مرحبًا بك في المقالة الخامسة في السلسلة حول حل منصة إدارة وكيل Check Point SandBlast. يمكن الاطلاع على المقالات السابقة باتباع الرابط المناسب: , , , . سننظر اليوم إلى إمكانيات المراقبة في منصة الإدارة، وتحديدًا العمل مع السجلات ولوحات المعلومات التفاعلية (العرض) والتقارير. سنتطرق أيضًا إلى موضوع البحث عن التهديدات لتحديد التهديدات الحالية والأحداث الشاذة على جهاز المستخدم.
سجلات
المصدر الرئيسي للمعلومات لمراقبة الأحداث الأمنية هو قسم السجلات، الذي يعرض معلومات مفصلة عن كل حادث ويسمح لك أيضًا باستخدام عوامل التصفية الملائمة لتحسين معايير البحث الخاصة بك. على سبيل المثال، عند النقر بزر الماوس الأيمن فوق معلمة (الشفرة، الإجراء، الخطورة، وما إلى ذلك) لسجل الاهتمام، يمكن تصفية هذه المعلمة كـ عامل التصفية: "المعلمة" أو تصفية: "المعلمة". أيضًا، بالنسبة للمعلمة المصدر، يمكن تحديد خيار أدوات IP، حيث يمكنك تشغيل اختبار ping لعنوان/اسم IP معين أو تشغيل nslookup للحصول على عنوان IP المصدر بالاسم.
في قسم السجلات، لتصفية الأحداث، يوجد قسم فرعي للإحصائيات يعرض إحصائيات حول جميع المعلمات: مخطط زمني مع عدد السجلات، بالإضافة إلى النسب المئوية لكل معلمة. من هذا القسم الفرعي، يمكنك بسهولة تصفية السجلات دون استخدام شريط البحث وكتابة تعبيرات التصفية - ما عليك سوى تحديد المعلمات محل الاهتمام وسيتم عرض قائمة جديدة بالسجلات على الفور.
تتوفر معلومات تفصيلية عن كل سجل في اللوحة اليمنى لقسم السجلات، ولكن من الأفضل فتح السجل عن طريق النقر المزدوج لتحليل المحتويات. فيما يلي مثال للسجل (الصورة قابلة للنقر عليها)، والذي يعرض معلومات تفصيلية حول تشغيل إجراء المنع الخاص بشفرة محاكاة التهديد في ملف ".docx" المصاب. يحتوي السجل على عدة أقسام فرعية تعرض تفاصيل الحدث الأمني: السياسات وعمليات الحماية التي تم تشغيلها، وتفاصيل الطب الشرعي، ومعلومات حول العميل وحركة المرور. تستحق التقارير المتوفرة في السجل اهتمامًا خاصًا - تقرير محاكاة التهديدات وتقرير الطب الشرعي. يمكن أيضًا فتح هذه التقارير من عميل SandBlast Agent.
تقرير محاكاة التهديد
عند استخدام شفرة محاكاة التهديد، بعد إجراء المحاكاة في سحابة Check Point، يظهر رابط لتقرير مفصل عن نتائج المحاكاة - تقرير محاكاة التهديد - في السجل المقابل. محتويات هذا التقرير موصوفة بالتفصيل في مقالتنا حول . ومن الجدير بالذكر أن هذا التقرير تفاعلي ويتيح لك "التعمق" في تفاصيل كل قسم. من الممكن أيضًا عرض تسجيل لعملية المحاكاة في جهاز افتراضي، أو تنزيل الملف الضار الأصلي أو الحصول على التجزئة الخاصة به، وكذلك الاتصال بفريق الاستجابة لحوادث Check Point.
تقرير الطب الشرعي
بالنسبة لأي حدث أمني تقريبًا، يتم إنشاء تقرير الطب الشرعي، والذي يتضمن معلومات مفصلة حول الملف الضار: خصائصه وإجراءاته ونقطة الدخول إلى النظام وتأثيره على أصول الشركة المهمة. ناقشنا هيكل التقرير بالتفصيل في المقال حول . يعد مثل هذا التقرير مصدرًا مهمًا للمعلومات عند التحقيق في الأحداث الأمنية، وإذا لزم الأمر، يمكن إرسال محتويات التقرير على الفور إلى فريق الاستجابة لحوادث نقطة التفتيش.
SmartView
تعد Check Point SmartView أداة ملائمة لإنشاء وعرض لوحات المعلومات الديناميكية (عرض) والتقارير بتنسيق PDF. من SmartView يمكنك أيضًا عرض سجلات المستخدم وأحداث التدقيق للمسؤولين. يوضح الشكل أدناه التقارير ولوحات المعلومات الأكثر فائدة للعمل مع SandBlast Agent.
التقارير في SmartView عبارة عن مستندات تحتوي على معلومات إحصائية حول الأحداث خلال فترة زمنية معينة. وهو يدعم تحميل التقارير بتنسيق PDF إلى الجهاز حيث يكون SmartView مفتوحًا، بالإضافة إلى التحميل المنتظم إلى PDF/Excel إلى البريد الإلكتروني للمسؤول. بالإضافة إلى ذلك، فهو يدعم استيراد/تصدير قوالب التقارير، وإنشاء التقارير الخاصة بك، والقدرة على إخفاء أسماء المستخدمين في التقارير. يوضح الشكل أدناه مثالاً لتقرير منع التهديدات المضمن.
تسمح لوحات المعلومات (العرض) في SmartView للمسؤول بالوصول إلى سجلات الحدث المقابل - ما عليك سوى النقر نقرًا مزدوجًا فوق الكائن محل الاهتمام، سواء كان ذلك عمود مخطط أو اسم ملف ضار. كما هو الحال مع التقارير، يمكنك إنشاء لوحات المعلومات الخاصة بك وإخفاء بيانات المستخدم. تدعم لوحات المعلومات أيضًا استيراد/تصدير القوالب، والتحميل المنتظم إلى PDF/Excel إلى البريد الإلكتروني للمسؤول، وتحديثات البيانات التلقائية لمراقبة الأحداث الأمنية في الوقت الفعلي.
أقسام المراقبة الإضافية
لن يكون وصف أدوات المراقبة في منصة الإدارة مكتملاً دون ذكر أقسام النظرة العامة وإدارة الكمبيوتر وإعدادات نقطة النهاية وعمليات الدفع. وقد تم وصف هذه الأقسام بالتفصيل في ومع ذلك، سيكون من المفيد النظر في قدراتهم على حل مشاكل المراقبة. لنبدأ بنظرة عامة، والتي تتكون من قسمين فرعيين - نظرة عامة على العمليات ونظرة عامة على الأمان، وهما عبارة عن لوحات معلومات تحتوي على معلومات حول حالة أجهزة المستخدم المحمية والأحداث الأمنية. كما هو الحال عند التفاعل مع أي لوحة معلومات أخرى، تتيح لك الأقسام الفرعية نظرة عامة على العمليات ونظرة عامة على الأمان، عند النقر المزدوج فوق المعلمة محل الاهتمام، الوصول إلى قسم إدارة الكمبيوتر باستخدام عامل التصفية المحدد (على سبيل المثال، "أجهزة الكمبيوتر المكتبية" أو "Pre- حالة التمهيد: ممكّن")، أو إلى قسم السجلات لحدث معين. القسم الفرعي "نظرة عامة على الأمان" عبارة عن لوحة معلومات "عرض الهجوم السيبراني - نقطة النهاية"، والتي يمكن تخصيصها وتعيينها لتحديث البيانات تلقائيًا.
من قسم إدارة الكمبيوتر، يمكنك مراقبة حالة الوكيل على أجهزة المستخدم، وحالة تحديث قاعدة بيانات مكافحة البرامج الضارة، ومراحل تشفير القرص، وغير ذلك الكثير. يتم تحديث جميع البيانات تلقائيًا، ويتم عرض النسبة المئوية لأجهزة المستخدم المطابقة لكل مرشح. يتم أيضًا دعم تصدير بيانات الكمبيوتر بتنسيق CSV.
أحد الجوانب المهمة لمراقبة أمان محطات العمل هو إعداد إشعارات حول الأحداث الهامة (التنبيهات) وتصدير السجلات (تصدير الأحداث) للتخزين على خادم السجل الخاص بالشركة. يتم إجراء كلا الإعدادين في قسم إعدادات نقطة النهاية التنبيهات من الممكن توصيل خادم بريد لإرسال إشعارات الأحداث إلى المسؤول وتكوين الحدود لتشغيل/تعطيل الإشعارات اعتمادًا على النسبة المئوية/عدد الأجهزة التي تستوفي معايير الحدث. أحداث التصدير يسمح لك بتكوين نقل السجلات من منصة الإدارة إلى خادم سجل الشركة لمزيد من المعالجة. يدعم تنسيقات SYSLOG وCEF وLEEF وSPLUNK وبروتوكولات TCP/UDP وأي أنظمة SIEM مع وكيل سجل نظام قيد التشغيل واستخدام تشفير TLS/SSL ومصادقة عميل سجل النظام.
للحصول على تحليل متعمق للأحداث على الوكيل أو في حالة الاتصال بالدعم الفني، يمكنك جمع السجلات بسرعة من عميل SandBlast Agent باستخدام عملية قسرية في قسم عمليات الدفع. يمكنك تكوين نقل الأرشيف الذي تم إنشاؤه بالسجلات إلى خوادم Check Point أو خوادم الشركة، ويتم حفظ الأرشيف بالسجلات على جهاز المستخدم في الدليل C:UsersusernameCPInfo. يدعم إطلاق عملية جمع السجل في وقت محدد وإمكانية تأجيل العملية من قبل المستخدم.
صيد التهديد
يتم استخدام "صيد التهديدات" للبحث بشكل استباقي عن الأنشطة الضارة والسلوك الشاذ في النظام لإجراء مزيد من التحقيق في حدث أمني محتمل. يتيح لك قسم "صيد التهديدات" في منصة الإدارة البحث عن الأحداث ذات المعلمات المحددة في بيانات جهاز المستخدم.
تحتوي أداة صيد التهديدات على العديد من الاستعلامات المحددة مسبقًا، على سبيل المثال: لتصنيف النطاقات أو الملفات الضارة، وتتبع الطلبات النادرة لعناوين IP معينة (فيما يتعلق بالإحصائيات العامة). يتكون هيكل الطلب من ثلاث معلمات: مؤشر (بروتوكول الشبكة، معرف العملية، نوع الملف، وما إلى ذلك)، المشغل ("موجود"، "ليس كذلك"، "يتضمن"، "واحد من"، وما إلى ذلك) و هيئة الطلب. يمكنك استخدام التعبيرات العادية في نص الطلب، ويمكنك استخدام عوامل تصفية متعددة في وقت واحد في شريط البحث.
بعد تحديد عامل تصفية واستكمال معالجة الطلب، يمكنك الوصول إلى جميع الأحداث ذات الصلة، مع القدرة على عرض معلومات مفصلة حول الحدث، أو عزل كائن الطلب، أو إنشاء تقرير الطب الشرعي المفصل مع وصف للحدث. حاليًا، هذه الأداة في إصدار تجريبي ومن المخطط في المستقبل توسيع مجموعة الإمكانات، على سبيل المثال، إضافة معلومات حول الحدث في شكل مصفوفة Mitre Att&ck.
اختتام
دعونا نلخص: في هذه المقالة، نظرنا في إمكانيات مراقبة الأحداث الأمنية في منصة إدارة وكيل SandBlast، ودرسنا أداة جديدة للبحث بشكل استباقي عن الإجراءات الضارة والشذوذ على أجهزة المستخدم - صيد التهديدات. ستكون المقالة التالية هي المقالة الأخيرة في هذه السلسلة وسنلقي نظرة فيها على الأسئلة الأكثر شيوعًا حول حل نظام الإدارة الأساسي وسنتحدث عن إمكانيات اختبار هذا المنتج.
. لكي لا تفوت المنشورات القادمة حول موضوع منصة إدارة وكيل SandBlast، تابع التحديثات على شبكاتنا الاجتماعية (, , , , ).
المصدر: www.habr.com