Netwrix Threat Prevention

Danh mục:

Mô tả

Netwrix Threat Prevention (trước đây là Netwrix StealthINTERCEPT) là một giải pháp bảo mật của Netwrix Corporation tập trung vào việc ngăn chặn mối đe dọa theo thời gian thực bằng cách chặn đứng các hành động độc hại hoặc đáng ngờ ngay tại nguồn, trước khi chúng có thể gây ra thiệt hại. Khác với các công cụ chỉ giám sát và cảnh báo, Threat Prevention còn có khả năng phản ứng chủ động để ngăn chặn các cuộc tấn công.

Mục tiêu chính của Netwrix Threat Prevention là:

  • Chủ động ngăn chặn các thay đổi trái phép hoặc độc hại: Đặc biệt trong Active Directory (AD) và các hệ thống quan trọng khác.
  • Phát hiện và ngăn chặn tấn công danh tính: Như lạm dụng các giao thức xác thực yếu hoặc hoạt động đáng ngờ liên quan đến tài khoản.
  • Tăng cường khả năng hiển thị và bảo mật: Bằng cách giám sát tất cả các hoạt động quan trọng tại nguồn.
  • Đơn giản hóa điều tra và tuân thủ: Cung cấp thông tin ngữ cảnh chi tiết để phản ứng nhanh chóng với các sự cố và đáp ứng các yêu cầu kiểm toán.

Tính năng của phần mềm Netwrix Threat Prevention

Các Tính năng Chính của Netwrix Threat Prevention:

  1. Ngăn chặn theo thời gian thực (Real-time Blocking):
    • Chặn thay đổi AD quan trọng: Có khả năng tự động chặn các thay đổi đối với các đối tượng Active Directory quan trọng như tài khoản người dùng, nhóm đặc quyền (ví dụ: Domain Admins, Enterprise Admins), Group Policy Objects (GPO) hoặc cấu hình AD khác nếu chúng bị coi là trái phép hoặc độc hại.
    • Ngăn chặn truy cập hoặc thay đổi file nhạy cảm: Có thể cấu hình để chặn truy cập hoặc sửa đổi các tệp và thư mục nhạy cảm.
    • Ngăn chặn các yêu cầu LDAP/SMB độc hại: Chặn các truy vấn LDAP hoặc yêu cầu SMB nguy hiểm có thể được sử dụng trong các cuộc tấn công.
  2. Phát hiện mối đe dọa nâng cao:
    • Phân tích hành vi (Behavioral Analytics): Học hỏi hành vi bình thường của người dùng và hệ thống để phát hiện các hoạt động bất thường hoặc sai lệch so với chuẩn mực.
    • Phát hiện tấn công danh tính: Phát hiện các cuộc tấn công như password spraying (phun mật khẩu), Kerberoasting, sử dụng thông tin xác thực bị đánh cắp, hoặc các giao thức xác thực yếu.
    • Giám sát các hoạt động quan trọng: Theo dõi chi tiết mọi thay đổi đối với quyền, cấu hình hệ thống, và hoạt động của người dùng đặc quyền.
  3. Khả năng hiển thị toàn diện:
    • Thu thập thông tin chi tiết về mọi sự kiện và thay đổi tại nguồn, cung cấp bức tranh toàn cảnh về những gì đang xảy ra trong môi trường của bạn.
    • Không phụ thuộc vào nhật ký gốc (native logs) vốn có thể bị thiếu hoặc khó hiểu.
  4. Điều tra và Báo cáo:
    • Thông tin ngữ cảnh phong phú: Cung cấp đầy đủ chi tiết về các sự kiện, bao gồm ai đã làm gì, ở đâu, khi nào, và kết quả ra sao, giúp tăng tốc độ điều tra.
    • Báo cáo tuân thủ: Tạo các báo cáo để đáp ứng các yêu cầu kiểm toán và tuân thủ các quy định bảo mật như GDPR, HIPAA, PCI DSS, NIST, v.v.
  5. Giảm thiểu bề mặt tấn công:
    • Bằng cách chủ động ngăn chặn các thay đổi và hoạt động không mong muốn, giải pháp giúp giảm đáng kể các lỗ hổng bảo mật có thể bị khai thác.

Netwrix Threat Prevention hoạt động như một lớp bảo vệ bổ sung, đặc biệt quan trọng để bảo vệ Active Directory – thường là mục tiêu chính của kẻ tấn công trong môi trường doanh nghiệp. Nó khác biệt với Netwrix Threat Manager (StealthDEFEND) ở chỗ Threat Prevention tập trung vào ngăn chặn các thay đổi và hoạt động, trong khi Threat Manager tập trung vào phát hiện và phản ứng tự động với các mối đe dọa đã xảy ra. Một số tổ chức có thể triển khai cả hai để có một chiến lược bảo mật toàn diện hơn.

Hướng dẫn cài đặt phần mềm Netwrix Threat Prevention

Để cài đặt Netwrix Threat Prevention, bạn sẽ triển khai nó dưới dạng một phần mềm trên máy chủ Windows (không phải thiết bị ảo như các sản phẩm Netwrix khác). Threat Prevention bao gồm các thành phần cài đặt trên máy chủ trung tâm và các Agent cài đặt trên các Domain Controller (DC) hoặc các máy chủ khác mà bạn muốn bảo vệ.

Đây là một hướng dẫn chi tiết về các bước cài đặt:

Giai đoạn 1: Chuẩn bị môi trường

  1. Yêu cầu Hệ thống cho Máy chủ cài đặt Netwrix Threat Prevention (Central Server):
    • Hệ điều hành: Windows Server 2016, 2019, 2022 (phiên bản US English, Standard hoặc Datacenter Edition).
    • CPU: Tối thiểu 4 vCPU (khuyến nghị 8 vCPU trở lên cho môi trường sản xuất).
    • RAM: Tối thiểu 16 GB (khuyến nghị 32 GB trở lên).
    • Ổ cứng: Tối thiểu 100 GB dung lượng trống (ổ đĩa SSD được khuyến nghị cho hiệu suất cao).
    • Độ phân giải màn hình: Tối thiểu 1280×1024.
    • Tên máy chủ: Tên máy chủ phải có ít hơn 15 ký tự.
    • Kết nối mạng: Đảm bảo máy chủ có thể truy cập mạng nội bộ của bạn (đặc biệt là các Domain Controller và các hệ thống bạn muốn bảo vệ) và có kết nối internet (để cập nhật và cấp phép).
  2. Yêu cầu Hệ thống cho Cơ sở dữ liệu (Database Server):
    • Netwrix Threat Prevention sử dụng cơ sở dữ liệu để lưu trữ thông tin cấu hình và nhật ký.
    • Microsoft SQL Server: (Phiên bản 2017, 2019, 2022 Standard hoặc Enterprise). Có thể cài đặt trên cùng máy chủ hoặc một máy chủ SQL Server chuyên dụng.
    • Tài nguyên SQL Server: Đảm bảo máy chủ SQL có đủ tài nguyên (CPU, RAM, IOPS) để xử lý dữ liệu từ Threat Prevention.
  3. Yêu cầu Tài khoản và Quyền hạn:
    • Tài khoản cài đặt: Tài khoản dùng để chạy trình cài đặt phải có quyền quản trị cục bộ trên máy chủ Netwrix Threat Prevention.
    • Tài khoản dịch vụ (Service Account):
      • Một tài khoản miền (domain account) với quyền quản trị viên miền (Domain Admin) hoặc các quyền ủy quyền cụ thể (delegated permissions) trong Active Directory để Threat Prevention có thể giám sát và thực hiện hành động ngăn chặn.
      • Quyền sysadmin trên SQL Server nếu cơ sở dữ liệu được cài đặt trên máy chủ SQL riêng.
    • Tài liệu của Netwrix sẽ cung cấp chi tiết về các quyền cần thiết.
  4. Cổng Firewall:
    • Đảm bảo các cổng cần thiết được mở giữa máy chủ Threat Prevention, các Domain Controller, máy chủ SQL và các điểm cuối. Các cổng phổ biến bao gồm:
      • TCP 443 (HTTPS) cho giao diện web.
      • TCP 135 (RPC), 445 (SMB), 389 (LDAP), 636 (LDAPS) cho giao tiếp với Active Directory.
      • Cổng SQL Server (mặc định 1433).
      • Các cổng khác cho giao tiếp Agent (tham khảo tài liệu chi tiết).

Giai đoạn 2: Cài đặt các Thành phần Netwrix Threat Prevention

  1. Cài đặt SQL Server (Nếu chưa có):
    • Nếu bạn chọn cài đặt SQL Server riêng, hãy cài đặt nó trước và cấu hình quyền cho tài khoản dịch vụ.
  2. Tải xuống Trình cài đặt Netwrix Threat Prevention:
    • Bạn sẽ nhận được file trình cài đặt (.exe) từ Netwrix sau khi mua giấy phép hoặc đăng ký dùng thử.
  3. Chạy Trình cài đặt trên Máy chủ Trung tâm:
    • Chạy file cài đặt với quyền quản trị viên.
    • Làm theo các bước hướng dẫn của trình cài đặt:
      • Chào mừng: Nhấn Next.
      • Thỏa thuận cấp phép: Chấp nhận EULA.
      • Chọn thành phần cài đặt: Chọn cài đặt “Threat Prevention Server” và các thành phần khác mà bạn muốn cài đặt trên máy chủ này (ví dụ: Console, Web Console).
      • Cấu hình cơ sở dữ liệu: Chỉ định máy chủ SQL Server (có thể là cục bộ hoặc từ xa) và thông tin xác thực để kết nối và tạo cơ sở dữ liệu cho Threat Prevention.
      • Thư mục cài đặt: Chọn vị trí cài đặt.
      • Thông tin tài khoản dịch vụ: Nhập thông tin của tài khoản dịch vụ miền mà bạn đã chuẩn bị.
      • Cài đặt các yêu cầu phụ thuộc: Trình cài đặt có thể yêu cầu cài đặt các thành phần phụ thuộc của Microsoft (.NET Framework, Visual C++ Redistributable, v.v.).
      • Hoàn tất cài đặt: Nhấn Install và chờ quá trình hoàn tất.
  4. Cài đặt Agent trên Domain Controller và các máy chủ khác:
    • Để Netwrix Threat Prevention có thể giám sát và ngăn chặn các mối đe dọa trên các Domain Controller (hoặc các máy chủ file, SharePoint…) mà bạn muốn bảo vệ, bạn cần triển khai Agent của Threat Prevention lên các máy chủ đó.
    • Tải xuống Agent: Từ giao diện Web Console của Netwrix Threat Prevention, bạn có thể tìm thấy phần để tải xuống gói cài đặt Agent.
    • Triển khai Agent:
      • Cài đặt thủ công: Chạy file cài đặt Agent trên từng DC/máy chủ. Trong quá trình cài đặt, bạn sẽ cần cung cấp địa chỉ IP hoặc tên máy chủ của máy chủ Netwrix Threat Prevention để Agent có thể kết nối.
      • Triển khai tự động (khuyến nghị cho số lượng lớn): Sử dụng Group Policy Objects (GPO), SCCM, hoặc các công cụ triển khai phần mềm khác để đẩy Agent ra hàng loạt.

Giai đoạn 3: Cấu hình ban đầu qua Giao diện Web Console

  1. Truy cập Giao diện Web Console:
    • Sau khi cài đặt thành công, mở trình duyệt web trên máy tính của bạn.
    • Nhập địa chỉ của Web Console (thường là https://<Địa_chỉ_IP_hoặc_FQDN_của_máy_chủ_Threat_Prevention>).
    • Đăng nhập bằng thông tin xác thực quản trị viên (thường là tài khoản mà bạn đã sử dụng để cài đặt hoặc tài khoản đã được cấp quyền).
  2. Kích hoạt Giấy phép (License Activation):
    • Nếu chưa được kích hoạt trong quá trình cài đặt, bạn sẽ được yêu cầu nhập License Key của mình.
  3. Cấu hình Chính sách Ngăn chặn (Prevention Policies):
    • Trong giao diện Threat Prevention, điều hướng đến phần “Policies” hoặc “Protection”.
    • Bạn sẽ thấy các chính sách ngăn chặn được cấu hình sẵn cho các loại mối đe dọa phổ biến (ví dụ: ngăn chặn thay đổi đối tượng AD quan trọng, phát hiện và chặn các cuộc tấn công danh tính).
    • Kích hoạt và Tùy chỉnh: Kích hoạt các chính sách bạn muốn áp dụng. Tùy chỉnh các tham số của chính sách (ví dụ: danh sách loại trừ, ngưỡng phát hiện) để phù hợp với môi trường của bạn.
    • Thử nghiệm trong chế độ giám sát (Monitor-only mode): Netwrix thường khuyến nghị chạy các chính sách mới ở chế độ chỉ giám sát (monitoring mode) trước khi áp dụng chế độ chặn (blocking mode) để đảm bảo không có tác động ngoài ý muốn.
  4. Cấu hình Cảnh báo và Phản ứng (Alerting & Responses):
    • Thiết lập các quy tắc cảnh báo để nhận thông báo (email, SMS, SIEM) khi một mối đe dọa được phát hiện hoặc ngăn chặn.
    • Cấu hình các hành động phản ứng tự động (ví dụ: vô hiệu hóa tài khoản, đặt lại mật khẩu) trong phần “Response Actions” hoặc “Playbooks”.
  5. Tích hợp với các Hệ thống khác (Tùy chọn):
    • SIEM: Tích hợp với hệ thống SIEM (Security Information and Event Management) của bạn (ví dụ: Splunk, Microsoft Sentinel) để gửi nhật ký và cảnh báo về các mối đe dọa.
    • Ticketing System: Tích hợp với hệ thống quản lý ticket (ví dụ: ServiceNow) để tự động tạo ticket khi có sự cố.

Lời khuyên quan trọng:

  • Quyền hạn tài khoản: Đảm bảo tài khoản dịch vụ được cấu hình đúng với các quyền cần thiết để Threat Prevention có thể hoạt động hiệu quả mà không bị chặn bởi các hạn chế bảo mật.
  • Thử nghiệm ban đầu: Sau khi cài đặt và cấu hình, hãy thực hiện các thử nghiệm trong môi trường kiểm tra (hoặc ở chế độ giám sát) để đảm bảo rằng phần mềm hoạt động đúng như mong đợi và không gây ra tác dụng phụ không mong muốn.
  • Sao lưu: Luôn sao lưu cơ sở dữ liệu và cấu hình của Threat Prevention định kỳ.

Việc triển khai một giải pháp như Netwrix Threat Prevention đòi hỏi sự hiểu biết về hạ tầng CNTT và các nguyên tắc bảo mật.

Mua phần mềm Netwrix Threat Prevention ở đâu?

Trải qua nhiều năm phát triển, Tri Thức Software đã được sự tin tưởng của nhiều khách hàng trên thế giới và Việt Nam. Hiện nay chúng tôi đã trở thành doanh nghiệp hoạt động chuyên nghiệp trong lĩnh vực tư vấn và cấp phép phần mềm Netwrix Threat Prevention có bản quyền và các thiết bị CNTT lớn tại Việt Nam. Cung cấp nhiều giải pháp phần mềm trọn gói cho nhiều khách hàng từ đa ngành nghề và đa hình thức tư nhân, nhà nước, giáo dục,…chúng tôi có đội ngũ tư vấn, kỹ thuật, triển khai và thương mại, chăm sóc có kinh nghiệm sẽ hỗ trợ phục vụ khách hàng tốt nhất. Để được tư vấn và hỗ trợ giá tốt hơn, Quý khách hãy liên lạc với đội ngũ kinh doanh và hỗ trợ kỹ thuật của chúng tôi qua hotline (028) 22443013.

Ghi chú: Giá tham khảo cho số lượng 1 và thay đổi theo tỷ giá và số lượng. Quý khách vui lòng liên hệ Tri Thức để có giá chính xác vào thời điểm mua hàng.

Đánh giá

Chưa có đánh giá nào.

Hãy là người đầu tiên nhận xét “Netwrix Threat Prevention”

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *


The reCAPTCHA verification period has expired. Please reload the page.

Sản phẩm tương tự

zalo-icon
phone-icon