Para que TDR pueda correlacionar efectivamente los eventos de la red con los eventos de Host Sensor, recomendamos que habilite las políticas y los servicios de proxy en el Firebox.
Debido a que Firebox envía mensajes de registro sobre los eventos de su red a su cuenta TDR, es importante configurar el Firebox para enviar un mensaje de registro cuando bloquea, descarta o deniega una conexión.
Cuando habilita Threat Detection and Response en su Firebox, recomendamos que configure las políticas para:
- Inspeccionar el tráfico de red, y no permitir el tráfico que se considera una amenaza
- Habilitar Gateway AntiVirus, IPS, APT Blocker, WebBlocker y Reputation Enabled Defense
- Generar mensajes de registro para las acciones Denegar, Descartar y Bloquear
Para que el Firebox inspeccione las conexiones y tome acción cuando se identifica una amenaza, debe configurar las políticas y los servicios de proxy. Cuando configure las acciones de proxy, asegúrese de habilitar la generación de registros y de especificar que se genere un mensaje de registro para cualquier acción de Denegar, Bloquear o Descartar. Por ejemplo, para examinar las conexiones HTTP, SMTP y DNS salientes, agregue estas políticas a la configuración de su Firebox:
Proxy HTTP
Acción de proxy — HTTP-Client.Standard o Default-HTTP-Client
Habilitar Gateway AntiVirus, APT Blocker, WebBlocker y Reputation Enabled Defense en la acción de proxy
Habilitar la generación de registros para cualquier acción de Denegar, Bloquear o Descartar en la acción de proxy
Proxy HTTPS
Acción de proxy — HTTPS-Client.Standard o Default-HTTPS-Client
Habilitar la Inspección de Contenido, con la acción de proxy HTTP-Client.Standard o Default-HTTP-Client
Habilitar Gateway AntiVirus, APT Blocker, WebBlocker y Reputation Enabled Defense en la acción de proxy
Habilitar la generación de registros para cualquier acción de Denegar, Bloquear o Descartar en la acción de proxy
Proxy SMTP
Acción de proxy — SMTP-Client.Standard
Habilitar Gateway AntiVirus y APT Blocker en la acción de proxy
Habilitar la generación de registros para cualquier acción de Denegar, Bloquear o Descartar en la acción de proxy
Si su Firebox permite conexiones entrantes a servidores u otros recursos en su red, asegúrese de configurar una política de proxy para inspeccionar el tráfico entrante, y de habilitar los servicios y la generación de registros para cualquier acción de proxy de Denegar, Bloquear o Descartar.