Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)
Всем привет! В продолжение данной статьи хочу рассказать вам подробнее о функционале, который предлагает решение Sophos XG Firewall и познакомить с веб интерфейсом. Коммерческие статьи и документы это хорошо, но ведь всегда интересно, а как же решение выглядит в живую? Как все там устроено? Итак, приступим к обзору.

В данной статье будет показана первая часть функционала Sophos XG Firewall — это «Мониторинг и аналитика». Полный обзор выйдет как цикл статей. Идти мы будем, отталкиваясь от веб интерфейса Sophos XG Firewall и таблицы лицензирования

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Центр управления безопасностью

И вот, мы запустили браузер и открыли веб интерфейс нашего NGFW, мы видим приглашение ввести логин и пароль для входа в админку

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Вводим логин и пароль, который мы задавали при первоначальной активации и попадаем в наш центр управления. Выглядит он так

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Почти каждый из данных виджетов кликабелен. Можно провалиться в инцидент и посмотреть подробности.

Давайте разберем каждый из блоков, и начнем мы с блока System

Блок System

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Данный блок отображает состояние машины в реальном времени. Если нажать на любую из иконок, то мы перейдем на страницу с более подробной информацией о состоянии системы

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Если в системе есть проблемы, то данный виджет об этом просигнализирует, а на странице информации можно посмотреть причину

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Переходя по вкладкам, можно получить больше информации о разных аспектах работы межсетевого экрана

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Блок Traffic insight

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Данный раздел дает нам представление о том, что происходит у нас в сети на данный момент и что происходило за последние 24 часа. Топ 5 веб категорий и приложений по трафику, сетевые атаки (срабатывание IPS модуля) и топ 5 заблокированных приложений.

Также, отдельно стоит выделить раздел Cloud Applications. В нем можно посмотреть наличие в локальной сети приложений, которые используют облачные сервисы. Общее их число, входящий и исходящий трафик. Если нажать на данный виджет, то мы провалимся на страницу информации по облачным приложениям, где сможем более подробнее посмотреть, какие облачные приложения есть в сети, кто ими пользуется и информацию о трафике

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Блок User & device insights

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

В данном блоке показана информация о пользователях. Верхняя строчка показывает нам информацию о зараженных компьютерах пользователей, собирая информацию с антивируса от Sophos и передавая ее в Sophos XG Firewall. По этой информации Firewall может, при заражении, отключать компьютер пользователя от локальной сети или сегмента сети на L2 уровне блокируя все связи с ним. Более подробней о Security Heartbeat было в этой статье. Далее две строчки — это контроль приложений и облачная песочница. Поскольку это отдельный функционал, в этой статье он не будет рассматриваться.

Стоит обратить внимание на два нижних виджета. Это ATP (Advanced Threat Protection) и UTQ (User Threat Quotient).

Модуль ATP блокирует соединения с C&C, управляющими серверами ботнет сетей. Если устройство в вашей локальной сети попало в ботнет сеть, то данный модуль сообщит об этом и не даст подключится к управляющему серверу. Выглядит это таким образом

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Модуль UTQ присваивает каждому пользователю индекс безопасности. Чем больше пользователь старается перейти на запрещенные сайты или запустить запрещенные приложения, тем выше становится его рейтинг. Опираясь на эти данные, можно заранее провести обучение для таких пользователей не дожидаясь того, что, в конечном итоге, его компьютер будет заражен вредоносным ПО. Выглядит это так

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Далее идет раздел общей информации об активных фаервольных правилах и горячие отчеты, которые можно быстро скачать в pdf формате

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Перейдем к следующему разделу меню — Current activities

Current activities

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Начнем обзор с вкладки Live users. На данной странице мы можем посмотреть, кто из пользователей подключен на данный момент к Sophos XG Firewall, метод аутентификации, ip адрес машины, время подключения и объем трафика.

Live connections

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

На данной вкладке отображаются активные сессии в реальном времени. Данную таблицу можно фильтровать по приложениям, пользователям и IP адресам клиентских машин.

IPsec connections

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

На данной вкладке отображается информация о активных соединениях IPsec VPN

Вкладка Remote users

На вкладке Remote users находится информация о удаленных пользователях, которые подключились через SSL VPN

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Также, на этой вкладке можно посмотреть трафик по пользователям в реальном времени и принудительно отключить любого пользователя.

Пропустим вкладку Reports, так как система отчетов в данном продукте очень объемна и требует отдельной статьи.

Diagnostics

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Сразу открывается страница с разными утилитами поиска проблемы. В них входит Ping, Traceroute, Name lookup, Route lookup.

Далее идет вкладка с системными графиками загрузки железа и портов в реальном времени

System graphs

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Затем вкладка, где можно проверить категорию веб ресурса

URL category lookup

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Следующая вкладка Packet capture — это, по сути, встроенный в веб интерфейс tcpdump. Можно также писать фильтры

Packet capture

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Из интересного стоит отметить то, что пакеты преобразуются в таблицу, где можно отключать и включать дополнительные столбцы с информацией. Этот функционал очень удобен для поиска сетевых проблем, например — можно быстро понять какие правила фильтрации применились на реальный трафик.

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

На вкладке Connection List можно посмотреть все существующие коннекты в реальном времени и информацию по ним

Connection List

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)

Заключение

На этом мы закончим первую часть обзора. Мы рассмотрели только самую малую часть имеющегося функционала и вообще не касались модулей защиты. В следующей статье разберем встроенный функционал отчетности и фаервольные правила, их виды и назначения.

Спасибо за уделенное время.

Если у Вас будут вопросы по коммерческой версии XG Firewall, Вы можете обращаться к нам — компанию Фактор груп, дистрибьютору Sophos. Достаточно написать в свободной форме на [email protected].

Источник: habr.com

Добавить комментарий