5. Check Point SandBlast Agent Management Platform. Logs, Reports & Forensics. Threat Hunting

Добро пожаловать на пятую статью цикла о решении Check Point SandBlast Agent Management Platform. С предыдущими статьями можно ознакомиться, перейдя по соответствующей ссылке: первая, вторая, третья, четвёртая. Сегодня мы рассмотрим возможности мониторинга в Management Platform, а именно работу с логами, интерактивными дашбордами (View) и отчётами. Также затронем тему Threat Hunting для выявления актуальных угроз и аномальных событий на машине пользователя.

Logs

Основным источником информации для мониторинга событий безопасности является раздел Logs, который отображает подробную информацию по каждому инциденту, а также позволяет использовать удобные фильтры для уточнения критериев поиска. Например, при нажатии правой кнопкой мыши на параметр (Blade, Action, Severity и пр.) интересующего лога, данный параметр может быть отфильтрован как Filter: «Parameter» или Filter Out: «Parameter». Также для параметра Source может быть выбрана опция IP Tools, в которой можно запустить ping до данного IP-адреса/имени или выполнить nslookup для получения IP-адреса источника по имени.

В разделе Logs для фильтрации событий есть подраздел Statistics, в котором отображается статистика по всем параметрам: временная диаграмма с количеством логов, а также процентные показатели по каждому из параметров. Из данного подраздела можно легко отфильтровать логи без обращения к поисковой строке и написания выражений фильтрации — достаточно выбрать интересующие параметры и новый список логов сразу отобразится.

Подробная информация по каждому логу доступна в правой панели раздела Logs, однако более удобным является открытие лога двойным щелчком для анализа содержимого. Ниже приведён пример лога (картинка кликабельна), в котором отображена подробная информация по срабатыванию действия Prevent блейда Threat Emulation на заражённый файл ".docx". Лог имеет несколько подразделов, которые отображают детали события безопасности: сработавшие политика и защита, подробности форензики, информация о клиенте и трафике. Особого внимания заслуживают доступные из лога отчёты — Threat Emulation Report и Forensics Report. Данные отчёты также можно открыть из клиента SandBlast Agent.

Threat Emulation Report

При использовании блейда Threat Emulation после осуществления эмуляции в облаке Check Point в соответствующем логе появляется ссылка на подробный отчёт о результатах эмуляции — Threat Emulation Report. Содержимое такого отчёта подробно описано в нашей статье про анализ зловредов с помощью форензики Check Point SandBlast Network. Стоит отметить, что данный отчёт является интерактивным и позволяет «проваливаться» в подробности по каждому из разделов. Также есть возможность просмотреть запись процесса эмуляции в виртуальной машине, скачать оригинальный зловредный файл или получить его хэш, а также обратиться в Check Point Incident Response Team.

Forensics Report

Практически для любого события безопасности генерируется отчёт Forensics Report, который включает в себя подробную информацию о зловредном файле: его характеристики, действия, точку входа в систему и влияние на важные активы компании. Структура отчёта подробно рассматривалась нами в статье про анализ зловредов с помощью форензики Check Point SandBlast Agent. Подобный отчёт является важным источником информации при расследовании событий безопасности, и в случае необходимости можно сразу отправить содержимое отчёта в Check Point Incident Response Team.

SmartView

Check Point SmartView представляет собой удобное средство построения и просмотра динамических дашбордов (View) и отчётов в формате PDF. Из SmartView можно также просматривать пользовательские логи и события аудита для администраторов. На рисунке ниже приведены наиболее полезные отчёты и дашборды для работы с SandBlast Agent.

Отчёты в SmartView представляют собой документы со статистической информацией о событиях за определённый промежуток времени. Поддерживается выгрузка отчётов в формате PDF на машину, где открыт SmartView, а также регулярная выгрузка в PDF/Excel на электронную почту администратора. Помимо этого, поддерживается импорт/экспорт шаблонов отчётов, создание собственных отчётов и возможность скрывать имена пользователей в отчётах. На рисунке ниже представлен пример встроенного отчёта Threat Prevention.

Дашборды (View) в SmartView позволяют администратору получить доступ к логам по соответствующему событию — достаточно лишь два раза нажать на интересующий объект, будь то столбец диаграммы или название вредоносного файла. Как и в случае с отчётами можно создавать собственные дашборды и скрывать данные пользователей. Для дашбордов также поддерживается импорт/экспорт шаблонов, регулярная выгрузка в PDF/Excel на электронную почту администратора и автоматическое обновление данных для мониторинга событий безопасности в режиме реального времени.

Дополнительные разделы мониторинга

Описание средств мониторинга в Management Platform будет неполным без упоминания разделов Overview, Computer Management, Endpoint Settings и Push Operations. Данные разделы были подробно описаны во второй статье, однако полезным будет рассмотреть их возможности для решения задач мониторинга. Начнём с Overview, состоящего из двух подразделов — Operational Overview и Security Overview, которые представляют собой дашборды с информацией о состоянии защищаемых пользовательских машин и событиях безопасности. Как и при взаимодействии с любым другим дашбордом, подразделы Operational Overview и Security Overview при двойном щелчке по интересующему параметру позволяют попасть в раздел Computer Management с выбранным фильтром (например, «Desktops» или «Pre-Boot Status: Enabled»), либо в раздел Logs по конкретному событию. Подраздел Security Overview представляет собой дашборд «Cyber Attack View – Endpoint», который можно настроить «под себя» и установить автоматическое обновление данных.

Из раздела Computer Management можно отслеживать состояние агента на пользовательских машинах, статус обновления базы данных Anti-Malware, этапы шифрования диска и многое другое. Все данные обновляются в автоматическом режиме, и для каждого из фильтров отображается процентный показатель подходящих пользовательских машин. Также поддерживается экспорт данных о компьютерах в формате CSV.

Важным аспектом мониторинга защищённости рабочих станций является настройка уведомлений о критичных событиях (Alerts) и экспорта логов (Export Events) для хранения на лог-сервере компании. Обе настройки выполняются в разделе Endpoint Settings, и для Alerts существует возможность подключить почтовый сервер для отправки уведомлений о событиях администратору и сконфигурировать пороговые значения срабатывания/отключения уведомлений в зависимости от процента/количества устройств, подходящих под критерии события. Export Events позволяет настроить пересылку логов из Management Platform на лог-сервер компании для дальнейшей обработки. Поддерживаются форматы SYSLOG, CEF, LEEF, SPLUNK, протоколы TCP/UDP, любые SIEM-системы с работающим syslog-агентом, использование шифрования TLS/SSL и аутентификация syslog-клиента.

Для глубокого анализа событий на агенте или в случае обращения в техническую поддержку можно оперативно собрать логи с клиента SandBlast Agent с помощью принудительной операции в разделе Push Operations. Можно настроить пересылку сформированного архива с логами на серверы Check Point или на корпоративные серверы, также архив с логами сохраняется на пользовательской машине в директории C:UsersusernameCPInfo. Поддерживается запуск процесса сбора логов в указанное время и возможность отложить операцию пользователем.

Threat Hunting

Метод Threat Hunting используется для проактивного поиска зловредных действий и аномального поведения в системе для дальнейшего расследования потенциального события безопасности. Раздел Threat Hunting в Management Platform позволяет осуществлять поиск событий с заданными параметрами в данных пользовательской машины.

Инструмент Threat Hunting имеет несколько предустановленных запросов, например: для классификации зловредных доменов или файлов, отслеживания редких обращений к некоторым IP-адресам (относительно общей статистики). Структура запроса состоит из трёх параметров: индикатор (сетевой протокол, идентификатор процесса, тип файла и пр.), оператор («является», «не является», «включает в себя», «один из» и пр.) и тело запроса. В теле запроса можно использовать регулярные выражения, поддерживается использование нескольких фильтров одновременно в строке поиска.

После выбора фильтра и завершения обработки запроса появляется доступ ко всем подходящим событиям, с возможностью просмотреть подробную информацию о событии, поместить объект запроса в карантин или сгенерировать подробный отчёт Forensics Report с описанием события. На текущий момент данный инструмент находится в бета-версии и в дальнейшем планируется расширение набора возможностей, например, добавление информации о событии в виде матрицы Mitre Att&ck.

Заключение

Подведём итоги: в данной статье мы рассмотрели возможности мониторинга событий безопасности в SandBlast Agent Management Platform, изучили новый инструмент для проактивного поиска зловредных действий и аномалий на пользовательских машинах — Threat Hunting. Следующая статья станет завершающей в данном цикле и в ней мы рассмотрим наиболее частые вопросы по решению Management Platform и расскажем про возможности тестирования данного продукта.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform — следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Источник: habr.com