Velkommen til lektion 12. I dag vil vi tale om et andet meget vigtigt emne, nemlig arbejde med logs og rapporter. Nogle gange viser denne funktion sig at være næsten afgørende, når du skal vælge et beskyttelsesmiddel. Sikkerhedsspecialister elsker virkelig et praktisk rapporteringssystem og funktionel søgning efter forskellige begivenheder. Det er svært at give dem skylden for dette. Faktisk er logfiler og rapporter det vigtigste element i sikkerhedsvurderingen. Hvordan kan du forstå dit nuværende sikkerhedsniveau, hvis du ikke kan se, hvad der foregår? Heldigvis er Check Point helt fint i denne henseende og endnu mere. Check Point har et af de bedste rapporteringssystemer, der fungerer ud af boksen! Samtidig er der mulighed for tilpasning og oprettelse af egne rapporter! Alt dette suppleres af en praktisk og intuitiv proces til at arbejde med logfiler. Men lad os tale om alt i rækkefølge.
Helt ny grænseflade
Hvis du har arbejdet med Check Point før, blev du sikkert overrasket over den helt nye grænseflade til at arbejde med logs og rapporter i R80. Billedet viser, hvor mange forskellige hjælpeprogrammer, der er blevet kombineret til en ny fane Logs & Monitor:
Logs & Monitor sektion
Hvis du går til Logs & Monitor og åbner en ny fane, bør du se noget som dette:
Der er to store sektioner om standard her:
- Visning af revisionslogfiler — her kan du finde alle hændelser relateret til administratorers login/logout, konfigurationsændringer mv. De der. klassisk revision af administratorhandlinger.
- Logvisning - det er her du kan søge efter begivenheder, der er "genereret" af alle vores aktiverede blade, det være sig firewall, antivirus, IPS osv. Vi har brugt denne funktion mere end én gang.
Derudover er der links til rapporter her (Rapporter) og forskellige dashboards (Views). De kræver en aktiveret klinge for at fungere. Smart begivenhed. Men mere om det senere. Lad os først se på arbejdet med logfiler.
Logsøgning
Efter min mening er det en fornøjelse at arbejde med logs i R80. Vi har en meget smart søgelinje, der giver os mulighed for at "søge" efter vilkårlig tekst, efter blade og efter andre indekserede parametre såsom kilde, destination, handling osv.
Samtidig kan vi sammensætte meget komplekse søgeforespørgsler ved hjælp af logiske operatorer AND, OR, IKKE. Og du behøver ikke engang at udskrive noget for at gøre dette. Et filter kan oprettes med blot et par museklik. Lidt senere vil vi prøve alt dette i praksis.
Visning af logmeddelelser efter adgangsliste
Vi har også allerede sat pris på muligheden for at vise logfiler for en specifik adgangsliste. Det er utroligt praktisk, og man vænner sig meget hurtigt til det. Dette er især nyttigt ved fejlfinding. Jeg har valgt "adgangslisten", som er interessant for dig, og ser nedefra for at se, om den nødvendige trafik falder ind under den.
Der er ingen grund til at gå nogen steder eller oprette et komplekst filter til logfiler.
Visninger og rapporter
Bladet er ansvarlig for rapportering og datavisualisering hos Check Point. Smart begivenhed, som aktiveres på administrationsserveren. Denne funktionalitet kan roligt kaldes SIEM, men kun for Check Point-produkter! Teknisk set kan Smart Event inkludere logfiler fra andre systemer (såsom Cisco, Microsoft osv.), men det er ikke den bedste idé :) I praksis er dette meget problematisk. Men SmartEvent klarer "checkpoint" logs bare glimrende. Kan korrelere, summere, gennemsnit og mere. Og det hele fungerer ud af boksen! Selvfølgelig er der færdige dashboards til at vise de vigtigste informationer. Hos Check Point bliver de kaldt Views:
Du kan se, at der er et ret stort antal standard dashboards her, som er meget nyttige i den daglige administration og overvågning.
Udover dashboards, hvor information blot visualiseres, er det muligt at generere fuldgyldige rapporter og gemme dem i pdf- eller excel-format. Du kan generere dem efter en tidsplan og sende dem til en postkasse.
Og den bedste del! Du kan selv oprette dashboards og rapporter! De der. du er ikke begrænset til indbyggede. Ikke alle leverandører kan prale af dette. Samtidig kan skabeloner til disse dashboards eller rapporter importeres eller eksporteres, hvilket giver brugerne mulighed for at dele deres arbejde. Processen med at oprette et dashboard er meget enkel og intuitiv. Jeg vil forsøge at vise dig dette i laboratoriet, som du finder i videovejledningen nedenfor.
Video lektion
Følg med for mere og deltag i vores 🙂
Kilde: www.habr.com