Velkommen til den femte artikel i serien om Check Point SandBlast Agent Management Platform-løsningen. Tidligere artikler kan findes ved at følge det relevante link: , , , . I dag skal vi se på overvågningsmuligheder i Management Platform, nemlig arbejde med logs, interaktive dashboards (View) og rapporter. Vi vil også berøre emnet Threat Hunting for at identificere aktuelle trusler og unormale hændelser på brugerens maskine.
Logs
Hovedkilden til information til overvågning af sikkerhedshændelser er sektionen Logs, som viser detaljerede oplysninger om hver hændelse og giver dig også mulighed for at bruge praktiske filtre til at justere dine søgekriterier. For eksempel, når du højreklikker på en parameter (blad, handling, alvorlighed osv.) i loggen af interesse, kan denne parameter filtreres som Filter: "Parameter" eller Filtrer ud: "Parameter". Også for Kilde-parameteren kan IP-værktøjer-indstillingen vælges, hvor du kan køre et ping til en given IP-adresse/navn eller køre et nslookup for at få kildens IP-adresse ved navn.
I sektionen Logs, til filtrering af hændelser, er der en Statistik-undersektion, som viser statistik på alle parametre: et tidsdiagram med antallet af logfiler, samt procenter for hver parameter. Fra denne undersektion kan du nemt filtrere logfiler uden at bruge søgelinjen og skrive filtreringsudtryk - vælg blot de relevante parametre, og en ny liste over logfiler vil straks blive vist.
Detaljerede oplysninger om hver log er tilgængelig i højre panel i Logs sektionen, men det er mere praktisk at åbne loggen ved at dobbeltklikke for at analysere indholdet. Nedenfor er et eksempel på en log (billedet kan klikkes), som viser detaljerede oplysninger om udløsningen af Trusselsemuleringsbladets Forhindre-handling på en inficeret ".docx"-fil. Loggen har flere undersektioner, der viser detaljerne om sikkerhedshændelsen: udløste politikker og beskyttelser, kriminaltekniske detaljer, oplysninger om klienten og trafik. De rapporter, der er tilgængelige fra loggen, fortjener særlig opmærksomhed - Trusselsemuleringsrapport og Forensisk rapport. Disse rapporter kan også åbnes fra SandBlast Agent-klienten.
Trusselsemuleringsrapport
Når du bruger Threat Emulation-bladet, efter emulering er udført i Check Point-skyen, vises et link til en detaljeret rapport om emuleringsresultaterne - Threat Emulation Report - i den tilsvarende log. Indholdet af en sådan rapport er beskrevet detaljeret i vores artikel om . Det er værd at bemærke, at denne rapport er interaktiv og giver dig mulighed for at "dykke ned i" detaljerne for hvert afsnit. Det er også muligt at se en optagelse af emuleringsprocessen i en virtuel maskine, downloade den originale ondsindede fil eller få dens hash og også kontakte Check Point Incident Response Team.
Retsmedicinsk rapport
For næsten enhver sikkerhedshændelse genereres en retsmedicinsk rapport, som indeholder detaljerede oplysninger om den skadelige fil: dens karakteristika, handlinger, indgangspunkt i systemet og indvirkning på vigtige virksomhedsaktiver. Vi diskuterede rapportens struktur i detaljer i artiklen om . En sådan rapport er en vigtig informationskilde ved undersøgelse af sikkerhedshændelser, og om nødvendigt kan indholdet af rapporten straks sendes til Check Point Incident Response Team.
SmartView
Check Point SmartView er et praktisk værktøj til at oprette og se dynamiske dashboards (View) og rapporter i PDF-format. Fra SmartView kan du også se brugerlogfiler og revisionsbegivenheder for administratorer. Nedenstående figur viser de mest nyttige rapporter og dashboards til at arbejde med SandBlast Agent.
Rapporter i SmartView er dokumenter med statistisk information om hændelser over en bestemt periode. Den understøtter upload af rapporter i PDF-format til maskinen, hvor SmartView er åben, samt regelmæssig upload til PDF/Excel til administratorens e-mail. Derudover understøtter den import/eksport af rapportskabeloner, oprettelse af dine egne rapporter og muligheden for at skjule brugernavne i rapporter. Nedenstående figur viser et eksempel på en indbygget rapport om trusselsforebyggelse.
Dashboards (View) i SmartView giver administratoren adgang til logfiler for den tilsvarende hændelse - bare dobbeltklik på objektet af interesse, det være sig en diagramkolonne eller navnet på en ondsindet fil. Som med rapporter kan du oprette dine egne dashboards og skjule brugerdata. Dashboards understøtter også import/eksport af skabeloner, regelmæssig upload til PDF/Excel til administratorens e-mail og automatiske dataopdateringer for at overvåge sikkerhedshændelser i realtid.
Yderligere overvågningssektioner
En beskrivelse af overvågningsværktøjerne i Management Platform ville være ufuldstændig uden at nævne sektionerne Oversigt, Computerstyring, Endpoint Settings og Push Operations. Disse afsnit er blevet beskrevet detaljeret i Det vil dog være nyttigt at overveje deres muligheder for at løse overvågningsproblemer. Lad os starte med Oversigt, som består af to underafsnit - Driftsoversigt og Sikkerhedsoversigt, som er dashboards med information om tilstanden af beskyttede brugermaskiner og sikkerhedshændelser. Som når du interagerer med ethvert andet dashboard, giver underafsnittene Driftsoversigt og Sikkerhedsoversigt dig, når du dobbeltklikker på parameteren af interesse, dig til at komme til Computer Management sektionen med det valgte filter (f.eks. "Desktops" eller "Pre- Boot Status: Enabled”), eller til sektionen Logs for en specifik hændelse. Underafsnittet Sikkerhedsoversigt er et "Cyber Attack View - Endpoint" dashboard, som kan tilpasses og indstilles til automatisk at opdatere data.
Fra afsnittet Computerstyring kan du overvåge agentens status på brugermaskiner, opdateringsstatus for Anti-Malware-databasen, stadierne af diskkryptering og meget mere. Alle data opdateres automatisk, og for hvert filter vises procentdelen af matchende brugermaskiner. Eksport af computerdata i CSV-format understøttes også.
Et vigtigt aspekt ved overvågning af sikkerheden på arbejdsstationer er opsætning af meddelelser om kritiske hændelser (Alerts) og eksport af logfiler (Eksporthændelser) til lagring på virksomhedens logserver. Begge indstillinger foretages i afsnittet Endpoint Settings og for Advarsler Det er muligt at tilslutte en mailserver for at sende hændelsesmeddelelser til administratoren og konfigurere tærskler for at udløse/deaktivere meddelelser afhængigt af procentdelen/antal enheder, der opfylder hændelseskriterierne. Eksporter begivenheder giver dig mulighed for at konfigurere overførslen af logfiler fra Management Platformen til virksomhedens logserver til videre behandling. Understøtter SYSLOG, CEF, LEEF, SPLUNK-formater, TCP/UDP-protokoller, alle SIEM-systemer med en kørende syslog-agent, brugen af TLS/SSL-kryptering og syslog-klientgodkendelse.
For en dybdegående analyse af hændelser på agenten eller i tilfælde af at kontakte teknisk support, kan du hurtigt indsamle logfiler fra SandBlast Agent-klienten ved hjælp af en tvungen operation i sektionen Push Operations. Du kan konfigurere overførslen af det genererede arkiv med logfiler til Check Point-servere eller virksomhedsservere, og arkivet med logfiler gemmes på brugerens maskine i mappen C:UserusernameCPInfo. Det understøtter lancering af logindsamlingsprocessen på et bestemt tidspunkt og muligheden for at udskyde operationen af brugeren.
Trusseljagt
Trusselsjagt bruges til proaktivt at søge efter ondsindede aktiviteter og unormal adfærd i et system for yderligere at undersøge en potentiel sikkerhedshændelse. Trusselsjagtsektionen i Management Platform giver dig mulighed for at søge efter hændelser med specificerede parametre i brugermaskinens data.
Trusselsjagtværktøjet har flere foruddefinerede forespørgsler, for eksempel: at klassificere ondsindede domæner eller filer, spore sjældne anmodninger til bestemte IP-adresser (i forhold til generel statistik). Anmodningsstrukturen består af tre parametre: indikator (netværksprotokol, proces-id, filtype osv.), operatør ("er", "er ikke", "inkluderer", "en af" osv.) og anmodningsorgan. Du kan bruge regulære udtryk i selve anmodningen, og du kan bruge flere filtre samtidigt i søgefeltet.
Efter at have valgt et filter og gennemført anmodningsbehandling, har du adgang til alle relevante hændelser med mulighed for at se detaljerede oplysninger om hændelsen, sætte anmodningsobjektet i karantæne eller generere en detaljeret retsmedicinsk rapport med en beskrivelse af hændelsen. I øjeblikket er dette værktøj i betaversion, og i fremtiden er det planlagt at udvide sættet af muligheder, for eksempel ved at tilføje information om begivenheden i form af en Mitre Att&ck-matrix.
Konklusion
Lad os opsummere: i denne artikel har vi set på mulighederne for at overvåge sikkerhedshændelser i SandBlast Agent Management Platform og studeret et nyt værktøj til proaktivt at søge efter ondsindede handlinger og anomalier på brugermaskiner - Threat Hunting. Den næste artikel vil være den sidste i denne serie, og i den vil vi se på de oftest stillede spørgsmål om Management Platform-løsningen og tale om mulighederne for at teste dette produkt.
. For ikke at gå glip af de næste publikationer om emnet SandBlast Agent Management Platform, følg opdateringerne på vores sociale netværk (, , , , ).
Kilde: www.habr.com