Dobrodošli u peti članak u nizu o rješenju Check Point SandBlast Agent Management Platforme. Prethodne članke možete pronaći na odgovarajućem linku: , , , . Danas ćemo se osvrnuti na mogućnosti praćenja u Platformi za upravljanje, odnosno rad sa evidencijama, interaktivnim nadzornim pločama (View) i izvještajima. Također ćemo se dotaknuti teme Threat Hunting kako bismo identificirali trenutne prijetnje i anomalne događaje na mašini korisnika.
Trupci
Glavni izvor informacija za praćenje sigurnosnih događaja je odjeljak Dnevnici, koji prikazuje detaljne informacije o svakom incidentu i također vam omogućava da koristite prikladne filtere za preciziranje kriterija pretraživanja. Na primjer, kada desnom tipkom miša kliknete na parametar (Blade, Action, Severity, itd.) dnevnika od interesa, ovaj parametar se može filtrirati kao Filter: "Parametar" ili Filtriranje: "Parametar". Također, za parametar Izvor, može se odabrati opcija IP Alati, u kojoj možete pokrenuti ping na datu IP adresu/ime ili pokrenuti nslookup da biste dobili izvornu IP adresu po imenu.
U sekciji Dnevnici, za filtriranje događaja, postoji pododjeljak Statistike, koji prikazuje statistiku svih parametara: vremenski dijagram sa brojem dnevnika, kao i procente za svaki parametar. Iz ovog pododjeljka možete jednostavno filtrirati dnevnike bez korištenja trake za pretraživanje i pisanja izraza za filtriranje - samo odaberite parametre koji vas zanimaju i nova lista dnevnika će odmah biti prikazana.
Detaljne informacije o svakom dnevniku dostupne su u desnom panelu odjeljka Dnevnici, ali je praktičnije otvoriti dnevnik dvostrukim klikom da analizirate sadržaj. Ispod je primjer dnevnika (na sliku se može kliknuti) koji prikazuje detaljne informacije o pokretanju akcije Sprečavanje bladea Threat Emulation na zaraženoj ".docx" datoteci. Dnevnik ima nekoliko pododjeljaka koji prikazuju detalje sigurnosnog događaja: pokrenute politike i zaštite, forenzičke detalje, informacije o klijentu i prometu. Izveštaji dostupni iz dnevnika zaslužuju posebnu pažnju - Izveštaj o emulaciji pretnje i Izveštaj o forenzici. Ovi izvještaji se također mogu otvoriti iz SandBlast Agent klijenta.
Izvještaj o emulaciji prijetnje
Kada koristite Threat Emulation blade, nakon što se emulacija izvrši u Check Point oblaku, u odgovarajućem dnevniku se pojavljuje veza do detaljnog izvještaja o rezultatima emulacije - Threat Emulation Report. Sadržaj takvog izvještaja detaljno je opisan u našem članku o . Vrijedi napomenuti da je ovaj izvještaj interaktivan i omogućava vam da „uronite“ u detalje za svaki odjeljak. Takođe je moguće pogledati snimak procesa emulacije na virtuelnoj mašini, preuzeti originalnu zlonamernu datoteku ili dobiti njen heš, kao i kontaktirati Check Point Incident Response Team.
Forenzički izvještaj
Za gotovo svaki sigurnosni događaj se generiše Forenzički izvještaj koji uključuje detaljne informacije o zlonamjernom fajlu: njegove karakteristike, radnje, ulaznu tačku u sistem i uticaj na bitnu imovinu kompanije. O strukturi izvještaja smo detaljno raspravljali u članku o . Takav izvještaj je važan izvor informacija prilikom istrage sigurnosnih događaja, a ako je potrebno, sadržaj izvještaja može se odmah poslati Check Point Incident Response Timu.
Smart View
Check Point SmartView je zgodan alat za kreiranje i pregled dinamičkih nadzornih ploča (View) i izvještaja u PDF formatu. Sa SmartView-a također možete vidjeti korisničke dnevnike i događaje revizije za administratore. Slika ispod prikazuje najkorisnije izvještaje i nadzorne ploče za rad sa SandBlast Agentom.
Izvještaji u SmartView-u su dokumenti sa statističkim informacijama o događajima u određenom vremenskom periodu. Podržava učitavanje izvještaja u PDF formatu na mašinu na kojoj je otvoren SmartView, kao i redovno slanje u PDF/Excel na e-poštu administratora. Osim toga, podržava uvoz/izvoz predložaka izvještaja, kreiranje vlastitih izvještaja i mogućnost sakrivanja korisničkih imena u izvještajima. Na slici ispod prikazan je primjer ugrađenog izvještaja o prevenciji prijetnji.
Kontrolne table (View) u SmartView-u omogućavaju administratoru pristup evidenciji za odgovarajući događaj - samo dvaput kliknite na objekat od interesa, bilo da se radi o stupcu grafikona ili nazivu zlonamjerne datoteke. Kao i kod izvještaja, možete kreirati vlastite nadzorne ploče i sakriti korisničke podatke. Kontrolne table takođe podržavaju uvoz/izvoz šablona, redovno učitavanje u PDF/Excel na administratorsku e-poštu i automatsko ažuriranje podataka za praćenje bezbednosnih događaja u realnom vremenu.
Dodatne sekcije za praćenje
Opis alata za praćenje u Platformi za upravljanje bio bi nepotpun bez spominjanja odjeljaka Pregled, Upravljanje računarom, Postavke krajnje tačke i Push operacije. Ovi odjeljci su detaljno opisani u , međutim, biće korisno razmotriti njihove sposobnosti za rješavanje problema praćenja. Počnimo sa Pregledom, koji se sastoji od dva pododjeljka - Operativni pregled i Sigurnosni pregled, koji su kontrolne table sa informacijama o stanju zaštićenih korisničkih mašina i sigurnosnim događajima. Kao i kod interakcije sa bilo kojom drugom kontrolnom pločom, pododjeljci Operativni pregled i Pregled sigurnosti, kada dvaput kliknete na parametar koji vas zanima, omogućavaju vam da dođete do odjeljka Upravljanje računarom sa odabranim filterom (na primjer, „Desktops“ ili „Pre- Status pokretanja: Omogućeno”) ili u odjeljak Dnevnici za određeni događaj. Pododjeljak Sigurnosni pregled je kontrolna tabla „Prikaz Cyber napada – Krajnja tačka“, koja se može prilagoditi i postaviti da automatski ažurira podatke.
U odeljku Upravljanje računarom možete pratiti status agenta na korisničkim mašinama, status ažuriranja Anti-Malware baze podataka, faze šifrovanja diska i još mnogo toga. Svi podaci se automatski ažuriraju, a za svaki filter se prikazuje postotak odgovarajućih korisničkih mašina. Podržan je i izvoz računarskih podataka u CSV formatu.
Važan aspekt praćenja sigurnosti radnih stanica je postavljanje obavještenja o kritičnim događajima (Alerts) i izvoz dnevnika (Export Events) za skladištenje na log serveru kompanije. Obje postavke su napravljene u odjeljku Postavke krajnje tačke i za Upozorenja Moguće je povezati mail server za slanje obavještenja o događajima administratoru i konfigurirati pragove za aktiviranje/onemogućavanje obavijesti u zavisnosti od procenta/broja uređaja koji ispunjavaju kriterije događaja. Izvoz događaja omogućava vam da konfigurišete prenos dnevnika sa platforme za upravljanje na log server kompanije za dalju obradu. Podržava SYSLOG, CEF, LEEF, SPLUNK formate, TCP/UDP protokole, sve SIEM sisteme sa aktivnim syslog agentom, upotrebu TLS/SSL enkripcije i autentifikaciju syslog klijenta.
Za detaljnu analizu događaja na agentu ili u slučaju kontaktiranja tehničke podrške, možete brzo prikupiti zapise od SandBlast Agent klijenta koristeći prinudnu operaciju u odjeljku Push operacije. Možete konfigurirati prijenos generirane arhive s logovima na Check Point servere ili korporativne servere, a arhiva sa evidencijama se pohranjuje na korisnikovom stroju u direktoriju C:UserusernameCPInfo. Podržava pokretanje procesa prikupljanja dnevnika u određeno vrijeme i mogućnost odlaganja operacije od strane korisnika.
Lov na prijetnje
Threat Hunting se koristi za proaktivno traženje zlonamjernih aktivnosti i anomalnog ponašanja u sistemu kako bi se dalje istražio potencijalni sigurnosni događaj. Odeljak „Lov na pretnje“ u platformi za upravljanje omogućava vam da pretražujete događaje sa određenim parametrima u podacima o mašini korisnika.
Alat za lov na prijetnje ima nekoliko unaprijed definiranih upita, na primjer: za klasifikaciju zlonamjernih domena ili datoteka, praćenje rijetkih zahtjeva na određene IP adrese (u odnosu na opštu statistiku). Struktura zahtjeva sastoji se od tri parametra: indikator (mrežni protokol, identifikator procesa, tip datoteke, itd.), operator (“jeste”, “nije”, “uključuje”, “jedan od”, itd.) i tijelo zahtjeva. Možete koristiti regularne izraze u tijelu zahtjeva, a možete koristiti više filtera istovremeno u traci za pretraživanje.
Nakon odabira filtera i dovršetka obrade zahtjeva, imate pristup svim relevantnim događajima, uz mogućnost pregleda detaljnih informacija o događaju, stavljanja u karantin objekta zahtjeva ili generiranja detaljnog forenzičkog izvještaja s opisom događaja. Trenutno je ovaj alat u beta verziji, au budućnosti se planira proširenje skupa mogućnosti, na primjer, dodavanjem informacija o događaju u obliku Mitre Att&ck matrice.
zaključak
Da rezimiramo: u ovom članku smo pogledali mogućnosti praćenja sigurnosnih događaja u SandBlast Agent Management Platformi, te proučili novi alat za proaktivno traženje zlonamjernih radnji i anomalija na korisničkim mašinama - Threat Hunting. Sljedeći članak će biti posljednji u ovoj seriji iu njemu ćemo se osvrnuti na najčešće postavljana pitanja o rješenju Management Platforme i govoriti o mogućnostima testiranja ovog proizvoda.
. Kako ne biste propustili sljedeće objave na temu SandBlast Agent Management Platforma, pratite ažuriranja na našim društvenim mrežama (, , , , ).
izvor: www.habr.com