Сардэчна запрашаем на пяты артыкул цыкла аб рашэнні Check Point SandBlast Agent Management Platform. З папярэднімі артыкуламі можна азнаёміцца, перайшоўшы па адпаведнай спасылцы: , , , . Сёння мы разгледзім магчымасці маніторынгу ў Management Platform, а менавіта працу з логамі, інтэрактыўнымі дашбордамі (View) і справаздачамі. Таксама закранем тэму Threat Hunting для выяўлення актуальных пагроз і анамальных падзей на машыне карыстальніка.
Logs
Асноўнай крыніцай інфармацыі для маніторынгу падзей бяспекі з'яўляецца раздзел Logs, які адлюстроўвае падрабязную інфармацыю па кожным інцыдэнце, а таксама дазваляе выкарыстоўваць зручныя фільтры для ўдакладнення крытэрыяў пошуку. Напрыклад, пры націску правай кнопкай мышы на параметр (Blade, Action, Severity і інш.) які цікавіць лога, дадзены параметр можа быць адфільтраваны як Filter: "Parameter" або Filter Out: "Parameter". Таксама для параметра Source можа быць абраная опцыя IP Tools, у якой можна запусціць ping да дадзенага IP-адрасы/імя або выканаць nslookup для атрымання IP-адрасы крыніцы па імі.
У раздзеле Logs для фільтрацыі падзей ёсць падраздзел Statistics, у якім адлюстроўваецца статыстыка па ўсіх параметрах: часавая дыяграма з колькасцю логаў, а таксама працэнтныя паказчыкі па кожным з параметраў. З дадзенага падраздзела можна лёгка адфільтраваць логі без звароту да пошукавага радка і напісання выразаў фільтрацыі - досыць абраць якія цікавяць параметры і новы спіс логаў адразу адлюструецца.
Падрабязная інфармацыя па кожным логу даступная ў правай панэлі часткі Logs, аднак зручнейшым з'яўляецца адкрыццё лога падвойнай пстрычкай для аналізу змесціва. Ніжэй прыведзены прыклад лога (карцінка клікабельная), у якім адлюстравана падрабязная інфармацыя па спрацоўванні дзеяння Prevent блэйда Threat Emulation на заражаны файл ".docx". Лог мае некалькі падраздзелаў, якія адлюстроўваюць дэталі падзеі бяспекі: якія спрацавалі палітыка і абарона, падрабязнасці форензікі, інфармацыя аб кліенце і трафіку. Адмысловай увагі заслугоўваюць даступныя з лога справаздачы – Threat Emulation Report і Forensics Report. Дадзеныя справаздачы таксама можна адкрыць з кліента SandBlast Agent.
Threat Emulation Report
Пры выкарыстанні блейда Threat Emulation пасля ажыццяўлення эмуляцыі ў воблаку Check Point у адпаведным логу з'яўляецца спасылка на падрабязную справаздачу аб выніках эмуляцыі – Threat Emulation Report. Змест такой справаздачы падрабязна апісаны ў нашым артыкуле пра . Варта адзначыць, што дадзеная справаздача з'яўляецца інтэрактыўнай і дазваляе "правальвацца" ў падрабязнасці па кожным з раздзелаў. Таксама ёсць магчымасць прагледзець запіс працэсу эмуляцыі ў віртуальнай машыне, спампаваць арыгінальны шкодны файл або атрымаць яго хэш, а таксама звярнуцца ў Check Point Incident Response Team.
Forensics Report
Практычна для любой падзеі бяспекі генеруецца справаздача Forensics Report, які ўключае ў сябе падрабязную інфармацыю аб шкодным файле: яго характарыстыкі, дзеянні, кропку ўваходу ў сістэму і ўплыў на важныя актывы кампаніі. Структура справаздачы падрабязна разглядалася намі ў артыкуле пра . Падобная справаздача з'яўляецца важнай крыніцай інфармацыі пры расследаванні падзей бяспекі, і ў выпадку неабходнасці можна адразу адправіць змесціва справаздачы ў Check Point Incident Response Team.
SmartView
Check Point SmartView уяўляе сабой зручны сродак пабудовы і прагляду дынамічных дашбордаў (View) і справаздач у фармаце PDF. З SmartView можна таксама праглядаць карыстацкія логі і падзеі аўдыту для адміністратараў. На малюнку ніжэй прыведзены найбольш карысныя справаздачы і дашборды для працы з SandBlast Agent.
Справаздачы ў SmartView уяўляюць сабой дакументы са статыстычнай інфармацыяй аб падзеях за пэўны прамежак часу. Падтрымліваецца выгрузка справаздач у фармаце PDF на машыну, дзе адчынены SmartView, а таксама рэгулярная выгрузка ў PDF/Excel на электронную пошту адміністратара. Акрамя гэтага, падтрымліваецца імпарт/экспарт шаблонаў справаздач, стварэнне ўласных справаздач і магчымасць хаваць імёны карыстальнікаў у справаздачах. На малюнку ніжэй прадстаўлены прыклад убудаванай справаздачы Threat Prevention.
Дашборды (View) у SmartView дазваляюць адміністратару атрымаць доступ да логаў па якая адпавядае падзеі — досыць толькі два разу націснуць на які цікавіць аб'ект, няхай гэта будзе слупок дыяграмы ці назоў шкоднаснага файла. Як і ў выпадку са справаздачамі можна ствараць уласныя дашборды і хаваць дадзеныя карыстальнікаў. Для дашбордаў таксама падтрымліваецца імпарт/экспарт шаблонаў, рэгулярная выгрузка ў PDF/Excel на электронную пошту адміністратара і аўтаматычнае абнаўленне даных для маніторынгу падзей бяспекі ў рэжыме рэальнага часу.
Дадатковыя раздзелы маніторынгу
Апісанне сродкаў маніторынгу ў Management Platform будзе няпоўным без згадвання раздзелаў Overview, Computer Management, Endpoint Settings і Push Operations. Дадзеныя раздзелы былі падрабязна апісаны ва Аднак карысным будзе разгледзець іх магчымасці для вырашэння задач маніторынгу. Пачнём з Overview, які складаецца з двух падраздзелаў – Operational Overview і Security Overview, якія ўяўляюць сабой дашборды з інфармацыяй аб стане абараняемых карыстацкіх машын і падзеях бяспекі. Як і пры ўзаемадзеянні з любым іншым дашбордам, падраздзелы Operational Overview і Security Overview пры падвойнай пстрычцы па які цікавіць параметры дазваляюць патрапіць у раздзел Computer Management з абраным фільтрам (напрыклад, «Desktops» ці «Pre-Boot Status: Enabled»), або ў раздзел Logs па канкрэтнай падзеі. Падраздзел Security Overview уяўляе сабой дашборд "Cyber Attack View - Endpoint", які можна наладзіць "пад сябе" і ўсталяваць аўтаматычнае абнаўленне дадзеных.
З падзелу Computer Management можна адсочваць стан агента на карыстацкіх машынах, статут абнаўлення базы дадзеных Anti-Malware, этапы шыфравання кружэлкі і шматлікае іншае. Усе дадзеныя абнаўляюцца ў аўтаматычным рэжыме, і для кожнага з фільтраў адлюстроўваецца адсоткавы паказчык падыходных карыстацкіх машын. Таксама падтрымліваецца экспарт дадзеных аб кампутарах у фармаце CSV.
Важным аспектам маніторынгу абароненасці працоўных станцый з'яўляецца настройка апавяшчэнняў аб крытычных падзеях (Alerts) і экспарту логаў (Export Events) для захоўвання на лог-серверы кампаніі. Абедзве наладкі выконваюцца ў раздзеле Endpoint Settings, і для Alerts існуе магчымасць падлучыць паштовы сервер для адпраўкі апавяшчэнняў аб падзеях адміністратару і сканфігураваць парогавыя значэнні спрацоўвання/адключэнні апавяшчэнняў у залежнасці ад адсотка/колькасці прылад, падыходных пад крытэры падзеі. Экспартныя падзеі дазваляе наладзіць перасыланне логаў з Management Platform на лог-сервер кампаніі для далейшай апрацоўкі. Падтрымліваюцца фарматы SYSLOG, CEF, LEEF, SPLUNK, пратаколы TCP/UDP, любыя SIEM-сістэмы з працавальным syslog-агентам, выкарыстанне шыфравання TLS/SSL і аўтэнтыфікацыя syslog-кліента.
Для глыбокага аналізу падзей на агенце або ў выпадку звароту ў тэхнічную падтрымку можна аператыўна сабраць логі з кліента SandBlast Agent з дапамогай прымусовай аперацыі ў раздзеле Push Operations. Можна наладзіць перасылку сфармаванага архіва з логамі на серверы Check Point або на карпаратыўныя серверы, таксама архіў з логамі захоўваецца на карыстацкай машыне ў дырэкторыі C:UsersusernameCPInfo. Падтрымліваецца запуск працэсу збору логаў у паказаны час і магчымасць адкласці аперацыю карыстачом.
Паляванне на пагрозу
Метад Threat Hunting выкарыстоўваецца для проактивного пошуку шкодных дзеянняў і анамальнага паводзін у сістэме для далейшага расследавання патэнцыйнай падзеі бяспекі. Частка Threat Hunting у Management Platform дазваляе ажыццяўляць пошук падзей з зададзенымі параметрамі ў дадзеных карыстацкай машыны.
Інструмент Threat Hunting мае некалькі прадусталяваных запытаў, напрыклад: для класіфікацыі шкодных даменаў або файлаў, адсочвання рэдкіх зваротаў да некаторых IP-адрасоў (адносна агульнай статыстыкі). Структура запыту складаецца з трох параметраў: індыкатар (сеткавы пратакол, ідэнтыфікатар працэсу, тып файла і інш.), аператар («з'яўляецца», «не з'яўляецца», «уключае ў сябе», «адзін з» і інш.) і цела запыту. У целе запыту можна выкарыстоўваць рэгулярныя выразы, падтрымліваецца выкарыстанне некалькіх фільтраў адначасова ў радку пошуку.
Пасля выбару фільтра і завяршэння апрацоўкі запыту з'яўляецца доступ да ўсіх падыходных падзей, з магчымасцю прагледзець падрабязную інфармацыю аб падзеі, змясціць аб'ект запыту ў каранцін або згенераваць падрабязную справаздачу Forensics Report з апісаннем падзеі. На бягучы момант дадзеная прылада знаходзіцца ў бэта-версіі і ў наступным плануецца пашырэнне набору магчымасцяў, напрыклад, даданне інфармацыі аб падзеі ў выглядзе матрыцы Mitre Att&ck.
Заключэнне
Падвядзем вынікі: у дадзеным артыкуле мы разгледзелі магчымасці маніторынгу падзей бяспекі ў SandBlast Agent Management Platform, вывучылі новы інструмент для праактыўнага пошуку шкодных дзеянняў і анамалій на карыстацкіх машынах – Threat Hunting. Наступны артыкул стане завяршальнай у дадзеным цыкле і ў ёй мы разгледзім найболей частыя пытанні па рашэнні Management Platform і распавядзем пра магчымасці тэставання дадзенага прадукта.
. Каб не прапусціць наступныя публікацыі па тэме SandBlast Agent Management Platform – сачыце за абнаўленнямі ў нашых сацыяльных сетках (, , , , ).
Крыніца: habr.com