Check Point SandBlast Agent İdarəetmə Platforması həlli haqqında seriyanın beşinci məqaləsinə xoş gəlmisiniz. Əvvəlki məqalələri müvafiq linkə daxil olaraq tapa bilərsiniz: , , , . Bu gün biz İdarəetmə Platformasının monitorinq imkanlarına, yəni qeydlər, interaktiv tablosuna (Görünüş) və hesabatlarla işləməyə baxacağıq. İstifadəçinin maşınında mövcud təhdidləri və anormal hadisələri müəyyən etmək üçün Təhdid Ovçuluğu mövzusuna da toxunacağıq.
Qeydlər
Təhlükəsizlik hadisələrinin monitorinqi üçün əsas məlumat mənbəyi hər bir insident haqqında ətraflı məlumatı əks etdirən və həmçinin axtarış kriteriyalarınızı dəqiqləşdirmək üçün rahat filtrlərdən istifadə etməyə imkan verən Qeydlər bölməsidir. Məsələn, maraqlandığınız jurnalın parametrini (Blade, Fəaliyyət, Ciddilik və s.) sağ kliklədiyiniz zaman bu parametr kimi süzülə bilər. Filtr: "Parametr" və ya Filtrdən Çıxış: "Parametr". Həmçinin Mənbə parametri üçün IP Alətləri seçimi seçilə bilər, burada verilmiş IP ünvanına/adına ping göndərə və ya mənbə IP ünvanını ada görə almaq üçün nslookup işlədə bilərsiniz.
Jurnallar bölməsində hadisələrin süzülməsi üçün bütün parametrlər üzrə statistik məlumatları əks etdirən Statistika alt bölməsi var: qeydlərin sayı ilə vaxt diaqramı, həmçinin hər bir parametr üçün faizlər. Bu yarımbölmədən siz axtarış çubuğundan istifadə etmədən və süzgəc ifadələri yazmadan jurnalları asanlıqla filtrləyə bilərsiniz - sadəcə maraq göstərən parametrləri seçin və dərhal qeydlərin yeni siyahısı görünəcək.
Hər bir jurnal haqqında ətraflı məlumat Logs bölməsinin sağ panelində mövcuddur, lakin məzmunu təhlil etmək üçün iki dəfə klikləməklə jurnalı açmaq daha rahatdır. Aşağıda yoluxmuş ".docx" faylı üzərində Təhlükə Emulsiyasının qarşısının alınması əməliyyatının işə salınması haqqında ətraflı məlumatı əks etdirən jurnalın nümunəsi (şəkil tıklanabilir). Jurnalda təhlükəsizlik hadisəsinin təfərrüatlarını əks etdirən bir neçə alt bölmə var: işə salınmış siyasətlər və qorumalar, məhkəmə ekspertizası təfərrüatları, müştəri və trafik haqqında məlumat. Jurnaldan əldə edilən hesabatlar xüsusi diqqətə layiqdir - Təhlükələrin Emulyasiyası Hesabatı və Məhkəmə Ekspertizası Hesabatı. Bu hesabatlar SandBlast Agent müştərisindən də açıla bilər.
Təhdid Emulyasiyası Hesabatı
Təhdid Emulyasiyası bıçağından istifadə edərkən, Yoxlama Nöqtəsi buludunda emulyasiya həyata keçirildikdən sonra müvafiq jurnalda emulyasiya nəticələrinə dair ətraflı hesabata keçid - Təhlükə Emulyasiyası Hesabatı görünür. Belə bir hesabatın məzmunu haqqında məqaləmizdə ətraflı təsvir edilmişdir . Qeyd etmək lazımdır ki, bu hesabat interaktivdir və hər bir bölmənin təfərrüatlarına “dalışa” imkan verir. Həmçinin virtual maşında emulyasiya prosesinin qeydinə baxmaq, orijinal zərərli faylı yükləmək və ya onun hashini əldə etmək, həmçinin Check Point Incident Response Team ilə əlaqə saxlamaq mümkündür.
Məhkəmə ekspertizası hesabatı
Demək olar ki, hər hansı bir təhlükəsizlik hadisəsi üçün zərərli fayl haqqında ətraflı məlumatı özündə əks etdirən Məhkəmə Ekspertizası Hesabatı yaradılır: onun xüsusiyyətləri, hərəkətləri, sistemə giriş nöqtəsi və mühüm şirkət aktivlərinə təsiri. Haqqında məqalədə hesabatın strukturunu ətraflı müzakirə etdik . Belə bir hesabat təhlükəsizlik hadisələrinin araşdırılması zamanı mühüm məlumat mənbəyidir və lazım gələrsə, hesabatın məzmunu dərhal Yoxlama Nöqtəsi Hadisələrinə Müdaxilə Qrupuna göndərilə bilər.
Ağıllı Görünüş
Check Point SmartView PDF formatında dinamik tablolar (Görünüş) və hesabatlar yaratmaq və onlara baxmaq üçün əlverişli vasitədir. SmartView-dən siz həmçinin administratorlar üçün istifadəçi qeydlərinə və audit hadisələrinə baxa bilərsiniz. Aşağıdakı rəqəm SandBlast Agent ilə işləmək üçün ən faydalı hesabatları və idarə panellərini göstərir.
SmartView-dəki hesabatlar müəyyən vaxt ərzində baş vermiş hadisələr haqqında statistik məlumatı olan sənədlərdir. O, PDF formatında hesabatların SmartView-in açıq olduğu maşına yüklənməsini, həmçinin administratorun e-poçtuna müntəzəm olaraq PDF/Excel-ə yüklənməsini dəstəkləyir. Bundan əlavə, o, hesabat şablonlarının idxalını/ixracını, öz hesabatlarınızın yaradılmasını və hesabatlarda istifadəçi adlarını gizlətmək qabiliyyətini dəstəkləyir. Aşağıdakı şəkildə daxili Təhlükənin qarşısının alınması hesabatının nümunəsi göstərilir.
SmartView-dəki idarə panelləri (Görünüş) administratora müvafiq hadisə üçün qeydlərə daxil olmaq imkanı verir - sadəcə olaraq, diaqram sütunu və ya zərərli faylın adı olsun, maraq obyektinə iki dəfə klikləyin. Hesabatlarda olduğu kimi, siz öz panellərinizi yarada və istifadəçi məlumatlarını gizlədə bilərsiniz. Panellər həmçinin şablonların idxalını/ixracını, PDF/Excel-ə mütəmadi olaraq administratorun e-poçtuna yüklənməsini və təhlükəsizlik hadisələrini real vaxt rejimində izləmək üçün avtomatik məlumat yeniləmələrini dəstəkləyir.
Əlavə monitorinq bölmələri
İdarəetmə Platformasında monitorinq alətlərinin təsviri İcmal, Kompüter İdarəetmə, Son Nöqtə Parametrləri və Push Əməliyyatları bölmələrini qeyd etmədən natamam olardı. Bu bölmələr ətraflı təsvir edilmişdir , lakin monitorinq problemlərinin həlli üçün onların imkanlarını nəzərə almaq faydalı olacaq. Qorunan istifadəçi maşınlarının vəziyyəti və təhlükəsizlik hadisələri haqqında məlumatların yer aldığı idarə panelləri olan iki alt bölmədən - Əməliyyatlara Baxış və Təhlükəsizliyə İcmaldan ibarət Ümumi Baxışdan başlayaq. Hər hansı digər tablo ilə qarşılıqlı əlaqədə olduğu kimi, Operativ Baxış və Təhlükəsizliyə İcmal alt bölmələri, maraq parametrinə iki dəfə kliklədikdə, seçilmiş filtrlə (məsələn, "Masaüstü kompüterlər" və ya "Pre- Boot Status: Enabled”) və ya xüsusi hadisə üçün Qeydlər bölməsinə keçin. Təhlükəsizliyə İcmal alt bölməsi "Kiber Hücum Görünüşü - Son nöqtə" tablosudur və məlumatları avtomatik yeniləmək üçün fərdiləşdirilə və təyin edilə bilər.
Kompüter İdarəetmə bölməsindən siz istifadəçi maşınlarında agentin vəziyyətini, Zərərli proqramlara qarşı verilənlər bazasının yeniləmə statusunu, diskin şifrələnməsi mərhələlərini və s. nəzarət edə bilərsiniz. Bütün məlumatlar avtomatik olaraq yenilənir və hər bir filtr üçün uyğun gələn istifadəçi maşınlarının faizi göstərilir. CSV formatında kompüter məlumatlarının ixracı da dəstəklənir.
İş stansiyalarının təhlükəsizliyinin monitorinqinin vacib aspekti kritik hadisələr (Xəbərdarlıqlar) haqqında bildirişlərin qurulması və şirkətin log serverində saxlanmaq üçün qeydlərin ixracı (İxrac Hadisələri)dır. Hər iki parametr Endpoint Settings bölməsində və üçün edilir Alerts Administratora hadisə bildirişləri göndərmək üçün poçt serverinə qoşulmaq və hadisə meyarlarına cavab verən cihazların faizindən/sayından asılı olaraq bildirişləri işə salmaq/deaktiv etmək üçün hədləri konfiqurasiya etmək mümkündür. Tədbirlər ixrac edin logların İdarə Platformasından şirkətin log serverinə sonrakı emal üçün ötürülməsini konfiqurasiya etməyə imkan verir. SYSLOG, CEF, LEEF, SPLUNK formatlarını, TCP/UDP protokollarını, işləyən syslog agenti olan istənilən SIEM sistemini, TLS/SSL şifrələməsinin istifadəsini və syslog müştəri autentifikasiyasını dəstəkləyir.
Agentdəki hadisələrin hərtərəfli təhlili üçün və ya texniki dəstək ilə əlaqə saxladığınız halda, Push Əməliyyatları bölməsində məcburi əməliyyatdan istifadə edərək SandBlast Agent müştərisindən qeydləri tez bir zamanda toplaya bilərsiniz. Yaradılmış arxivin loglarla Check Point serverlərinə və ya korporativ serverlərə ötürülməsini konfiqurasiya edə bilərsiniz və qeydlərlə arxiv istifadəçinin maşınında C:UsersusernameCPInfo kataloqunda saxlanılır. O, qeydlərin toplanması prosesinin müəyyən edilmiş vaxtda işə salınmasını və istifadəçi tərəfindən əməliyyatı təxirə salmaq imkanını dəstəkləyir.
Təhdid ovçuluğu
Təhdid Ovçuluğu potensial təhlükəsizlik hadisəsini daha çox araşdırmaq üçün sistemdə zərərli fəaliyyətləri və anomal davranışları aktiv şəkildə axtarmaq üçün istifadə olunur. İdarəetmə Platformasında Təhdid Ovçuluğu bölməsi istifadəçi maşın məlumatlarında müəyyən edilmiş parametrlərlə hadisələri axtarmağa imkan verir.
Threat Hunting alətində əvvəlcədən müəyyən edilmiş bir neçə sorğu var, məsələn: zərərli domenləri və ya faylları təsnif etmək, müəyyən IP ünvanlarına nadir sorğuları izləmək (ümumi statistikaya nisbətən). Sorğu strukturu üç parametrdən ibarətdir: göstərici (şəbəkə protokolu, proses identifikatoru, fayl növü və s.), operator (“dir”, “deyil”, “daxildir”, “birindən” və s.) və sorğu orqanı. Siz sorğunun mətnində müntəzəm ifadələrdən istifadə edə bilərsiniz və axtarış çubuğunda eyni vaxtda birdən çox filtrdən istifadə edə bilərsiniz.
Filtr seçdikdən və sorğunun işlənməsini tamamladıqdan sonra hadisə haqqında ətraflı məlumatı görmək, sorğu obyektini karantinə almaq və ya hadisənin təsviri ilə ətraflı Məhkəmə Ekspertizası Hesabatını yaratmaq imkanı ilə bütün müvafiq hadisələrə giriş əldə edirsiniz. Hazırda bu alət beta versiyadadır və gələcəkdə imkanlar dəstinin genişləndirilməsi, məsələn, Miter Att&ck matrisi şəklində hadisə haqqında məlumatın əlavə edilməsi planlaşdırılır.
Nəticə
Xülasə edək: bu məqalədə SandBlast Agent İdarəetmə Platformasında təhlükəsizlik hadisələrinin monitorinqi imkanlarına nəzər saldıq və istifadəçi maşınlarında zərərli hərəkətlərin və anomaliyaların proaktiv axtarışı üçün yeni aləti - Threat Hunting-i öyrəndik. Növbəti məqalə bu seriyanın sonuncu məqaləsi olacaq və orada biz İdarəetmə Platforması həlli ilə bağlı ən çox verilən suallara baxacağıq və bu məhsulu sınaqdan keçirmək imkanları haqqında danışacağıq.
. SandBlast Agent İdarəetmə Platforması mövzusunda növbəti nəşrləri qaçırmamaq üçün sosial şəbəkələrimizdəki yeniləmələri izləyin (, , , , ).
Mənbə: www.habr.com