Иногда локальный контроль AWL и не получится включить ) Если на сервере Exchange заблокировать работу Exchange, то при взломе Exchange он не сможет подключиться к C&C 😉

Просто у них не было NGFW

точнее IPS в нем

я бы еще добавил TI

и DNS Sinkholing

Ага, особенно в ЦОДе на базе виртуализированной инфры, коммутируемой сетью или в облаке. Замучаешься коммутировать трафик на сенсор

обычно у меня получалось. делал на Cisco ACI, Vmware NSX-T, NSX-V и внутри Kubernetes.

И все в одну точку собирал для анализа?

а там не надо, там же распределено все

зависит от среды, допустим в VMware виртуальный NGFW интегрируется с гипервизором как сервис и гипервизор ему отдает все.

и ты проверяешь трафик всеми функциями, включая IPS

вот смотри по схеме справа

Все в общем делается. 1 srp для блокировки приложений 2. Фильтрация днс, всем компьютерам разрешается резолвить Корп адреса и нужные для работы прямые доступы, и только прокси может резолвить все 3. Ограничиваем доступ к прокси на локальном фаерволе только для приложений которым нужна прокси. 4. Дополнительная мера выносим доступ в интернет на терминальный сервер в дмз и публикуем приложения для пользователей. 5. Мониторим на прокси появление новых user agent. Реализовано для 4000 хостов примерно года за полтора.

А что за прокси?

Прокси был макафи, мониторинг на сием)

как бывший админ HTTP прокси, знаю что много приложений просто не умеют или отказываются работать через прокси. поэтому когда мне другие админы говорят, что у них все работает через прокси, то мне всегда кажется, что они что-то не договаривают 😉

я во втором пункте выше упомянул что есть прямые доступы)

много исключений для 4000 хостов? сколько в исключениях серверов, сетевухи, принтеров, IP телефонов и другого IoT?

порядка 100 исключений