Croeso i'r bumed erthygl yn y gyfres am y datrysiad Platfform Rheoli Asiantau Check Point SandBlast. Gellir dod o hyd i erthyglau blaenorol trwy ddilyn y ddolen briodol: , , , . Heddiw, byddwn yn edrych ar alluoedd monitro yn y Llwyfan Rheoli, sef gweithio gyda logiau, dangosfyrddau rhyngweithiol (View) ac adroddiadau. Byddwn hefyd yn cyffwrdd â'r pwnc Hela Bygythiadau i nodi bygythiadau cyfredol a digwyddiadau anghyson ar beiriant y defnyddiwr.
Logiau
Y brif ffynhonnell wybodaeth ar gyfer monitro digwyddiadau diogelwch yw'r adran Logiau, sy'n dangos gwybodaeth fanwl am bob digwyddiad a hefyd yn caniatáu i chi ddefnyddio hidlwyr cyfleus i fireinio eich meini prawf chwilio. Er enghraifft, pan fyddwch chi'n clicio ar y dde ar baramedr (Llafn, Gweithredu, Difrifoldeb, ac ati) o'r log o ddiddordeb, gellir hidlo'r paramedr hwn fel Hidlo: "Paramedr" neu Hidlo Allan: "Paramedr". Hefyd ar gyfer y paramedr Ffynhonnell gellir dewis yr opsiwn Offer IP lle gallwch redeg ping i gyfeiriad / enw IP penodol neu redeg nslookup i gael y cyfeiriad IP ffynhonnell yn ôl enw.
Yn yr adran Logiau, ar gyfer hidlo digwyddiadau, mae is-adran Ystadegau, sy'n dangos ystadegau ar yr holl baramedrau: diagram amser gyda nifer y logiau, yn ogystal â chanrannau ar gyfer pob paramedr. O'r is-adran hon gallwch chi hidlo logiau'n hawdd heb ddefnyddio'r bar chwilio ac ysgrifennu ymadroddion hidlo - dewiswch y paramedrau o ddiddordeb a bydd rhestr newydd o logiau yn cael eu harddangos ar unwaith.
Mae gwybodaeth fanwl am bob log ar gael ym mhanel dde'r adran Logiau, ond mae'n fwy cyfleus agor y log trwy glicio ddwywaith i ddadansoddi'r cynnwys. Isod mae enghraifft o log (gellir clicio ar y llun), sy'n dangos gwybodaeth fanwl am sbarduno gweithred Atal y llafn Emulation Bygythiad ar ffeil ".docx" heintiedig. Mae gan y log sawl is-adran sy'n dangos manylion y digwyddiad diogelwch: polisïau ac amddiffyniadau sbarduno, manylion fforensig, gwybodaeth am y cleient a thraffig. Mae'r adroddiadau sydd ar gael o'r log yn haeddu sylw arbennig - Adroddiad Efelychu Bygythiad ac Adroddiad Fforensig. Gellir agor yr adroddiadau hyn hefyd gan y cleient SandBlast Asiant.
Adroddiad Efelychu Bygythiad
Wrth ddefnyddio'r llafn Emulation Bygythiad, ar ôl i'r efelychu gael ei wneud yn y cwmwl Check Point, mae dolen i adroddiad manwl ar y canlyniadau efelychu - Adroddiad Emulation Bygythiad - yn ymddangos yn y log cyfatebol. Disgrifir cynnwys adroddiad o'r fath yn fanwl yn ein herthygl am . Mae’n werth nodi bod yr adroddiad hwn yn rhyngweithiol ac yn caniatáu ichi “blymio i mewn” i fanylion pob adran. Mae hefyd yn bosibl gweld recordiad o'r broses efelychu mewn peiriant rhithwir, lawrlwytho'r ffeil faleisus wreiddiol neu gael ei hash, a hefyd cysylltu â'r Tîm Ymateb i Ddigwyddiad Pwynt Gwirio.
Adroddiad Fforensig
Ar gyfer bron unrhyw ddigwyddiad diogelwch, cynhyrchir Adroddiad Fforensig, sy'n cynnwys gwybodaeth fanwl am y ffeil faleisus: ei nodweddion, gweithredoedd, pwynt mynediad i'r system a'r effaith ar asedau cwmni pwysig. Buom yn trafod strwythur yr adroddiad yn fanwl yn yr erthygl am . Mae adroddiad o'r fath yn ffynhonnell bwysig o wybodaeth wrth ymchwilio i ddigwyddiadau diogelwch, ac os oes angen, gellir anfon cynnwys yr adroddiad ar unwaith at y Tîm Ymateb i Ddigwyddiad Pwynt Gwirio.
Golygfa Glyfar
Mae Check Point SmartView yn offeryn cyfleus ar gyfer creu a gwylio dangosfyrddau deinamig (View) ac adroddiadau ar ffurf PDF. O SmartView gallwch hefyd weld logiau defnyddwyr a digwyddiadau archwilio ar gyfer gweinyddwyr. Mae'r ffigur isod yn dangos yr adroddiadau a'r dangosfyrddau mwyaf defnyddiol ar gyfer gweithio gydag Asiant SandBlast.
Mae adroddiadau yn SmartView yn ddogfennau gyda gwybodaeth ystadegol am ddigwyddiadau dros gyfnod penodol o amser. Mae'n cefnogi uwchlwytho adroddiadau ar ffurf PDF i'r peiriant lle mae SmartView ar agor, yn ogystal â llwytho i fyny yn rheolaidd i PDF/Excel i e-bost y gweinyddwr. Yn ogystal, mae'n cefnogi mewnforio / allforio templedi adroddiadau, creu eich adroddiadau eich hun, a'r gallu i guddio enwau defnyddwyr mewn adroddiadau. Mae'r ffigur isod yn dangos enghraifft o adroddiad Atal Bygythiad wedi'i ymgorffori.
Mae dangosfyrddau (View) yn SmartView yn caniatáu i'r gweinyddwr gyrchu logiau ar gyfer y digwyddiad cyfatebol - cliciwch ddwywaith ar y gwrthrych o ddiddordeb, boed yn golofn siart neu'n enw ffeil maleisus. Fel gydag adroddiadau, gallwch greu eich dangosfyrddau eich hun a chuddio data defnyddwyr. Mae dangosfyrddau hefyd yn cefnogi mewnforio/allforio templedi, llwytho i fyny yn rheolaidd i PDF/Excel i e-bost y gweinyddwr, a diweddariadau data awtomatig i fonitro digwyddiadau diogelwch mewn amser real.
Adrannau monitro ychwanegol
Byddai disgrifiad o'r offer monitro yn y Llwyfan Rheoli yn anghyflawn heb sôn am yr adrannau Trosolwg, Rheoli Cyfrifiaduron, Gosodiadau Endpoint a Gweithrediadau Gwthio. Disgrifiwyd yr adrannau hyn yn fanwl yn , fodd bynnag, bydd yn ddefnyddiol ystyried eu galluoedd ar gyfer datrys problemau monitro. Gadewch i ni ddechrau gyda Throsolwg, sy'n cynnwys dwy is-adran - Trosolwg Gweithredol a Throsolwg Diogelwch, sef dangosfyrddau gyda gwybodaeth am gyflwr peiriannau defnyddwyr gwarchodedig a digwyddiadau diogelwch. Fel wrth ryngweithio ag unrhyw ddangosfwrdd arall, mae'r is-adrannau Trosolwg Gweithredol a Throsolwg Diogelwch, wrth glicio ddwywaith ar y paramedr o ddiddordeb, yn caniatáu ichi gyrraedd yr adran Rheoli Cyfrifiaduron gyda'r hidlydd a ddewiswyd (er enghraifft, “Desktops” neu “Pre- Statws Boot: Wedi'i alluogi”), neu i'r adran Logiau ar gyfer digwyddiad penodol. Mae’r is-adran Trosolwg Diogelwch yn dangosfwrdd “Cyber Attack View – Endpoint”, y gellir ei addasu a’i osod i ddiweddaru data yn awtomatig.
O'r adran Rheoli Cyfrifiaduron gallwch fonitro statws yr asiant ar beiriannau defnyddwyr, statws diweddaru'r gronfa ddata Anti-Malware, camau amgryptio disg, a llawer mwy. Mae'r holl ddata'n cael ei ddiweddaru'n awtomatig, ac ar gyfer pob ffilter dangosir canran y peiriannau defnyddwyr cyfatebol. Cefnogir allforio data cyfrifiadurol ar ffurf CSV hefyd.
Agwedd bwysig ar fonitro diogelwch gweithfannau yw sefydlu hysbysiadau am ddigwyddiadau critigol (Rhybuddion) ac allforio logiau (Digwyddiadau Allforio) i'w storio ar weinydd logiau'r cwmni. Gwneir y ddau leoliad yn yr adran Gosodiadau Endpoint, ac ar gyfer Rhybuddion Mae'n bosibl cysylltu gweinydd post i anfon hysbysiadau digwyddiad i'r gweinyddwr a ffurfweddu trothwyon ar gyfer sbarduno/analluogi hysbysiadau yn dibynnu ar ganran/nifer y dyfeisiau sy'n bodloni meini prawf y digwyddiad. Digwyddiadau Allforio yn caniatáu ichi ffurfweddu trosglwyddiad logiau o'r Llwyfan Rheoli i weinydd logiau'r cwmni i'w prosesu ymhellach. Yn cefnogi fformatau SYSLOG, CEF, LEEF, SPLUNK, protocolau TCP/CDU, unrhyw systemau SIEM gydag asiant syslog rhedeg, y defnydd o amgryptio TLS/SSL a dilysu cleient syslog.
I gael dadansoddiad manwl o ddigwyddiadau ar yr asiant neu rhag ofn y byddwch yn cysylltu â chymorth technegol, gallwch gasglu logiau'n gyflym gan y cleient SandBlast Asiant gan ddefnyddio gweithrediad gorfodol yn yr adran Gweithrediadau Gwthio. Gallwch chi ffurfweddu trosglwyddiad yr archif a gynhyrchir gyda logiau i weinyddion Check Point neu weinyddion corfforaethol, ac mae'r archif gyda logiau yn cael ei gadw ar beiriant y defnyddiwr yn y cyfeiriadur C:UserusernameCPInfo. Mae'n cefnogi lansio'r broses casglu log ar amser penodol a'r gallu i ohirio gweithrediad gan y defnyddiwr.
Hela Bygythiad
Defnyddir Hela Bygythiadau i chwilio'n rhagweithiol am weithgareddau maleisus ac ymddygiad afreolaidd mewn system i ymchwilio ymhellach i ddigwyddiad diogelwch posibl. Mae'r adran Hela Bygythiadau yn y Llwyfan Rheoli yn eich galluogi i chwilio am ddigwyddiadau gyda pharamedrau penodol yn y data peiriant defnyddwyr.
Mae gan yr offeryn Hela Bygythiadau nifer o ymholiadau wedi'u diffinio ymlaen llaw, er enghraifft: i ddosbarthu parthau neu ffeiliau maleisus, olrhain ceisiadau prin i rai cyfeiriadau IP (mewn perthynas ag ystadegau cyffredinol). Mae strwythur y cais yn cynnwys tri pharamedr: dangosydd (protocol rhwydwaith, dynodwr proses, math o ffeil, ac ati), gweithredwr (“yw”, “nid yw”, “yn cynnwys”, “un o”, etc.) a corff cais. Gallwch ddefnyddio ymadroddion rheolaidd yng nghorff y cais, a gallwch ddefnyddio hidlwyr lluosog ar yr un pryd yn y bar chwilio.
Ar ôl dewis hidlydd a chwblhau prosesu ceisiadau, mae gennych fynediad i'r holl ddigwyddiadau perthnasol, gyda'r gallu i weld gwybodaeth fanwl am y digwyddiad, rhoi gwrthrych y cais mewn cwarantîn, neu gynhyrchu Adroddiad Fforensig manwl gyda disgrifiad o'r digwyddiad. Ar hyn o bryd, mae'r offeryn hwn mewn fersiwn beta ac yn y dyfodol bwriedir ehangu'r set o alluoedd, er enghraifft, ychwanegu gwybodaeth am y digwyddiad ar ffurf matrics Miter Att&ck.
Casgliad
Gadewch i ni grynhoi: yn yr erthygl hon fe wnaethom edrych ar alluoedd monitro digwyddiadau diogelwch yn Llwyfan Rheoli Asiant SandBlast, ac astudio offeryn newydd ar gyfer chwilio'n rhagweithiol am gamau gweithredu maleisus ac anomaleddau ar beiriannau defnyddwyr - Hela Bygythiad. Yr erthygl nesaf fydd yr un olaf yn y gyfres hon ac ynddi byddwn yn edrych ar y cwestiynau mwyaf cyffredin am y datrysiad Platfform Rheoli ac yn siarad am y posibiliadau o brofi'r cynnyrch hwn.
. Er mwyn peidio â cholli'r cyhoeddiadau nesaf ar y pwnc Platfform Rheoli Asiant SandBlast, dilynwch y diweddariadau ar ein rhwydweithiau cymdeithasol (, , , , ).
Ffynhonnell: hab.com