5. የአሸዋ ፍንዳታ ወኪል አስተዳደር መድረክን ያረጋግጡ። ምዝግብ ማስታወሻዎች፣ ሪፖርቶች እና ፎረንሲክስ። ስጋት አደን

ስለ ቼክ ፖይንት የአሸዋ ብላስት ወኪል አስተዳደር መድረክ መፍትሄ ወደ ተከታታይ አምስተኛው መጣጥፍ እንኳን በደህና መጡ። ተገቢውን አገናኝ በመከተል ቀዳሚ ጽሑፎችን ማግኘት ይቻላል፡- መጀመሪያ።, ሰከንድ, ሦስተኛው, አራተኛ. ዛሬ በማኔጅመንት ፕላትፎርም ውስጥ የመቆጣጠር ችሎታዎችን ማለትም ከሎግዎች ፣ በይነተገናኝ ዳሽቦርዶች (እይታ) እና ሪፖርቶች ጋር መሥራትን እንመለከታለን። እንዲሁም በተጠቃሚው ማሽን ላይ ያሉ ወቅታዊ ስጋቶችን እና ያልተለመዱ ክስተቶችን ለመለየት የዛቻ አደን ርዕስን እንነካለን።

ምዝግብ ማስታወሻዎች

የደህንነት ክስተቶችን ለመከታተል ዋናው የመረጃ ምንጭ የምዝግብ ማስታወሻዎች ክፍል ነው, በእያንዳንዱ ክስተት ላይ ዝርዝር መረጃን የሚያሳይ እና እንዲሁም የፍለጋ መስፈርቶችን ለማጣራት ምቹ ማጣሪያዎችን ለመጠቀም ያስችላል. ለምሳሌ፣ የፍላጎት ምዝግብ ማስታወሻውን መለኪያ (Blade፣ Action፣ Severity፣ ወዘተ) ላይ በቀኝ ጠቅ ሲያደርጉ፣ ይህ ግቤት እንደሚከተለው ሊጣራ ይችላል። ማጣሪያ፡ "መለኪያ" ወይም አጣራ፡ "መለኪያ". እንዲሁም ለምንጭ ፓራሜትር የአይ ፒ Tools አማራጭ ሊመረጥ የሚችለው ለተጠቀሰው IP አድራሻ/ስም ፒንግ ማስኬድ የሚችሉበት ወይም የምንጭን የአይፒ አድራሻ በስም ለማግኘት ንslookup ያሂዱ።

በምዝግብ ማስታወሻዎች ክፍል ውስጥ ክስተቶችን ለማጣራት የስታቲስቲክስ ንዑስ ክፍል አለ ፣ እሱም በሁሉም መለኪያዎች ላይ ስታቲስቲክስን ያሳያል-የጊዜ ዲያግራም የምዝግብ ማስታወሻዎች ብዛት ፣ እንዲሁም ለእያንዳንዱ ግቤት መቶኛ። ከዚህ ንዑስ ክፍል የፍለጋ አሞሌውን ሳይጠቀሙ እና የማጣሪያ መግለጫዎችን ሳይጽፉ ምዝግብ ማስታወሻዎችን በቀላሉ ማጣራት ይችላሉ - የፍላጎት መለኪያዎችን ብቻ ይምረጡ እና አዲስ የምዝግብ ማስታወሻዎች ዝርዝር ወዲያውኑ ይታያል።

በእያንዳንዱ ምዝግብ ማስታወሻ ላይ ያለው ዝርዝር መረጃ በምዝግብ ማስታወሻው ክፍል የቀኝ ፓነል ውስጥ ይገኛል, ነገር ግን ይዘቱን ለመተንተን ሁለት ጊዜ ጠቅ በማድረግ መዝገቡን ለመክፈት የበለጠ አመቺ ነው. ከዚህ በታች የምዝግብ ማስታወሻ ምሳሌ ነው (ሥዕሉ ጠቅ ሊደረግ የሚችል ነው)፣ በተበከለ ".docx" ፋይል ላይ ያለውን የማስፈራሪያ ኢምሌሽን ምላጭ መከላከልን በተመለከተ ዝርዝር መረጃ ያሳያል። መዝገቡ የደህንነት ክስተት ዝርዝሮችን የሚያሳዩ በርካታ ንዑስ ክፍሎች አሉት፡ የተቀሰቀሱ ፖሊሲዎች እና ጥበቃዎች፣ የፎረንሲክስ ዝርዝሮች፣ ስለ ደንበኛ እና ትራፊክ መረጃ። ከመዝገቡ የሚገኙት ሪፖርቶች ልዩ ትኩረት ሊሰጣቸው ይገባል - የዛቻ ኢምሌሽን ሪፖርት እና የፎረንሲክስ ሪፖርት። እነዚህ ሪፖርቶች ከSandBlast Agent ደንበኛ ሊከፈቱ ይችላሉ።

የማስፈራሪያ የማስመሰል ሪፖርት

የዛቻ ኢምሌሽን ምላጭን በሚጠቀሙበት ጊዜ በቼክ ፖይንት ደመና ውስጥ መኮረጅ ከተከናወነ በኋላ ስለ የማስመሰል ውጤቶቹ ዝርዝር ዘገባ አገናኝ - የዛቻ ኢምሌሽን ሪፖርት - በተዛማጅ ምዝግብ ማስታወሻ ውስጥ ይታያል። የእንደዚህ አይነት ዘገባ ይዘቶች ስለ ጽሑፎቻችን በዝርዝር ተገልጸዋል Check Point SandBlast Network forensicsን በመጠቀም የማልዌር ትንተና. ይህ ሪፖርት በይነተገናኝ እና ለእያንዳንዱ ክፍል ዝርዝሮችን "ለመጥለቅ" እንደሚፈቅድ ልብ ሊባል የሚገባው ጉዳይ ነው. እንዲሁም የማስመሰል ሂደትን በቨርቹዋል ማሽን ውስጥ ማየት፣ ዋናውን ተንኮል-አዘል ፋይል ማውረድ ወይም ሃሽ ማግኘት እንዲሁም የቼክ ፖይንት ክስተት ምላሽ ቡድንን ማግኘት ይቻላል።

የፎረንሲክስ ሪፖርት

ለማንኛውም የደህንነት ክስተት ማለት ይቻላል የፎረንሲክስ ሪፖርት ስለ ተንኮል አዘል ፋይሉ ዝርዝር መረጃን ያካትታል፡ ባህሪያቱ፣ ድርጊቶቹ፣ ወደ ስርዓቱ የመግባት ነጥብ እና በኩባንያው ጠቃሚ ንብረቶች ላይ ያለውን ተፅእኖ ያካትታል። ስለ ጽሑፉ ስለ ሪፖርቱ አወቃቀር በዝርዝር ተወያይተናል Check Point SandBlast Agent forensicsን በመጠቀም የማልዌር ትንተና. እንዲህ ዓይነቱ ሪፖርት የደህንነት ክስተቶችን በሚመረምርበት ጊዜ ጠቃሚ የመረጃ ምንጭ ነው, እና አስፈላጊ ከሆነ, የሪፖርቱ ይዘት ወዲያውኑ ወደ ቼክ ነጥብ ክስተት ምላሽ ቡድን መላክ ይቻላል.

ብልጥ እይታ

Check Point SmartView ተለዋዋጭ ዳሽቦርዶችን (እይታ) እና ሪፖርቶችን በፒዲኤፍ ቅርፀት ለመፍጠር እና ለማየት ምቹ መሳሪያ ነው። ከSmartView የተጠቃሚ ምዝግብ ማስታወሻዎችን ማየት እና የአስተዳዳሪዎችን ክስተቶች ኦዲት ማድረግ ይችላሉ። ከታች ያለው ምስል ከSandBlast ወኪል ጋር ለመስራት በጣም ጠቃሚ የሆኑ ሪፖርቶችን እና ዳሽቦርዶችን ያሳያል።

በSmartView ውስጥ ያሉ ሪፖርቶች በተወሰነ ጊዜ ውስጥ ስለ ሁነቶች ስታቲስቲካዊ መረጃ ያላቸው ሰነዶች ናቸው። ሪፖርቶችን በፒዲኤፍ ቅርጸት ስማርት ቪው ወደተከፈተበት ማሽን መስቀልን እንዲሁም ወደ ፒዲኤፍ/ኤክሴል አዘውትሮ ወደ አስተዳዳሪው ኢሜል መስቀልን ይደግፋል። በተጨማሪም፣ የሪፖርት አብነቶችን ማስመጣት/መላክ፣ የእራስዎን ሪፖርቶች መፍጠር እና የተጠቃሚ ስሞችን በሪፖርቶች ውስጥ መደበቅ መቻልን ይደግፋል። ከታች ያለው ምስል አብሮ የተሰራ የአደጋ መከላከል ሪፖርት ምሳሌ ያሳያል።

በ SmartView ውስጥ ያሉ ዳሽቦርዶች (እይታ) አስተዳዳሪው ለተዛማጅ ክስተት ምዝግብ ማስታወሻዎችን እንዲደርስ ያስችለዋል - በፍላጎት ነገር ላይ ሁለቴ ጠቅ ያድርጉ ፣ የገበታ አምድ ወይም የተንኮል-አዘል ፋይል ስም። እንደ ሪፖርቶች, የራስዎን ዳሽቦርዶች መፍጠር እና የተጠቃሚ ውሂብን መደበቅ ይችላሉ. ዳሽቦርዶች በተጨማሪ አብነቶችን ማስመጣት/መላክን፣ መደበኛ ወደ ፒዲኤፍ/ኤክሴል ወደ አስተዳዳሪው ኢሜይል መስቀል እና የደህንነት ክስተቶችን በቅጽበት ለመቆጣጠር አውቶማቲክ ዳታ ማሻሻያዎችን ይደግፋል።

ተጨማሪ የክትትል ክፍሎች

በአስተዳደር ፕላትፎርም ውስጥ ያሉ የክትትል መሳሪያዎች መግለጫ የአጠቃላይ እይታ፣ የኮምፒውተር አስተዳደር፣ የመጨረሻ ነጥብ መቼት እና የግፊት ኦፕሬሽን ክፍሎችን ሳይጠቅስ ያልተሟላ ይሆናል። እነዚህ ክፍሎች በዝርዝር ተገልጸዋል ሁለተኛ ጽሑፍይሁን እንጂ የክትትል ችግሮችን ለመፍታት ያላቸውን ችሎታ ግምት ውስጥ ማስገባት ጠቃሚ ይሆናል. ሁለት ንዑስ ክፍሎችን ባቀፈው አጠቃላይ እይታ እንጀምር - የክዋኔ አጠቃላይ እይታ እና የደህንነት አጠቃላይ እይታ፣ ስለ ጥበቃ የተጠቃሚ ማሽኖች ሁኔታ እና የደህንነት ክስተቶች መረጃ ያለው ዳሽቦርድ። ልክ እንደሌሎች ዳሽቦርድ መስተጋብር በሚፈጠርበት ጊዜ፣ የክዋኔ አጠቃላይ እይታ እና ደህንነት አጠቃላይ እይታ ንዑስ ክፍሎች፣ የፍላጎት ግቤት ላይ ሁለቴ ጠቅ ሲያደርጉ፣ ከተመረጠው ማጣሪያ ጋር ወደ ኮምፒውተር አስተዳደር ክፍል እንዲደርሱ ይፈቅድልዎታል (ለምሳሌ ፣ “ዴስክቶፖች” ወይም “ቅድመ- የማስነሻ ሁኔታ፡ ነቅቷል”)፣ ወይም ለአንድ የተወሰነ ክስተት የምዝግብ ማስታወሻዎች ክፍል። የደህንነት አጠቃላይ እይታ ንዑስ ክፍል "የሳይበር ጥቃት እይታ - የመጨረሻ ነጥብ" ዳሽቦርድ ነው፣ እሱም ሊበጅ እና ውሂብን በራስ-ሰር ለማዘመን ሊዋቀር ይችላል።

ከኮምፒዩተር ማኔጅመንት ክፍል የወኪሉን ሁኔታ በተጠቃሚ ማሽኖች ላይ መከታተል፣ የጸረ-ማልዌር ዳታቤዝ ዝመና ሁኔታን፣ የዲስክ ምስጠራን ደረጃዎች እና ሌሎችንም መከታተል ይችላሉ። ሁሉም መረጃዎች በራስ ሰር ይዘምናሉ፣ እና ለእያንዳንዱ ማጣሪያ የተዛማጁ የተጠቃሚ ማሽኖች መቶኛ ይታያል። የኮምፒውተር ውሂብን በCSV ቅርጸት ወደ ውጭ መላክም ይደገፋል።

የሥራ ቦታዎችን ደህንነት የመከታተል አስፈላጊ ገጽታ ስለ ወሳኝ ክስተቶች (ማንቂያዎች) ማሳወቂያዎችን ማዘጋጀት እና በኩባንያው ሎግ አገልጋይ ላይ ለማከማቸት ምዝግብ ማስታወሻዎችን ወደ ውጭ መላክ (የመላክ ክስተቶች) ነው። ሁለቱም መቼቶች በ Endpoint Settings ክፍል እና ለ ማንቂያዎች የክስተት ማሳወቂያዎችን ለአስተዳዳሪው ለመላክ እና የክስተት መስፈርቱን በሚያሟሉ መሳሪያዎች መቶኛ/ብዛት ላይ በመመስረት የማሳወቂያዎችን ለማነሳሳት/ለማሰናከል ገደቦችን ለማዋቀር የመልእክት አገልጋይን ማገናኘት ይቻላል። ክስተቶችን ወደ ውጭ ይላኩ ለቀጣይ ሂደት የምዝግብ ማስታወሻዎችን ከአስተዳደር መድረክ ወደ ኩባንያው የምዝግብ ማስታወሻ አገልጋይ ማስተላለፍን እንዲያዋቅሩ ይፈቅድልዎታል ። SYSLOG፣ CEF፣ LEEF፣ SPLUNK ፎርማቶችን፣ TCP/UDP ፕሮቶኮሎችን፣ ማንኛውም የሲኢኤም ሲስተሞች ከአሂድ ሲሳይሎግ ወኪል ጋር፣ የTLS/SSL ምስጠራን እና የሲሲሎግ ደንበኛ ማረጋገጫን ይደግፋል።

በወኪሉ ላይ ስላሉ ክስተቶች ጥልቅ ትንተና ወይም የቴክኒክ ድጋፍን ለማግኘት፣ በግፊት ኦፕሬሽንስ ክፍል ውስጥ አስገዳጅ ክዋኔን በመጠቀም ከ SandBlast Agent ደንበኛ ምዝግብ ማስታወሻዎችን በፍጥነት መሰብሰብ ይችላሉ። የተፈጠረውን ማህደር ወደ ቼክ ነጥብ አገልጋዮች ወይም የድርጅት አገልጋዮች ከሚላኩ ምዝግብ ማስታወሻዎች ጋር ማዋቀር ትችላላችሁ፣ እና ምዝግብ ማስታወሻው ያለው ማህደር በተጠቃሚው ማሽን ላይ በC: UsersusernameCPInfo ማውጫ ውስጥ ይቀመጣል። የምዝግብ ማስታወሻ አሰባሰብ ሂደቱን በተወሰነ ጊዜ ማስጀመር እና በተጠቃሚው ክዋኔውን ለሌላ ጊዜ ማስተላለፍ መቻልን ይደግፋል።

ስጋት አደን

ማስፈራሪያ አደን በስርአት ውስጥ ሊፈጠር የሚችለውን የደህንነት ክስተት የበለጠ ለመመርመር ተንኮል አዘል ድርጊቶችን እና ያልተለመዱ ባህሪያትን በንቃት ለመፈለግ ይጠቅማል። በአስተዳደር ፕላትፎርም ውስጥ ያለው አስጊ አደን ክፍል በተጠቃሚው ማሽን ውሂቡ ውስጥ ከተገለጹት መለኪያዎች ጋር ክስተቶችን ለመፈለግ ይፈቅድልዎታል።

የዛቻ አደን መሳሪያ ብዙ አስቀድሞ የተገለጹ መጠይቆች አሉት፣ ለምሳሌ፡ ተንኮል አዘል ጎራዎችን ወይም ፋይሎችን ለመከፋፈል፣ ለአንዳንድ የአይፒ አድራሻዎች ብርቅዬ ጥያቄዎችን ይከታተሉ (ከአጠቃላይ ስታቲስቲክስ አንፃር)። የጥያቄው መዋቅር ሶስት መለኪያዎችን ያቀፈ ነው- አመላካች (የአውታረ መረብ ፕሮቶኮል ፣ የሂደት መለያ ፣ የፋይል ዓይነት ፣ ወዘተ.) ኦፕሬተር (“ነው”፣ “አይደለም”፣ “ያካትታል”፣ “አንዱ” ወዘተ) እና ጥያቄ አካል. በጥያቄው አካል ውስጥ መደበኛ መግለጫዎችን መጠቀም ይችላሉ, እና በፍለጋ አሞሌው ውስጥ ብዙ ማጣሪያዎችን በአንድ ጊዜ መጠቀም ይችላሉ.

ማጣሪያን ከመረጡ እና የጥያቄ ሂደትን ከጨረሱ በኋላ ስለ ክስተቱ ዝርዝር መረጃ ለማየት፣ የተጠየቀውን ነገር ማግለል ወይም ዝርዝር የፎረንሲክስ ሪፖርት ከዝግጅቱ መግለጫ ጋር የማመንጨት ችሎታ ያለው ሁሉንም ተዛማጅ ክስተቶች ማግኘት ይችላሉ። በአሁኑ ጊዜ ይህ መሳሪያ በቅድመ-ይሁንታ ስሪት ውስጥ ነው እና ለወደፊቱ የችሎታዎችን ስብስብ ለማስፋት ታቅዷል, ለምሳሌ, ስለ ክስተቱ መረጃ በ Miter Att & ck ማትሪክስ መልክ መጨመር.

መደምደሚያ

እናጠቃልለው፡ በዚህ ጽሁፍ ውስጥ በ SandBlast Agent Management Platform ውስጥ የደህንነት ክስተቶችን የመከታተል አቅሞችን ተመልክተናል እና በተጠቃሚ ማሽኖች ላይ ተንኮል አዘል ድርጊቶችን እና ያልተለመዱ ነገሮችን በንቃት ለመፈለግ አዲስ መሳሪያ አጥንተናል - አስጊ አደን። የሚቀጥለው ርዕስ በዚህ ተከታታይ ውስጥ የመጨረሻው ይሆናል እና በእሱ ውስጥ ስለ አስተዳደር መድረክ መፍትሄ በጣም በተደጋጋሚ የሚጠየቁትን ጥያቄዎች እንመለከታለን እና ይህን ምርት የመሞከር እድሎችን እንነጋገራለን.

በቼክ ነጥብ ላይ ትልቅ የቁሳቁስ ምርጫ ከ TS Solution. በአሸዋ ብላስት ወኪል አስተዳደር መድረክ ላይ ቀጣይ ህትመቶችን እንዳያመልጥዎ በማህበራዊ አውታረ መረቦች ላይ ያሉ ዝመናዎችን ይከተሉ (ቴሌግራም, Facebook, VK, TS መፍትሔ ብሎግ, Yandex ዜን).

ምንጭ: hab.com