Standardmäßig prüft Symantec Advanced Threat Protection (ATP) den Netzwerkverkehr zwischen den überwachten Endgeräten und dem Unternehmens-Proxy. Ein Erkennungsereignis meldet also die IP-Adresse des Endgeräts als lokale IP-Adresse und die Proxy-IP-Adresse als Remote-IP-Adresse.
Sie können jedoch ATP so konfigurieren, dass der Scanner den Datenstrom zwischen dem Unternehmens-Proxy und dem Internet verarbeitet. Wenn ATP den Datenverkehr zwischen dem Unternehmens-Proxy und dem Internet scannt, kann ATP die ursprüngliche TCP-Quelladresse aus dem Kopfzeilenfeld "X-Forwarded-For:" abrufen. ATP kann dann Erkennungsereignisse mit der IP-Adresse des Endgeräts anstelle der der Internetverbindung melden. Externe IP-Adressen sind jedoch nicht erkennbar, d. h. der Standort kann möglicherweise nicht festgestellt werden. Symantec empfiehlt, den Datenverkehr aus dem Unternehmens-Proxy und dem Internet zu scannen, da ATP identifizieren kann, welche interne Computer mit dem Datenverkehr verknüpft sind.
Hinweis: |
ATP kann den Datenverkehr, den der Proxy im Cache ablegt, nicht scannen. Es können daher eventuell nicht alle Zielcomputer erkannt werden. |
So geben Sie den Datenverkehr an, der vom Proxy geprüft wird
Wählen Sie in ATP Manager "Settings > Appliances" (Einstellungen > Appliances).
Sie haben folgende Möglichkeiten:
Siehe Erstellen einer Unternehmens-Proxy-Liste
Siehe Konfigurieren des Netzwerk-Proxy
Vielen Dank für Ihr Feedback. Wenn Sie weitere Kommentare haben, können Sie diese unten eingeben. (Einloggen erforderlich)