Blog Starti - Tudo sobre Cibersegurança
  • Materiais
  • Tudo sobre Firewall
  • Seja nosso parceiro
  • Nosso site
  • Search
Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.
Featured

Guardian: IDS e IPS na detecção e bloqueio de ciberataques

by Mirian Fernandes há 2 meses 6 min read

A segurança de redes é um braço da segurança da informação, composta por diversas estratégias e ferramentas que visam garantir a confidencialidade, integridade e disponibilidade das informações que circulam ou podem ser acessadas por meio de uma rede. Uma dessas ferramentas é (IDS) Sistemas de Detecção de Intrusão e (IPS) Sistemas de Prevenção de Intrusão, desenvolvidos para analisar o tráfego da rede e bloquear ameaças e ataques cibernéticos.

Diferente do firewall, que executa uma proteção perimetral, o IDS/IPS realiza uma defesa interna, sendo essencial contra ameaças já presentes na rede. Diante do aumento de 67% nos ataques cibernéticos no Brasil em 2024, segundo a TI Inside, ter uma ferramenta proativa e avançada deixou de ser opcional, tornou-se essencial para a continuidade dos negócios.

E como é impossível falarmos de ferramentas IDS/IPS e segurança proativa e não falar do Módulo Guardian, ao logo deste artigo você vai descobrir como ele funciona, seus diferenciais e como configurá-lo de maneira eficaz e analisar em tempo real.

Continue lendo e descubra.

Como o módulo Guardian funciona?

O Guardian é o módulo IDS/IPS do Edge Protect, projetado para atuar como um  sistema avançado de proteção em nível de rede, atuando principalmente como um antivírus de rede e um sistema de detecção e prevenção de intrusões (IDS/IPS). Aqui estão alguns dos principais aspectos do seu funcionamento:

  • Monitoramento de tráfego: o Guardian inspeciona o tráfego que passa pelas regras do firewall, analisando os pacotes de dados em tempo real para identificar atividades suspeitas ou maliciosas.
  • Detecção de ameaças: baseando-se em regras e padrões predefinidos, o Guardian detecta comportamentos anômalos, como tentativas repetidas de acesso não autorizado (ataques de força bruta) ou tráfego proveniente de IPs conhecidos por serem maliciosos.
  • Bloqueio automático: quando uma ameaça é detectada, o Guardian bloqueia automaticamente o IP associado a essa atividade suspeita. Por exemplo, após várias tentativas falhas de login administrativo, o IP ofensivo é bloqueado por um período definido nas configurações.
  • Root check (checagem ativa): o módulo também executa verificações na máquina que hospeda o Edge Protect, garantindo que não haja comprometimentos no sistema operacional ou na configuração do servidor.
  • Alertas e notificações: o Guardian pode ser configurado para enviar alertas via e-mail sempre que uma ação significativa ocorrer, como o bloqueio de um IP ou a detecção de uma ameaça.
  • Blacklist e whitelist: o módulo gerencia listas negras (blacklist) e listas brancas (whitelist) para controlar quais IPs devem ser bloqueados automaticamente e quais nunca devem ser bloqueados, mesmo que apresentem atividades suspeitas.
  • Relatórios e logs: o módulo gera logs/relatórios detalhados das atividades monitoradas, permitindo à equipe de TI revisar eventos passados e ajustar as configurações conforme necessário para melhorar a segurança da rede.

Clique aqui e conheça os diferenciais do módulo Guardian.

Configurando e operando o Guardian

Para aproveitar todo o potencial do Guardian, é essencial configurá-lo corretamente, garantindo uma proteção eficaz. Desde a instalação até a operação diária, cada etapa do processo foi projetada para oferecer segurança máxima sem comprometer o desempenho da rede.

1) Acesse o portal do StartiOne:

Para começar a configuração do módulo Guardian do Edge Protect, é necessário acessar a ferramenta e entrar no mesmo. Faça login no portal do StartiOne.

Página inicial Starti One

2) Navegue até o módulo Licensor

Dentro do menu, clique em "Licensor" e, em seguida, acesse a aba "Licenças".

3) Selecione a licença desejada:

Encontre e selecione a licença que você deseja configurar com o Guardian.

4) Habilite o Guardian:

Como a licença selecionada, clique no botão de habilitação para ativar o Guardian.

5) Ative o monitoramento de rede:

Após habilitar a licença, você já pode realizar as configurações do Guardian no Edge Protect. Acesse o painel do módulo Guardian, abaixo do botão de habilitação, localize e ative a opção “monitoramento de rede", o que permitirá que você monitore pacotes suspeitos.

6) Configure as regras de bloqueio:

Com monitoramento ativo, defina as regras que determinarão quando um IP deve ser bloqueado. Por exemplo, configure os tempos de bloqueio conforme abaixo:

  • Primeira tentativa falha: 5 minutos
  • Segunda tentativa falha: 10 minutos
  • Terceira tentativa falha: 1 hora
  • Quarta tentativa falha: 10 horas e inclusão automática na blacklist.

7) Habilite o root check (checagem ativa):

Habilite a checagem ativa para monitorar a máquina que hospeda o Edge Protect e configure uma frequência adequada (por exemplo, uma vez a cada 24 horas).

8) Ative os alertas por e-mail:

Configure o envio de alertas via email utilizando SendGrid ou SMTP, para notificar sobre tentativas de ataque ou bloqueios realizados pelo Guardian.

9) Teste as configurações:

Para realizar a verificação das configurações, realize testes simulando tentativas de acesso não autorizadas (como errar repetidamente a senha root) e observe se os bloqueios ocorrem conforme configurado

10) Monitore os alertas gerados:

Por fim, acesse regularmente o módulo do Guardian para verificar os alertas gerados e confirmar que os bloqueios estão sendo aplicados corretamente.
Utilizando o Guardian em um cenário de ataque

Vamos simular um cenário para demonstrar a eficácia do módulo Guardian na proteção de uma empresa contra ataques de força bruta. Imagina uma empresa chamada "Tech Solutions", que possui um servidor que hospeda suas aplicações críticas e permite acesso remoto para funcionários.

Preocupada com a segurança, a equipe de TI da empresa decide implementar o módulo Guardian para proteger o servidor contra os ataques cibernéticos, especialmente tentativas de força bruta.

Realizando a configuração do módulo Guardian

A equipe de TI inicia o processo de proteção configurando o módulo Guardian:

  • Ativação do módulo Guardian: o Guardian é habilitado no painel do Edge Protect.
  • Configuração de regras de bloqueio: eles definem que IPs serão bloqueados após 3 tentativas falhas de acesso em um intervalo de 5 minutos.
  • Alertas personalizados: Notificações por e-mail são configuradas para informar a equipe sempre que um bloqueio ocorrer.

O desenvolvimento do cenário

Pouco tempo depois, um atacante inicia um ataque de força bruta, tentando adivinhar a senha da conta administrativa. Após várias tentativas falhas, o módulo Guardian detectou que o mesmo IP fez 3 tentativas sem sucesso em menos de 5 minutos. O módulo automaticamente bloqueia esse IP por 10 horas, impedindo qualquer nova tentativa de acesso.

Resultado das estratégias de proteção

Assim que o bloqueio ocorre, a equipe de TI recebe uma notificação por e-mail informando sobre o bloqueio do IP suspeito. Eles analisam os logs gerados pelo Guardian e confirmam que houve várias tentativas não autorizadas provenientes desse IP.

Como resultado da ação rápida do módulo Guardian, a empresa evita uma violação de segurança e protege seus dados sensíveis.

Eleve a defesa dos seus clientes com o Edge Protect

Como apresentamos aqui, o módulo Guardian é uma ferramenta desenvolvida para elevar suas estratégias de segurança da rede, mas é apenas um dos recursos que você precisa para cuidar dos seus clientes. Por isso, o Edge Protect é a solução NGFW ideal, com outros recursos desde o firewall até o controle de acessos dos usuários na web, possibilitando um nível de segurança muito mais alto.

Com recursos exclusivos e eficazes, o Guardian se destaca no mercado em relação às outras soluções. Confira:

  • Integração com firewall: um módulo projetado para funcionar em conjunto com firewalls.
  • Bloqueio automático de IPs: identificando e bloqueando múltiplas tentativas falhas de acesso, sem a necessidade de intervenção manual - garantindo uma reação instantânea às ameaças.
  • Alertas personalizáveis: configure os alertas via e-mail para notificar administradores sobre atividades suspeitas ou bloqueios realizados.
  • Relatórios detalhados: tenha logs e relatórios detalhados das atividades monitoradas, facilitando a análise posterior e a tomada de decisões informadas sobre ajustes nas configurações de segurança.
  • Facilidade na operação: projetado para ser fácil de configurar e gerenciar, permitindo que equipes de TI implementem rapidamente medidas eficazes sem complicações excessivas.
  • Foco na prevenção de ataques específicos: altamente eficaz na detecção e prevenção contra ataques comuns, como força bruta e tentativas não autorizadas de acesso, oferecendo uma camada adicional de proteção focada nessas ameaças.

Descubra a oportunidade única que o Edge Protect oferece a você, para transformar a segurança em um diferencial competitivo e seu posicionamento no mercado de cibersegurança. Chegou a hora de dar o próximo passo!

Conheça agora mesmo Edge Protect e torne-se um líder em segurança cibernética. Preencha o formulário e assista o overview da ferramenta:








Read more posts by this author

Mirian Fernandes

Redatora da Starti

The link has been copied!
Newer Post

AppFilter: gerencie aplicativos e potencialize a produtividade!
Older Post

Migre para o Edge Protect e eleve seus serviços de segurança!
Blog Starti - Tudo sobre Cibersegurança
  • Seja nosso parceiro
© 2025 Blog Starti - Tudo sobre Cibersegurança. All Right Reserved. Published with Ghost.
Please enter at least 3 characters 0 Results for your search

May we suggest a tag?

Segurança Cibernética Firewall Segurança da Informação Vulnerabilidades telefonia ip Gestão de TI Atendimento ao Cliente Gestão de Pessoas Planejamento AdmVoice Call Center AdmFirewall

May we suggest an author?

Rafael Pizzolato Mirian Fernandes Lucas Babesco Daniel Henrique Gabrielly Souto
Blog Starti - Tudo sobre Cibersegurança. Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital..