Malipayon nga pag-abut sa ikalima nga artikulo sa serye bahin sa solusyon sa Check Point SandBlast Agent Management Platform. Makit-an ang nangaging mga artikulo pinaagi sa pagsunod sa angay nga link: , , , . Karon atong tan-awon ang mga kapabilidad sa pag-monitor sa Management Platform, nga mao ang pagtrabaho sa mga troso, interactive dashboards (View) ug mga taho. Atong hikapon usab ang hilisgutan sa Threat Hunting aron mahibal-an ang karon nga mga hulga ug anomaliya nga mga panghitabo sa makina sa tiggamit.
mga troso
Ang nag-unang tinubdan sa impormasyon alang sa pag-monitor sa mga panghitabo sa seguridad mao ang seksyon sa Logs, nga nagpakita sa detalyado nga impormasyon sa matag insidente ug usab nagtugot kanimo sa paggamit sa sayon nga mga filter aron sa pagpino sa imong mga criteria sa pagpangita. Pananglitan, kung mag-right-click ka sa usa ka parameter (Blade, Action, Severity, ug uban pa) sa log sa interes, kini nga parameter mahimong ma-filter isip Filter: "Parameter" o Pagsala: "Parameter". Usab alang sa Source parameter ang opsyon sa IP Tools mahimong mapili diin makadagan ka og ping sa gihatag nga IP address/ngalan o magpadagan og nslookup aron makuha ang source IP address pinaagi sa ngalan.
Sa seksyon sa Logs, alang sa pagsala sa mga panghitabo, adunay subseksyon sa Statistics, nga nagpakita sa mga estadistika sa tanan nga mga parameter: usa ka diagram sa oras nga adunay gidaghanon sa mga troso, ingon man mga porsyento sa matag parameter. Gikan sa kini nga subsection dali nimo ma-filter ang mga log nga wala gigamit ang search bar ug pagsulat sa mga ekspresyon sa pagsala - pilia lang ang mga parameter sa interes ug usa ka bag-ong lista sa mga troso ang ipakita dayon.
Ang detalyadong impormasyon sa matag log anaa sa tuo nga panel sa seksyon sa Logs, apan mas sayon ang pag-abli sa log pinaagi sa pag-double click aron ma-analisar ang mga sulod. Sa ubos mao ang usa ka pananglitan sa usa ka log (ang hulagway ma-click), nga nagpakita sa detalyadong impormasyon sa pag-trigger sa Paglikay sa aksyon sa Threat Emulation blade sa usa ka nataptan nga ".docx" nga file. Ang log adunay daghang mga subseksyon nga nagpakita sa mga detalye sa panghitabo sa seguridad: mga palisiya ug proteksyon nga gipahinabo, mga detalye sa forensics, kasayuran bahin sa kliyente ug trapiko. Ang mga taho nga makuha gikan sa log angay nga espesyal nga atensyon - Threat Emulation Report ug Forensics Report. Kini nga mga taho mahimo usab nga maablihan gikan sa kliyente sa SandBlast Agent.
Ulat sa Pagsundog sa Panghulga
Kung gigamit ang blade sa Threat Emulation, pagkahuman gihimo ang pagsundog sa panganod sa Check Point, usa ka link sa usa ka detalyado nga taho sa mga resulta sa pagsundog - Ulat sa Pagsunud sa Paghulga - makita sa katugbang nga log. Ang mga sulud sa ingon nga taho gihulagway sa detalye sa among artikulo bahin sa . Angay nga matikdan nga kini nga taho interactive ug nagtugot kanimo sa "pagsalom" sa mga detalye alang sa matag seksyon. Posible usab nga tan-awon ang usa ka pagrekord sa proseso sa pagsundog sa usa ka virtual nga makina, i-download ang orihinal nga malisyoso nga file o makuha ang hash niini, ug kontaka usab ang Check Point Incident Response Team.
Forensics Report
Alang sa halos bisan unsang panghitabo sa seguridad, usa ka Forensics Report ang gihimo, nga naglakip sa detalyado nga kasayuran bahin sa malisyoso nga file: ang mga kinaiya niini, aksyon, punto sa pagsulod sa sistema ug epekto sa hinungdanon nga mga kabtangan sa kompanya. Gihisgutan namon ang istruktura sa taho sa detalye sa artikulo bahin sa . Ang ingon nga taho usa ka hinungdanon nga gigikanan sa kasayuran kung nag-imbestiga sa mga panghitabo sa seguridad, ug kung kinahanglan, ang mga sulud sa taho mahimong ipadala dayon sa Check Point Incident Response Team.
Smart View
Ang Check Point SmartView usa ka kombenyente nga himan alang sa paghimo ug pagtan-aw sa mga dinamikong dashboard (Pagtan-aw) ug mga taho sa format nga PDF. Gikan sa SmartView mahimo usab nimong tan-awon ang mga log sa gumagamit ug mga panghitabo sa pag-audit alang sa mga tigdumala. Ang numero sa ubos nagpakita sa labing mapuslanon nga mga taho ug mga dashboard alang sa pagtrabaho kauban ang SandBlast Agent.
Ang mga taho sa SmartView maoy mga dokumento nga adunay estadistika nga impormasyon bahin sa mga panghitabo sulod sa usa ka yugto sa panahon. Gisuportahan niini ang pag-upload sa mga taho sa format nga PDF sa makina diin bukas ang SmartView, ingon man ang regular nga pag-upload sa PDF/Excel sa email sa tagdumala. Dugang pa, gisuportahan niini ang import/export sa mga templates sa report, paghimo sa imong kaugalingong mga report, ug ang abilidad sa pagtago sa mga user name sa mga report. Ang numero sa ubos nagpakita sa usa ka pananglitan sa usa ka built-in nga report sa Threat Prevention.
Ang mga Dashboard (Pagtan-aw) sa SmartView nagtugot sa tagdumala sa pag-access sa mga troso alang sa katugbang nga panghitabo - pag-double click lang sa butang nga interesado, kini usa ka kolum sa tsart o ang ngalan sa usa ka malisyoso nga file. Sama sa mga taho, makahimo ka sa imong kaugalingon nga mga dashboard ug itago ang datos sa tiggamit. Gisuportahan usab sa mga dashboard ang pag-import/export sa mga templates, regular nga pag-upload sa PDF/Excel sa email sa tagdumala, ug awtomatikong pag-update sa datos aron mamonitor ang mga panghitabo sa seguridad sa tinuod nga panahon.
Dugang nga mga seksyon sa pagmonitor
Ang usa ka paghulagway sa mga himan sa pagmonitor sa Management Platform mahimong dili kompleto nga walay paghisgot sa Overview, Computer Management, Endpoint Settings ug Push Operations nga mga seksyon. Kini nga mga seksyon gihulagway sa detalye sa , bisan pa niana, mapuslanon ang pagkonsiderar sa ilang mga kapabilidad sa pagsulbad sa mga problema sa pagmonitor. Magsugod kita sa Kinatibuk-ang Pagtan-aw, nga gilangkuban sa duha ka mga subseksyon - Pangkalahatan sa Operasyon ug Kinatibuk-ang Pagtan-aw sa Seguridad, nga mga dashboard nga adunay kasayuran bahin sa kahimtang sa giprotektahan nga mga makina sa tiggamit ug mga panghitabo sa seguridad. Sama sa diha nga nakig-uban sa bisan unsa nga lain nga dashboard, ang Operational Overview ug Security Overview subsections, sa diha nga ang double-click sa parameter sa interes, motugot kaninyo sa pagkuha sa Computer Management seksyon uban sa pinili nga filter (pananglitan, "Desktops" o "Pre- Boot Status: Enabled"), o sa seksyon Logs para sa usa ka piho nga panghitabo. Ang subseksyon sa Security Overview usa ka "Cyber Attack View - Endpoint" dashboard, nga mahimong ipasibo ug itakda aron awtomatiko nga ma-update ang datos.
Gikan sa seksyon sa Computer Management mahimo nimong bantayan ang kahimtang sa ahente sa mga makina sa tiggamit, ang kahimtang sa pag-update sa database sa Anti-Malware, ang mga yugto sa pag-encrypt sa disk, ug daghan pa. Awtomatiko nga gi-update ang tanan nga datos, ug alang sa matag filter gipakita ang porsyento sa parehas nga mga makina sa tiggamit. Gisuportahan usab ang pag-eksport sa datos sa kompyuter sa format nga CSV.
Usa ka importante nga aspeto sa pagmonitor sa seguridad sa mga workstation mao ang pag-set up sa mga pahibalo bahin sa mga kritikal nga panghitabo (Alerts) ug pag-eksport sa mga log (Export Events) alang sa pagtipig sa log server sa kompanya. Ang duha ka mga setting gihimo sa seksyon sa Endpoint Settings, ug alang sa Mga pahibalo Posible nga makonektar ang usa ka mail server aron ipadala ang mga abiso sa panghitabo sa tagdumala ug i-configure ang mga threshold alang sa pag-trigger / pag-disable sa mga pahibalo depende sa porsyento / gidaghanon sa mga aparato nga nakab-ot ang pamatasan sa panghitabo. Mga Panghitabo sa Export nagtugot kanimo sa pag-configure sa pagbalhin sa mga troso gikan sa Management Platform ngadto sa log server sa kompanya alang sa dugang nga pagproseso. Nagsuporta sa SYSLOG, CEF, LEEF, SPLUNK nga mga format, TCP/UDP nga mga protocol, bisan unsang sistema sa SIEM nga adunay running syslog agent, ang paggamit sa TLS/SSL encryption ug syslog client authentication.
Alang sa usa ka lawom nga pag-analisar sa mga panghitabo sa ahente o sa kaso sa pagkontak sa teknikal nga suporta, mahimo ka dali nga mangolekta og mga troso gikan sa kliyente sa SandBlast Agent gamit ang pinugos nga operasyon sa seksyon sa Push Operations. Mahimo nimong i-configure ang pagbalhin sa namugna nga archive nga adunay mga log sa Check Point server o corporate server, ug ang archive nga adunay mga log gitipigan sa makina sa user sa C:UsersusernameCPInfo directory. Gisuportahan niini ang paglansad sa proseso sa pagkolekta sa log sa usa ka piho nga oras ug ang abilidad nga i-postpone ang operasyon sa tiggamit.
Pagpangayam sa Panghulga
Ang Threat Hunting gigamit sa aktibong pagpangita sa mga malisyoso nga kalihokan ug anomaloso nga kinaiya sa usa ka sistema aron mas masusi ang posibleng panghitabo sa seguridad. Ang Threat Hunting nga seksyon sa Management Platform nagtugot kanimo sa pagpangita sa mga panghitabo nga adunay piho nga mga parameter sa data sa user machine.
Ang Threat Hunting nga himan adunay ubay-ubay nga gitakda nang daan nga mga pangutana, pananglitan: sa pagklasipikar sa mga malisyosong domain o mga file, pagsubay sa talagsaon nga mga hangyo ngadto sa pipila ka mga IP adres (relasyon sa kinatibuk-ang estadistika). Ang istruktura sa hangyo naglangkob sa tulo ka mga parameter: timailhan (network protocol, process identifier, file type, ug uban pa), operator (“mao”, “dili”, “naglakip”, “usa sa”, ug uban pa) ug hangyo sa lawas. Mahimo nimong gamiton ang mga regular nga ekspresyon sa lawas sa hangyo, ug mahimo nimong gamiton ang daghang mga pagsala nga dungan sa search bar.
Pagkahuman sa pagpili sa usa ka filter ug pagkompleto sa pagproseso sa hangyo, adunay ka access sa tanan nga may kalabutan nga mga panghitabo, nga adunay katakus sa pagtan-aw sa detalyado nga kasayuran bahin sa panghitabo, pagkuwarentinas sa butang nga gihangyo, o paghimo usa ka detalyado nga Forensics Report nga adunay usa ka paghulagway sa panghitabo. Sa pagkakaron, kini nga himan anaa sa beta nga bersyon ug sa umaabot kini giplano nga palapdan ang hugpong sa mga kapabilidad, pananglitan, pagdugang og impormasyon mahitungod sa panghitabo sa porma sa usa ka Mitre Att&ck matrix.
konklusyon
Atong i-summarize: niining artikuloha atong gitan-aw ang mga kapabilidad sa pag-monitor sa mga panghitabo sa seguridad sa SandBlast Agent Management Platform, ug gitun-an ang usa ka bag-ong himan alang sa aktibong pagpangita sa mga malisyoso nga aksyon ug anomaliya sa mga makina sa tiggamit - Threat Hunting. Ang sunod nga artikulo mao ang katapusan sa kini nga serye ug niini atong tan-awon ang labing kanunay nga gipangutana nga mga pangutana bahin sa solusyon sa Management Platform ug hisgutan ang mga posibilidad sa pagsulay sa kini nga produkto.
. Aron dili makalimtan ang sunod nga mga publikasyon sa hilisgutan nga SandBlast Agent Management Platform, sunda ang mga update sa among mga social network (, , , , ).
Source: www.habr.com