัตโนมัติในเชิงลึก ในระหว่างที่ Bitdefender antimalware engine ยังไม่สามารถวิเคราะห์หรือรูจ้ กั ไฟล์
นัน้ ในการป้องกันมัลแวร์
Bitdefender Sandbox ใช้เทคโนโลยีภายใต้ Bitdefender ดาเนินการทดสอบไฟล์ payloads ที่มีอยู่ ใน
สภาพแวดล้อมเสมือนที่สร้างโฮสต์โดย Bitdefender วิเคราะห์พฤติกรรมของพวกเขาและรายงานการเปลี่ยนแปลง
ระบบย่อยๆ ที่บ่งบอกถึงเจตนาร้าย Sandbox Analyzer จะส่งไฟล์ท่นี ่าสงสัยที่อยู่ในเครื่องลูกข่ายไปวิเคราะห์โดย
อัตโนมัติ จากโมดูลฮิวริสติกเฉพาะที่ฝังอยู่ในโมดูล Antimalware on-access จาก Bitdefender Endpoint Security
กระบวนการส่งไฟล์ไปวิเคราะห์ยงั Sandbox สามารถป้องกันภัยคุกคามที่ไม่รูจ้ กั บนเครื่องลูกข่าย มีการทางาน
ในโหมดต่างๆ เช่น การตรวจสอบการบล็อก การอนุญาตหรือปฏิเสธการเข้าถึงไฟล์ท่นี ่าสงสัยจนกว่าจะได้รบั การ
ตัดสิน จากการวิเคราะห์ใน Sandbox ป้องกันภัยคุกคามที่คน้ พบโดยอัตโนมัติตามนโยบายความปลอดภัย
นอกจากนีห้ ากเป็ นกรณีนี ้ Sandbox Analyzer ช่วยให้คณ
ุ สามารถส่งไฟล์ท่นี ่าสงสัยได้โดยตรงจากโปรแกรมควบคุม
จากส่วนกลางให้คณ ุ ตัดสินใจว่าจะทาอะไรต่อไป
2.13 Hyper Memory Introspection (HVI)
เป็ นที่ทราบกันอย่างกว้างขวางว่าผูโ้ จมตี ที่มีการควบคุมระยะไกลและแสวงหาผลกาไรจากช่องโหว่ท่ไี ม่รูจ้ กั
(ช่องโหว่แบบ zero-day) หรือใช้ช่องโหว่แบบ one-off ที่สร้างเพื่อจุดประสงค์อย่างใดอย่างหนึ่ง (ช่องโหว่แบบ zero-
day) และเครื่องมืออื่นๆ ผูโ้ จมตียงั ใช้เทคนิคขัน้ สูงเพื่อชะลอการตรวจจับและจัดลาดับการโจมตีเพื่อปกปิ ดกิจกรรมที่
เป็ นอันตราย การโจมตีท่ขี บั เคลื่อนด้วยการแสดงหาผลประโยชน์ถูกสร้างขึน้ เพื่อหลบซ่อนตัวและเอาชนะเครื่องมือ
รักษาความปลอดภัยแบบดัง้ เดิม
สาหรับสภาพแวดล้อมเสมือนจริง (Visualization Environment) ปัญหาเหล่านีไ้ ด้รบั การแก้ไขแล้วในขณะนี ้ ด้วย
Hyper Memory Introspection (HVI) ในการป้องกันศูนย์ขอ้ มูล (Data Center) ที่มีความหนาแน่นสูงของข้อมูลจาก
การทางานของระบบเสมือน (Virtual Machine ) ให้ปลอดภัยจากภัยคุกคามขัน้ สูงและซับซ้อน ที่ระบบการตรวจจับ
แบบปกติไม่สามารถป้องกันได้ (signature-based engines), HVI สามารถสร้างความมั่นใจในการตรวจจับการ
โจมตีแบบเรียลไทม์ปิดกัน้ มัลแวร์ท่ีเกิดขึน้ และกาจัดภัยคุกคามทันที

P a g e 8 | 165
 ไม่ว่าจะเป็ นระบบปฎิบตั ิการทัง้ Windows หรือ Linux เซิรฟ์ เวอร์หรือเดสก์ท็อป การสแกนของ HVI จะให้ขอ้ มูล
เชิงลึกจากการสแกนมัลแวล์ในระดับที่คาดไม่ถึงของแต่ละเครื่องเสมือน (Virtual Guest) เช่นการทางานของไฮเปอร์
ไวเซอร์ท่คี วบคุมการทางาน การเข้าถึงฮาร์ดแวร์ในแต่ละเครื่องเสมือน (Virtual Guest) โดย HVI มีความสามารถใน
การเข้าถึงการทางานทัง้ ในโหมดผูใ้ ช้งานและเคอร์เนลในหน่วยความจาของแต่ละเครื่องเสมือน (Guest Memory) ทา
ให้ HVI เข้าใจอย่างลึกซึ่งในการสแกนระบบเสมือน
HVI ทางานแยกออกจากเครื่องเสมือน (Virtual Guest) ที่ได้รบั ป้องกัน เช่นเดียวกับไฮเปอร์ไวเซอร์ท่ถี กู แยก
ออกมาดาเนินงานในระดับไฮเปอร์ไวเซอร์ ประโยชน์จากการทางานในระดับฟั งก์ชนั ของไฮเปอร์ไวเซอร์ HVI สามารถ
เอาชนะความท้าทายทางเทคนิคการรักษาความปลอดภัยแบบดัง้ เดิม เพื่อเปิ ดเผยการกระทากรรมที่เป็ นอันตรายใน
ศูนย์ขอ้ มูล (Data Center)
HVI สามารถระบุเทคนิคการโจมตีมากกว่ารูปแบบการโจมตีปกติ ด้วยวิธีนีจ้ ึงระบุรายงานและป้องกันไม่ให้มีการ
ใช้เทคนิคต่างๆ ในการหาประโยชน์จากช่องโหว่ (Exploitation techniques) เคอร์เนลได้รบั การปกป้องการโจมตีจาก
เทคนิค Hooking technic, Rootkit รวมทัง้ ปกป้องในโหมดผูใ้ ช้งานจาก code injection code, stack และ heap
HVI เป็ นความสามารถเพิ่มเติมที่ใช้งานโดยแยก License Key ที่มีอยู่ของ GravityZone package
2.14 Endpoint Detection and Response (EDR)
Bitdefender EDR ทาหน้าที่คน้ หาและตอบสนองภัยคุกคามขัน้ สูงแบบอัตโนมัติ โดยรวบรวมองค์ประกอบ
ความสัมพันธ์ของเหตุการณ์ (Event) และการกระทาต่างๆของเครื่องลูกข่าย เพื่อระบุภยั คุกคามขัน้ สูงหรือการโจมตีท่ี
กาลังดาเนินอยู่ โดย EDR เป็ นส่วนหนึ่งของ Endpoint Protection เพิ่มความเป็ นอัจฉริยะในการตรวจจับภัยคุกคาม
ให้กบั ระบบเน็ตเวิรก์ ทาให้ผดู้ แู ลระบบสามารถทาการตอบสนองและป้องกันภัยคุกคามขัน้ สูงได้
Bitdefender Endpoint Security Tools ที่ติดตัง้ บนเครื่องลูกข่าย เราสามารถเปิ ดใช้งานด้วยโมดูลที่เรียกว่า
EDR เซ็นเซอร์ เพื่อทาการเก็บข้อมูลเมตาดาต้า (Metadata) ของฮาร์ดแวร์และระบบปฏิบตั ิการ ตามเฟรมเวิรก์
ไคลเอ็นต์ – เซิรฟ์ เวอร์ เพื่อประมวลผลทัง้ สองด้าน
EDR คอมโพแนนท์จะส่งรายละเอียดของเหตุการณ์ท่ีตรวจเจอ พร้อมแผนผังการทางานของเหตุการณ์ การ
โต้ตอบการดาเนินการ รวมเข้ากับ Sandbox Analyzer และ HyperDetect เพื่อวิเคราะห์และประมวลผล

P a g e 9 | 165
 2.15 Endpoint Risk Management (ERM)
Endpoint Risk Management (ERM) ทาหน้าที่ในการประเมินและแก้ไขจุดอ่อน ความเสี่ยงด้านความปลอดภัย
ของระบบปฎิบตั ิการ Windows บนเครื่องลูกข่าย โดยการสแกนความเสี่ยงที่จะเกิดขึน้ ในเครื่องลูกข่าย แสดงผล
ออกมาเป็ นภาพรวมตัวชีว้ ดั ดัชนี แสดงสถานะความเสี่ยงต่างๆ ผ่านหน้าแดชบอร์ด โดยผูบ้ ริหารเครือข่ายสามารถทา
การแก้ไขและรับคาแนะนาความปลอดภัยด้านความเสี่ยงนัน้ ๆ ได้โดยอัตโนมัติผ่าน GravityZone Control Center
2.16 Security for Storage
GravityZone Security for Storage ให้การปกป้องแบบเรียลไทม์สาหรับการแชร์ไฟล์และระบบจัดเก็บข้อมูล
เครือข่ายชัน้ นา การอัปเกรดอัลกอริทมึ ระบบตรวจจับภัยคุกคามเกิดขึน้ โดยอัตโนมัติโดยหรือหยุดชะงัก การทางาน
สาหรับผูใ้ ช้ปลายทาง
GravityZone Security Servers สามารถทางานมากกว่าสองแพลตฟอร์ม ในการทาหน้าที่ของ ICAP เซิรฟ์ เวอร์
ที่ให้บริการ Antimalware ไปยังอุปกรณ์ Network-Attached Storage (NAS) และระบบแบ่งปันไฟล์ท่สี อดคล้องกับ
Internet Content Adaptation Protocol (ICAP ตามที่กาหนดไว้ใน RFC 3507)
เมื่อผูใ้ ช้รอ้ งขอให้เปิ ดอ่าน เขียนหรือปิ ดไฟล์จากแล็ปท็อป เวิรก์ สเตชัน อุปกรณ์พกพาหรืออุปกรณ์อ่นื ไคลเอ็นต์
ICAP (NAS หรือระบบแชร์ไฟล์) จะส่งการสแกนไปยัง Security Server และรับคาตัดสิน เกี่ยวกับไฟล์ Security
Server อนุญาตให้เข้าถึง ปฏิเสธการเข้าถึงหรือลบไฟล์ทงั้ นีข้ นึ ้ อยู่กบั ผลลัพธ์จากการสแกน
Security for Server เป็ นความสามารถเพิ่มเติมที่ใช้งานโดยแยก License Key ที่มีอยู่ของ GravityZone package
2.17 Security for Mobile
การรักษาความปลอดภัย ควบคุมและจัดการ ของอุปกรณ์ iPhone, iPad และ Android และอุปกรณ์พกพา
ทัง้ หมด ให้ปฏิบตั ิตามกฎระเบียบขององค์กร ด้วยการจัดหาซอฟต์แวร์ท่เี ชื่อถือได้และกระจายการอัปเดตของ Apple
หรือ Android โซลูชนั ดังกล่าวได้รบั การออกแบบมาเพื่อให้สามารถควบคุม การนาอุปกรณ์ BYOD มาใช้ รวมถึง
คุณสมบัติดา้ นความปลอดภัย หน้าจอ GravityZone Protection Layers Block, การควบคุมการเข้าถึงด้วยรหัสผ่าน,
แสดงตาแหน่งที่ตงั้ (Location) , การลบข้อมูลจากระยะไกล (Remote wipe), การตรวจจับอุปกรณ์ท่ีรูท (Root) หรือ
เจลเบรค (Jail Break) สาหรับอุปกรณ์ Android ระดับความปลอดภัยนัน้ ได้รบั การปรับปรุงด้วยการสแกนแบบ
เรียลไทม์และการเข้ารหัสของอุปกรณ์เก็บข้อมูลภายนอก (Removable media )

P a g e 10 | 165
3. GravityZone Architecture
GravityZone โซลูช่นั มีสว่ นประกอบดังต่อไปนี:้
• Web Console (Console Center)
• Security Server
• Security Agents
3.1 Web Console (Console Center)
Bitdefender Security Solution เป็ นการรักษาความปลอดภัยแบบรวมศูนย์ ควบคุมการทางานผ่านเว็บคอนโซล
(Web Console) ที่มีการจัดการง่ายและครอบคลุมระบบรักษาความปลอดภัยทุกโมดูลที่มี ทัง้ ระบบเสมือน (Virtual)
เครื่องคอมพิวเตอร์ตงั้ โต๊ะ เเล็ปท๊อป เครื่องเซิรฟ์ เวอร์แม่ข่ายและ Amazon Instance. ด้วยความสามารถของ
GravityZone สามารถทาการบริหารจัดการจ่ายส่วนกลางทัง้ องค์กรทัง้ ไปจนถึงองค์กรขนาดใหญ่ (Largest
Organization)
3.2 Security Server
Security Server เป็ นเครื่องเสมือน (Virtual Machine) ที่แยกออกมาทาหน้าที่โดยเฉพาะเพื่อเป็ นเซิรฟ์ เวอร์
ศูนย์กลางในการทาหน้าที่รบั การสแกนมัลแวร์ (Antimalware Scan Server) จากเครื่องลูกข่าย ที่มีฟังก์ชนั การ
สแกนมัลแวร์ท่ีปอ้ งกันการสแกนข้อมูลที่ซา้ ซ้อน. Security Server สามารถติดตัง้ ได้มากกว่าหนึ่งโฮสต์หรือหลาย
โฮสต์เพื่อรองรับข้อมูลที่สง่ มาสแกนมัลแวร์จานวนมากจากเครื่องลูกข่าย
3.3 Security Agents
ปกป้องเครื่องคอมพิวเตอร์ลกู ข่ายด้วย Bitdefender จะต้องติดตัง้ GravityZone agent ที่เหมาะสมในเครื่องลูก
ข่าย ดังต่อไปนี ้
• Bitdefender Endpoint Security Tools
• Bitdefender Security for Mac
Bitdefender Endpoint Security Tools
Bitdefender Endpoint Security Tools (BEST) เป็ นซอฟต์แวร์ติดตัง้ บนเครื่องลูกข่าย ทัง้ แบบ Physical
และ Virtual Environment โดยสามารถติดตัง้ ได้ทงั้ ระบบปฎิบตั ิการ Windows, Linux ทัง้ แบบ Desktop และ Server
ซึ่งเป็ นเอเจนต์สาหรับรักษาความปลอดภัย (Antivirus Agent) ให้กบั เครื่องคอมพิวเตอร์ ด้วยเทคโนโลยีของ
Bitdefender นอกจากนีย้ งั สามารถติดตัง้ ได้บนระบบเมล์เซิรฟ์ เวอร์สาหรับ Microsoft Exchange Server โดย

P a g e 11 | 165
Bitdefender Endpoint Security Tools นัน้ จะรับการตัง้ ค่าจากส่วนกลางแบบ Single Policy ที่รองรับทัง้ สภาวะจริง
หรือระบบเสมือน (physical or virtual)
Bitdefender Endpoint Security for Mac
Bitdefender Endpoint Security for Mac เป็ น Security Agent ที่ออกมาเพื่อรองรับการป้องกันความปลอดภัยบน
เครื่องที่ใช้งาน Intel-Base Macintosh ไม่ว่าจะเป็ นเวิรก์ สเตชั่นหรือแล็ปท็อปที่ใช้ Intel เทคโนโลยี โดยมีเทคโนโลยีความ
ปลอดภัยในการแก้ไฟล์ทงั้ แบบ Local Scan และเนือ้ หาต่างๆที่จดั เก็บไว้ในเครื่อง
Bitdefender Endpoint Security for Mac มีโมดูลในการป้องกันดังนี ้

• Antimalware
• Content Control
• Device Control
• Full Disk Encryption
3.4 Power User

ผูด้ แู ลระบบจากส่วนกลางสามารถให้สิทธิ์แก่ผใู้ ช้งานปลายทางเป็ น Power Usre ผ่านการตัง้ ค่าในโมดูล Power User เพื่อ
เปิ ดใช้งานสิทธิ์การดูแลระบบในระดับผูใ้ ช้ ทาให้ผใู้ ช้ปลายทางสามารถเข้าถึงและแก้ไขการตัง้ ค่าความปลอดภัยผ่านโลคัล
คอนโซล (Local Console) ผูด้ แู ลระบบจากส่วนกลางจะได้รบั แจ้งเมื่อปลายทางอยู่ในโหมด Power User และผูด้ แู ลระบบ
สามารถรีโมตเขียนทับการตัง้ ค่าความปลอดภัยจาก Power User ในเครื่องได้เสมอ
Power user โมดูลรองรับการเท่างานเฉพาะ Windows Desktop และ Server Operation Systems เท่านัน้
3.5 Relay

Endpoint Security Tools Relay Roles เป็ นโมดูลเพิ่มเติมจากการทางานของ Endpoint Agent นอกจากจะทาหน้าที่
ป้องกันภัยคุกคามต่างๆ รวมทัง้ มัลแวร์ ยังเพิ่มเติมความสามารถในการให้บริการการอัปเดตฐานข้อมูลของมัลแวร์ (Update
Signature Server) และยังทาหน้าที่เป็ นตัวกลางของการเชื่อมโยงการสื่อสารระหว่างเครื่องลูกข่ายไปยัง GravityZone Server
เพื่อลดการใช้งานการรับส่งข้อมูลของเน็ตเวิรก์ และลดการเชื่อมโยงระบบอินเทอร์เน็ต โดยเฉพาะเครื่องที่ไม่ได้เชื่อมโยงกับ
ระบบอินเทอร์เน็ตให้สามารถอัปเดตฐานข้อมูลและใช้งานการป้องกันภัยคุกคามได้อย่างเต็มประสิทธิภาพ โดย Bitdefender
Endpoint Security Tools Relay ทาหน้าที่เพื่อวัตถุประสงค์ดงั ต่อไปนี:้

P a g e 12 | 165
 • ค้นหาเครื่องปลายทางในระบบที่ไม่มีการป้องกัน ไม่ได้ติดตัง้ Security Agent ในเครือข่าย เป็ นตัวแทนในการค้นหา
เครื่องปลายทางจากการใช้งาน Cloud Gravityzone environment
• เป็ นศูนย์กลางในการติดตัง้ โปรแกรม (Endpoint Agent) ส่ง Package ติดตัง้ ให้กบั เครื่องภายในเครือข่าย
• เป็ นศูนย์กลางในการอัปเดตฐานข้อมูล (Signature Database) ให้กบั เครื่องที่ติดตัง้ Endpoint Agent ในเครือข่าย
• เป็ นตัวแทนการเชื่อมโยงสื่อสารระหว่างศูนย์ควบคุมส่วนกลาง (GravityZone Server) กับเครื่องภายในเครือข่าย
• เพิ่มประสิทธิ์ภาพการรับส่งข้อมูลเครือข่าย การอัปเดต การติดตัง้ การใช้งานตามนโยบาย การสแกนและอื่นๆ

3.6 Patch Caching Server

Patch caching server เป็ นเครื่องลูกข่ายที่ติดตัง้ Relay Role สามารถให้บริการแพตซ์อปั เดต เมื่อเปิ ดใช้งานฟี เจอร์นี ้
เครื่องจะทาการจัดเก็บแพตซ์ซอฟต์แวร์โดยดาวน์โหลมาจากเว็บไซต์ของผูจ้ ดั จาหน่ายต่างๆ และแชร์ให้กบั เครื่องลูกข่าย เมื่อมี
การสแกนเครื่องในลูกข่ายและพบว่าไม่ได้ติดตัง้ แพตซ์ สามารถทาการดาวน์โหลดติดตัง้ แพตซ์โดยไม่ตอ้ งไปยังเว็บไซต์ของผูจ้ ดั
จาหน่าย ผ่านการควบคุมจากส่วนกลาง ทาให้เพิ่มประสิทธิภาพในการรับส่งข้อมูลและแบรนด์วิธในระบบเครือข่าย

3.7 Sandbox Analyzer Architecture Bitdefender Sandbox Analyzer เป็ นอีกขัน้ ตอนการป้องกันภัยคุกคามขัน้ สูง โดยทา
การวิเคราะห์ไฟล์ท่นี ่าสงสัยแบบอัตโนมัติในเชิงลึก ในระหว่างที่ Bitdefender antimalware engine ยังไม่สามารถวิเคราะห์
หรือรูจ้ กั ไฟล์นนั้ ในการป้องกันมัลแวร์

P a g e 13 | 165
 ขัน้ ตอนการทางานของ Sandbox Analyzer Server หลังจากที่ทาการเปิ ดใช้งานบนเครื่องลูกข่ายดังนี ้
1. Bitdefender Security Agent จะเริ่มทาการส่งไฟล์ท่นี ่าสงสัยที่ตรงกับกฎการป้องกันที่กาหนดไว้
2. หลังจากวิเคราะห์ไฟล์แล้ว จะส่งข้อมูลกลับไปยังศูนย์กลางและเครื่องลูกข่ายนัน้
3. หากไฟล์ท่ถี กู วิเคราะห์แล้วพบว่าเป็ นอันตราย ผูใ้ ช้จะได้รบั แจ้งให้ดาเนินการแก้ไขหรือตามที่กาหนดตามนโยบาย
ผลลัพธ์การวิเคราะห์ไฟล์ต่างๆ จะถูกรักษาไว้โดยค่าแฮชของไฟล์ในฐานข้อมูล Sandbox Analyzer เมื่อไฟล์ท่วี ิเคราะห์
ก่อนหน้านีถ้ ูกส่งมาจากปลายทางที่แตกต่างกันการตอบสนองจะถูกส่งกลับทันทีเนื่องจากผลลัพธ์มีอ ยู่แล้วในฐานข้อมูล

3.8 EDR Architecture

เพื่อระบุภยั คุกคามขัน้ สูงและการโจมตีท่กี าลังดาเนินการอยู่ EDR ต้องการข้อมูลของฮาร์ดแวร์และระบบปฏิบตั ิการ รวมทัง้
ข้อมูลดิบบางส่วนที่ถกู ประมวลผลในเครื่องลูกข่าย เพื่อให้อลั กอริทมึ การเรียนรู ้ (Machine Learning) ใน Security Analytics
ทางานที่ซบั ซ้อนได้มากขึน้

EDR ประกอบด้วยสององค์ประกอบหลัก:

• EDR เซ็นเซอร์ ทาการเก็บรวบรวมข้อมูล กระบวนการทางานและรายงาน ข้อมูลพฤติกรรมของแอปพลิเคชัน

• Security Analytics ทาการวิเคราะห์ความปลอดภัย ซึ่งเป็ นส่วนประกอบเบือ้ งหลังที่ใช้ในการตีความข้อมูล
(metadata) ที่รวบรวมโดย EDR เซ็นเซอร์

P a g e 14 | 165
4. Getting Started เริ่มต้นการใช้งาน GravityZone
4.1 Connecting to Control Center การเชื่อมต่อการบริหารจัดการจากส่วนกลาง GravityZone

การเข้าถึงศูนย์ควบคุม GravityZone ผ่านทางเว็บอินเตอร์เฟส Web base manamanget ผ่านบัญชีผใู้ ช้งาน โดยจะได้รบั

ข้อมูลการเข้าสูร่ ะบบทางอีเมลเมื่อได้สร้างบัญชีแอคเคาท์แล้ว โดยข้อกาหนดเบือ้ งต้นดังนี ้

• รองรับเบราว์เซอร์ Internet Explorer 9+, Mozilla Firefox 14+, Google Chrome 15+, Safari 5+, Microsoft Edge
20+, Opera 16+
• ความคมชัดของหน้าจอแสดงผลที่ 1280 x 800 หรือสูงกว่า
วิธีการเชื่อมต่อไปยัง Control Center (GravityZone)

1. เปิ ดเว็บเบราว์เซอร์
2. ไปยัง address url: https://gravityzone.bitdefender.com
3. ล๊อกอินเข้าระบบด้วย email address และรหัสผ่านที่ได้รบั

P a g e 15 | 165
 4.2 Endpoint Protection
เพื่อปกป้องเครือข่ายด้วย Bitdefender จะต้องติดตัง้ GravityZone Security Agents บนเครื่องลูกข่าย เพื่อความ
เหมาะสมในการสแกนขององค์กร สามารถติดตัง้ ร่วมกับ Security Server ได้ หากต้องการที่จะรีโมตติดตัง้ เครื่องลูกข่ายผ่าน
ั ชีผใู้ ช้งาน (Account) ที่มีสิทธิใ์ นการ
ระบบเน็ตเวิรก์ ผ่านโปรแกรมบริหารจัดการจากส่วนกลาง ผูด้ แู ลระบบจาเป็ นจะต้องมีบญ
เข้าถึงเครื่องลูกข่ายในการรีโมตติดตัง้

ข้อกาหนดสาหรับการติดตัง้ Security Agent นัน้ แตกต่างกันไป ขึน้ อยู่กบั ว่ามีโมดูลในการทางานเพิ่มเติมเช่น รีเลย์

(Relay) การป้องกันเมลเซิรฟ์ เวอร์ (Exchange Protection) หรือเซิรฟ์ เวอร์เก็บไฟล์อปั เดตแพตซ์ (Patch Caching Server)

4.2.1 Hardware ความต้องการของอุปกรณ์ฮาร์ดแวร์

Security Agent

CPU

• Workstation: Intel Core 2 Duo 2 GHz หรือสูงกว่า

• Servers: Intel Pentium processors 2.4 GHz หรือสูงกว่า
• Smart Devices: Intel Pentium processors 800 MHz หรือสูงกว่า
Free Memory

OS Single Engine
Local Scanning Hybrid Scanning Centralized Scanning
Windows 1024 1200 512 660 256 400
Linux 1024 1024 512 512 256 256
macOS 1024 1024 n/a n/a n/a n/a

P a g e 16 | 165
 Free Disk Space at Installation (MB)

OS Local Hybrid Centralized Centralized + Centralized +

Scanning Scanning Scanning Local Scanning Hybrid Scanning
AV Full AV Full AV Full AV Full AV Full
Only Options Only Options Only Options Only Options Only Options
Windows 1024 1200 500 700 350 570 1024 1200 500 700
Linux 1300 1450 800 950 300 450 1300 1450 800 950
MacOS 1024 1024 n/a n/a n/a n/a n/a n/a n/a n/a

Security Agent with Relay Role

การทางานของโมดูลรีเลย์ตอ้ งการทรัพยากรของฮาร์ดแวร์เพิ่มเติมจากการกาหนดขัน้ พืน้ ฐาน ข้อกาหนดนีเ้ พื่อสนับสนุน

การทาหน้าที่เป็ นเซิรฟ์ เวอร์ในการอัปเดตและแพ็กเกจในการติดตัง้ ที่โฮสต์โดยปลายทาง

Number of CPU to support Update Server RAM Free disk space for
connected update Server
endpoints
1-300 Minimun Intel Core i3 or equivalent processors, 1 GB 10 GB
2 vCPU per core
300-1000 Minimun Intel Core i5 or equivalent processors, 1 GB 10 GB
4 vCPU per core

Security Agent with Patch Caching Server Role

Security Agent ที่ทาหน้าที่เป็ นอัปเดตแพตซ์เซิรฟ์ เวอร์ Patch Caching Server ต้องเป็ นไปตามข้อกาหนดต่อไปนี ้

• ข้อกาหนดของฮาร์ดแวร์ท่ใี ช้ แบบเดียวกับเอเจนต์ความปลอดภัย (Security Agent)

• ข้อกาหนดฮาร์ดแวร์ท่ใี ช้ แบบเดียวกับเครื่องคอมพิวเตอร์ท่ที างานในโมดูลรีเลย์ (Relay Role)
• ต้องการพืน้ ที่ว่างในดิสก์ 100 GB เพื่อเก็บแพตช์ท่ีดาวน์โหลด

P a g e 17 | 165
4.2.2 Supported Operating System รองรับระบบปฎิบตั ิการบนเครื่องคอมพิวเตอร์ดงั นี ้
Windows Desktop Full Support

• Windows 10 May 2019 Update (19H1)

• Windows 10 October 2018 Update (Redstone 5)
• Windows 10 April 2018 Update (Redstone 4)
• Windows 10 Fall Creators Update (Redstone 3)
• Windows 10 Creators Update (Redstone 2)
• Windows 10 Anniversary Update (Redstone 1)
• Windows 10 November Update (Threshold 2)
• Windows 10
• Windows 8/8.1
• Windows 7 SP1

Windows Server Full Support

• Windows Server 2019/ 2019 Core

• Windows Server 2016/ 2016 Core
• Windows Server 2012/2012R2
• Windows Small Business Server (SBS) 2011
• Windows Server 2008 R2

Linux

• Ubuntu 14.04 LTS or higher

• Red Hat Enterprose Linux / CentOS 6.0 or higher
• SUSE Linux Enterprise Server 11 SP4 or higher
• OpenSUSE Leap 42.x
• Fedora 2.5 or higher
P a g e 18 | 165
 • Debian 8.0 or higher
• Oracle Linux 6.3 or higher
• Amazon Linux AMI 2016.09 or htgher

Linux On-access Scanning สามารถรองรับการแสกนแบบเรียลไทม์ บน Linux System ดังนี ้

Kernel Versions Linux Distributions On-access Requirements

2.6.38 or higher Red Hat Enterprise Linux Fanotify (Kernel option) must be enable.
CentOS 6.0 or higher
Ubuntu 14.04 or higher
SUSE Linux Enterprise Server
SP4 or higher
OpenSUSE Leap 42.x
Debian 9.0 or higher
Oracle Linux 6.3 or higher
Amazon Linux AMI 2016.09 or
higher
2.6.38 or higher Debian 8 Fanotify must be enabled and set
to enforcing mode and then the
kernel package must be rebuilt

2.6.32 – 2.6.37 CentOS 6.x Bitdefender provides support via DazukoFS

Red Hat Enterprise Linux 6.x with prebuilt kernel modules
All other kernels All other supported systems The DazukoFS module must be manually
compiled

P a g e 19 | 165
 Endpoint Detection and Rsponse (EDR) Support for Linux

Kernal Versions Linux Distributions

3.10.0-514.10.2 CentOS 7.3 or higher
3.10.0-514.16.1
3.10.0-514.21.2
3.10.0-514.2.2
3.10.0-514.26.2
3.10.0-693.11.1
3.10.0-693.11.6
3.10.0-693.17.1
3.10.0-693.2.2
3.10.0-693.5.2
3.13.0-40 to 3.13.0-129 Ubuntu 14.04 or higher
3.16.0-25 to 3.16.0-77
3.19.0-18 to 3.19.0-80
4.2.0-18 to 4.2.0-42
4.4.0-21 to 4.4.0-112
4.8.0-22 to 4.8.0-59
4.10.0-14 to 4.10.0-42
หมายเหตุ: Fanotify และ DazukoFS เป็ นโปรแกรมเสริมที่ตอ้ งใช้สาหรับการควบคุมการเข้าถึงไฟล์ในระบบลีนกุ ซ์
4.2.3 Supported File Systems

Bitdefender สามารถทาการป้องกันและติดตัง้ ได้บนระบบ File systems ดังต่อไปนี:้ AFS, BTRFS, ext2, ext3, ext4,
FAT, FAT16, FAT32, VFAT, exFAT, NTFS, UFS, ISO 9660 / UDF, NFS, CIFS/SMB, VXFS, XFS
หมายเหตุ: On-Acces สแกนไม่รอบรับบน NFS และ CIFS/SMB

P a g e 20 | 165
 macOS

• macOS Catalina (10.15)

• macOS Mojave (10.14.x)
• macOS High Sierra (10.13.x)
• macOS Sierra (10.12.x)
• OS X EI Capitan (10.11.x)
• OS X Yosemite (10.10.5)
• OS X Mavericks (10.9.5)

4.2.4 Security Server

Security Server เป็ นเครื่องเสมือนที่ถกู กาหนดค่าไว้ลว่ งหน้า ซึ่งทางานบน Ubuntu Server ด้วยเวอร์ชนั

• 16.04 (VMware NSX and Multi-Platform)

• 12.04 LTS (VMWare vShield)

Memory and CPU

การใช้งานทรัพยากรหน่วยความจาและหน่วยประมวลผลสาหรับ Security Server ขึน้ อยู่กบั จานวนและประเภทของ VMs

ที่ทางานบนโฮสต์ ดังตารางต่อไปนี ้

Number of protected VMs RAM CPUs

10-50 VMs 2 GB 2 CPUs
51-100 VMs 2 GB 4 CPUs
101-200 VMs 4 GB 6 CPUs
HDD Space

Environment HDD Space Provisioning

VMware NSX-V / NSX-T 40 GB
VMware with vShield Endpoint 40 GB
Other 16 GB
P a g e 21 | 165
 4.2.5 Traffic Usage การใช้งานทราฟฟิ กในระบบเครือข่าย
การใช้งานทราฟฟิ กในการอัปเดตโปรดักส์ (Product Update) แต่ละครัง้ ที่มีการอัปเดตดังนี ้

• On Windows OS: ~20 MB

• On Linux OS: ~26 MB
• On macOS: ~25 MB

Content update traffic ไฟล์เนือ้ หาความปลอดภัยที่ดาวน์โหลดมาอัปเดต ระหว่างไคลเอ็นต์ปลายทางและ Update

Server (MB / Day) ดังนี ้

Update Server Type Scan Engine Type

Local Hybrid Centralized
Relay 65 58 55
Bitdefender Public Update Server 3 3.5 3

Relay Clients and Update Server ทราฟฟิ กจากการใช้งานของเครื่องที่ทาหน้าที่เป็ น Relay Role ในการดาวน์โหลดไฟล์
เนือ้ หาความปลอดภัย (Content Update) จากอัปเดตเซิรฟ์ เวอร์ (Update Server) ประมาณ 16 MB / Day

Endpoint Client and Control Center Web Console (GravityZone) ค่าเฉลี่ยการใช้งานทราฟฟิ กเน็ตเวิรก์ ระหว่างเครื่อง
ลูกข่ายไปเชื่อมโยงไปยังศูนย์ควบคุมส่วนกลาง (Control Center Web Console) ของแต่ละเครื่องจะอยู่ท่ี 618 KB / day
4.2.6 GravityZone Communication Port

พอร์ต ปลายทาง รายละเอียด

Endpoint 80 (http), Lv2.bitdefender.com License validation
Security, Security upgrade.bitdefender.com อัปเดตฐานข้อมูลผ่านอินเทอร์เน็ต
Agent, Endpoint 7074, Relay Server ติดตัง้ โปรแกรม อัปเดตฐานข้อมูลผ่านรีเลย์
Security 7076 เซิรฟ์ เวอร์ระหว่าง Clients และ Relay
Server จากเน็ตเวิรก์ ภายใน
8080,8443 Communication server Security Agent สื่อสารผ่านอินเทอร์เน็ต
เพื่อทาการติดตัง้ โปรแกรมแบบออนไลน์
P a g e 22 | 165
 443 (https) gravityzone.bitdefender.com Web Control Center (GravityZone)
upgrade.bitdefender.com อัปเดตฐานข้อมูลผ่านอินเทอร์เน็ต

Sandbox Analyzer Portal: ติดต่อสื่อสารเพื่อใช้งาน Cloud Sandbox

sandbox-
portal.gravityzone.bitdefender.com,
sandbox-portal-
us.gravityzone.bitdefender.com
nimbus.bitdefender.com Antimalware, antiphishing, content scan
เชื่อมโยงไปตรวจสอบกับฐานข้อมูลของ
Bitdefender Global Protection Network
ข้อมูลเพิ่มเติมที่ https://www.bitdefender.com/support/gravityzone-communication-ports-1132.html
5. Installing Protection

การติดตัง้ การป้องกัน Bitdefender จะต้องทาการติดตัง้ GravityZone Security Agent บนเครื่องคอมพิวเตอร์ลกู ข่าย เพื่อ
ทาการควบคุมการใช้งานโปรแกรมและสิทธิ์ในการแก้ไขค่าต่างๆ ภายใต้โปรแกรมบริหารจัดการจากส่วนกลาง

5.1 เกี่ยวกับ License

GravityZone License จะใช้คียเ์ ดียวสาหรับการอนุญาตใช้งานบริการรักษาความปลอดภัยทัง้ หมด ยกเว้นการใช้งาน

ฟี เจอร์เกี่ยวกับการเข้ารหัสฮาร์ดดิสก์ (Full Disk Encryption) และ Patch Management จะมีรหัสแยกต่างหาก

ประเภทของ License จะเป็ นแบบ Subscription รายปี หากต้องการเพิ่มจานวน License สามารถซือ้ เพิ่มได้โดยไม่ตอ้ งรอ
ให้หมดอายุ รวมทัง้ การซือ้ แบบอัปเกรดฟี เจอร์เช่นเดียวกัน
Activating Your License
เมื่อทาการสั่งซือ้ โปรแกรมเรียบร้อย ผูใ้ ช้จะได้รบั ใบรับรอง Certificate ที่ระบุรหัส License Key โดยให้นารหัสดังกล่าว

ไปลงทะเบียนที่ Control Center ดังต่อไปนี ้

1. Log in ด้วย User Account ของตนเองยัง Control Center ที่ https://gravityzone.bitdefender.com/

P a g e 23 | 165
2. คลิกที่ User Menu ตรงมุมขวาบน เลือก My Company

3. ตรวจสอบรายละเอียดในส่วนของ License Section เลือก License type

4. ในส่วนของ License Section เลือก License type
5. ใส่ License key ในช่องของ License

P a g e 24 | 165
 6. กดปุ่ ม Check และรอจนกว่า Control Center แสดงวันหมดอายุและจานวน License ที่ซือ้
7. Add-on key ใส่ License Key ที่เป็ นคียแ์ ยกสาหรับการใช้งาน Encryption, Patch Management
8. คลิก Add จากนัน้ จะปรากฎข้อมูลรายละเอียดของคียท์ ่ใี ช้งาน
9. กดปุ่ ม Save

5.2. การติดตัง้ Bitdefender Endpoint Protection

การติดตัง้ Endpoint Protection นัน้ ขึน้ อยู่กบั การตัง้ ค่าของเครื่องคอมพิวเตอร์และสภาพแวดล้อมของเครือข่าย โดย

สามารถเลือกติดตัง้ เฉพาะ Security Agent หรือใช้ Security Server ในที่น่จี ะอธิบายถึงการติดตัง้ Security Server ก่อน ตาม
ด้วย Security Agent

แนะนาให้ใช้ Security Server หากเครื่องในองค์กรมีทรัพยากรของฮาร์ดแวร์นอ้ ยหรือสเปคฮาร์ดแวร์ต่า

5.2.1 การติดตัง้ Security Server

Security Server เป็ นเครื่องเสมือน (Virtual Machine) ที่ปอ้ งกันการสแกนข้อมูลซา้ ซ้อนและศูนย์รวมการทางานของ

Antimalware สาหรับเครื่องลูกข่าย ในการทาหน้าที่เป็ นเซิรฟ์ เวอร์สแกน ผูใ้ ช้งานจะต้องติดตัง้ Security Server บนโฮสต์ของ
เครื่องเสมือน โดยการติดตัง้ ต้องพิจารณาจานวนเครื่องเสมือน เพื่อจัดสรรทรัพยากรให้รองรับการทางานกับ Security Server

Security Agent จะต้องติดตัง้ บนเครื่องเสมือน (Virtual Machine) ที่มีการเชื่อมต่อกับ Security Server ผ่าน TCP/IP

P a g e 25 | 165
 ขัน้ ตอนการดาวน์โหลดแพ็กเกจติดตัง้ Security Server
1. ไปยังเมนู Network > Packages
2. เลือก Security Server Virtual Appliance

3. คลิกเมนู Download ด้านบน

4. Save ไฟล์ติดตัง้ ลงในเครื่อง
ขัน้ ตอนการติดตัง้ Security Server

เมื่อทาการติดตัง้ Security Server ไปยังโฮสต์ท่ตี อ้ งการเรียบร้อยแล้ว ผูใ้ ช้งานจะได้ Virtual Machine ขึน้ มาหนึ่งเครื่อง
จากนัน้ ทาการปรับตัง้ ค่าดังต่อไปนี ้

1. เข้าถึงคอนโซลผ่านเครื่องมือการจัดการระบบเสมือน (ตัวอย่างเช่น vSphere Client) หรือคุณสามารถเชื่อมต่อกับ

อุปกรณ์ผ่าน SSH
2. Log in โดยใช้ User default ดังนี ้
• User name: root
• Password: sve

P a g e 26 | 165
3. ใช้คาสั่ง sva-setup เพื่อเข้าไปยังหน้าต่างการตัง้ ค่า

Note: คลิก Tab และกดปุ่ มลูกศรเพื่อเลือกเมนูตา่ ง

4. การตัง้ ค่าเน็ตเวิรก์ Network Setting

Security Server ใช้ TCP/IP โปรโตคอลในการติดต่อกับการทางานของ GravityZone คอมโพแนนท์ทต์ ์ ผูใ้ ช้งาน

สามารถตัง้ ค่าได้ทงั้ แบบกาหนดเองและผ่าน DHCP ดังนี ้

a) จากเมนูหลัก คลิก Network configuration

b) เลือก network interface

P a g e 27 | 165
 c) เลือก IP configuration ที่ตอ้ งการ
o DHCP หากต้องการให้ Security Server รับค่าเน็ตเวิรก์ อัตโนมัติผ่าน DHCP Server
o Static หากต้องการกาหนดค่าเน็ตเวิรก์ เอง โดยมีการกาหนดค่าดังนี ้ hostname, IP addrss, network
mask, gateway และ DNS

d) คลิก OK เพื่อ Save ค่าการติดตัง้

5. การตัง้ ค่า Communication server configuration กรณีใช้งานบน Cloud Server คลิก Cloud

ทาการกาหนดค่า address ของ Communication Server อันใดอันหนึ่งที่รองรับ cloud server ของผูใ้ ช้งาน ดังนี ้
• https://cloud-ecs.gravityzone.bitdefender.com:433
• https://cloudgz-ecs.gravityzone.bitdefender.com:433

P a g e 28 | 165
 หมายเหตุ ตรวจสอบ address ของ communication server ที่ผใู้ ช้งาน ได้ท่ี Control center ไปยังเมนู Policies -
> General -> Communication -> Endpoint Communication Assignment

6. การตัง้ ค่า Configure the Company ID

หมายเหตุ: Company ID จะประกอบไปด้วยตัวอักษร 32 ตัวโดยสามารถดูได้จาก My Company Details ที่หน้า

Control Center
7. คลิก OK เพื่อ Save การตัง้ ค่าเพื่อเสร็จสิน้ การตัง้ ค่า จากนัน้ จะพบรายชื่อเครื่องปรากฎในหน้า Control Center

P a g e 29 | 165
 5.2.2 การติดตัง้ Security Agents (Bitdefender Endpoint Security Tools)
การป้องกันภัยคุกคามบนเครื่องคอมทัง้ แบบ Physical และ Virtualization จะต้องทาการติดตัง้ โปรแกรม Bitdefender
Endpoint Security Tools ในแต่ละเครื่อง โดยโปรแกรมจะทางานภายใต้การสื่อสารระหว่าง Control Center เพื่อรับคาสั่งการ
ทางานต่างๆ จากผูด้ แู ลระบบ การติดตัง้ Security Agent บนระบบปฎิบตั ิการ Windows OS และ Linux OS สามารถทางาน
ได้สองบทบาทหน้าที่ดงั นี ้

1. Security Agent ป้องกันภัยคุกคามสาหรับเครื่องคอมพิวเตอร์

2. Relay การทางานเหมือนกับ Security Agent ในการป้องกันภัยคุกคาม แต่เพิ่มเติมในการทาหน้าที่ศนู ย์กลางการ
เชื่อมโยงสื่อสารระหว่างเครื่องลูกข่ายกับ Control Center และยังทาหน้าที่เป็ น Proxy Update Server ในการเก็บ
ไฟล์โปรแกรมติดตัง้ และ Signature Update เพื่อกระจายให้กบั เครื่องลูกข่ายในองค์กรที่เป็ นระบบปิ ดหรือลดภาระ
การใช้งาน Internet
• ติดตัง้ Security Agent ครัง้ แรกในระบบ ต้องติดตัง้ เครื่องพร้อมกับ Relay Role ไม่เช่นนัน้ จะไม่สามารถ
รีโมตติดตัง้ Security Agent ไปยังเครื่องอื่นๆได้
• Relay Endpoint ที่ติดตัง้ ไปแล้ว ควรจะเปิ ดใช้งานตลอดเพื่อทาหน้าที่เชื่อมต่อกับ Control Center

Preparing for Installation การเตรียมพร้อมก่อนการติดตัง้ เพื่อการติดตัง้ ที่สมบูรณ์แบบ

1. ตรวจสอบความต้องการของ Hardware สาหรับเครื่องที่จะติดตัง้ Security Agent ตรงกับ System Requirement

2. ถอนการติดตัง้ Antimalware เดิม (ไม่ใช่ปิดการใช้งาน) หรือโปรแกรมรักษาความปลอดภัยอื่นๆ ที่อาจจะเกิด
ผลกระทบต่อการทางาน โดยปกติโปรแกรมติดตัง้ จะทาการตรวจสอบและลบโปรแกรมอื่นอัตโนมัติเมื่อติดตัง้
ดูรายชื่อโปรแกรมอื่นๆที่สามารถถอนการติดตัง้ แบบอัตโนมัติได้ ที่นี
3. การติดตัง้ โปรแกรมต้องการใช้สิทธิข์ องผูด้ แู ลระบบและสิทธิ์ในการใช้งานอินเทอร์เน็ต หากเครื่องนัน้ อยู่ในระบบ
โดเมน (Active Directory) จาเป็ นต้องใช้สิทธิ์ในระดับผูด้ แู ลโดเมน (Domain Admins)
4. เครื่องลูกข่ายต้องสามารถเชื่อมต่อกับ Control Center ได้
5. แนะนาให้เครื่องที่ติดตัง้ เป็ น Relay Server ทาการ Static IP Address
6. Local Installation
การติดตัง้ Security Agent โดยตรงบนเครื่องคอมพิวเตอร์ ต้องทาการสร้างโปรแกรมติดตัง้ จาก Control Center โดยไปที่
เมนู Network > Packages

P a g e 30 | 165
 เครื่องคอมพิวเตอร์เครื่องแรกที่ติดตัง้ เมื่อติดตัง้ เสร็จ สามารถทาการค้นหาเครื่องลูกข่ายที่เหลือผ่าน Network Discovery
เพื่อทาการรีโมตติดตัง้ เครื่องอื่นๆ ในเครือข่ายได้

ขัน้ ตอนการสร้าง Package Install ดังนี ้

1. Login ไปยัง Control Center

2. ไปยังเมนู Network > Packages
3. คลิกเมนู Add จะปรากฎหน้าต่างเมนู ให้เลือก Modules ที่ตอ้ งการติดตัง้ ดังรูป

P a g e 31 | 165
4. Relay Modules ให้เลือก Relay หากต้องการเครื่องลูกข่ายทาหน้าที่ Relay
5. Patch Management สามารถทาการเลือก Patch Management Cache Server เพื่อทาการเก็บไฟล์แพตซ์ทอ์ ปั เดต
6. Remove Competitors เป็ นการถอดโปรแกรมด้านความปลอดภัยอื่นออก เพื่อป้องกันการทางานทับซ้อนกัน
7. Scan mode เลือกเทคโนโลยีการสแกนที่เหมาะสมที่สดุ กับเครือข่ายตามสภาวะแวดล้อมของเครื่องในองค์กร

P a g e 32 | 165
 8. Use custom installation path สามารถทาการกาหนดเลือกตาแหน่งติดตัง้ Anti – Virus
9. Set uninstall password สามารถทาการกาหนด Password ในตัวแอนตีไ้ วรัสได้ตอนสร้างไฟล์ติดตัง้
10. Use custom folders สามารถเลือกกาหนดกลุม่ หลังจากติดตัง้ Anti – Virus เสร็จ
11. Deployer เลือกการใช้งานเพื่อติดตัง้ และอัปเดตโปรแกรมให้กบั เครื่องลูกข่าย
a. Bitdefender Cloud กรณีท่ีตอ้ งการไฟล์ติดตัง้ และอัปเดตผ่านอินเทอร์เน็ต
Use proxy for communication เลือกเมนูนหี ้ ากเครื่องลูกข่ายออกอินเทอร์เน็ตผ่าน Proxy Server
b. Endpoint Security Relay กรณีท่ตี อ้ งการใช้ไฟล์ติดตัง้ และอัปเดตผ่าน Relay Server

หมายเหตุ: หากต้องการไฟล์ติดตัง้ และอัปเดตผ่าน Endpoint Security Relay จะต้องเปิ ดใช้งาน TCP Port 7074

P a g e 33 | 165
12. คลิกเมนู Save เป็ นการเสร็จสิน้ การสร้าง Package Install
Downloading Installation Packages ดาวน์โหลดโปรแกรมติดตัง้ โดยไปที่ Network > Package ที่สร้างขึน้ คลิกเมนู
Download จากนัน้ เลือก Package Installation ที่ตอ้ งการจากนัน้ Save ลงเครื่องคอมพิวเตอร์

• Windows Download ไฟล์ตดิ ตัง้ ขนาดเล็กต้องการใช้

อินเทอร์เน็ตเพื่อดาวน์โหลดไฟล์ท่เี หลือระหว่างทาการ
ติดตัง้
• Windows kit (32-bit) ไฟล์ติดตัง้ ตัวเต็มสาหรับ
Windows 32 bit
• Windows kit (64-bit) ไฟล์ติดตัง้ ตัวเต็มสาหรับ
Windows 64 bit
• Linux Downloader ไฟล์ติดตัง้ ขนาดเล็กสาหรับ Linux
OS ต้องการใช้อินเทอร์เน็ตระหว่างการติดตัง้
• Linux kit (32-bit) ไฟล์ติดตัง้ ตัวเต็มสาหรับ Linux 32 bit
• Linux kit (64-bit) ไฟล์ติดตัง้ ตัวเต็มสาหรับ Linux 64 bit
• macOS kit (Intel x86) ไฟล์ติดตัง้ สาหรับเครื่อง MacOS
สาหรับชิบ Intel
• macOS kit (Apple M1) ไฟล์ติดตัง้ ตัวเต็มสาหรับเครื่อง
MacOS สาหรับชิบ Apple M1

P a g e 34 | 165
 Running Installation Packages การติดตัง้ โปรแกรม Security Agent ของ Bitdefendre Endpoint Security Toools
(BEST) ทาการดาวน์โหลดไฟล์ติดตัง้ ไปยังเครื่องคอมพิวเตอร์แล้ว จะได้ไฟล์ท่เี ป็ น zip files จากนัน้ ทาการ Extrack Files จะ
ประกอบไปด้วยไฟล์ .exe และ .xml การติดตัง้ จะต้องมีไฟล์ครบทัง้ สองไฟล์ และมีสิทธิ์ในระดับ Administrator ของเครื่อง

ขัน้ ตอนการติดตัง้ ดังนี ้

1. ดับเบิล้ คลิกไฟล์ติดตัง้ epskit_x64.exe จากนัน้ รอหน้าต่างการติดตัง้ ระหว่างการติดตัง้ เครื่องจะต้องทาการเชื่อมต่อ

อินเทอร์เน็ตหรือเครื่องที่เป็ น Relay Server การติดตัง้ จะประกอบด้วย 3 ขัน้ ตอนหลักดังนี ้
a. ขัน้ ตอนที่ 1 เป็ นการตรวจสอบระบบปฎิบตั ิการ Windows OS ว่าเข้ากันได้กบั โปรแกรมการติดตัง้ หรือไม่ รวมทัง้
ตรวจสอบว่ามีโปรแกรมป้องกันไวรัสอื่นๆหรือไม่ จากนัน้ จะทาการออโตเมติกถอดถอนโปรแกรมนัน้ ออก และรี
สตาร์ท 1 ครัง้ หลังจากรีสตาร์ทแล้วจะทาการติดตัง้ ต่อแบบอัตโนมัติ โดยไม่ตอ้ งสั่งติดตัง้ ใหม่
b. ขัน้ ตอนที่ 2 ทาการติดตัง้ โปรแกรม และติดตัง้ Service ต่างๆ จะใช้เวลาติดตัง้ ประมาณ 5-10 นาที ขึน้ อยู่กบั
ทรัพยากรของเครื่อง
c. ขัน้ ตอนที่ 3 เป็ นการ Start Service ที่ทาการติดตัง้ เพื่อพร้อมทางาน จากนัน้ คลิก Finish

P a g e 35 | 165
P a g e 36 | 165
2. ตรวจสอบการติดตัง้ โดยการคลิกชวาที่ไอคอน Bitdefender เลือก Show

P a g e 37 | 165
 Remote Install Control Center สามารถช่วยให้ติดตัง้ Security Agent บนเครื่องลูกข่ายระยะไกลผ่านเน็ตเวิรก์ ได้ โดย
จะต้องติดตัง้ เครื่องลูกข่ายเครื่องแรกด้วย Bitdefender Endpoint Security Tools พร้อมด้วยความสามารถของ Relay Roles
เพื่อบริหารจัดการเครื่องลูกข่ายผ่านเครื่อง Relay Server ไปยังเครื่องปลายทางต่างๆ

Bitdefender Endpoint Security Tools ที่ติดตัง้ สามารถทาการสแกนหาเครื่องลูกข่ายที่ยงั ไม่ได้ติดตัง้ โปรแกรม Security

Agent ผ่าน network discovery

P a g e 38 | 165
Remote Installation Requirements

• Bitdefender Endpoint Security Tools Relay ต้องติดตัง้ ในระบบก่อนการรีโมต

• สาหรับเครื่อง Windows:
o เปิ ดใช้งานการแชร์ admin$
o ปิ ดการใช้งาน User Account Control (UAC)
o ปิ ดการใช้งาน Firewall หรืออนุญาตให้ใช้งาน File and Printer Sharing Protocol

Running Remote Installation Tasks ขัน้ ตอนการรรีโมต ดังต่อไปนี ้

1. เปิ ดหน้า Control Center > Network

2. เลือก computer or group ที่ตอ้ งการติดตัง้
3. คลิก Tasks > Install

P a g e 39 | 165
4. เลือก User / Password สาหรับยืนยันสิทธิใ์ นการติดตัง้ โดยสามารถเลือกได้ทีละหลายๆ Account กรณีท่เี ลือกเป็ น
Group โดยจะเลือกใช้สิทธิ์ในการติดตัง้ จากบนลงล่าง

5. เลือก Relay Server เครื่องที่ตอ้ งการใช้งานไฟล์ติดตัง้ และอัปเดต

หมายเหตุ: การติดตัง้ โดยผ่าน Relay จะต้องเปิ ด Port 7074 เพื่อการเชื่อมต่อระหว่าง Clients กับ Relay Server

P a g e 40 | 165
6. เลือก Package ที่จะติดตัง้

7. กดปุ่ ม Save เพื่อทาการติดตัง้

8. สามารถดูผลการติดตัง้ โดยไปที่เมนู Network > Tasks

P a g e 41 | 165
6. การกาหนดและตัง้ ค่า Policies
Bitdefender Endpoint Security Tools หลังจากที่ติดตัง้ เป็ นที่เรียบร้อยแล้ว การทางานจะยังไม่สมบูรณ์จนกว่าจะได้การตัง้
ค่าที่ดีท่สี ดุ สาหรับการป้องกันภัยคุกคาม โดยคลิกที่เมนู Policies > จะปรากฎหน้าต่างเมนูการตัง้
ค่า Policy ดังนี ้

P a g e 42 | 165
6.1 Gereral การตัง้ ค่า Policy เมนู General ประกอบด้วย

Details รายละเอียดของ Policy

• Name: กาหนดชื่อของ Policy ควรระบุช่ือให้ตรงกับกรุ๊ปที่จะใช้งาน (ไม่สามารถตัง้ ชื่อซา้ กันได้)

• Allow other users to change this policy: อนุญาตให้ผดู้ แู ลระบบคนอื่นสามารถแก้ไข Policy นีไ้ ด้

P a g e 43 | 165
Notifications ใช้ค่า default ที่กาหนดมา เพื่อให้สามารถแสดงผลการแจ้งเตือน Alert ต่างๆได้

• Silent Mode หากต้องการซ่อนการทางาน ไอคอนและป๊ อบอัพต่างๆ (ไม่แนะนาให้เลือกใช้)

P a g e 44 | 165
Setting

• Uninstall Password ต้องกาหนดรหัสผ่านเพื่อป้องกันการถอนการติดตัง้ จากผูไ้ ม่ประสงค์ดีและไวรัส

• Proxy Configuration กาหนดค่ากรณีท่เี ครื่องคอมพิวเตอร์ออกอินเทอร์เน็ตผ่านพร๊อกซี่

• Power User กาหนดรหัสผ่านสาหรับการเข้าใช้งาน Power User Module ที่เครื่องคอมพิวเตอร์

P a g e 45 | 165
 Communication Endpoint Communication Assignment เป็ นการกาหนดการรับสั่งข้อมูลระหว่างเครื่อง Clients กับ
Control Center (Cloud Service)

• ให้เลือก Name, IP ของเครื่อง Relay Server (การเลือกชื่อ Relay Server จะมีให้เลือกอัตโนมัติเมื่อติดตัง้ Relay
Server แล้วเท่านัน้ )

Update

• Product Update ใช้ค่า default สาหรับเช็กการอัปเดตโปรแกรม

• Securit Content Update ใช้ค่า default สาหรับเช็ค Security Content ในการตรวจจับมัลแวร์ ทัง้ scan engine,
machine learning, heuristics, rules, signatures, blacklists

P a g e 46 | 165
 • Update Locations
Priority 1 Relay Servers สาหรับเครื่องลูกข่ายอัปเดตไปยัง Relay Server
Priority 2 update.cloud.2d585.cdn.bitdefender.net:80 กรณีเมื่อเครื่อง Relay Server Down ไม่สามารถเชื่อมต่อ
ได้ จะทาการ Direct Connect ผ่านทางอินเทอร์เน็ต

สามารถกาหนดค่า Relay Servers ได้โดยใส่ค่า IP Address ตามด้วย Port 7074 เช่น 10.0.1.10:7074

6.1. Malware ตัง้ ค่า Policy เมนู Malware ดังนี ้

P a g e 47 | 165
• On-Access การตัง้ ค่าการสแกนทัง้ File และ Application ที่ทาการเข้าใช้งาน Accessed
• On-access Scanning ป้องกันมัลแวร์ในระบบโดยการสแกนทุกไฟล์ ทัง้ แบบ Local และ Network ที่มีการ
Access (Opened, moved, copied, excuted) ทัง้ boot sectors และ potentially unwamt applications (PUA) ให้
ตัง้ ค่าการสแกนแบบ Aggressive เป็ นการป้องกันระดับสูงสุด
• Ransomware Vaccine ป้องกัน Ransomware ที่รูจ้ กั โดยทาการบล็อกกระบวนการเข้ารหัส
On-Execute ทาการป้องกัน Malicious Process เมื่อถูกสั่งให้ทางาน ป้องกันภัยคุกคามขัน้ สูง

• Cloud-based threat detection ! (This scanning technology is available only on endpoints with security
agents operating in EDR (Report Only) mode)
เทคโนโลยีการตรวจจับภัยคุกคามบนคลาวด์ระบุภยั คุกคามขัน้ สูงโดยใช้อลั กอริธึมแมชชีนเลิรน์ นิ่งบนคลาวด์ในขณะที่
รับรองการอัปเดตแบบทันที เทคโนโลยีนีป้ รับปรุงประสิทธิภาพของสภาพแวดล้อมของคุณโดยการลดปริมาณดิสก์ใน
เครื่องและการใช้ทรัพยากรที่จาเป็ น
• Advanced Threat Control เป็ นเทคโนโลยีการตรวจจับมัลแวร์เชิงรุกแบบเรียลไทม์ คอยจับตาดูโปรแกรมที่มีการ
ใช้งาน ว่ามีพฤติกรรมเป็ นมัลแวร์หรือไม่ โดยรองรับการทางานบน
o Windows for Workstation
o Winodws for Server
o macOS
P a g e 48 | 165
เลือก Defualt action for infected application เป็ น Disinfect และ Aggressive เพื่อการป้องกันที่สงู ที่สดุ

• Fileless Attack Protection ป้องกันการโจมตีแบบไม่ใช้ไฟล์ Fileless malware โดยสั่งหยุดการทางาน ก่อนจะรับ

คาสั่งมาประมวลผล ได้แก่ PowerShell, Malicious Traffic, Code injection เป็ นต้น รองรับการทางานบน
o Windows for Workstation
o Windows for Server
• Ransomware Mitigation ใช้เทคโนโลยีการตรวจจับและการแก้ไขเพื่อรักษาข้อมูลให้ปลอดภัยจากการโจมตีของ
Ransomware ไม่ว่า Ransomware จะเป็ นที่รูจ้ กั หรือ ชนิดใหม่ GravityZone ตรวจพบความพยายามในการเข้ารหัสที่
ผิดปกติและบล็อกกระบวนการ หลังจากนัน้ จะกูค้ ืนไฟล์จากสาเนาสารองไปยังตาแหน่งเดิม
Important (ข้อสาคัญ) Ransomware Mitigation ต้องมี Advanced Threat Control
(Note) Module นีม้ ีให้สาหรับรองรับการทางานบน
o Windows Workstation
o Windows Server
วิธี Configure Ransomware Mitigation:
1. ให้ทาการเลือก Check Box หัวข้อ Ransomware Mitigation โดยเข้าไปที่ Antimalware > On Execute ใน
Poliies เพื่อเปิ ดใช้งานคุณสมบัตินีป้ รับเสร็จแล้วกดที่ปมุ่ Save

P a g e 49 | 165
2. เลือกโหมดการตรวจสอบที่ตอ้ งการใช้งาน
• Locally. GravityZone ตรวจสอบกระบวนการและตรวจจับ Ransomware การโจมตีท่ีเริ่มต้นในเครื่อง
ปลายทาง ขอแนะนาสาหรับเวิรก์ สเตชัน ใช้ดว้ ยความระมัดระวังบนเซิรฟ์ เวอร์เนื่องจากผลกระทบด้าน
ประสิทธิภาพ
• Remote. ตรวจสอบการเข้าถึงเส้นทางแชร์เครือข่ายและตรวจจับการโจมตีของ Ransomware ที่เริ่มต้นจาก
เครื่องอื่น ใช้ตวั เลือกนีห้ ากปลายทางเป็ นไฟล์เซิรฟ์ เวอร์หรือเปิ ดใช้งานการแชร์เครือข่าย
3. เลือกวิธีการกูค้ ืน
• On-demand. เลือกการโจมตีดว้ ยตนเองที่จะกูค้ ืนไฟล์ โดยเข้าไปเลือกที่ Reports > Ransomware Activity
ได้ทกุ เมื่อที่สะดวกแต่ไม่เกิน 30 วัน นับจากการโจมตีหลังจากนัน้ การกูค้ ืนจะไม่สามารถทาได้อีกต่อไป
• Automatic. GravityZone จะกูค้ ืนไฟล์โดยอัตโนมัติทนั ทีหลังจากตรวจจับ Ransomware
เพื่อให้การกูค้ ืนประสบความสาเร็จจาเป็ นต้องมี Bitdefender Endpoint ที่เครื่องปลายทาง เมื่อเปิ ดใช้งานจะมี
หลายทางเลือกในการตรวจสอบว่าเครือช่ายของคุณอยู่ภายใต้ไฟล์ท่โี ดน Ransomware โจมตี
• ตรวจสอบการแจ้งเตือนและค้นหาการตรวจจับแรนซัมแวร์
• ตรวจสอบ Security Audit Report
• ตรวจสอบ Ransomware Activity page
• On-Demand ตัง้ ค่าให้มีการสแกนมัลแวร์บนเครื่องคอมเป็ นประจาตามระยะเวลาที่กาหนด
•

P a g e 50 | 165
Scan Tasks คลิกปุ่ ม เพื่อสร้างรายการสแกน จากนัน้ เลือก Full Scan

P a g e 51 | 165
• Task Name: ให้กาหนดชื่อ
• Start date and time: กาหนดช่วงเวลาสแกน แนะนา 11:50 AM
• Run task every : Fri ควรจะสแกนทุกวันศุกร์
• If scheduled run time is missed, run task as soon as possible: หากการสแกน Task ที่กาหนดไม่เริ่มทางาน
เช่น เครื่องปิ ดอยู่ ให้เริ่มทางานทันทีเมื่อเครื่องพร้อมใช้งาน
• Skip if next scheduled scan is due to start in less than: ข้ามการทางาน Task นี ้ ถ้าหาก การสแกนครัง้ ต่อไป
จะเริ่มในอีก 1 วัน
• Hyper Detect เพิ่มระดับการรักษาความปลอดภัยเป็ นพิเศษ จากการสแกนแบบ On-Access, On-Demand และ
Traffic Scan ที่มีอยู่ เพื่อป้องกันภัยคุกคามขัน้ สูงใหม่ๆ ด้วย Artificial Intelligence (AI) และ Machine Learning
ในการวิเคราะห์พฤติกรรมและคาดการณ์การโจมตีของ Advance Malware ที่จะเกิดขึน้ ซึ่งจะทาการตรวจจับได้
ดีกว่าการใช้งานแบบตรวจสอบพฤติกรรมและ SIngature Base แบบทั่วไป
• Protection Level ให้เลือกการป้องกัน Targeted Attack, Suspicious files and network traffic, Exploits,
Ransomware, Grayware ให้เลือกการสแกนแบบ Aggressive
• Actions
o Files เลือก Disinfect
o Network Traffic เลือก Block

P a g e 52 | 165
หมายเหตุ: Hyper Detect รองรับการทางานบน Windows for Workstation, Windows for Server และ Linux

• Advance Anti-Exploit เทคโนโลยีขนั้ สูง ทาการบนพืน้ ฐาน Machine Learning คอยตรวจจับช่องโหว่ของ

โปรแกรม ในการแสวงหาผลประโยขน์หรือโจมตี ทัง้ ที่เป็ นช่องโหว่ท่รี ูจ้ กั และยังไม่รูจ้ กั รวมทัง้ การโจมตีระบบ
หน่วยความจาแบบ memory file-less attacks

P a g e 53 | 165
• Setting กาหนดค่าการยกเว้นการตรวจจับหรือสแกน รวมทัง้ จานวนวันที่ Quarantine ไฟล์

P a g e 54 | 165
• Delete files older than (days): ค่า default คือ 30 วัน ในการเก็บไฟล์ไว้ใน Quarantined ก่อนลบทิง้
• Submit quarantined files to Bitdefender Labs every (hours): ส่งไฟล์ใน Quarantine ไปยัง Bitdefender Lab
เพื่อทาการวิเคราะห์ไฟล์ทกุ ๆ 1 ชั่วโมง
• Rescan quarantine after malware security content update: ทาการสแกนไฟล์ใน Quaratnine ทุกๆครัง้ ที่มี
การอัปเดต security content ใหม่ เพื่อ cleanup malware อีกครัง้
• Copy files to quarantine before applyinh the disinfect actine: ทาการ copy ไฟล์ท่จี ะทาการ cleanup
malware ไว้ใน Quarantine ก่อน ป้องกันไฟล์เสียหรือถูกลบ
• Custom Exclusion ยกเว้นการสแกน Malware หรือโปรแกรมที่น่าเชื่อถือได้ไม่ให้สแกน โดยสามารถระบุได้ทงั้
o File ระบบเฉพาะไฟล์เท่านัน้
o Folder ระบุทกุ ไฟล์และโปรเซส ที่อยู่ใน Folder นัน้ รวมทัง้ ใน Subfolders
o Extension ระบุเฉพาะนามสกุลของไฟล์เท่านัน้
o Process ระบุเฉพาะโปรเซสเท่านัน้
o File Hash ระบุ hash ของไฟล์
o Certificate Hash ทุกโปรแกรมที่อยู่ภายใต้การใช้งาน Certificate hash นัน้
o Threat Name ทุกไฟล์ท่ถี กู ตรวจจับและระบุเป็ นมัลแวร์ชนิดนัน้
o Command Line คาสั่ง command ที่ตอ้ งการ (รองรับเฉพาะ Windows OS)

P a g e 55 | 165
ตัวอย่างการกาหนดค่า Example Excluded Items File, Folder or Process ดังด้านล่างนี ้

o Path
▪ C:\temp
▪ UNC Path \\HostName\ShareName\FilePath or \\IPAddress\ShareName\FilePath
o System Variables
▪ %ProgramFiles% ยกเว้นสแกนทัง้ Program File โฟลเดอร์
▪ %WINDIR%\system32 ยกเว้นสแกนโฟลเดอร์ system32 ใน Windows
o Wildcards * ทุกตัวอักษร, ? อักษรตัวเดียว, ??? สามตัวอักษร
▪ File exclusions: C:\Test\* ทุกไฟล์ท่อี ยู่ในโฟล์เดอร์ Test
▪ Folder exclusion: C:\Test\*.png ทุกไฟล์นามสกุล PNG ในโฟล์เดอร์ Test
▪ Process exclusion: C:\Program Files\WindowsApps\Microsoft.Not??.exe
หมายถึงยกเว้นสแกนโปรเซส Microsoft.Notes.exe

P a g e 56 | 165
 • Security Servers ทาการคลิก Security Server assignment list จะปรากฎชื่อของ Security Virtual Appliance
(SVA) ที่ได้ติดตัง้ ไว้ ทาการเลือก SVA นัน้ จากนัน้ กดปุ่ ม + และ Save

6.2. Sandbox Analyzer เป็ นการป้องกันภัยคุกคามขัน้ สูงอีกระดับหนึ่ง โดยการวิเคราะห์ไฟล์ท่นี ่าสงสัยที่ยงั ไม่รูจ้ กั ใน

ฐานข้อมูลของ Bitdefender โดยส่งผ่าน Bitdefender Endpoint Security Tools แบบอัตโนมัติ
• ทาการเลือก Automatic Sample submission from manages endpoint
• Analysis mode ทาการเลือก Blocking
▪ Monitoring ผูใ้ ช้ยงั สามารถเข้าใช้งานไฟล์ได้ในระหว่างรอการวิเคราะห์
▪ Blocking ผูใ้ ช้ไม่สามารถเข้าใช้งานไฟล์ได้ จนกว่าจะวิเคราะห์ไฟล์เสร็จ

P a g e 57 | 165
• Remediation Actions จัดการภัยคุกคามทันทีท่ตี รวจพบ โดยเลือกดังนี ้
▪ Default actoin: Move to quarantine
▪ Fallback action: Delete
• Content Prefiltering ใน Protection Level ให้ทาการเลือก Application, Documents, Scripts, Archives,
Emails เป็ น Aggressive

หมายเหตุ: Sandbox Analyzer รองรับการทางานบน Windows for Workstation, Windows for Server
P a g e 58 | 165
6.3. Firewall ป้องกันเครื่องลูกข่ายที่พยายามเชื่อมต่อระบบเน็ตเวิรก์ ทัง้ Inbound, Outbound โดยไม่ได้รบั อนุญาต
General

• เลือก Block port scans ป้องกัน ผูไ้ ม่ประสงค์ดีใช้โปรแกรมในการสแกนพอร์ตที่เปิ ดใช้งานของเครื่องคอมพิวเตอร์

เพื่อหาช่องโหว่ในการเจาะระบบหรือรบกวนการใช้งาน
• Allow Internet Connection Sharing (ICS) อนุญาตให้มีการใช้งานแชร์ Internet Traffic ให้เครื่องอื่น
• Monitor Wi-Fi connections ทาการแจ้งให้ผใู้ ช้งานทราบ ว่ามีผใู้ ช้งานเชื่อมต่อ Wi-Fi ในเครือข่ายเดียวกัน
• เลือก Intrusion Detection System (IDS) เป็ นระบบตรวจจับการบุกรุก โดยมอนิเตอร์ระบบ พฤติกรรมที่มีความเสี่ยง
จะเป็ นไวรัส เช่น พยายามแก้ไขไฟล์โปรแกรม Bitdefender, DLL inlections, Keylogging เป็ นต้นและเลือกระดับการ
ตรวจจับเป็ นแบบ Aggressive เพื่อการตรวจสอบที่เข้มงวดที่สดุ

หมายเหตุ: การตัง้ ค่า IDS นีส้ าหรับ Endpoint Security Legacy Security Agent สาหรับ Bitdefender Endpoint
Security Tools มีความสามารถในการทา Host-Based Intrusion Detection ใน Advanced Threat Control (ATC)
module

P a g e 59 | 165
• Settings การตัง้ ค่าเน็ตเวิรก์ และ Adapter ในการป้องกัน

• Networks
o Name ตัง้ ชื่อให้สื่อความหมายอุปกรณ์เน็ตเวิรก์ ที่จะทางานเช่น Printer Name
o Network Profile
▪ Trusted network ปิ ดการใช้งานไฟร์วอลล์สาหรับอะแดปเตอร์ท่เี กี่ยวข้องนี ้
▪ Home/Office network อนุญาต Traffic ทัง้ หมดที่ติดต่อกันระหว่างเครือข่ายภายใน
▪ Public Network ทาการตรวจสอบ Traffic ทัง้ หมด
▪ Untrusted network ปิ ดการเชื่อมต่อ Network ทัง้ หมดรวมทัง้ Internet จาก อะแดปเตอร์ท่เี กี่ยวข้องนี ้
▪ Identification
- DNS ระบุว่าทุกเครื่องใช้งาน DNS นี ้
- Gateway ระบุว่าทุกเครื่องสื่อสารผ่านเน็ตเวิรค์ เกตเวย์นี ้
- Network ระบุเน็ตเวิรก์ ของเครื่อง ทัง้ แบบ วงเน็ตเวิรก์ เน็ตเวิรก์ แอดเดรส
▪ MAC ใช้สาหรับเจาะจง Mac Address สาหรับ Indetification ที่เป็ น DNS หรือ Gateway ที่เลือก
สามารถใส่ค่าได้ 2 แบบคือ 00-50-56-84-32-2b หรือ 00:50:56:84:32:2b
▪ IP ใช้สาหรับระบุไอพีในเน็ตเวิรก์ เช่น 192.168.1.0/24 หรือ IP Gateway, IP DNS Address
▪ Adapters หากไม่ตอ้ งการระบุเป็ น Network Table สามารถจะระบุตาม Network Adepter แทนได้ โดย
ประกอบด้วย Wired , Wireless, Virtual

P a g e 60 | 165
 ▪ Network Discovery เป็ นการซ่อนเครื่องคอมพิวเตอร์จากซอฟต์แวร์ท่เี ป็ นอันตรายและแฮ็กเกอร์ในเครือข่าย
หรืออินเทอร์เน็ต ไม่สามารถมองเห็นเครื่องคอมพิวเตอร์ได้ โดยกาหนดได้ดงั นี ้
- Yes ทุกคนสามารถมองเห็นทัง้ ใน Local และ Internet และ Ping เพื่อค้นหาได้
- No ไม่สามารถมองเห็นหรือค้นหาได้ทงั้ Local และ Internet
- Remote ไม่สามารถมองเห็นหรือค้นหาจาก Internet ได้ ยกเว้นภายใน Local Network ที่สามารถ
มองเห็นและ Ping เพื่อทาการค้นหาได้
▪ Rule เป็ นการตัง้ ค่ากฎข้อบังคับให้ Application ที่จะรับส่งข้อมูลในเครือข่ายต้องถูกบังคับใช้โดย Firewall
โดยจะมีผลกับ Profile Home/Office และ Public เท่านัน้

• Settings ตัง้ ค่าการป้องกัน Protection Level เป็ น Ruleset, known files and ask
Protection level: ระดับการป้องกันที่กาหนดให้ Firewall ตัดสินใจเมื่อ Application ร้องขอการเข้าถึงเครือข่ายและ
บริการอินเทอร์เน็ต โดยมีตวั เลือกดังนี ้
o Ruleset and allow ใช้กฎไฟร์วอลล์ท่มี ีอยู่และอนุญาตการเชื่อมต่ออื่นๆโดยอัตโนมัติ เมื่อมีการเชื่อมต่อใหม่แต่ละ
ครัง้ จะทาการสร้างและเพิ่มในกฎ
o Ruleset and ask ใช้กฎไฟร์วอลล์ท่มี ีอยู่และแจ้งให้ผใู้ ช้เมื่อมีการพยายามเชื่อมต่อ โดยแสดงหน้าต่างการแจ้ง
เตือนพร้อมข้อมูลรายละเอียดเกี่ยวกับการเชื่อมต่อที่ไม่รูจ้ กั ปรากฎขึน้ บนหน้าจอของผูใ้ ช้ แต่ละการเชื่อมต่อใหม่
กฎจะถูกสร้างและเพิ่มในกฎ
o Ruleset and deny ใช้กฎไฟร์วอลล์ท่มี ีอยู่และปฏิเสธการเชื่อมต่ออื่น ๆ ทัง้ หมดโดยอัตโนมัติ ความพยายาม
เชื่อมต่อใหม่แต่ละครัง้ จะมีการสร้างและเพิ่มกฎ
P a g e 61 | 165
 o Ruleset, known files and allow ใช้กฎไฟร์วอลล์ท่มี ีอยู่และอนุญาตการพยายามเชื่อมต่อโดยแอปพลิเคชันที่รูจ้ กั
และอนุญาตการพยายามเชื่อมต่อที่ไม่รูจ้ กั ทัง้ หมดโดยอัตโนมัติ สาหรับความพยายามในการเชื่อมต่อใหม่แต่ละ
ครัง้ กฎจะถูกสร้างและเพิ่มไปยังชุดกฎ
o Ruleset, known files and ask ใช้กฎไฟร์วอลล์ท่มี ีอยู่และอนุญาตการเชื่อมต่อโดยแอปพลิเคชันที่รูจ้ กั และแจ้งให้
ผูใ้ ช้ดาเนินการสาหรับการพยายามเชื่อมต่อที่ไม่รูจ้ กั ทัง้ หมด แสดงหน้าต่างการแจ้งเตือนพร้อมข้อมูลโดยละเอียด
เกี่ยวกับความพยายามในการเชื่อมต่อที่ไม่รูจ้ กั สาหรับความพยายามในการเชื่อมต่อใหม่แต่ละครัง้ กฎจะถู กสร้าง
และเพิ่มไปยังชุดกฎ
o Ruleset, known files and deny ใช้กฎไฟร์วอลล์ท่มี ีอยู่และอนุญาตการเชื่อมต่อโดยแอปพลิเคชันที่รูจ้ กั การ
เชื่อมต่อที่ไม่รูจ้ กั จะบังคับให้หยุดการเชื่อมต่ออัตโนมัติ สาหรับการเชื่อมต่อใหม่แต่ละครัง้ กฎจะถูกสร้างและเพิ่ม
ไปยังชุดกฎ
• Create aggreeive rules ไฟล์วอลล์จะสร้างกฎสาหรับแต่ละ process ที่แตกต่างกันและเปิ ดใช้แอปพลิเคชันในการ
ร้องขอการใช้งานเครือข่ายหรืออินเทอร์เน็ต
• Create rules for apploications blocked by IDS ไฟล์วอลล์จะสร้างกฎในการปฎิเสธการเข้าถึงเครือข่ายหรือ
อินเทอร์เน็ตทันทีอตั โนมัติของแอปพลิเคชันนัน้ ๆ หากตรวจพบการบุกรุกระบบโดย IDS
• Monitor process changes ทาการตรวจสอบแอปพลิเคชันต่างๆที่เชื่อต่ออินเทอร์เน็ต ว่ามีโปรแกรมมีการ
เปลี่ยนแปลงหรือไม่ หากมีการเปลี่ยนแปลงให้มีการสร้างกฎใหม่ตามการป้องกันที่ตงั้ ไว้
o Ignore signed processes แอปพลิเคชันไหนที่มีการรองรับความหน้าเชื่อถือจากการใช้งานให้ขา้ มกระบวนการ
ตรวจสอบอนุญาตให้ทาการเชื่อมต่ออินเทอร์เน็ตได้โดยอัตโนมัติ

P a g e 62 | 165
• Rules เป็ นตารางแสดงรายการกฎไฟร์วอลล์ท่ีสาคัญที่มีอยู่ โดยมีขอ้ มูลดังนี ้

o Incoming ICMP / ICMPv6 อนุญาตหรือปฏิเสธข้อความ ICMP / ICMPv6 แฮ็กเกอร์มกั ใช้ขอ้ ความ ICMP เพื่อ
โจมตีเครือข่ายคอมพิวเตอร์ ตามค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะได้รบั อนุญาต
o Incoming Remote Desktop Connections อนุญาตหรือปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องอื่นผ่านการเชื่อมต่อ
Remote Desktop ตามค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะได้รบั อนุญาต
o Sending Emails อนุญาตหรือปฏิเสธการส่งอีเมลผ่าน SMTP ตามค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะได้รบั อนุญาต
o Web Browsing HTTP อนุญาตหรือปฏิเสธ เรียกเว็บด้วย HTTP ตามค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะได้รบั อนุญาต
o Network Printing อนุญาตหรือปฏิเสธการเข้าถึงเครื่องพิมพ์ในเครือข่ายอื่น โดยค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะถูก
ปฏิเสธ
o Windows Explorer traffic on HTTP / FTP อนุญาตหรือปฏิเสธการรับส่งข้อมูล HTTP และ FTP จาก Windows
Explorer โดยค่าเริ่มต้นการรับส่งข้อมูลนีจ้ ะถูกปฏิเสธ
• Configuring Custom Rules การกาหนดค่า Firewall Rule เอง โดยแบ่งได้เป็ นสองแบบคือ
o Application-based rules สร้างกฎสาหรับใช้กบั ซอฟต์แวร์เฉพาะที่พบในคอมพิวเตอร์ไคลเอนต์
o Connection-based rules สร้างกฎสาหรับใช้กบั แอปพลิเคชันหรือบริการใดๆที่ใช้การเชื่อมต่อ การตัง้ ค่า Custom
Rules ประกอบไปด้วย
▪ Rule name ป้อนชื่อภายใต้กฎที่จะแสดงรายการในตารางกฎ (เช่นชื่อของแอปพลิเคชันที่ใช้กบั กฎ)

P a g e 63 | 165
 ▪ Application path (กฎสาหรับแอปพลิเคชันเท่านัน้ ) จะต้องระบุ Path ที่เรียกใช้งานแอปพลิเคชันบนเครื่อง
คอมพิวเตอร์ เลือกตาแหน่งที่กาหนดให้เช่น %ProgrmFiles% จากนัน้ ทา Path ให้สมบูรณ์โดยการใช้ (\) และ
ชื่อของโฟลเดอร์, ชื่อของไฟล์แอปพลิเคชันนัน้ %ProgramFiles%\PuTTY\putty.exe

▪ ใช้ Path แบบเต็มเช่น C:\Program Files\PuTTY\putty.exe

o Command line (กฎสาหรับแอปพลิเคชันเท่านัน้ ) เฉพาะเมื่อเปิ ดแอปพลิเคชันที่ระบุพร้อมกับคาสั่งเฉพาะใน
อินเตอร์เฟสบรรทัดคาสั่ง Windows ให้พิมพ์คาสั่งที่เกี่ยวข้องในช่องถ้าไม่มีให้ปล่อยว่างไว้
o Application MD5 (กฎสาหรับแอปพลิเคชันเท่านัน้ ) หากต้องการให้กฎตรวจสอบความถูกต้องของไฟล์ของแอป
พลิเคชันนัน้ โดยยึดตามรหัสแฮช MD5 ให้ปอ้ นกฎนัน้ ในช่อง หากไม่มีให้ปล่อยว่างไว้

P a g e 64 | 165
o Local Address ระบุ IP เครื่องคอมพิวเตอร์และพอร์ตหรือช่วงพอร์ตที่ตอ้ งการใช้
o Remote Address ระบุ IP ปลายทางและพอร์ตที่ตอ้ งการเชื่อมต่อส่งข้อมูลเข้าและออกจากเครื่องคอมพิวเตอร์
o Apply rule only for directly connected competers ระบุกฎการใช้งานตาม Mac Address นีเ้ ท่านัน้

o Protocol เลือก IP Protocol ที่ตอ้ งการใช้งาน

o ถ้าต้องการให้กฎนาไปใช้งานกับทุก Protocol เลือก Any

o ถ้าต้องการให้กฎนาไปใช้งานกับ TCP Protocol เลือก TCP
o ถ้าต้องการให้กฎนาไปใช้งานกับ UCP Protocol เลือก UCP
o ถ้าต้องการให้กฎนาไปใช้งาน Protocol เฉพาะให้เลือกอื่นๆ ตามเมนู

P a g e 65 | 165
 o Direction เลือกการใช้งานกฎกับ Traffic ที่ใช้งาน ( Both ทัง้ หมด, Inbound ข้อมูลขาเข้า, Outbound ข้อมูลขา
ออก)
o IP Version เลือกการใช้งานกฎกับ IP Version (IPv4, IPv6 หรือทัง้ หมด)
o Network เลือกการใช้งานกฎกับ Network ที่เลือก
o Permission กาหนดการใช้งาน (Allow อนุญาต, Deny ไม่อนุญาต) ทัง้ เครือข่ายและ Internet Access

6.5 Network Protection เป็ นการกลั่นกรองเนือ้ หา ปกป้องข้อมูลและกิจกรรมของผูใ้ ช้งานจากการท่องเว็บ อีเมลและแอป

พลิเคชันซอฟต์แวร์ต่างๆ ตรวจจับเทคนิคการโจมตีเครือข่ายที่พยายามเข้าถึงเครื่องลูกข่าย โดยสามารถจากัด อนุญาต
การใช้งานเว็บและแอพพลิเคชัน กาหนดค่าการสแกนทราฟฟิ ก ป้องกันฟิ ชชิ่งและข้อมูล

การตัง้ ค่านีจ้ ะมีผลกับทุกคนที่มีการเข้าใช้งานเครื่องลูกข่าย การตัง้ ค่าประกอบไปด้วย

• General
• Content Control
• Web Protection
• Network Attacks

P a g e 66 | 165
• General Setting กาหนดการตัง้ ค่าใช้งานเปิ ดหรือปิ ดฟั งก์ชนั การตัง้ ค่าประกอบไปด้วย
o General Settings การตัง้ ค่าทั่วไป
▪ Scan SSL สแกนการรับส่งข้อมูลจากเว็บที่ใช้ Secure Sockets Lasyer (SSL) ด้วย Bitdefender Security
Agents
▪ Show browser toolbar (*legacy) แสดงแถบเครื่องมือของ Bitdefender เพื่อแจ้งการจัดอันดับเว็บที่เข้าดู ซึ่ง
จะไม่ใช่แถบเครื่องมือของเเบราว์เซอร์ท่ใี ช้ แต่จะแสดงเป็ นโฆษณาเล็กๆ ด้านบนหน้าเว็บไซต์
▪ Browser Search Advisor (*legacy) ให้คะแนนผลลัพธ์การค้าหาของ Google, Bing และ Yahoo รวมถึง
ลิงค์ใน Facebook และ Twitter โดยจะมีการวางไอคอนแสดงไว้ดา้ นหน้าของผลการค้นหา

หมายเหตุ * Legacy ฟี เจอร์นไี ้ ด้ถกู นาออกไปแล้วใน Bitdefender Endpoint Security Tools version 6.6.5.82

o Global Exclusions ข้ามการสแกนการรับส่งข้อมูล ในการหา Malware ที่ ในขณะเปิ ดการใช้งานการป้องกัน

เครือข่าย หมายเหตุ การยกเว้นการสแกนนีเ้ ฉพาะ Traffic Scan, Antiphishing ใน Web Protection เท่านัน้ เพื่อ
ป้องกันการโจมตีเครือข่าย ส่วนการยกเว้นการโจมตีเครือข่ายจะแยกกันตัง้ ค่า

การกาหนดการยกเว้น ประกอบไปด้วยการกาหนดจากค่า IP/mask, URL, Aplication

P a g e 67 | 165
• IP/mask ใส่ค่า IP Address หรือ IP mask ที่ไม่ตอ้ งการสแกนข้อมูลขาเข้าและออก รวมทัง้ ป้องกันการใช้งาน network
attack technic
• URL ยกเว้นการสแกนโดยระบุ web address
o ระบุ URL www.example.com/example.html
o ใช้ wildcards เช่น (*) สาหรับหลายตัวอักษร, (?) (???) ระบุตวั อักษร
▪ www.example* อะไรก็ได้ท่เี ริ่มจาก www.example แต่ไม่ยกเว้น subdomain.example.com
▪ *example.com รองรับทัง้ subdomain
▪ *example.com* รองรับทุกอย่างที่มีค่านี ้
▪ *.com รองรับทุกอย่างที่อยู่ในโดเมน .com
▪ www.example?.com โดย (?) เป็ นตัวอักษรอะไรก็ได้เช่น www.example1.com หรือ www.exampleA.com
• Application ยกเว้นการสแกนตาม Process หรือ Application
o ยกเว้น Full Path เช่น C:\Program Files\Internet Explorer\iexplore.exe
o ยกเว้นค่า variables เช่น %programfiles%\ Internet Explorer\iexplore.exe
o ยกเว้นค่า wildcards เช่น c*.exe ทุกโปรแกรมที่มี “c” (chrome.exe)
??????.exe ทุกโปรแกรมที่มี 6 ตัวอักษร (chrome.exe, safari.exe) หรือ [^c]*.exe ทุกอย่างยกเว้นโปรแกรมที่ขนึ ้ ต้น
ด้วย “C” หรือ [^ci]*.exe ทุกอย่างยกเว้นโปรแกรมขึน้ ต้นด้วย “c” หรือ “i”

Content Control การควบคุม การเข้าถึงเนือ้ หาต่างๆ ประกอบไปด้วย 3 ส่วน

P a g e 68 | 165
 • Web Access Control
• Application Blacklisting
• Data Protection

Web Access Control ควบคุมการเข้าถึงเว็บ โดยอนุญาตหรือบล็อกการเข้าถึงเว็บสาหรับผูใ้ ช้หรือแอปพลิเคชันตาม

ช่วงเวลาที่กาหนด เว็บที่ถกู บล็อกจะไม่สามารถแสดงข้อมูลในเบราว์เซอร์ท่เี ปิ ดได้ และจะปรากฎข้อความการถูกบล็อกโดย
Web Access Control

สามารถทาการเปิ ดหรือปิ ดการทางานนีไ้ ด้จากการเลือก การตัง้ ค่า ประกอบไปด้วยสาม

ส่วนดังนี ้
o Block ไม่อนุญาตเข้าถึงเว็บตลอดเวลา
o Allow อนุญาตให้เข้าถึงเว็บได้ตลอดเวลา
o Schedule ตามช่วงเวลาที่กาหนด

ไม่ว่าจะเลือกอนุญาตหรือไม่อนุญาตการเข้าถึงเว็บ ผูด้ แู ลระบบสามารถกาหนดการยกเว้นได้ตาม web categories

หรือระบุเป็ น Web Address โดยการเลือกทีเมนู Settings

P a g e 69 | 165
สีแดงคือ ไม่อนุญาต สีขาวคือ อนุญาต

ตัวอย่าง ห้ามใช้งานเว็บตัง้ แต่ 9:00 -12:00 และ 13:00 – 17:00

Categories จะกรองการเข้าถึงเว็บไซต์ตามเนือ้ หาแบบไดนามิก การใช้ตวั กรองหมวดหมู่เว็บเพื่อกาหนดข้อยกเว้น

สาหรับควบคุมการเข้าถึงเว็บที่เลือก (อนุญาตหรือบล็อก) สาหรับหมวดหมู่เว็บทัง้ หมด (เช่นเกมเนือ้ หาสาหรับผูใ้ หญ่
หรือเครือข่ายออนไลน์)

หมายเหตุ การใช้งานฟี เจอร์นไี ้ ม่รองรับบน macOS

P a g e 70 | 165
 Exclusion กาหนดกฎการอนุญาตหรือบล็อกเว็บ แทนการตัง้ ค่าการเข้าถึงเว็บไซต์ท่ีมีอยู่ ผูใ้ ช้สามารถจะเข้าถึงหรือถูก
บล็อกได้ เช่น เข้าถึงเว็บ youtube.com ได้ ถึงแม้จะมีการบล็อกจาก Web Access Control

P a g e 71 | 165
Application Blacklisting กาหนดค่า Application Blacklisting ช่วยให้บล็อกหรือจากัดการเข้าถึงแอปพลิเคชัน

ของผูใ้ ช้ในคอมพิวเตอร์ได้ทงั้ ซอฟต์แวร์เกม สื่อและการส่งข้อความ รวมถึงซอฟต์แวร์และมัลแวร์ประเภทอื่น ๆ

การกาหนดค่าสามารถทาได้ 2 แบบคือ

• Predifined location เช่น AppData เลือก %AppData% ตามด้วย (\) และชื่อของ Folder, Files นัน้
• แบบกาหนด Full path เช่น C:\Users\samar\AppData\Local\LINE\bin\current\LINE.exe

P a g e 72 | 165
Data Protection ป้องกันข้อมูลส่วนบุคคลหรือข้อมูลที่เป็ นความลับ เช่น

• ข้อมูลส่วนบุคคลของลูกค้า
• ชื่อและรายละเอียดที่สาคัญของผลิตภัณฑ์และเทคโนโลยีท่กี าลังพัฒนา
• ข้อมูลการติดต่อของผูบ้ ริหาร บริษัท

ข้อมูลที่ตอ้ งการปกป้องอาจะรวมถึงชื่อ หมายเลขโทรศัพท์ ข้อมูลบัตรเครดิตและบัญชีธนาคาร รวมทัง้ email address

และอื่นๆ โดย Bitdefender Endpoint Security Tools จะสแกนเว็บและทราฟฟิ ก อีเมลขาออก เพื่อค้าหาสตริงตัวอักขระ
และตัวอักษรเฉพาะ เช่น เลขบัตรเครดิต หากตรงตามที่กาหนดทัง้ หน้าเว็บหรืออีเมลจะถูกบล็อกเพื่อป้องกันการส่งข้อมูล
โดยผูใ้ ช้จะได้รบั แจ้งการละเมิดข้อมูลทันทีผ่านทางหน้าเว็บหรืออีเมลแจ้งเตือน

P a g e 73 | 165
• Web Protection
o Antiphishing ป้องกันเว็บหลอกลวงอัตโนมัติ ไม่ให้ผใู้ ช้เปิ ดเผยข้อมูลส่วนตัว ข้อมูลลับ โดยไม่ตงั้ ใจจากการโจมตี
ออนไลน์ ซึ่งจะแสดงหน้าเว็บแจ้งเตือนในเบราว์เซอร์ให้ผใู้ ช้งานทราบว่าเป็ นเว็บอันตรายแทนหน้าเว็บที่เป็ นฟิ ชชิ่ง
▪ Protection against fraud เลือกตัวเลือกนีเ้ พื่อเพิ่มการป้องกันการหลอกลวงประเภทอื่นๆ นอกเหนือจาก
ฟิ ชชิ่ง เช่น เว็บไซต์บริษัทปลอม ข้อมูลส่วนตัวไม่ตรงแต่พยายามหลวกลวงเพื่อให้ร่วมการทาธุรกิจและกาไรที่
ไม่ชอบด้วยกฎหมาย
▪ Protection against phishing เลือกตัวเลือกนีเ้ พื่อป้องกันผูใ้ ช้จากฟิ ชชิ่ง ที่ตรวจพบว่าเป็ นฟิ ชชิ่งถึงแม้ว่าจะ
เป็ นเว็บไซต์ท่ถี กู ต้อง

P a g e 74 | 165
 o Web Traffic Scan สแกนอีเมลขาเข้า (POP3) และการรับส่งข้อมูลจากเว็บแบบ Real-Time ป้องกันไม่ให้ดาวน์
โหลดมัลแวร์ไปยังเครื่องลูกข่าย สแกนอีเมลขาออก (SMTP) เพื่อป้องกันการแพร่กระจายของมัลแวร์ การสแกนเว็บ
อาจจะทาให้การใช้งานเว็บช้าลงเล็กน้อย แต่จะช่วยในการตรวจสอบมัลแวร์ หากพบเว็บที่เป็ นมัลแวร์จะถูกบล็อกการ
เข้าใช้งาน และจะถูกแทนที่ดว้ ยหน้าเว็บแจ้งเตือน หากพบอีเมลติดไวรัส อีเมลนัน้ จะถูกแทนที่ดว้ ยอีเมลที่ใช้สาหรับ
แจ้งเตือนผูใ้ ช้ให้รบั ทราบว่ามีมลั แวร์

• Network Attacks เป็ นเทคโนโลยีความป้องกันความปลอดภัยอีกหนึ่งระดับ ที่ตรวจจับ การโจมตีระบบเครือข่าย

ภายในสาหรับเครื่องลูกข่ายที่อาศัยเทคนิคเฉพาะในการโจมตี เช่น Brute-force, การอาศัยช่องโหว่โปรแกรมและการขโมย
รหัสผ่าน เป็ นต้น

P a g e 75 | 165
o Initial Access - ป้องกันการเข้าถึง การโจมตีเครือข่ายหลากหลายวิธี ที่อาศัยช่องโหว่ของเว็บเซิรฟ์ เวอร์สาธารณะ
เช่น ช่องโหว่ในการเปิ ดเผยข้อมูล, SQL injection exploit, drive-by download
o Credential Access – ป้องกันแฮกเกอร์ขโมยข้อมูลเช่น username, password เพื่อเข้าถึงระบบคอมพิวเตอร์ เช่น
brute-force, unauthorized uthentication, password stealers
o Discovery – ป้องกันแฮกเกอร์ท่พี ยายามดักจับข้อมูลเกี่ยวกับระบบและเครือข่ายภายใน ก่อนที่จะโจมตีระบบ
เช่น การหาช่องโหว่ การค้นหาไดเรกทอรี ไฟล์แชร์ ช่องโหว่การใช้งานแชร์ไฟล์ผ่าน HTTP directory
o Lateral Movement – ป้องกันแฮกเกอร์ท่เี ข้าพยายามเข้ามาสารวจเครือข่ายบ่อยครัง้ จากการย้ายตัวเองไปมา
ระหว่างเครือข่ายและระบบ เพื่อค้นหาเป้าหมาย โดยอาจจะใช้เครื่องมือเฉพาะเพื่อการค้นหา เช่น command
injection, shellshock เป็ นต้น
o Crimeware – ป้องกันเทคนิคที่ออกแบบมาเพื่อการประกอบอาชญากรรมอัตโนมัตต่างๆเช่น Trojan, Bot, nuclear
exploit เป็ นต้น

P a g e 76 | 165
 6.6 Patch Management เป็ นการบริหารจัดการแพทช์ดา้ นความปลอดภัย เพื่อให้เครื่องลูกข่ายอัปเดตเป็ นเวอร์ช่นั ล่าสุด
อยู่สม่าเสมอ โดยสามารถทาการแชร์ไฟล์และติดตัง้ โดยอัตโนมัติ โดยมีตงั้ ค่าดังนี ้

• Patch Download Setting หากมีเครื่องคอมพิวเตอร์ท่ีติดตัง้ Relay Module พร้อม Patch Caching Server
o จะแสดงรายชื่อเครื่องคอมพิวเตอร์เครื่องนัน้ ในรายชื่อให้เลือก เพื่อให้เครื่องลูกข่ายรับทราบว่าต้องทาการ
download patch อัปเดตยังเครื่องที่ระบุ
• Use vender websites as fallback localtion to download patches ตัวเลือกนีห้ ากไม่พบเครื่องที่ทาหน้าที่เป็ น
Patch caching server ให้ไปอัปเดตโดยตรงจากเจ้าของผลิตภัณฑ์
• Automatic patch scan ทาการสแกนค้นหาแพทช์อปั เดตของแอปพลิเคชันและระบบ ตามเวลาที่ตอ้ งการกาหนด
• Install patches automatically after scan ให้ทาการติดตัง้ แพทช์ หลังจากที่ทาสแกนแพทช์ท่ไี ม่ได้ติดตัง้ หรือไม่ได้อปั
เดตล่าสุด

P a g e 77 | 165
 • Update status สถานะการอัปเดตมีให้เลือกการติดตัง้ สองแบบคือ
o Security ติดตัง้ แพทซ์เกี่ยวกับความปลอดภัย
o Non-security ติดตัง้ แพทซ์ท่ีไม่เกี่ยวกับความปลอดภัย
หมายเหตุ ฟี เจอร์สาหรับการใช้งาน Patch Management รองรับเฉพาะบน Windows for Workstation และ Server

6.7 Device Control ควบคุมอุปกรณ์ต่อพ่วง ป้องกันการรั่วไหลของข้อมูล และมัลแวร์จากอุปกรณ์ต่อพ่วงกับเครื่อง

คอมพิวเตอร์ โดยกาหนดกฎการใช้งานตามประเภทของอุปกรณ์ได้

การใช้งาน Device Control โมดูล ต้องทาการติดตัง้ รวมกับ Security agent ก่อนและเปิ ดการใช้งานการควบคุมอุปกรณ์
หลังจากนัน้ ทุกครัง้ ที่มีการเชื่อมต่ออุปกรณ์ต่อพ่วง Security Agent จะทาการส่งข้อมูลการเชื่อมต่อไปยังส่วนกลาง control
center เพื่อเก็บข้อมูลการเชื่อมต่อและใช้เป็ นข้อมูลในการออกกฎการใช้งาน

P a g e 78 | 165
 การใช้งาน Device Control จะรองรับการทางานบน Windows for workstation, Windows for servers และ macOS

โดยรองรับการควบคุมอุปกรณ์ดงั นี ้

Device Type Windowss macOS

Bluetooth Devices x x
CD-ROM Devices x x
Floppy Disc Drives x N/A
IEEE 1284.4 x
IEEE 1394 x
Imaging devices x x
Modems x Managed under Network Adapters
Tape Drives x N/A
Windows Portable x x
COM/LPT Ports x LPT to serial ports supported

P a g e 79 | 165
SCSI Raid x
Printers x Supports only locally connected printers
Network Adapter x x (including Wi-Fi dongles)
Wireless Network Adapters x x
Internal Storage x
External Storage x x

การกาหนด Rule จากัดสิทธิ์การใช้งาน โดยการเลือก Device ที่ตอ้ งการควบคุม จะปรากฎหน้าต่าง

• Allowed อนุญาตให้ใช้อปุ กรณ์นไี ้ ด้

• Blocked ไม่อนุญาตให้ใช้อปุ กรณ์นี ้
• Read-Only อนุญาตให้ใช้ได้ แต่อ่านข้อมูลได้อย่างเดียว
• Custom อนุญาตให้ใช้แยกตามแต่ละอุปกรณ์และสิทธิ์การใช้งานแตกต่างกัน

P a g e 80 | 165
 Exclusion เป็ นการตัง้ กฎแยกอุปกรณ์บางประเภท เพื่ออนุญาตให้ใช้งานหรือไม่ใช้งานแยกต่างหากจากกฎหลักที่ตงั้ ไว้
โดยสามารถตัง้ การยกเว้นทัง้ แบบ หมายเลขอุปกรณ์ (Device ID) หรือ รหัสสินค้า (Product ID) โดยสามารถทาการเพิ่มกฎได้
จากการคลิกเมนู Add ตามด้วยเลือกการเพิ่มอุปกรณ์ ดังนี ้

• Manually กาหนดรหัสสินค้า (Product ID) หรือ หมายเลขอุปกรณ์เอง (Device ID)

• From Discovered Device จาก Security Agent ทาการส่งข้อมูลอุปกรณ์ต่อพ่วงจากเครื่องลูกข่ายไปยัง Control
Center

P a g e 81 | 165
P a g e 82 | 165
 6.8 Relay การตัง้ ค่าการติดต่อสื่อสารและการอัปเดตสาหรับเครื่องคอมพิวเตอร์ท่ีติดตัง้ Relay Modules ประกอบด้วยการ
ตัง้ ค่าดังนี ้

• Communication
• Update

Communication การตัง้ ค่าการเชื่อมต่อสื่อสาร ประกอบด้วยการตัง้ ค่า Proxy ทัง้ การสื่อสารระหว่าง Relay Endpoint กับ
GravityZone และ Relay Endpoint กับ Bitdefender Cloud Services

• Use previous settings ตัง้ ค่า Proxy ค่าเดียวกันกับการกาหนดบนแพ็กเกจการติดตัง้

• Use proxy defined in the General -> Setting section ตัง้ ค่า Proxy เดียวกับ Policy ที่ได้รบั ใน เมนู Gereral >
Settings
• Do not use proxy ไม่มีการใช้ Proxy ในการติดต่อสื่อสารกับ Bitdefender Component

P a g e 83 | 165
Update การตัง้ ค่าการอัปเดตสาหรับเครื่องคอมพิวเตอร์ท่ตี ิดตัง้ Relay Modules ประกอบด้วยการตัง้ ค่าดังนี ้

• Check for updates every (hours) กาหนดช่วงเวลาในการอัปเดต

• Download folder กาหนดโฟลเดอร์สาหรับคัดลอกการเก็บ Products และ Signature Update ไปไว้อีกที่เพื่อ
กาหนดการอัปเดตเฉพาะ โดยตรงกาหนดค่าแบบ Full path ของโฟลเดอร์ท่จี ะจัดเก็บ

โดยปกติตาแหน่งการอัปเดตของ Relay Agent คือ http://upgrade.bitdefender.com ผูด้ แู ลระบบสามารถทาการ

ระบุการอัปเดตอื่นๆ โดยป้อน IP หรือ Hostname หรือ Relay Server อื่นๆในระบบ โดยสามารถกาหนดค่าลาดับ
ความสาคัญของตาแหน่งอัปเดต ด้วยการกดปุ่ ม ขึน้ ลงเพื่อจัดลาดับ

• Use Proxy หากการเชื่อมต่อสื่อสารระหว่าง Relay Endpoint กับ Updater Server ภายในองค์กร ผ่าน Proxy server
ให้เลือก Proxy โดยการตัง้ ค่านีจ้ ะไปรับการตัง้ ค่า Proxy จากเมนู Gereral > Settings
• Add Location การกาหนดค่า Update Server เอง ในช่อง Add location โดยกาหนดดังนี ้
o Update_server_ip:port
o Update_server_ip:port
โดย Port ที่ใช้งาน default คือ 7074

P a g e 84 | 165
6.9 Encryption Management เป็ นโมดูลการเข้ารหัส จัดการการเข้ารหัสดิสก์เต็มรูปแบบโดยใช้ BitLocker บน Windows
และ FileVault, diskutil บน macOS

• Decrypt ยกเลิกการเข้ารหัสบน Disk Volumes นัน้

• Encrypt เข้ารหัส Disk Volumes นัน้ โดยจะแสดงหน้าต่างให้กาหนดรหัสผ่านสาหรับการเข้ายืนยันสิทธ์ในการเข้าใช้
งานเครื่องผ่าน pre-boot authentication

P a g e 85 | 165
 6.10 Incident Sensor เป็ นการตรวจสอบ Endpoint Activity กิจกรรมการทางานต่างๆ อย่างต่อเนื่อง ได้แก่ การเชื่อมต่อ
ระบบเครือข่าย, การเปลี่ยนแปลงค่า Registry และพฤติกรรมการใช้งานของผูใ้ ช้ โดยรวบรวมข้อมูลและประมวลผลตาม
อัลกอริทมึ ของ Machine Learning ปัญญาประดิษฐ์ และเทคโนโลยีการป้องกันและตรวจจับไฟล์ท่ีตอ้ งสงสัยในระบบ

6.11 Risk Management การสแกนความเสี่ยงด้านความปลอดภัยบนเครื่องลูกข่าย เช่นการตัง้ ค่าต่างของเครื่อง การอัป

เดต การตัง้ ค่า Users Access Control โดยกาหนดเวลาสแกนตาม วันและเวลา ที่ตอ้ งการ

P a g e 86 | 165
7. Report แสดงรายงานการทางานต่างๆ ของการทางาน โดยการสร้างรายงานจะประกอบด้วยหมวดหมู่ดงั ต่อไปนี ้

• Antiphishing Activity แจ้งให้ทราบเกี่ยวกับการทางานของ Antiphishing Module สามารถดูจานวนเว็บไซต์ฟิชชิ่งที่

ถูกบล็อกจากการเปิ ดดูของเครื่องลูกข่ายและแสดง User Login ที่ตรวจพบล่าสุด นอกจากนัน้ ยังสามารถเปิ ดดูเว็บไซต์ท่ี
ถูกบล็อกโดยคลิกไปที่ URL ของเว็บไซต์ท่ีถกู บล็อกนัน้ ได้ รวมทัง้ แสดงจานวนครัง้ ที่ถูกบล็อก

P a g e 87 | 165
คลิกไปยังจานวนครัง้ ที่ Blocked Website จากนัน้ จะแสดงหน้าต่างรายละเอียดของ URL นัน้

P a g e 88 | 165
• Blocked Applications แจ้งให้ทราบเกี่ยวกับการทางานของโมดูล Antimalware, Firewall, Content Control,
Advanced Anti-Exploit และ ATC/IDS สามารถดูรายละเอียดแอปพลิเคชันที่ถูกบล็อกในเครื่องลูกข่าย

• Blocked Websites แจ้งให้ทราบการทางานของโมดูล Web Control แสดงจานวนเว็บไซต์ท่ถี ูกบล็อก โดยสามารถดู

ข้อมูลรายละเอียดโดยการคลิกไปยังตัวเลขที่ตรวจพบเพื่อแสดงข้อมูลเพิ่มเติม

P a g e 89 | 165
• Data Protection แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ ของโมดูลการปกป้องข้อมูล สามารถดูจานวนอีเมลและ
เว็บไซต์ท่ถี ูกบล็อกในเครื่องลูกข่าย รวมถึงผูใ้ ช้ท่เี ข้าสูร่ ะบบโดยแสดงรายชื่อผูใ้ ช้งานเวลาที่ตรวจจับล่าสุด

P a g e 90 | 165
• Device Control Activity แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ เมื่อเครื่องลูกข่ายเข้าถึงอุปกรณ์ต่อพ่วงสามารถดู
จานวนการเข้าถึงที่ได้รบั อนุญาต ถูกบล็อกและเหตุการณ์แบบอ่านข้อมูลได้อย่างเดียว

• Endpoint Encryption Status แจ้งให้ทราบเกี่ยวกับสถานะการเข้ารหัสที่เครื่องลูกข่าย โดยแสดงเป็ นแผนภูมิรูปภาพ

วงกลม

P a g e 91 | 165
• Endpoint Modules Status แสดงภาพรวมของโมดูลต่างๆ ที่ติดตัง้ บนเครื่องลูกข่าย แสดงรายละเอียดการใช้งานโมดูล
ใดที่เปิ ดใช้งาน โมดูลใดปิ ดการใช้งาน หรือไม่ได้ติดตัง้

• Endpoint Protection Status แสดงข้อมูลสถานะต่างๆ ของเครื่องลูข่ายได้แก่ การป้องกันมัลแวร์, การอัปเดตการ

เชื่อมต่อเน็ตเวิรก์ (ออนไลน์/ออฟไลน์), สถานะการเชื่อมต่อ Control Central นอกจากนีย้ งั สามารถเลือกกรองเฉพาะข้อมูล
ที่ตอ้ งการได้

P a g e 92 | 165
• Firewall Activity แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ ของโมดูลไฟร์วออล์ แสดงจานวนการพยายามรับส่งข้อมูลที่
ถูกบล็อกและการสแกนพอร์ตที่ถกู บล็อก รวมถึงชื่อของผูใ้ ช้งานเครื่องลูกข่ายล่าสุดที่ตรวจจับ

P a g e 93 | 165
• HyperDetect Activity Activity แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ ของโมดูล HyperDetect แสดงแผนภูมิ
รายงานการพยายามในการโจมตีระบบและการกระจายการโจมตีในแต่ละประเภท ประกอบด้วย สถานที่เก็บ Malicious
file หรือ URL อันตราย ที่ตรวจจับพบว่าติดไวรัส หากพบว่าเป็ นการโจมตีแบบ File-less attack จะแสดงชื่อไฟล์ท่ใี ช้ในการ
ส่งคาสั่ง และ malicious command line string รวมทัง้ แสดงประเภทของการโจมตีเช่น Target Attack, grayware,
exploits, ransomware, suspicious file, network traffic และสถานะของไฟล์

P a g e 94 | 165
• Malware Status ช่วยให้สามารถค้นหาเครื่องปลายทางที่ได้รบั ผลกระทบจากมัลแวร์ และสามารถคลิกเข้าไปดูใน
ตัวเลขจานวนไฟล์ท่ตี รวจจับนัน้ ๆ เพื่อดูรายละเอียดของไฟล์ในการจัดการแต่ละอันได้แก่ Cleaned, Ignored,
Quarantine, Deleted, Unresolved

P a g e 95 | 165
• Network Incident แจ้งให้ทราบเกี่ยวกับเหตุการณ์ท่เี กิดขึน้ ของโมดูล Network Attack Defense โดยแสดงกราฟ
จานวนของการพยายามโจมตีเครื่องลูกข่ายที่ตรวจพบ พร้อมระบุรายละเอียดดังนี ้ ชื่อเครื่อง, IP, Username ของผูใ้ ช้งาน,
Detection Name, attack technique, จานวนครัง้ ที่โจมตี, Attacker’s IP, Targeted IP และ Port

• Network Patch Status ตรวจสอบสถานะการอัปเดตของซอฟต์แวร์ท่ตี ิดตัง้ ในเครื่องลูกข่ายของคุณ โดยแสดง

รายละเอียดดังนี ้ ชื่อเครื่องคอมพิวเตอร์, IP Address, Operation System, Security patch (ติดตัง้ , ติดตัง้ ไม่ผ่าน, ไม่ได้
ติดตัง้ Patch ทัง้ security และ non-security)

P a g e 96 | 165
 สามารถทาการคลิกไปยังตัวเลขจานวนสถานะที่แสดงเพื่อดูรายละเอียดเพิ่มเติม และทาการสั่งติดตัง้ ได้ Patch ที่ไม่ได้
ติดตัง้ ได้

P a g e 97 | 165
• Network Protection Status ให้ขอ้ มูลรายละเอียดเกี่ยวกับสถานะความปลอดภัยโดยรวมของเครื่องลูกข่ายได้แก่
สถานะการทางาน, managed and unmanaged, license status, infected status, update status, patch status

• Top 10 Detected Malware แสดงภัยคุกคามจากมัลแวร์ 10 อันดับแรกที่คณ

ุ ตรวจพบในช่วงเวลาที่กาหนด

P a g e 98 | 165
• Security Audit ให้ขอ้ มูลเกี่ยวกับเหตุการณ์ความปลอดภัยที่เกิดขึน้ กับเครื่องลูกข่ายที่เลือก โดยข้อมูลแสดงเหตุการณ์
ต่อไปนี ้ Malware detection, Blocked application, scan port, traffic, website, device, email, process, Advanced Anti-
Exploit and Network Attack Defense event และยังสามารถแสดงรายละเอียดมัลแวร์ท่ต ี รวจจับได้ เพราะการทางานของโมดูล
ป้องกันอะไร

• Top 10 Infected Endpoint แสดงเครื่องลูกช่ายที่ติดไวรัสมากที่สดุ 10 อันดับแรกตามจานวนการตรวจจับทัง้ หมดใน

ช่วงเวลาที่เลือก

P a g e 99 | 165
Creating Report วิธีการสร้างรายงาน

การสร้างรายงานนัน้ ประกอบด้วยรูปแบบการสร้าง 2 แบบคือ

• Instant reports สร้างรายแสดงผลออโมเมติก ณ ขณะนัน้ ที่สร้าง

• Schedule reports สร้างรายงานแสดงผลตามเวลาที่กาหนด

วิธีการสร้างรายงานคลิกเลือกเมนู จากนัน้ จะปรากฎหน้าต่างเมน์

P a g e 100 | 165
Details:

• Type: เลือกชนิดของรายการที่ตอ้ งการจะแสดงผล

• Name: ชื่อของรายงาน

Settings:

• Now ให้แสดงผลรายงาน ณ ขณะนัน้

• Scheduled ให้แสดงผลรายงาน ตามช่วงเวลาที่กาหนด

P a g e 101 | 165
Schdule ประกอบด้วยการตัง้ ค่า

• Reporting Interval ช่วงระยะเวลาที่ตอ้ งการแสดงรายงาน มีให้เลือกดังนี ้ Weekly, Hourly, Daily, Weekly,

Monthly, Yearly
• Delivery กาหนดการส่งรายงานไปยังผูร้ บั โดยกรอกอีเมลของผูร้ บั รายงาน
• Attach files กาหนดให้มีการส่งรายงานในรูปแบบของ
▪ Summary as pdf รายงานข้อมูลรวมในรูปแบบ pdf file
▪ Details as csv แสดงรายละเอียดข้อมูลมากขึน้ ในรูปแบบ csv
▪ Archive files ส่งไฟล์ในรูปการแบบอัดไฟล์
• Select Target สามารถเลือกการแสดงผลตามกลุม่ ที่ตอ้ งการได้ โดยเลือกกร๊ปจากทางซ้ายมือ

P a g e 102 | 165
8. Quarantine เป็ นโฟลเดอร์ท่เี ข้ารหัสซึ่งมีไฟล์ท่อี าจเป็ นอันตรายเช่น ไฟล์ท่สี งสัยว่าเป็ นมัลแวร์ ไฟล์ท่ีติดมัลแวร์หรือไฟล์อ่นื ๆ
ที่ไม่ตอ้ งการ เมื่อไวรัสหรือมัลแวร์ท่มี ีอยู่ในรูปแบบอื่นๆ ที่อยู่ในการกักกันมันจะไม่ทาอันตรายใดๆ กับเครื่องคอมพิวเตอร์
เพราะไม่สามารถดาเนินการ Run program หรืออ่านไฟล์ได้ GravityZone จะทาการย้ายไฟล์ไปยังการกักกันตามนโยบายที่
กาหนดให้กบั เครื่องลูกข่าย โดยค่าเริ่มต้นการตัง้ ค่า ไฟล์ท่ไี ม่สามารถ disinfected (กาจัดไวรัส) จะถูกกักกัน การกักกันจะถูก
บันทึกไว้ในเครื่องลูกข่ายของแต่ละเครื่องที่ตรวจพบมัลแวร์

Restoring Quarantined Files เป็ นการกูค้ ืนไฟล์ท่จี าเป็ นต้องใช้งาน ที่ถกู กักกันไว้ ไม่ว่าจะถูกกักกันในตาแหน่งเดิมหรือถูก
ย้ายตาแหน่งไปที่อ่นื โดยเลือกไฟล์ท่ตี อ้ งการกูค้ ืน จากนัน้ ทาการคลิกเมนู จากนัน้ จะปรากฎหน้าต่าง

P a g e 103 | 165
• Restore to the original location คืนการกักกันไปยังที่อยู่เดิมของไฟล์
• Restore to this folder คืนการกักกัน ย้ายไฟล์คืนไปยังโฟลเดอร์ท่ีตอ้ งการระบุ
• Automatically add exclusion in policy ให้ทาการเพิ่มใน Policy สาหรับยกเว้นการสแกนมัลแวร์สาหรับไฟล์ท่เี ลือกนี ้
อัตโนมัติ

P a g e 104 | 165
9. User Account
สาหรับการตัง้ ค่าและการบริหารจัดการ GravityZone ได้จาก Control Center ควบคุมบัญชีผใู้ ช้งาน โดยสามารถปรับแต่ง
การเข้าถึงคุณสมบัติของ GravityZone หรือเฉพาะส่วนตามเครือข่ายที่ตอ้ งการ การควบคุมสิทธิ์จะสามารถทาได้เฉพาะ
ผูใ้ ช้งานที่มีระดับสิทธิก์ ารใช้งานเท่าเทียมกันหรือลาดับสิทธิน์ อ้ ยกว่า ถึงจะปรับแต่งสิทธิก์ ารเข้าใช้งานได้

P a g e 105 | 165
 การกาหนดสิทธิ์ ควบคุมบัญชีการโดย คลิกที่เมนู จากนัน้ จะปรากฎหน้าต่าง

• Email ชื่อบัญชีผใู้ ช้งานที่ตอ้ งการสร้าง สาหรับใช้ Login เช่น samart@bitdefender.com

• Full Name ชื่อเต็มสาหรับผูใ้ ช้งาน เช่น Samart Sriwichai
• Timzone การตัง้ ค่าโซนของเวลาการใช้งาน ใช้ (GMT +7:00) Asia/Bangkok

P a g e 106 | 165
• Role คือสิทธิ์การบริหารจัดการสาหรับผูใ้ ช้งานที่สร้างนี ้ ประกอบด้วย

o Company Administrator สิทธิ์การใช้งานผูด้ แู ลระบบสูงสุด สามารถบริหารจัดการโปรไฟล์ของบริษัท สามารถ

ควบคุมการตัง้ ค่าความปลอดภัยระดับสูงสุดทัง้ หมด และสามารถสร้าง account สาหรับมอบหมายการเข้าใช้งาน
ได้ตามบัญชีรองที่สร้างขึน้ สาหรับการดูและระบบความปลอดภัย
o Network Administrator สิทธิส์ าหรับดูแลระบบเครือข่าย การสั่งติดตัง้ โปรแกรม การจัดหมวดหมู่ของเครื่องลูก
ข่ายและตัง้ ค่าความปลอดภัยทางด้านระบบเน็ตเวิรก์
o Security Analyst สิทธิ์ในการวิเคราะห์ทางด้านความปลอดภัย ไม่สามารถแก้ไขค่าการติดตัง้ สามารถเข้าถึง
รายงานและข้อมูลด้านความปลอดภัย เพื่อทาการมอนิเตอร์ระบบให้มีความปลอดภัย
o Custom เป็ นการเฉพาะเจาะจงสิทธิ์ในการเข้าใข้งาน ตามบทบาทที่กาหนดขึน้ มาเองโดยเฉพาะที่ตอ้ งการ

P a g e 107 | 165
10. Sandbox Analyzer แสดงหน้าวิเคราะห์การทางานของ Sandbox สามารถเลือกแสดงผลการวิเคราะห์และค้นหาการส่ง
ไฟล์ไปยัง Sandbox ทัง้ แบบอัตโนมัติและแบบ Manual โดยหน้าวิเคราะห์ประกอบด้วยสองส่วนคือ

1. Filtering area อนุญาตให้ทาการค้นหา กรั่นกรองข้อมูลที่ตอ้ งการ ที่มีการส่งไปวิเคราะห์ในรูปแบบของ name, hash,

date, analysis result, status , MITRE’s ATT&CK techniques.
2. Submission card area แสดงผลการวิเคราะห์โดยรวม พร้อมสรุปข้อมูลแบบย่อ

1. Filtering area จะแสดงผลการวิเคราะห์ ตามค่าที่กาหนดการค้นหาเพื่อแสดงผล ค่าการค้นหาประกอบด้วย

• Sample name and hash (MD5) กรอกค่าที่คน้ หาเป็ นชื่อไฟล์ หรือค่าตัวเลข Hash จากนัน้ กดเลือกช่วงวันที่ตอ้ งการ
ค้นหา และกดเมนู Search เพื่อค้นหา

P a g e 108 | 165
Date เป็ นการกาหนดช่วงเวลาที่ตอ้ งการค้นหาผลการวิเคราะห์ โดยสามารถเลือกช่วงเวลา จากวันที่ ถึงวันที่ หรือเลือก
คลิกแสดงผลแบบ 7, 14, 30, 90, 180 วัน

• Analysis result แสดงผลการวิเคราะห์ ตามด้านล่างนี ้

o Clean ไฟล์ปกติ ปลอดภัยในการใช้งาน
o Infected ไฟล์ท่ไี ม่ปลอดภัย พบเป็ นมัลแวร์
o Unsupported ไฟล์ท่ไี ม่รองรับการวิเคราะห์ ชนิดของไฟล์นไี ้ ม่รองรับการวิเคราะห์จาก Sandbox Anlyzer
• Severity score แสดงผลการวิเคราะห์ไฟล์ท่มี ีค่าบ่งชีว้ ่าอันตรายจากสเกล 100 ถึง 0 ยิ่งคะแนนสูงแสดงว่าไฟล์นนั้ มี
อันตรายมากเท่านัน้ คะแนนความรุนแรงคานวนร่วมกับคะแนนที่มีสถานะ Clear, Infected, Unsupported
• Submission type แสดงผลจากการส่งไปวิเคราะห์ ดังนี ้
o Manual รับไฟล์ไปวิเคราะห์โดยการอัพโหลดด้วยตนเองในเมนู Manual Submission

P a g e 109 | 165
 o Endpoint sensor ส่งไฟล์ไปวิเคราะห์โดย Bitdefender Endpoint Security Tools โดยการตัง้ ค่าจาก Policy
Snadbox Analyzer ที่ Control Center
• Submission status แสดงผลการวิเคราะห์ตามสถานะที่วิเคราะห์ ดังนี ้
o Finished - Sandbox Analyzer ทาการวิเคราะห์และส่งผลการวิเคราะห์เสร็จสิน้ แล้ว
o Pending analysis - อยู่ระหว่างการวิเคราะห์ของ Sandbox Analyzer
o Failed – Sandbox Analyzer ไม่สามารถทาการวิเคราะห์ไฟล์ตวั อย่างได้
• ATT&CK techniques แสดงผลการวิเคราะห์จากการตรวจจับไฟล์ดว้ ยเทคนิค ATT&CK ขึน้ อยู่เหตุการณ์ท่พี บ

2. Submission card area แสดงผลการวิเคราะห์ของ Sandbox แสดงลาดับเหตุการณ์ยอ้ นกลับ ตามลาดับวันเวลา

ดังต่อไปนี ้ โดยสามารถดูรายละเอียดเพิ่มเติมจากการคลิกปุ่ ม จะปรากฎ หน้าเว็บแสดงผล

P a g e 110 | 165
HTML Web Report แสดงรายละเอียดการวิเคราะห์ภาพแบบละเอียด

File info แสดงรายละเอียดของไฟล์มลั แวร์ท่ตี รวจจับ

P a g e 111 | 165
 Submision details แสดงรายละเอียดของไฟล์เช่น File name, command line, File type, File Size, MD5, SHA1,
SHA256, SHA512, CRC32, Submission Time

P a g e 112 | 165
Detection แสดงรายละเอียด เทคโนโลยีท่ไี ช้ในการตรวจจับไฟล์ว่าใช้เทคนิคอะไร

P a g e 113 | 165
Behavior System Change แสดงรายละเอียด การเปลี่ยนแปลงค่าในระบบ เช่น การสร้างไฟล์ การแก้ไข registry

P a g e 114 | 165
Behavior Network แสดงรายละเอียดของการเชื่อมต่อเน็ตเวิรก์ ประเทศที่ทาการเชื่อต่อ IP Address

Behavior Network Details แสดงรายละเอียด ทางเชื่อมต่อเน็ตเวิรก์ พอร์ต และปลายทางที่เชื่อมต่อ

P a g e 115 | 165
Behavior Timeline กราฟแสดงช่วงเวลาของการทางานมัลแวร์แต่ละช่วง

Behavior Graph กราฟแสดงการเชื่อมโยงทางานของแต่ละโปรเซสไฟล์มลั แวร์

P a g e 116 | 165
Behavior Chronology แสดงลาดับเหตุการณ์ของการทางาน

Behavior ScreenShots แสดงรูปภาพของไฟล์ท่มี ีการสั่งรัน จากระบบปิ ดใน Sandbox Analyzer

P a g e 117 | 165
 Manual Submission เป็ นเมนูสาหรับการอัปโหลดไฟล์ท่ีตอ้ งสงสัยแบบ Manual ให้ Sandbox Anlyzer ทาการวิเคราะห์
โดยสามารถทาการตรวจสอบได้สองแบบคือ Files, URL, Command-line argument

• Files ทาการเลือกไฟล์ในการวิเคราะห์โดยการคลิกที่เมนู เพื่อ เลือกไฟล์ท่ตี อ้ งการ

• URL สามารถทาการกรอกค่า URL Address เพื่อให้วิเคราะห์ หากมีการเปิ ดเรียกใช้งาน URL นี ้
• Command-line argument สาหรับต้องการส่งคาสั่งการทางานของโปรแกรมบางอย่าง เพื่อวิเคราะห์รว่ มกับไฟล์ท่อี พั
โหลด ในการวิเคราะห์

P a g e 118 | 165
11. Incidents (EDR)
Incidents ช่วยวิเคราะห์เหตุการณ์ ตรวจสอบและดาเนินการกับเหตุการณ์ความปลอดภัยทัง้ หมดที่ตรวจพบโดย Incident
Sensor ตามช่วงเวลาที่กาหนด ประกอบด้วย

• Investigate แสดงเหตุการณ์ท่นี ่าสงสัยทัง้ หมดที่มีการตรวจสอบ แต่ยงั ไม่ได้ตดั สินใจดาเนินการ สามารถทาการค้นหา

รายงานเหตุการณ์ทงั้ หมดของเครื่องลูกข่ายได้จากรายงานนี ้ รวมทัง้ ภัยคุกคามที่มีความน่าสนใจ
• Review แสดงเหตุการณ์ความปลอดภัยที่ระบุเป็ นภัยคุกคามจากโมดูลป้องกันความปลอดภัยของ GravityZone ตาม
นโยบายความปลอดภัยที่กาหนดไว้ลว่ งหน้า ซึ่งในบางเหตุการณ์จาเป็ นต้องตัดสินดาเนินการ หรือมีความจาเป็ นต้อง
ดาเนินการตรวจสอบวิเคราะห์เพิ่มเติมในอนาคต

P a g e 119 | 165
 The Filters Grid ตารางตัวกรองการแสดงผล

สามารถทาการแสดงผลการวิเคราะห์เหตุการณ์ตามที่ตอ้ งการเช่น Alert name, ATT&CK technique, Endpoint IP,

MD5, SHA256, node name, Username
ปุ่ ม Filter แสดง column ที่ตอ้ งการแสดงรายงานผลการวิเคราะห์เหตุการณ์

P a g e 120 | 165
• Score คะแนนความเชื่อมั่นระหว่าง 100 และ 10 บ่งชีเ้ หตุการณ์ความปลอดภันที่อาจจะเป็ นอันตราย ยิ่งคะแนนสูงยิ่ง
เป็ นเหตุการณ์ท่เี ป็ นอันตรายมากขึน้ คะแนนจะปรับตามตัวบ่งชีว้ ดั การโจมตีและเทคนิค ATT&CK สามารถปรับตัวเลขการ
กรองตามคะแนนความเชื่อมั่นจากตัวเลื่อนแถบเลื่อน

• Date เลือกช่วงเวลาที่ตอ้ งการแสดงผล

P a g e 121 | 165
• Status แสดงสถานะปัจจุบนั ของเหตุการณ์ โดยการเลือกดูแต่ละสถานะจากการกดเมนู drop-down จะพบ

Open: กิจกรรมของเหตุการณ์ท่ยี งั ไม่ได้ทาการตรวจสอบ

Investigate: กิจกรรมของเหตุการณ์ความปลอดภัยที่อยู่ระหว่างการตรวจสอบ

False Positive: เหตุการณ์ความปลอดภัยที่ระบุว่ามีการผิดพลาดในการตรวจสอบ

Closed: เหตุการณ์ความปลอดภัยที่ปิดการตรวจสอบเรียบร้อย

• ID จากัดการแสดงผล โดยการค้นหาจากตัวเลข ID Number เหตุการณ์ความปลอดภัยแบบเฉพาะเจาะจง

• Endpoint จากัดการแสดงผล โดยค้นหาจากรายชื่อเครื่องคอมพิวเตอร์ จากการจัดการในเครือข่าย
• Attack type แสดงรายงานตามประเภทการโจมตีแบบไดนามิก ซึ่งจะเปลี่ยนไปตามประเภทตัวชีว้ ดั ที่พบจากการโจมตี
ในเหตุการณ์ความปลอดภัยที่คน้ พบ

P a g e 122 | 165
 • Alert แสดงจานวนตัวเลข จานวนครัง้ จากการตรวจพบเหตุการณ์นี ้
• Endpoint OS แสดงเหตุการณ์ความปลอดภัยตามระบบปฏิบตั ิของเครื่องลูกข่าย

Viewing the list of Security Event หน้าแสดงเหตุการณ์ความปลอดภัยที่ตรงกับตัวกรองที่เลือก โดยหน้าแสดงผลจะทา

การรีเฟรชอัตโนมัติตามช่วงเวลาที่ตรวจเหตุการณ์ใหม่จาก EDR Agent

คลิกที่ เพื่อดูหน้าแสดงผลกราฟฟิ ก

• Graph ระบุการแสดงผลการแสดง การจาลองแบบกราฟฟิ กของเหตุการณ์

• Events ระบุการแสดงผลการแสดงแบบตาราง Timeline แสดงตามช่วงเวลาของเหตุการณ์

P a g e 123 | 165
การแก้ไข Status ของเหตุการณ์ท่ตี รวจจับ คลิกที่เมนู Status และเลือกสถานะที่ตอ้ งการเปลี่ยน

Security Eveny Node แสดงการเชื่อมโยงการทางานของเหตุการณ์แต่ละโหลด ทัง้ โหลดหลักและโหนดย่อยจากการคลิก

P a g e 124 | 165
 Critical Path คือลาดับเหตุการณ์ท่อี นั ตรายและเชื่อมโยงเหตุการณ์ไปจนถึงการปิ ดการแจ้งเตือน จากจุดเริ่มต้นใน
เครือข่ายไปยังโหนดต่างๆ ไล่ลงมา ตามลาดับเหตุการณ์ โดยเส้นทางสาคัญจะถูกไฮไลต์แสดงเป็ นกราฟอย่างง่าย และ
ล้อมรอบด้วยแผงข้อมูลเพิ่มเติมของเหตุการณ์

1. Trigger node เหตุการณ์หลักที่เป็ นอันตราย ไฟล์มลั แวร์ (Malicious Node)

2. Node Details พืน้ ที่แสดงรายละเอียดของโหนด พร้อมข้อมูลที่จดั เป็ นหมวดหมู่ ที่คลิกดูได้

3. Faded Out nodes เหตุการณ์ท่เี กี่ยวข้องทางอ้อมในการเกิดเหตุการณ์หลัก

P a g e 125 | 165
 Filter เมนูตวั กรอง มีความสามารถในการกรองขัน้ สูง ซึ่งจะช่วยให้การจัดการกราฟิ กเหตุการณ์โดยสมบูรณ์ โดยการเน้น
องค์ประกอบตามประเภทหรือความเกี่ยวข้องหรือซ่อนไว้เพื่อทาให้เหตุการณ์มีขนาดกะทัดรัดและง่ายต่อการวิเคราะห์มากขึน้

โดยคลิกที่เมนูตวั กรอก จะปรากฎหน้าต่างเมนูให้เลือกดังนี ้

P a g e 126 | 165
Critical Path เน้นแสดงเหตุการณ์ท่ีอนั ตราย จากการถูกยึดครองจากมัลแวร์

Endpoint เน้นแสดงรายละเอียดของเครื่องคอมพิวเตอร์ท่ีเกิดในเหตุการณ์

P a g e 127 | 165
Process เน้นแสดงโหนดของโปรเซสที่เกี่ยวข้องกับเหตุการณ์

File เน้นแสดงโหนดของประเภทไฟล์ท่เี กี่ยวข้องกับเหตุการณ์

Domain เน้นแสดงโหนดประเภทของโดเมนทัง้ หมดที่เกี่ยวข้องกับเหตุการณ์

P a g e 128 | 165
 Neutral node ไม่มีผลกระทบกับเหตุการณ์ความปลอดภัย

Original node จุดเริ่มต้นของการโจมตีภายในเครือข่าย

Suspicious node องค์ประกอบที่มีพฤติกรรมน่าสงสัยเกี่ยวข้องโดยตรง

เหตุการณ์ดา้ นความปลอดภัย

Malicious node องค์ประกอบที่ก่อให้เกิดความเสียหายต่อเครือข่าย

P a g e 129 | 165
 Details Panel for Endpoint Nodes กรอบรายละเอียดสาหรับ Endpoint Node

Remediation แสดงข้อมูลกี่ยวกับการกระทาที่
GravityZone อัตโนมัติ เพื่อลดภัยคุกคามและการกระทาที่
สามารถจะกระทาได้ ได้แก่
Isolate host - สาหรับการแก้ไขแยกเครื่องออกจาก
เครือข่าย
Install patchs – ติดตัง้ แพตซ์รกั ษาความปลอดภัยที่ไม่ได้
ติดตัง้ จะต้องมีโมดูลและ License สาหรับการใช้งาน
Patch management ถึงจะสามารถใช้งานเมนูนีไ้ ด้
Remote Connection - สร้างการเชื่อมต่อระยะไกลไปยัง
เครื่องคอมพิวเตอร์และสามารถเรียกใช้คาสั่ง shell
commands ที่ตอ้ งการได้โดยตรงบนระบบปฎิบตั ิการ
Device Info แสดงข้อมูลทั่วไปของเครื่องคอมพิวเตอร์ท่ี
กระทบกับเหตุการณ์นี ้ ได้แก่ ชื่อเครื่อง, IP Address, OS,
สถานะ, Policy ที่ใช้งานอยู่

Remote Connection

P a g e 130 | 165
 Details Panel for Process Nodes แผงข้อมูลแสดงรายละเอียดการทางานของ Process ที่ตรวจจับเหตุการณ์

Alert - แสดงการตรวจจับของโหนดที่เลือก รวมถึง

รายละเอียดเกี่ยวกับเทคโนโลยีท่ตี รวจจับในเหตุการณ์
พร้อมคาอธิบายการแจ้งเตือน ตามมาตราฐาน MITRE
Investigation – แสดงวันที่เริ่มต้นตรวจจับและสิน้ สุด
องค์ประกอบการทางานของเหตุการณ์นี ้
Add to Sandbox – ส่งไฟล์ไปวิเคราะห์ Sandbox
Analysis รวมทัง้ ดูผลการวิเคราะห์
VirusTotal – ส่งไฟล์ไปวิเคราะห์ยงั ผูใ้ ห้บริการอื่น
Virustotal
Google – ค้นหาข้อมูลเพิ่มเติมจาก Google Search
Remediation – แสดงข้อมูลเกี่ยวกับการกระทาของ
GravityZone ที่ดาเนินการอัตโนมัติเพื่อลดภัยคุกคามและ
สามารถสั่งการกระทาเองได้เช่น Kill, Quarantine file, Add
file to Blocklist และ Add file as exception

P a g e 131 | 165
 Details Panel for File Nodes แผงข้อมูลแสดงรายละเอียดของไฟล์ จากเหตุการณ์ท่ีตรวจจับ

Alert – แสดงการตรวจจับไฟล์ของโหนดที่เลือก ทัง้ ไฟล์

เดียวและหลายๆไฟล์ รวมถึงรายละเอียดเกี่ยวกับ
เทคโนโลยีท่ีตรวจจับในเหตุการณ์ ชื่อการตรวจจับ วันที่
ตรวจพบ พร้อมคาอธิบายการแจ้งเตือน ตามมาตราฐาน
MITRE ล่าสุด
Investigation – แสดงวันที่เริ่มต้นตรวจจับและสิน้ สุด
องค์ประกอบการทางานของเหตุการณ์นี ้
Add to Sandbox – ส่งไฟล์ไปวิเคราะห์ Sandbox
Analysis รวมทัง้ ดูผลการวิเคราะห์
VirusTotal – ส่งไฟล์ไปวิเคราะห์ยงั ผูใ้ ห้บริการอื่น
Virustotal
Google – ค้นหาข้อมูลเพิ่มเติมจาก Google Search
Remediation – แสดงข้อมูลเกี่ยวกับการกระทาของ
GravityZone ที่ดาเนินการอัตโนมัติเพื่อลดภัยคุกคามและ
สามารถสั่งการกระทาเองได้เช่น Quarantine file, Add
file to Blocklist และ Add file as exception

P a g e 132 | 165
Alert – แสดงความรุนแรงของโดเมนที่มีการตรวจจับ สาเหตุ
ของเหตุการณ์ดว้ ยเทคโนโลยีของ Bitdefender ตามวันและ
เวลาที่ตรวจพบ
Investigation – แสดงวันที่เริ่มต้นตรวจจับและสิน้ สุด
องค์ประกอบการทางานของเหตุการณ์นี ้
Remediation - แสดงข้อมูลเกี่ยวกับการกระทาของ
GravityZone ที่ดาเนินการอัตโนมัติเพื่อลดภัยคุกคามและ
สามารถสั่งการกระทาเองได้ ดังนี ้
- เพิ่ม URL เป็ นข้อยกเว้นการสแกน – ใช้ตวั เลือกนีเ้ พื่อ
ยกเว้นในการสแกนใน Policy > Antimalware > Setting

P a g e 133 | 165
 Event ลาดับเหตุการณ์ว่าเกิดขึน้ ได้อย่างไร ใช้ในการตรวจสอบลาดับเหตุการณ์ของระบบที่มีความสัมพันธ์กนั และแจ้ง
เตือนการตรวจพบด้วยเทคโลโลยีอะไรของ GravityZone เช่น EDR, Network Attack Defense, Anomaly Detection,
Advanced Anti-Exploit, Windows Antimalware Scan Interface (AMSI)

ทุกเหตการณ์ท่ซี บั ซ้อนจะมีคาอธิบายโดยละเอียดในสิ่งที่ตรวขพบและสิ่งที่อาจจะเกิดจากการวิเคราะห์ดว้ ย Machine

Learning และกลยุทธในการตรวจจับล่าสุดของ MITER

Blocklist หน้าบล็อกลิสต์สามารถดูและจัดการรายการต่างๆด้วยค่า Hash ของไฟล์นนั้ ๆ

P a g e 134 | 165
 สามารถทาการ Add Hashes เพื่อทาการ Block File นัน้ จากการคลิกที่ เมนู จะปรากฎหน้าต่างใน
การเพิ่มค่า

Note ตัง้ ชื่อหรือชื่อที่ช่วยบันทึกช่วยจา

Paste Hash นาค่า Hash File ที่ตอ้ งการ Block มากรอกลงไปในตาราง

P a g e 135 | 165
12. Risk Management
Endpoint Risk Analytics (ERA) ช่วยให้ประเมินความเสี่ยงและให้สามารถกาหนดค่าความปลอดภัยของเครื่องลูกข่ายให้
ปลอดภัยมากขึน้ จากแนวปฏิบตั ิท่ีดีท่สี ดุ ตามมาตรฐานเพื่อลดพืน้ ที่การโจมตีของภัยคุกคาม

P a g e 136 | 165
 Company Risk Score
คะแนนความเสี่ยงโดยรวมจะแสดงระดับความเสี่ยงที่องค์กรต้องเผชิญด้วยการตัง้ ค่าระบบที่ไม่ถกู ต้อง คะแนนจะสะท้อน
ถึงความรุนแรง คะแนนแสดงถึงค่าเฉลี่ยของความเสี่ยงมีสองประเภทคือกาหนดค่าผิดพลาดและช่องโหว่ของแอปพลิเคชัน

Score Over Time ฮิสโตแกรมที่แสดงวิวฒ ั นาการรายสัปดาห์ของจานวนอุปกรณ์ท่ไี ด้รบั ผลกระทบที่ตรวจพบว่ามีความ

เสี่ยงหลังจากการสแกนความเสี่ยง ข้อมูลฮิสโตแกรมแสดงถึงจานวนอุปกรณ์ท่ไี ด้รบั ผลกระทบจากตัวบ่งชีค้ วามเสี่ยงจากเจ็ด
วันล่าสุดจนถึง 12.00 น. (เวลาเซิรฟ์ เวอร์) ของวันปัจจุบนั

P a g e 137 | 165
 Risk Score Breakdown แสดงผลกระทบความเสี่ยง ตามแต่ละประเภทในการให้คะแนนโดยรวม ประกอบด้วย

• Misconfiguration กาหนดการตัง้ ค่าผิดพลาด

o Browser Security ความปลอดภัยของเบราว์เซอร์
o Network and Credentials เครือข่ายและรหัสผ่าน
o OS Security Baseline พืน้ ฐานความปลอดภัยของระบบปฏิบตั ิการ
• Application Vulnerbility ช่องโหว่ของแอปพลิเคชัน

Top Misconfiguration วิดเจ็ตนีแ้ สดงผลลัพธ์ 15 อันดับแรกสาหรับตัวบ่งชีท้ ่เี รียกใช้การเตือนความเสี่ยงหลังจากสแกน

เครือลูกข่ายตามจานวนอุปกรณ์ท่ไี ด้รบั ผลกระทบ การแสดงแต่ละอันจะแสดงถึงตัวบ่งชีห้ นึ่งตัวที่ แจ้งเตือนความเสี่ยงสาหรับ
เครื่องคอมพิวเตอร์อย่างน้อยหนึ่งตัว สามารถคลิกดูรายละเอียดเพิ่มเติมได้จากเมนู View All

P a g e 138 | 165
 Top Vulnerable Apps แอปที่มีช่องโหว่ยอดนิยม วิดเจ็ตนีแ้ สดงผลลัพธ์ 15 อันดับแรกสาหรับช่องโหว่ของแอพพลิเคชันที่
ทราบจากการแจ้งเตือนความเสี่ยงหลังจากสแกนเครื่องลูกข่ายตามลาดับการแสดงแต่ละอันจะแสดงถึงตัวบ่งชีห้ นึ่งตัวที่ แจ้ง
เตือนความเสี่ยงสาหรับเครื่องคอมพิวเตอร์อย่างน้อยหนึ่งตัว สามารถคลิกดูรายละเอียดเพิ่มเติมได้จากเมนู View All

P a g e 139 | 165
 Servers by Severity วิดเจ็ตแสดงความรุนแรงของความเสี่ยงที่คกุ คามเซิรฟ์ เวอร์ในสภาพแวดล้อมขององค์กร ผลกระทบ
ของการกาหนดค่าผิดพลาดที่พบและช่องโหว่ของแอปพลิเคชัน โดยจะแสดงค่าเป็ นเปอร์เซ็นต์ สามารถคลิกดูรายละเอียด
เพิ่มเติมได้จากเมนู View All

P a g e 140 | 165
 Workstations by Severity วิดเจ็ตแสดงความรุนแรงของความเสี่ยงที่คกุ คามเวิรก์ สเตชันในสภาพแวดล้อมขององค์กร
ผลกระทบของการกาหนดค่าผิดพลาดที่พบและช่องโหว่ของแอปพลิเคชัน โดยจะแสดงค่าเป็ นเปอร์เซ็นต์ สามารถคลิกดู
รายละเอียดเพิ่มเติมได้จากเมนู View All

P a g e 141 | 165
 Top Devices at Risk วิดเจ็ตแสดงเซิรฟ์ เวอร์และเวิรก์ สเตชันที่มีช่องโหว่มากที่สดุ ในสภาพแวดล้อมขององค์กร ตาม
คะแนนโดยรวมที่คานวณ หลังจากสแกนหาการกาหนดค่าผิดพลาดและช่องโหว่ คลิกรายละเอียดเพิ่มเติมได้จากเมนู View All

P a g e 142 | 165
 Security Risks แสดงความเสี่ยงและอุปกรณ์ท่ไี ด้รบั ผลกระทบที่พบในสภาพแวดล้อมขององค์กร หลังจากรันงานการ
สแกนความเสี่ยง ประกอบด้วยการแสดง

• Misconfigurations แทปแสดงการกาหนดค่าผิดพลาดจะปรากฎขึน้ ตามค่าเริ่มต้นตัวบ่งชีค้ วามเสี่ยง GravityZone

ทัง้ หมด จะให้ขอ้ มูลรายละเอียดของความรุนแรงจานวนอุปกรณ์ท่ไี ด้รบั ผลกระทบประเภทการกาหนดค่าผิดประเภท
ประเภท การบรรเทา (ด้วยตนเองหรือโดยอัตโนมัติ) และสถานะ (ใช้งานหรือไม่สนใจ)

สามารถทาการคลิกที่เมนู Fix Risk เพื่อทาการแก้ไขค่าความปลอดภัย

P a g e 143 | 165
App Vulnerabilities แท็บช่องโหว่ของแอป ช่องโหว่ของแอปจะแสดงแอปพลิเคชันที่มีช่องโหว่ทงั้ หมดที่พบในเครืองลูกข่าย
ในองค์กรระหว่างการสแกน ให้ขอ้ มูลโดยละเอียดเกี่ยวกับระดับความรุนแรงจานวน CVE ที่ทราบต่อแอปพลิเคชันและจานวน
เครื่องลูกข่ายที่ได้รบั ผลกระทบ

• Devices แท็บอุปกรณ์ เครื่องลูกข่ายจะแสดงเซิรฟ์ เวอร์ท่ีสแกนและเวิรก์ สเตชันทัง้ หมดภายในองค์กร ให้ขอ้ มูล

รายละเอียดของชื่อระดับความรุนแรงประเภทอุปกรณ์ เครื่องลูกข่ายและจานวนความเสี่ยงที่มีผล

P a g e 144 | 165
Executive Summary บทสรุปสาหรับการจัดการนาเสนอภาพรวมความปลอดภัยที่กระชับของอุปกรณ์ปลายทางที่ได้รบั การ
ป้องกันทัง้ หมด ในเครือข่ายของคุณและได้รบั การออกแบบมาเป็ นพิเศษเพื่อช่วยคุณตรวจสอบวิเคราะห์และจัดหา การจัดการ
ด้วยข้อมูลที่ง่ายต่อการตีความ ส่วนใหญ่ประกอบด้วยวิดเจ็ตช่วยเพิ่มการมองเห็นภาพรวม โดยการเสนอรายละเอียดเกี่ยวกับ
เครื่องปลายทาง (Endpoint) โมดูลการตรวจจับและการดาเนินการประเภทภัยคุกคามและเทคนิคเกี่ยวกับ บริษัท ของคุณ
คะแนนความเสี่ยงและอื่น ๆ

Executive Summary

สาคัญ
● สถิติท่ใี ห้มาทัง้ หมดเป็ นไปตามข้อมูลที่รวบรวมหลังจากเปิ ดใช้งานคุณลักษณะนี ้ ไม่มีเหตุการณ์ก่อนหน้านีร้ วมอยู่ดว้ ย

P a g e 145 | 165
ส่วนเริ่มต้นที่ดา้ นบนของหน้า ได้แก่ :
ปลายทางที่มีการจัดการ

ส่วนนีจ้ ะแสดงเครื่องทัง้ หมดในเครือข่ายของคุณที่ติดตัง้ ตัวแทนความปลอดภัย

จุดสิน้ สุดที่ใช้งานอยู่

ส่วนนีจ้ ะแจ้งให้คณ
ุ ทราบเกี่ยวกับปลายทางทัง้ หมดที่ออนไลน์อยู่ในรายการที่เลือก

ระยะเวลาหรือออนไลน์ในขณะที่รายงาน

ภัยคุกคามที่ถูกบล็อก
ส่วนนีจ้ ะแสดงจานวนภัยคุกคามที่ถูกบล็อกทัง้ หมดที่ระบุบนอุปกรณ์ปลายทางของคุณ

รายละเอียดเครื่องปลายทาง

ส่วนนีใ้ ห้รายละเอียดเกี่ยวกับประเภทปลายทางและระบบปฏิบตั ิการ

คะแนนความเสี่ยงของ บริษัท

ในส่วนนีค้ ณ
ุ สามารถค้นหาข้อมูลเกี่ยวกับระดับความเสี่ยงของ บริษัท ของคุณ

P a g e 146 | 165
ที่มมุ ขวาบนของหน้าคุณสามารถพิมพ์ช่ือ บริษัท หรือเลือก จากเมนูแบบเลื่อนลง บริษัท ที่สนใจ โปรดทราบว่าไฟล์
สรุปแสดงสถิติสาหรับ บริษัท เดียวในแต่ละครัง้ ไม่ใช่สาหรับทัง้ บริษัท คุณยังสามารถเลือกช่วงเวลาที่กาหนดไว้ลว่ งหน้าโดย
สัมพันธ์กบั เวลาปัจจุบนั :

● 24 ชั่วโมงล่าสุด

● 7 วันที่ผ่านมา

● 30 วันที่ผ่านมา

บันทึก

● ข้อมูลที่นาเสนอทัง้ หมดมีความสัมพันธ์โดยตรงกับช่วงเวลาและ บริษัท ที่เลือก

● เพื่อให้แน่ใจว่าคอนโซลแสดงข้อมูลล่าสุดให้ใช้ปมุ่ รีเฟรช

ที่ดา้ นขวาบนของหน้าขึน้ อยู่กบั ช่วงเวลาที่เลือกคุณอาจสังเกตเห็นความแตกต่าง (เดลต้า) ที่แสดง เป็ นเปอร์เซ็นต์ในบางส่วน

ค่าเดลต้าระบุความแตกต่างในเครือข่ายของคุณที่เกิดขึน้ ระหว่างสองเครือข่าย

ช่วงเวลาเฉพาะ:

● ช่วงเวลาก่อนช่วงเวลาที่เลือกโดยมีจานวนวันหรือชั่วโมงเท่ากัน

● ช่วงเวลาที่เลือก

ตัวอย่างเช่นในภาพด้านล่างจานวนภัยคุกคามที่ถกู บล็อกทัง้ หมดในเครือข่ายของคุณ ได้ลดลง 6% ในช่วง 30 วันที่ผ่านมา

เปอร์เซ็นต์นเี ้ กิดจากการเปรียบเทียบ ค่าจาก 30 วันที่แน่นอนก่อนช่วงเวลาที่เลือกด้วยค่าจาก 30 วันที่ผ่านมา

P a g e 147 | 165
วิดเจ็ตหลักของสรุป ได้แก่ : ภัยคุกคามที่ถูกบล็อก 5 อันดับแรก
วิดเจ็ตนาเสนอข้อมูลเกี่ยวกับประเภทภัยคุกคามที่พบบ่อยที่สดุ โดยอ้างอิงจาก จานวนการตรวจจับบนอุปกรณ์ปลายทางของ
คุณ คอลัมน์ทางด้านซ้ายจะปรากฏขึน้ ประเภทภัยคุกคามและความสัมพันธ์ในคอลัมน์ดา้ นขวาคุณจะพบจานวน การตรวจจับ
สาหรับแต่ละประเภทเช่นเดียวกับค่าเดลต้า

การแบ่งภัยคุกคามตามประเภทเครื่อง วิดเจ็ตนีแ้ สดง ประเภทของอุปกรณ์ปลายทางเวิรก์ สเตชันและเซิรฟ์ เวอร์ และ ไฟล์

จานวนการตรวจจับในแต่ละครัง้

สถานะเหตุการณ์

วิดเจ็ตนีใ้ ห้รายละเอียดเกี่ยวกับเหตุการณ์ดา้ นความปลอดภัยในเครือข่ายของ บริษัท

หมวดหมู่เหตุการณ์อธิบายไว้ดงั นี:้

● ตรวจพบโดยโมดูลการป้องกัน: เหตุการณ์ดา้ นความปลอดภัยที่ระบุว่าเป็ นภัยคุกคามโดย โมดูลป้องกัน GravityZone

● ต้องมีการตรวจสอบ: เหตุการณ์ท่นี ่าสงสัยซึ่งต้องมีการสอบสวน ซึ่งยังไม่มีการดาเนินการใด ๆ

การดาเนินการแก้ไข

ส่วนนีอ้ ธิบายถึงการกระทาที่เกิดขึน้ กับไอเท็มที่ถกู บล็อกตามในการตัง้ ค่านโยบายที่ใช้

P a g e 148 | 165
สถานะโมดูลปลายทาง
ให้ภาพรวมของการครอบคลุมโมดูลการป้องกันสาหรับอุปกรณ์ปลายทางของคุณ แผนภูมิแสดงโมดูลและไม่ว่าจะเปิ ดใช้งาน
ปิ ดใช้งานหรือไม่ ติดตัง้ บนอุปกรณ์ปลายทางของคุณ

คะแนนความเสี่ยงของ บริษัท

วิดเจ็ตนีใ้ ห้ขอ้ มูลเกี่ยวกับระดับความเสี่ยงที่องค์กรของคุณเป็ น เปิ ดเผยจากการตัง้ ค่าระบบที่กาหนดค่าไม่ถกู ต้องช่องโหว่ท่ี

ทราบในปัจจุบนั แอปพลิเคชันที่ติดตัง้ และความเสี่ยงที่อาจเกิดขึน้ จากกิจกรรมและพฤติกรรมของผูใ้ ช้
การตรวจจับตามกฎของนโยบาย

ส่วนนีใ้ ห้รายละเอียดจานวนการตรวจจับและประเภทตามกฎกาหนดเองในนโยบายโดยผูด้ แู ลระบบ

ประเภทการตรวจจับ ได้แก่ :

● อุปกรณ์ท่ีถกู บล็อก: จานวนการตรวจจับตามกฎการควบคุมอุปกรณ์

● การเชื่อมต่อที่ถูกบล็อก: จานวนการตรวจจับตามกฎของไฟร์วอลล์

● แอปพลิเคชันที่ถกู บล็อก: จานวนการตรวจจับตามแอปพลิเคชันกฎการขึน้ บัญชีดา

● เว็บไซต์ท่ถี กู บล็อก: จานวนการตรวจจับตามการควบคุมการเข้าถึงเว็บกฎ

เว็บไซต์ท่ถี ูกบล็อก
วิดเจ็ตนีแ้ สดงจานวนการตรวจจับที่จดั เรียงตามประเภทภัยคุกคามและระบุบนปลายทางของคุณโดยการป้องกันเครือข่าย
เทคนิคการโจมตีเครือข่ายที่ถกู บล็อก

ส่วนนีใ้ ห้ขอ้ มูลเกี่ยวกับเทคนิคการโจมตีท่ีถกู บล็อกค้นพบในเครือข่ายของคุณ

P a g e 149 | 165
การสารวจข้อมูลหลายมิติ
บทสรุปสาหรับการจัดการช่วยให้คณุ มีความเป็ นไปได้ในการสารวจข้อมูลโดยการเรียกดูจากระดับสถิติไปสูม่ มุ มองที่ละเอียด
และละเอียดยิ่งขึน้ ความสามารถในการเจาะลึกช่วยให้คณุ นาทางได้ทนั ทีจากวิดเจ็ตไปยังส่วนต่างๆของศูนย์ควบคุม ในการนา
ทางจากแต่ละวิดเจ็ต:
1. คลิกหน้าแดชบอร์ดและเลือกบทสรุปสาหรับผูบ้ ริหาร

2. ค้นหาวิดเจ็ตที่น่าสนใจ
3. คลิกชื่อวิดเจ็ตหรือเนือ้ หาขึน้ อยู่กบั การเลือกของคุณ ตัวอย่างเช่นถ้า คุณต้องการดูเฉพาะภัยคุกคามที่คน้ พบในเวิรก์ สเตชัน
โดยตรงคลิกที่ เวิรก์ สเตชันแทนชื่อวิดเจ็ต หลังจากการเลือกของคุณคุณจะถูกเปลี่ยนเส้นทางไปยังพืน้ ที่ท่เี กี่ยวข้องโดยอัตโนมัติ
ของศูนย์ควบคุม แต่ละส่วนแสดงข้อมูลที่ซบั ซ้อนในแบบกาหนดเอง เพื่อให้คณ ุ สามารถระบุและวิเคราะห์ได้อย่างง่ายดายใน
แง่มมุ ที่คณ
ุ เป็ นสนใจใน

เพื่อไปที่สว่ น Threats Xplorer ซึ่งคุณสามารถดูรายละเอียดของสิ่งที่ตรวจพบ

ภัยคุกคามในเครือข่ายของคุณใช้วิดเจ็ตต่อไปนี:้

● ภัยคุกคามที่ถกู บล็อก

● ภัยคุกคามที่ถกู บล็อก 5 อันดับแรก

● การแบ่งภัยคุกคามตามประเภทเครื่อง

● การดาเนินการแก้ไข

● การตรวจจับตามกฎของนโยบาย

● เว็บไซต์ท่ถี กู บล็อก

● เทคนิคการโจมตีเครือข่ายที่ถกู บล็อก

P a g e 150 | 165
ในการนาทางไปยังพืน้ ที่เครือข่ายที่คณ
ุ สามารถดูรายการปลายทางได้ไฟล์ระบบปฏิบตั ิการและเวอร์ชนั ที่เกี่ยวข้องประเภทของ
อุปกรณ์ปลายทางและอื่น ๆ

ใช้วิดเจ็ตต่อไปนี:้

● ปลายทางที่มีการจัดการ

● จุดสิน้ สุดที่ใช้งานอยู่

● รายการทรัพย์สิน

วิดเจ็ตคะแนนความเสี่ยงของ บริษัท จะเปลี่ยนเส้นทางคุณไปยังส่วนการบริหารความเสี่ยง ซึ่งคุณสามารถค้นหาข้อมูลเกี่ยวกับ

ระดับความเสี่ยงที่องค์กรของคุณต้องเผชิญ โดยการกาหนดค่าระบบผิดพลาดช่องโหว่ท่ที ราบของการติดตัง้ ในปัจจุบนั

แอปพลิเคชันและความเสี่ยงที่อาจเกิดขึน้ จากพฤติกรรมของผูใ้ ช้วิดเจ็ตสถานะเหตุการณ์จะเปลี่ยนเส้นทางคุณไปยังส่วน

เหตุการณ์ซ่งึ มีให้ รายละเอียดเกี่ยวกับเหตุการณ์ความปลอดภัยทัง้ หมดที่ตรวจพบโดย Incident Sensor

วิดเจ็ตสถานะโมดูลปลายทางสร้างโมดูลปลายทางโดยอัตโนมัติรายงานสถานะเมื่อเข้าถึง รายงานให้รายละเอียดเกี่ยวกับการ
ป้องกันครอบคลุมโมดูลสาหรับปลายทางของคุณ

สาคัญ

●ส่วนที่คณ
ุ เปลี่ยนเส้นทางจะถูกกรองโดยอัตโนมัติตามการเลือกวิดเจ็ตของคุณ

P a g e 151 | 165
ตัวอย่างเช่นเมื่อคุณคลิกวิดเจ็ตภัยคุกคามที่ถกู บล็อกและคุณจะถูกเปลี่ยนเส้นทางไปที่ หน้า Threats Xplorer คอลัมน์ต่อไปนี ้
จะถูกเลือกไว้ลว่ งหน้าและเปิ ดใช้งาน

ตัวกรอง:

● ประเภทอุปกรณ์

ตัวกรองที่ใช้งาน: เวิรก์ สเตชันและเซิรฟ์ เวอร์

● โมดูลการตรวจจับ

ตัวกรองที่ใช้งาน: Antimalware, Network Protection, Storage Protection, Exchange Protection

● ดาเนินการ

ตัวกรองที่ใช้งานอยู่ (เฉพาะการดาเนินการแก้ไข): ถูกบล็อก ลบ กักเก็บ ฆ่าเชือ้ , กระบวนการที่เป็ นอันตรายถูกฆ่า, แทนที่ไฟล์

แนบ, ปฏิเสธ / ลบ
อีเมล, ไฟล์แนบที่ถกู ลบ, ไฟล์แนบอีเมลที่ถกู ปฏิเสธ

● เทคโนโลยีการตรวจจับ

ตัวกรองที่ใช้งาน: เทคโนโลยี GravityZone หลายตัวที่สอดคล้องกับที่เลือกโมดูล

● ช่วงเวลาการรายงาน และ บริษัท มีความสัมพันธ์กบั คุณโดยอัตโนมัติ การเลือกจากส่วนบทสรุปสาหรับการจัดการ

P a g e 152 | 165
THREATS XPLORER
Threats Xplorer ได้รบั การออกแบบมาเป็ นพิเศษเพื่อให้คณ
ุ สามารถมองเห็นได้มากขึน้ ภัยคุกคามที่ตรวจพบในเครือข่ายของ
คุณ คุณลักษณะนีร้ วมศูนย์เหตุการณ์การตรวจจับจาก เทคโนโลยี GravityZone หลายรายการและจาแนกตามหมวดหมู่
ประเภทภัยคุกคาม การดาเนินการแก้ไขและอื่น ๆ อีกมากมายคุณสามารถระบุและวิเคราะห์เหตุการณ์ใด ๆ จาก บริษัท ของ
คุณได้อย่างง่ายดาย ช่วงเวลาโดยใช้ตวั กรองที่มีอยู่

Threats Xplorer

ในหน้า Threats Xplorer คุณสามารถดูรายการเหตุการณ์การตรวจจับทัง้ หมดได้ในเครือข่ายของคุณ ตารางแสดงรายการ

ตามลาดับเวลาย้อนกลับนีว้ ิธีท่เี หตุการณ์ลา่ สุดมักจะอยู่ท่จี ดุ เริ่มต้น
สาคัญ

●ข้อมูลที่นาเสนอมีความสัมพันธ์โดยตรงกับช่วงเวลาและ บริษัท ที่เลือก

●ตารางแสดงเหตุการณ์การตรวจจับในช่วง 90 วันที่ผ่านมา

P a g e 153 | 165
คุณลักษณะนีร้ วบรวมเหตุการณ์การตรวจจับจากโมดูลต่อไปนี:้

● Antimalware

● Network Protection

● Storage Protection

● Exchange Protection

● Device Control

● Firewall

การวิเคราะห์เหตุการณ์การตรวจจับ

Threats Xplorer มีคอลัมน์และตัวกรองมากมายเพื่อช่วยคุณในการนาทางผ่านรายการเหตุการณ์ คุณสามารถเลือกตัวกรอง

จากเมนูแบบเลื่อนลงของ คอลัมน์หรือพิมพ์คาหลักที่ตรงกับผลลัพธ์ท่คี ณ
ุ ต้องการ

P a g e 154 | 165
ภัยคุกคาม Xplorer - คอลัมน์
คุณสามารถเลือก บริษัท ที่สนใจจากด้านขวาบนของหน้าเป็ นและดูเหตุการณ์จากช่วงเวลาหนึ่ง

หากต้องการกาหนดช่วงเวลาที่กาหนดไว้ลว่ งหน้าหรือกาหนดเองให้ใช้ตวั กรองที่ตรวจพบ จากด้านซ้ายของพืน้ ที่ตวั กรองและ

เลือกหนึ่งในตัวเลือกต่อไปนี:้

● 24 ชั่วโมงล่าสุด

● 7 วันที่ผ่านมา

● 30 วันที่ผ่านมา

●กาหนดเอง

คอลัมน์ท่มี ีอยู่ ได้แก่ :

ประเภท

คอลัมน์นจี ้ าแนกภัยคุกคามที่ระบุโดยใช้ประเภททั่วไปเช่น ไฟล์ อีเมล เว็บไซต์ กระบวนการ และอื่นๆ

รายละเอียด

คอลัมน์นีใ้ ห้ขอ้ มูลเฉพาะเกี่ยวกับภัยคุกคามที่ระบุเช่น เส้นทางของไฟล์หรือกระบวนการที่อยู่เว็บของเว็บไซต์หวั ข้ออีเมล

และอื่น ๆ.
ดาเนินการแล้ว

ส่วนนีจ้ ะนาเสนอการดาเนินการกับภัยคุกคามพร้อมทัง้ จานวนเหตุการณ์ท่เี กิดขึน้ ตัวอย่างเช่นการใช้ตวั กรองที่มีให้คณ

ุ
สามารถดูบล็อก
รายการที่ถกู ลบกักกันรายงานและอื่น ๆ

ชื่ออุปกรณ์
คอลัมน์นีร้ ะบุช่ืออุปกรณ์ท่ีตรวจพบเกิดขึน้ คุณสามารถค้นหาอุปกรณ์ท่ีตอ้ งการได้โดยพิมพ์ช่ือในการค้นหาแถบของตัวกรอง

P a g e 155 | 165
ตรวจพบเมื่อ
คอลัมน์นีร้ ะบุเวลาและวันที่ท่แี น่นอนของการตรวจจับ

บรรทัดคาสั่ง

ในส่วนนีค้ ณ
ุ สามารถดูรายละเอียดเกี่ยวกับบรรทัดคาสั่งที่ใช้ในการตรวจพบภัยคุกคามถ้ามี
ประเภทภัยคุกคาม

คอลัมน์นีแ้ สดงประเภทของภัยคุกคามที่ระบุ คุณสามารถค้นหาเฉพาะ เหตุการณ์โดยใช้ตวั กรองที่เกี่ยวข้อง สาหรับข้อมูล

เพิ่มเติมเกี่ยวกับที่มีอยู่ ประเภทของภัยคุกคาม
IP

ในส่วนนีค้ ณ
ุ สามารถค้นหาที่อยู่ IP ของอุปกรณ์ท่ีตรวจพบเกิดขึน้

ประเภทอุปกรณ์

คอลัมน์นีใ้ ห้ขอ้ มูลเกี่ยวกับประเภทอุปกรณ์ไม่ว่าจะเป็ นเซิรฟ์ เวอร์ หรือ เวิรก์ สเตชัน

ผูใ้ ช้
ในคอลัมน์นคี ้ ณ
ุ จะพบชื่อผูใ้ ช้ท่ใี ช้ในการโจมตี

กาลังตรวจจับโมดูล
ส่วนนีร้ ะบุช่ือโมดูล GravityZone ที่ ระบุภยั คุกคาม สาหรับผลการค้นหาที่แม่นยายิ่งขึน้ ให้ใช้ตวั กรองที่มี

เทคโนโลยีการตรวจจับ
ส่วนนีใ้ ห้ขอ้ มูลเกี่ยวกับเทคโนโลยี GravityZone ที่ใช้ระบุภยั คุกคาม
ชื่อภัยคุกคาม

คอลัมน์นีแ้ สดงชื่อที่แน่นอนของภัยคุกคามที่ระบุ

การโจมตีแบบไม่ใช้ไฟล์

คอลัมน์นีใ้ ห้รายละเอียดเกี่ยวกับการมีอยู่ของการโจมตีแบบไม่ใช้ไฟล์
P a g e 156 | 165
บันทึก
หมายเลขรายการที่อยู่เหนือพืน้ ที่คอลัมน์ทางด้านซ้ายของหน้า แสดงจานวนเหตุการณ์การตรวจจับทัง้ หมดตามตัวกรองที่เลือก

นอกจากนีค้ ณ
ุ สามารถค้นหาจานวนเหตุการณ์ท่รี ะบุจานวนครัง้ ได้ตรวจพบเหตุการณ์

คุณสามารถใช้ตวั เลือกที่มีอยู่ทางด้านขวาบนของหน้าเพื่อ:

●ลบส่วนตัวกรองที่อยู่เหนือคอลัมน์

●รีเฟรชตารางและแสดงเหตุการณ์ล่าสุด

●ล้างตัวกรองที่เลือกและนาไปใช้ทงั้ หมด

●เลือกหรือยกเลิกการเลือกคอลัมน์หลักที่คณ
ุ ต้องการดูตามความต้องการของคุณ

●ปรับเส้นตารางเป็ นมุมมองที่กะทัดรัด

สาหรับการวิเคราะห์ความปลอดภัยที่ดีขนึ ้ และการเข้าถึงโดยรวมคุณสามารถเข้าถึงไฟล์ หน้า Threats Xplorer จาก Executive

Summary
การใช้รายงาน

GravityZone ช่วยให้คณ
ุ สร้างและดูรายงานจากส่วนกลางเกี่ยวกับสถานะความปลอดภัยของอ็อบเจ็กต์เครือข่ายที่มีการ
จัดการ รายงานสามารถใช้เพื่อวัตถุประสงค์หลายประการ

เช่น:

●ตรวจสอบและรับรองการปฏิบตั ิตามนโยบายความปลอดภัยขององค์กร

●ตรวจสอบและประเมินสถานะความปลอดภัยของเครือข่าย

●ระบุปัญหาด้านความปลอดภัยของเครือข่ายภัยคุกคามและช่องโหว่

●ตรวจสอบเหตุการณ์ดา้ นความปลอดภัย

●ให้การจัดการระดับสูงด้วยข้อมูลที่ง่ายต่อการตีความเกี่ยวกับความปลอดภัยของเครือข่าย

P a g e 157 | 165
มีรายงานหลายประเภทเพื่อให้คณุ สามารถรับข้อมูลได้อย่างง่ายดายคุณต้องการ. ข้อมูลจะถูกนาเสนอเป็ นแผนภูมิเชิงโต้ตอบที่
อ่านง่ายและ ตารางช่วยให้คณ
ุ ตรวจสอบสถานะความปลอดภัยของเครือข่ายและระบุได้อย่างรวดเร็ว ปัญหาด้านความ
ปลอดภัย.

รายงานสามารถรวมข้อมูลจากเครือข่ายทัง้ หมดของออบเจ็กต์เครือข่ายที่มีการจัดการ
หรือจากกลุม่ เฉพาะเท่านัน้ ด้วยวิธีนจี ้ ากรายงานฉบับเดียวคุณสามารถค้นหา:

●ข้อมูลทางสถิติเกี่ยวกับออบเจ็กต์เครือข่ายที่มีการจัดการทัง้ หมดหรือกลุม่

● ข้อมูลโดยละเอียดสาหรับออบเจ็กต์เครือข่ายที่มีการจัดการแต่ละรายการ

●รายชื่อคอมพิวเตอร์ท่ีตรงตามเกณฑ์ท่กี าหนด (ตัวอย่างเช่นคอมพิวเตอร์ท่มี ี

ปิ ดใช้งานการป้องกันมัลแวร์)

บางรายงานยังช่วยให้คณ
ุ แก้ไขปัญหาที่พบในเครือข่ายของคุณได้อย่างรวดเร็ว สาหรับ

ตัวอย่างเช่น คุณสามารถอัปเดตออบเจ็กต์เครือข่ายเป้าหมายทัง้ หมดได้อย่างง่ายดายจากรายงาน โดยไม่ตอ้ งไปและเรียกใช้

งานอัพเดตจากหน้าเครือข่าย รายงานที่ตงั้ เวลาไว้ทงั้ หมดมีอยู่ในศูนย์ควบคุม แต่คณ
ุ สามารถบันทึกลงในคอมพิวเตอร์หรือส่ง
อีเมลถึงพวกเขา รูปแบบที่ใช้ได้ ได้แก่ Portable Document Format (PDF) และ comma-separated values (CSV).

P a g e 158 | 165
 Appendix
Bitdefender Endpoint Security Tools for Linux best practices

Bitdefender Endpoint Security Tools สาหรับ Linux ให้การป้องกันมัลแวร์สาหรับระบบปฏิบตั ิการ Linux ที่ได้รบั
ความนิยมส่วนใหญ่โดยใช้การสแกนแบบ on-access และ on-demand รวมทัง้ โมดูล Endpoint Detection และ Response
(EDR) ที่สามารถรองรับบนปฎิบตั ิการ Linux

System Requirement ความต้องการของระบบ

• Ubuntu 14.04 LTS or higher

• Red Hat Enterprise Linux / CentOS6 or higher
• SUSE Linux Enterprise Server 11 SP4 or higher
• OpenSUSE Leap 42.x
• Fedora 25 or higher
• Debian 8.0 or higher
• Oracle Linux 6.3 or higher
• Amazon Linux AMI 2016.09 or higher

On-access scanning การสแกนแบบเรียลไทม์ ต้องการคุณสมบัติของระบบปฎิบตั ิการดังนี ้

• Kernel 2.6.38 or higher – รองรับทุก Linux ทุกเวอร์ช่ นั ที่มี Kernel นี ้ รวมทัง้ เปิ ดใช้งานฟั งก์ชนั fanotify kernel
• Kernel 2.6.32 – 2.6.37 – CentOS 6.x Red Hat Enterprise Linux 6.x – Bitdefender ต้องการใช้งาน DazukoFS
ร่วมกับ prebuilt kernel modules
• ตัวอย่างการเช็ค Kernel ของ Linux OS ในการเช็คเวอร์ช่ นั ของ Kernel ในการรองรับ On-access scanning

P a g e 159 | 165
ความต้องการเพิ่มเติม

• Fedora 28 or higher ต้องติดตัง้ libnsl package โดยใช้ command: sudo dnf install libnsl -y
• Debian 8 ต้องเปิ ดใช้งาน Fanotify แล้วตัง้ ค่าเป็ น enforcing mode
• CentOS ต้องติดตัง้ libnsl package โดยใช้ command: sudo yum install libnsl

Installing การติดตัง้ Bitdefender Endpoint Security Tools บนเครื่อง Linux

1. Manual Download Package ติดตัง้ สาหรับ Linux โดยไปที่เมนู Packages เลือก Packages ที่ตอ้ งการ จากนัน้ คลิก
เมนู Download > Linux kit (64-bit) ขึน้ อยู่กบั ระบบปฎิบตั ิการว่าเป็ น 32-bit หรือ 64-bit โดยเมื่อคลิก download
แล้วจะปรากฎไฟล์ช่ือ fullKit_unix64.tar

2. ทาการ Copy ไฟล์ fullKit_unix64.tar ที่ได้จากการ Download ไปยังโฟลเดอร์ /tmp ของเครื่อง Linux ที่ตอ้ งการติดตัง้

3. ทาการแตกไฟล์บีบอัด ด้วยคาสั่งดังนี ้ #tar -xvf fullKit_unix64.tar

P a g e 160 | 165
 4. ใช้คาสั่ง Commands ดังนี ้
#chmod +x installer

#./installer

5. เสร็จสิน้ การติดตัง้ สามารถตรวจสอบสถานะได้จากหน้า GravityZone Console Center

สามารถเช็คการทางานของ Bitdefender Endpoint Security Tools ได้จากคาสั่งดังนี ้

bd status – ตรวจสอบสถานะการทางานของ Service bd start - ทาการสั่งทางาน Start Service
bd stop – ทาการสั่งหยุดการทางานของ services bd restart - ทาการ restart services

P a g e 161 | 165
Interface การใช้งาน Bitdefender Endpoint Security Tools Command Line Interface (CLI) ด้วยคาสั่งดังนี ้

• Run scan tasks

• View Quarantined files, scan logs and events
• Launch update
• View Products setting

การใช้งาน Bitdefender Endpoint Security Tools คาสั่งที่ใช้ตอ้ งอยู่ภายใต้ root ดังนี ้

$ sudo /opt/Bitdefender/bin/bduitool OPTION [PARAMETERS]

Scanning for Malware การสแกนมัลแวร์บนเครื่องคอมพิวเตอร์ สามารถทาการสั่งสแกน Malware ไปยังเครื่องคอมพิวเตอร์ได้
สองแบบคือ

• GravityZone Web Console โดยไปที่เมนู Network จากนัน้ เลือกเครื่องคอมพิวเตอร์ท่ตี อ้ งการ คลิกขวาเลือก Task

• ใช้คาสั่งภายใต้ bduitool command

คาสั่งภายใต้ bduitool command โดยมีคาสั่งดังนี ้
get scanprof [full | quick | custom] เป็ นการแสดงโปรไฟล์การตัง้ ค่าสแกนแบบ Full, Quick, Custom สแกน
$ sudo /opt/Bitdefender/bin/bduitool get scanprof [full | quick | custom]

P a g e 162 | 165
scan -s full | quick | (custom <path1> <path2> ..) คาสั่งสแกนมัลแวร์แบบ full หรือ quick หรือ custom กาหนด path
สแกนเองตาม folder หรือ files ที่กาหนด

ยกตัวอย่าง:

scan -s full สาหรับสั่ง full scan ดังนี ้ $ sudo /opt/Bitdefender/bin/bduitool scan -s full

scan -s custom /home/user1/folder1 /home/user1/file.txt

scan -p

Pause all running scan task หยุดการสแกน

scan -r
Resume all paused scan task สแกนต่อจากที่หยุดไว้

get scantasks
แสดงรายละเอียดของ task ทัง้ หมดที่มีการสั่งสแกน
get scanlog
แสดงรายละเอียดข้อมูล Log ของ task ที่เสร็จสิน้ การสแกน

Quarantine การบริการจัดการไฟล์ท่ถี กู กักกัน้ ไว้ใน quarantine โดยใช้คาสั่งภายใต้คาสั่ง bduitool ดังนี ้

P a g e 163 | 165
 get quar [-s <integer_value>] แสดงลิสต์ของไฟล์ท่อี ยู่ใน quarantine
ดังตัวอย่างดังนี ้

get quar แสดงรายชื่อไฟล์ใน quarantine ทัง้ หมด

get quar -s 10 แสดงรายชื่อไฟล์ใน quarantine 10 อันดับแรก

Events แสดงรายละเอียดข้อมูล Log การทางาน โดยใช้คาสั่งภายใต้คาสั่ง bduitool ดังนี ้

get events [-s <integer value>] แสดงรายละเอียดของ event ที่ malware module ตรวจจับ

ค่า -s <integer value> เป็ นการกาหนดการแสดงจานวน antimalware events ที่ตอ้ งการแสดง

Product status and updates การสั่งโปรดักส์อปั เดตและอัปเดต Signature โดยใช้คาสั่งภายใต้คาสั่ง bduitool ดังนี ้
get ps แสดงข้อมูลเกี่ยวกับการทางานของโปรดักส์

P a g e 164 | 165
-v แสดงข้อมูลเวอร์ช่นั ที่ใช้งาน

about แสดงข้อมูลเกี่ยวกับโปรดักส์ (ชื่อ, เวอร์ช่ นั )

update [-p] | [-s] | [-ps] คาสั่งสาหรับทาการอัปเดตต่างๆ ดังนี ้

-s: ทาการอัปเดต Signature ฐานข้อมูลไวรัส

-p: ทาการอัปเดตโปรดักส์
-ps: ทาการอัปเดตทัง้ สองอย่าง ฐานข้อมูลไวรัสและโปรดักส์ท่ใี ช้

-h, --help สาหรับแสดง help guide รายละเอียดคาแนะนาการใช้งานโปรแกรม

P a g e 165 | 165