Cloud Firewall:Pencegahan Intrusi

Batasan

• Cloud Firewall mendukung dekripsi dan inspeksi lalu lintas terenkripsi melalui inspeksi TLS untuk lalu lintas outbound di Batas Internet. Untuk lalu lintas inbound di Batas Internet, kombinasikan Cloud Firewall dengan Web Application Firewall guna meningkatkan perlindungan. Dekripsi dan inspeksi TLS/SSL tidak didukung di batas VPC.

• Agregasi data menyebabkan keterlambatan pada statistik pencegahan intrusi Cloud Firewall. Untuk mengkueri data real time, gunakan audit log atau analisis log. Untuk detailnya, lihat audit log atau kueri dan analisis log.

  • Saat Anda mengkueri data pertahanan selama satu jam terakhir, hasilnya memiliki keterlambatan 10 menit. Event yang terjadi dalam 10 menit terakhir tidak muncul dalam hasil.

  • Saat Anda mengkueri data pertahanan lebih dari satu jam — termasuk 30 menit terbaru — hasilnya memiliki keterlambatan 30 menit. Event yang terjadi dalam 30 menit terakhir tidak muncul dalam hasil.

    Sebagai contoh, jika waktu saat ini adalah 15:00:00, pengkuerian data dari 12:00:00 hingga 15:00:00 tidak mencakup data dari 14:30:00 hingga 15:00:00. Pengkuerian data dari 12:00:00 hingga 14:30:00 menghasilkan data lengkap untuk periode tersebut.

Lihat atau modifikasi aturan pencegahan intrusi

Setelah Anda mengaktifkan Cloud Firewall, mesin ancaman di Pengaturan Mitigasi secara default menggunakan Block Mode. Dalam mode ini, Cloud Firewall secara otomatis memblokir serangan. Cloud Firewall memilih tingkat mode blok yang sesuai — Longgar, Sedang, atau Ketat — berdasarkan lalu lintas layanan Anda. Intelijen ancaman, pertahanan dasar, dan virtual patch diaktifkan secara default.

Anda dapat membuka halaman IPS Configuration dengan salah satu metode berikut:

• Dari halaman IPS, klik tautan di pojok kanan atas daftar Protection Details List.

  

• Di panel navigasi sebelah kiri, pilih Prevention Configuration > IPS Configuration.

Di kartu Basic Protection, lihat aturan pencegahan intrusi default. Untuk mengubah aturan, temukan aturan tersebut dalam daftar dan perbarui aksinya di kolom Current Action. Untuk informasi lebih lanjut, lihat Konfigurasi IPS.

Aktifkan Penelusuran IP Pribadi IPS

• Titik masuk:

  Dari halaman IPS, klik tautan di pojok kanan atas daftar Protection Details List untuk langsung menuju halaman Konfigurasi Penelusuran IP Pribadi IPS.

  

• Aktifkan

  Di halaman IPS Private IP Tracing, aktifkan penelusuran untuk sumber daya tertentu. Fitur ini membantu Anda dengan cepat menemukan aset berisiko tanpa mengekspos alamat IP aset jaringan internal.

  Catatan

  Penelusuran IP Pribadi IPS memerlukan fitur Internet firewall protection dan NAT session log service diaktifkan untuk aset yang sama. Untuk petunjuk langkah demi langkah, lihat Konfigurasi Penelusuran IP Pribadi IPS.

  

• Kemampuan dilacak:

  Setelah Anda mengaktifkan fitur ini, lihat alamat IP aset berisiko di bagian daftar Protection Details List dan Details pada halaman IPS.

  List	Details

Lihat event pemblokiran Internet

Cloud Firewall menyediakan statistik lalu lintas Internet inbound dan outbound untuk aset cloud Anda. Statistik ini membantu Anda mengevaluasi seberapa baik Cloud Firewall melindungi aset Anda dan menjaganya tetap aman. Anda dapat mengkueri data pemblokiran Internet hingga 90 hari terakhir. Setiap kueri mencakup maksimal 31 hari.

Buka halaman Detection and Response > Security Events > IPS. Di tab Protection Status, atur rentang waktu dan lihat statistik perlindungan serta daftar detail perlindungan.

• Modul Protection Statistics menampilkan total serangan, Distribusi Tipe Serangan, dan data pemblokiran.

  Metrik data pemblokiran mencakup hal-hal berikut:

  • Top Blocked Destinations: Menampilkan 5 alamat IP tujuan teratas dari lalu lintas yang diblokir oleh Cloud Firewall.

    Arahkan kursor ke alamat IP tujuan yang diblokir dan klik ikon untuk membuka halaman Log Audit. Di sana, lihat informasi detail seperti port tujuan, jenis aplikasi, dan aksi untuk IP tersebut.

  • Top Blocked Sources: Menampilkan tiga jenis sumber teratas berdasarkan persentase dari lalu lintas yang diblokir oleh Cloud Firewall.

  • Top Blocked Applications: Menampilkan lima jenis aplikasi teratas dari lalu lintas yang diblokir oleh Cloud Firewall.

• Protection Details List: Mencantumkan detail perlindungan untuk lalu lintas serangan berdasarkan kondisi kueri Anda. Detailnya mencakup tingkat risiko, jumlah event, alamat IP sumber, dan alamat IP tujuan.

  

  Catatan

  Jika IP sumber merupakan alamat IP kembali ke asal WAF atau DDoS, Cloud Firewall mendeteksi alamat IP kembali ke asal tersebut dan menampilkan WAF Back-to-origin IP Address dan Anti-DDoS Back-to-origin IP Address.

  Di bagian ini, Anda dapat:

  • Mencari event: Atur filter seperti tingkat risiko, status pertahanan, tipe serangan, sumber, arah, dan rentang waktu. Lalu klik Search untuk melihat event yang sesuai.

  • Lihat detail event: Di kolom Actions, klik Details untuk membuka halaman detail event yang diblokir. Lihat bagian Basic Information, Attack Payload, dan detail lainnya. Bagian Attack Payload menampilkan Informasi 5-Tupel dan isi payload, yang membantu Anda melacak serangan serta mengurangi risiko keamanan.

  • Mengunduh event yang diblokir: Klik ikon di sebelah kanan bilah pencarian. Lalu unduh event dari panel Download Task Management di pojok kanan atas.

  • Analisis event dengan bantuan AI: Klik ikon di kolom AI Analysis untuk menggunakan Security AI Assistant guna membantu analisis event secara cepat.

    Ini mencakup:

    Analisis isi payload: Deskripsi singkat permintaan dan analisis AI terhadap aksi yang diminta.
    Intelijen ancaman: Hasil perbandingan antara alamat tujuan dan basis data intelijen ancaman. Catatan Fitur ini tidak tersedia di edisi Premium Edition atau pay-as-you-go Cloud Firewall.
    Tujuan penyerang: Perilaku penyerang yang diprediksi oleh AI.
    Rekomendasi mitigasi: Saran untuk pengaturan mitigasi Cloud Firewall (seperti kebijakan ACL dan konfigurasi IPS) serta pemeriksaan aset.

Lihat event pemblokiran VPC

Cloud Firewall menyediakan statistik perlindungan lalu lintas untuk lalu lintas antar-VPC. Anda dapat melihat alur lalu lintas dan status pemblokiran untuk VPC Anda. Anda dapat mengkueri data pemblokiran VPC hingga 90 hari terakhir. Setiap kueri mencakup maksimal 31 hari.

Buka halaman Detection and Response > Security Events > IPS. Di tab VPC Protection, lihat detail seperti nama event, tingkat risiko, dan tipe serangan untuk event pemblokiran VPC dalam rentang waktu yang Anda pilih.

Anda dapat:

• Mencari event: Atur filter seperti tingkat risiko, status pertahanan, tipe serangan, dan waktu. Lalu klik Search untuk melihat event yang sesuai.

• Lihat detail event: Di kolom Actions, klik Details untuk membuka halaman detail event yang diblokir. Tinjau Basic Information, Attack Payload, serta detail lainnya. Bagian Attack Payload menampilkan Informasi 5-Tupel dan isi payload, yang membantu Anda melacak serangan serta mengurangi risiko keamanan.

• Mengunduh event perlindungan: Klik ikon di sebelah kanan bilah pencarian. Lalu unduh event dari panel Download Task Management di pojok kanan atas.

• Analisis event berbantuan AI: Klik ikon di kolom AI Analysis untuk menganalisis event secara cepat dengan Security AI Assistant.

  Ini mencakup:

  Analisis isi payload: Deskripsi singkat permintaan dan analisis AI terhadap aksi yang diminta.
  Intelijen ancaman: Hasil perbandingan antara alamat tujuan dan basis data intelijen ancaman. Catatan Fitur ini tidak tersedia di edisi Premium Edition atau pay-as-you-go Cloud Firewall.
  Tujuan penyerang: Perilaku penyerang yang diprediksi oleh AI.
  Rekomendasi mitigasi: Saran untuk pengaturan mitigasi Cloud Firewall (seperti kebijakan ACL dan konfigurasi IPS) serta pemeriksaan aset.