Vítejte u pátého článku ze série o řešení Check Point SandBlast Agent Management Platform. Předchozí články naleznete pod příslušným odkazem: , , , . Dnes se podíváme na možnosti monitorování v Management Platform, konkrétně práci s logy, interaktivními dashboardy (View) a reporty. Dotkneme se také tématu Threat Hunting, abychom identifikovali aktuální hrozby a anomální události na počítači uživatele.
Záznamy
Hlavním zdrojem informací pro sledování bezpečnostních událostí je sekce Protokoly, která zobrazuje podrobné informace o každém incidentu a také umožňuje používat pohodlné filtry pro upřesnění kritérií vyhledávání. Když například kliknete pravým tlačítkem na parametr (Blade, Action, Severity, atd.) v protokolu, který vás zajímá, lze tento parametr filtrovat jako Filtr: "Parametr" nebo Filtrovat: "Parametr". Také pro parametr Source lze vybrat možnost IP Tools, kde můžete spustit ping na danou IP adresu/jméno nebo spustit nslookup pro získání zdrojové IP adresy podle jména.
V sekci Protokoly je pro filtrování událostí k dispozici podsekce Statistiky, která zobrazuje statistiky všech parametrů: časový diagram s počtem protokolů a také procenta pro každý parametr. Z této podsekce můžete jednoduše filtrovat protokoly bez použití vyhledávací lišty a psaní filtračních výrazů - stačí vybrat parametry, které vás zajímají, a okamžitě se zobrazí nový seznam protokolů.
Podrobné informace o každém protokolu jsou k dispozici v pravém panelu sekce Protokoly, ale pohodlnější je otevřít protokol poklepáním a analyzovat jeho obsah. Níže je uveden příklad logu (na obrázek lze kliknout), který zobrazuje podrobné informace o spuštění akce Zabránit blade emulace hrozeb na infikovaném souboru „.docx“. Protokol má několik podsekcí, které zobrazují podrobnosti o bezpečnostní události: spuštěné zásady a ochrany, podrobnosti o forenzních zkouškách, informace o klientovi a provozu. Zprávy dostupné z protokolu si zaslouží zvláštní pozornost – Zpráva o emulaci hrozeb a Zpráva o forenzní analýze. Tyto sestavy lze také otevřít z klienta SandBlast Agent.
Zpráva o emulaci hrozeb
Při použití nástroje Threat Emulation blade se po provedení emulace v cloudu Check Point objeví v příslušném protokolu odkaz na podrobnou zprávu o výsledcích emulace – Threat Emulation Report. Obsah takové zprávy je podrobně popsán v našem článku o . Stojí za zmínku, že tato zpráva je interaktivní a umožňuje vám „ponořit se“ do podrobností pro každou sekci. Je také možné zobrazit záznam procesu emulace ve virtuálním počítači, stáhnout původní škodlivý soubor nebo získat jeho hash a také kontaktovat tým Check Point Incident Response Team.
Forenzní zpráva
Téměř pro každou bezpečnostní událost se vygeneruje Forenzní zpráva, která obsahuje podrobné informace o škodlivém souboru: jeho vlastnosti, akce, vstupní bod do systému a dopad na důležitá aktiva společnosti. Strukturu zprávy jsme podrobně rozebrali v článku o . Taková zpráva je důležitým zdrojem informací při vyšetřování bezpečnostních událostí a v případě potřeby může být obsah zprávy okamžitě odeslán týmu Check Point Incident Response Team.
SmartView
Check Point SmartView je pohodlný nástroj pro vytváření a prohlížení dynamických dashboardů (View) a sestav ve formátu PDF. Ze SmartView můžete také prohlížet uživatelské protokoly a auditní události pro administrátory. Níže uvedený obrázek ukazuje nejužitečnější sestavy a dashboardy pro práci se SandBlast Agentem.
Zprávy ve SmartView jsou dokumenty se statistickými informacemi o událostech za určité časové období. Podporuje nahrávání zpráv ve formátu PDF do stroje, kde je otevřen SmartView, a také pravidelné nahrávání do PDF/Excel na e-mail správce. Kromě toho podporuje import/export šablon sestav, vytváření vlastních sestav a možnost skrýt uživatelská jména v sestavách. Obrázek níže ukazuje příklad integrované zprávy Prevence hrozeb.
Dashboardy (View) ve SmartView umožňují administrátorovi přístup k protokolům pro odpovídající událost – stačí dvakrát kliknout na objekt zájmu, ať už je to sloupec grafu nebo název škodlivého souboru. Stejně jako u sestav můžete vytvořit vlastní řídicí panely a skrýt uživatelská data. Dashboardy také podporují import/export šablon, pravidelné nahrávání do PDF/Excel na email administrátora a automatické aktualizace dat pro sledování bezpečnostních událostí v reálném čase.
Další monitorovací sekce
Popis monitorovacích nástrojů v platformě pro správu by byl neúplný bez zmínky o sekcích Přehled, Správa počítače, Nastavení koncových bodů a Push Operations. Tyto sekce byly podrobně popsány v bude však užitečné zvážit jejich schopnosti pro řešení problémů s monitorováním. Začněme Přehledem, který se skládá ze dvou podsekcí – Provozní přehled a Přehled zabezpečení, což jsou dashboardy s informacemi o stavu chráněných uživatelských strojů a bezpečnostních událostech. Stejně jako při interakci s jakýmkoli jiným řídicím panelem vám podsekce Provozní přehled a Přehled zabezpečení umožňují po dvojkliku na parametr, který vás zajímá, dostat se do sekce Správa počítače s vybraným filtrem (například „Počítače“ nebo „Předběžné Boot Status: Enabled”), nebo do sekce Protokoly pro konkrétní událost. Podsekce Přehled zabezpečení je řídicí panel „Zobrazení kybernetického útoku – koncový bod“, který lze přizpůsobit a nastavit tak, aby automaticky aktualizoval data.
V části Správa počítače můžete sledovat stav agenta na uživatelských počítačích, stav aktualizace databáze Anti-Malware, fáze šifrování disku a mnoho dalšího. Všechna data se automaticky aktualizují a pro každý filtr se zobrazí procento odpovídajících uživatelských počítačů. Podporován je také export počítačových dat ve formátu CSV.
Důležitým aspektem sledování bezpečnosti pracovních stanic je nastavení upozornění na kritické události (Alerts) a export logů (Export Events) pro uložení na firemní log server. Obě nastavení se provádějí v části Nastavení koncového bodu a pro Upozornění Je možné připojit poštovní server pro odesílání upozornění na události správci a nakonfigurovat prahové hodnoty pro spouštění/deaktivaci upozornění v závislosti na procentu/počtu zařízení, která splňují kritéria události. Exportovat události umožňuje nakonfigurovat přenos protokolů z platformy pro správu na server protokolů společnosti pro další zpracování. Podporuje formáty SYSLOG, CEF, LEEF, SPLUNK, protokoly TCP/UDP, jakékoli systémy SIEM se spuštěným agentem syslog, použití šifrování TLS/SSL a ověřování klienta syslog.
Pro hloubkovou analýzu událostí na agentovi nebo v případě kontaktování technické podpory můžete rychle shromáždit protokoly z klienta SandBlast Agent pomocí vynucené operace v sekci Push Operations. Můžete nakonfigurovat přenos vygenerovaného archivu s protokoly na servery Check Point nebo podnikové servery a archiv s protokoly se uloží na počítači uživatele do adresáře C:UsersusernameCPInfo. Podporuje spuštění procesu sběru protokolů v určený čas a možnost odložit operaci uživatelem.
Lov hrozeb
Threat Hunting se používá k proaktivnímu vyhledávání škodlivých aktivit a anomálního chování v systému za účelem dalšího vyšetřování potenciální bezpečnostní události. Sekce Threat Hunting v Management Platform vám umožňuje vyhledávat události se zadanými parametry v datech uživatelského stroje.
Nástroj Threat Hunting má několik předdefinovaných dotazů, například: pro klasifikaci škodlivých domén nebo souborů, sledování vzácných požadavků na určité IP adresy (vzhledem k obecným statistikám). Struktura požadavku se skládá ze tří parametrů: indikátor (síťový protokol, identifikátor procesu, typ souboru atd.), provozovatele („je“, „není“, „zahrnuje“, „jeden z“ atd.) a tělo žádosti. V těle požadavku můžete použít regulární výrazy a ve vyhledávací liště můžete použít více filtrů současně.
Po výběru filtru a dokončení zpracování požadavku máte přístup ke všem relevantním událostem s možností zobrazit podrobné informace o události, umístit objekt požadavku do karantény nebo vygenerovat podrobnou Forenzní zprávu s popisem události. V současné době je tento nástroj v beta verzi a do budoucna se plánuje rozšíření sady schopností například přidáním informací o události ve formě matice Mitre Att&ck.
Závěr
Pojďme si to shrnout: v tomto článku jsme se podívali na možnosti monitorování bezpečnostních událostí v SandBlast Agent Management Platform a studovali nový nástroj pro proaktivní vyhledávání škodlivých akcí a anomálií na uživatelských počítačích – Threat Hunting. Příští článek bude posledním z této série a podíváme se v něm na nejčastější dotazy k řešení Management Platform a popovídáme si o možnostech testování tohoto produktu.
. Abyste si nenechali ujít další publikace na téma SandBlast Agent Management Platform, sledujte aktualizace na našich sociálních sítích (, , , , ).
Zdroj: www.habr.com