Einschränkung des YouTube-Zugriffs auf Basis des Asset-Verhaltens
Sie können mit Threat Defender den Zugriff auf bestimmte Websites für eine gewisse Zeit beschränken. Dieses Beispiel erläutert die Verwendung folgender Konzepte:
Verhaltensbasierte Korrelation für Assets
Dynamische Netzwerkobjekte
Schedules
Ziel
Außerhalb der Geschäftszeiten ist der Zugriff auf YouTube uneingeschränkt möglich. Innerhalb der Geschäftszeiten wird der Zugriff auf YouTube jedoch auf 5 Minuten beschränkt. Danach wird YouTube eine Stunde lang blockiert.
In diesem Beispiel wird die Beschränkung durch die Nachverfolgung des Asset-Verhaltens umgesetzt. Das heißt, wenn sich ein neuer Benutzer auf einem Gerät anmeldet, für das gesperrt ist, kann dieser neue Benutzer auch nicht auf zugreifen, bis die Sperrfrist abgelaufen ist. Wie Sie den Zugriff für bestimmte Benutzer unabhängig von den von ihnen verwendeten Geräten einschränken, erfahren Sie unter Einschränkung des YouTube-Zugriffs auf Basis des Benutzerverhaltens.
Sie benötigen ein Korrelationsszenario mit zwei dynamischen Netzwerkobjekten und einem dedizierten Regelsatz.
Tipp
Zur Definition der Geschäftszeiten wird in diesem Beispiel der vordefinierte Zeitplan Office hours
verwendet. Sie können diesen Zeitplan unter Policy > Schedules an ihre Erfordernisse anpassen.
Anlegen des Korrelationsszenarios
Navigieren Sie zunächst zu Policy > Advanced Correlation. Richten Sie ein neues Korrelationsszenario ein, das die Regeln und dynamischen Netzwerkobjekte enthalten wird.
Anlegen der dynamischen Netzwerkobjekte
Öffnen Sie innerhalb des Korrelationsszenarios den Reiter Dynamic Network Objects. Erstellen Sie zwei dynamische Netzwerkobjekte. Eines speichert Assets für 5 Minuten, das andere speichert Assets für eine Stunde. So werden zwei Listen mit Assets, die auf YouTube zugreifen, erstellt.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die dynamischen Netzwerkobjekte:
Name |
Network |
Size |
Timeout |
---|---|---|---|
|
Internal |
|
|
|
Internal |
|
|
Eine ausführliche Anleitung zur Erstellung eines dynamischen Netzwerkobjekts in einem Korrelationsszenario finden Sie unter Anlegen eines dynamischen Netzwerkobjekts.
Erstellen des Regelsatzes
Erstellen Sie im Korrelationsszenario einen Regelsatz aus sechs Regeln:
Regel 1 erlaubt sämtlichen Datenverkehr außer YouTube.
Regel 2 erlaubt YouTube-Zugriff für Assets auf der 5-Minuten-Liste während der Geschäftszeiten.
Regel 3 verbietet YouTube-Zugriff für Assets auf der 1-Stunden-Liste während der Geschäftszeiten.
Regel 4 fügt Assets zur 5-Minuten-Liste hinzu, wenn sie eine neue YouTube-Verbindung gestartet haben und sich bisher weder auf der 5-Minuten- noch auf der 1-Stunden-Liste befinden.
Regel 5 fügt Assets, die YouTube-Datenverkehr erzeugen, zur 1-Stunden-Liste hinzu.
Regel 6 erlaubt YouTube-Datenverkehr. Da sie sich ganz unten in der Regeltabelle befindet, wird diese Regel zuletzt verarbeitet. Innerhalb der Geschäftszeiten wird diese Regel nur auf Assets angewendet, die die folgenden Bedingungen erfüllen:
Sie haben in der vergangen Stunde nicht auf YouTube zugegriffen.
Sie sind neu auf der 5-Minuten-Liste.
Sie sind neu auf der 1-Stunden-Liste.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Schedule |
Source |
Destination |
Condition |
Actions |
---|---|---|---|---|---|
|
|
Classification |
Final Action: Allow Traffic and Skip to Next Scenario |
||
Include |
|
|
Classification |
Final Action: Allow Traffic and Skip to Next Scenario |
|
Include |
|
|
Classification |
Final Action: Reject Traffic and Stop Processing |
|
Include |
|
|
Classification |
Dynamic Network Object |
|
Include |
|
|
Classification |
Dynamic Network Object |
|
|
|
Classification |
Final Action: Allow Traffic and Skip to Next Scenario |
Eine ausführliche Anleitung zur Erstellung einer Regel in einem Korrelationsszenario finden Sie unter Anlegen von Regeln in einem Korrelationsszenario.
Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
Das System verarbeitet den Regelsatz von oben nach unten.
Innerhalb der Geschäftszeiten bedeutet das:
Das System erlaubt sämtlichen Datenverkehr außer YouTube.
Für YouTube-Datenverkehr prüft das System, ob sich das anfragende Asset in einem der dynamischen Netzwerkobjekte befindet.
Falls ja, führt es die entsprechende Aktion aus.
Falls nicht, fügt es das Asset zu den dynamischen Netzwerkobjekten hinzu und fährt mit der letzten Regel fort, d. h. es erlaubt den YouTube-Zugriff.
Außerhalb der Geschäftszeiten bedeutet das:
Das System erlaubt sämtlichen Datenverkehr außer YouTube.
Das System erlaubt den YouTube-Datenverkehr (da Regeln 2 bis 5 nur innerhalb der Geschäftszeiten angewendet werden).