Wir untersuchen weiterhin die neue Cloud-Plattform Check Point Management Platform zur Verwaltung des Schutztools für Benutzercomputer – SandBlast Agent. Wir haben die Hauptkomponenten von SandBlast Agent beschrieben, uns mit der Check Point Infinity-Architektur vertraut gemacht und die SandBlast Agent Management Platform-Anwendung im Infinity Portal registriert. Heute werden wir die Weboberfläche des Agentenverwaltungssystems im Detail untersuchen – dieser Artikel wird zu einem praktischen Leitfaden für alle Funktionen und Möglichkeiten der Cloud-Konsole. Und als Vorbereitung für den nächsten Artikel installieren wir SandBlast Agent und machen uns mit seiner Benutzeroberfläche vertraut.
Struktur der Cloud-Management-Konsole Management Platform
Die Schnittstelle der SandBlast Agent Management Platform kann in drei Komponenten unterteilt werden:
- Schalttafel – befindet sich oben auf der Benutzeroberfläche und ermöglicht Ihnen die Durchführung grundlegender Verwaltungsaufgaben: Konten verwalten, technischen Support von Check Point kontaktieren und ein Administratorprofil einrichten;
- Navigationsleiste – befindet sich auf der linken Seite und ermöglicht Ihnen die Navigation zwischen den Hauptkomponenten des Control Panels, z. B. dem Abschnitt mit den Richtlinieneinstellungen, der Anzeige von Protokollen usw.;
- Arbeitsplatz – nimmt den größten Teil der Verwaltungskonsole ein und bietet die Möglichkeit, Abschnitte des Navigationsbereichs zu konfigurieren, grafische Informationen (Protokolle, Berichte) anzuzeigen und globale Systemparameter zu konfigurieren.
Schauen wir uns jedes Element des SandBlast Agent Management Platform-Systems genauer an. Die Arbeitsbereiche werden für alle Komponenten der Navigationsleiste ausführlich beschrieben. Beginnen wir zunächst mit den Funktionen des Bedienfelds.
Schalttafel
Das Bedienfeld besteht aus 6 Komponenten, betrachten wir sie von links nach rechts. Die erste ist die Schaltfläche „Menü“, die beim Klicken Ihre aktuellen Portaldienste anzeigt und es Ihnen ermöglicht, Ihrem Konto neue Dienste aus den Kategorien „Cloud Protection“, „Network Protection“ und „Endpoint Protection“ hinzuzufügen. Als nächstes kommt der Name der aktuellen Anwendung, in der Sie arbeiten – in diesem Fall ist es SandBlast Agent Management Platform. Wenn Sie auf das Anwendungssymbol klicken, gelangen Sie jederzeit zum Abschnitt „ÜBERSICHT“ des Navigationsbereichs. Das dritte Element ist das Kontoverwaltungssymbol, mit dem Sie schnell zwischen Konten von Unternehmen wechseln können, bei denen Sie Administrator sind.
Die vierte Komponente des Bedienfelds ist die Hilfeschaltfläche, mit der Sie den technischen Support von Check Point direkt über die Konsole kontaktieren können um den Status der Cloud- und Webressourcen von Check Point zu überwachen und auf die Administratorhandbücher für die SandBlast Agent Management Platform und das Infinity Portal zuzugreifen. Das nächste Element ist Ihr Profil auf dem Infinity-Portal. Durch Anklicken können Sie in die Profileinstellungen wechseln oder das aktuelle Profil verlassen. Und schließlich ist das letzte Element des Bedienfelds eine Schaltfläche zum Aufrufen der Website .
Infinity Portal-Profileinstellungen
Wenn Sie auf den Namen Ihres Infinity Portal-Profils klicken, öffnet sich ein Arbeitsbereich zum Einrichten Ihres Profils: Sie können den angezeigten Benutzernamen und die Telefonnummer ändern sowie die Sprache der Benutzeroberfläche ändern (derzeit sind Englisch und Japanisch verfügbar) und auswählen Konto, mit dem das Profil verknüpft ist. Darüber hinaus können Sie Ihr aktuelles Profilpasswort ändern und die Zwei-Faktor-Authentifizierung mit Google Authenticator oder Twilio Authy aktivieren, um auf das Portal zuzugreifen. Das Einrichten der Zwei-Faktor-Authentifizierung ist äußerst einfach: Mit der Anwendung scannen Sie einen QR-Code, geben anschließend das generierte Zugriffstoken ein und bestätigen, dass 2FA aktiviert ist.
Navigationsleiste
Die Verwaltungskonsole der SandBlast Agent Management Platform verfügt über 9 Abschnitte im Navigationsbereich, wie in der Abbildung unten dargestellt, sodass Sie viele Aufgaben zum Bereitstellen und Verwalten von Agents sowie zum Verwalten der Webkonsoleneinstellungen ausführen können. Werfen wir einen kurzen Blick auf die einzelnen Abschnitte. Für detaillierte Informationen klicken Sie auf den Spoiler mit dem Namen des Abschnitts, der Sie interessiert. Lass uns anfangen:
- Überblick – ein Abschnitt, der aus mehreren Dashboards besteht, die den aktuellen Status von Client-Maschinen und Agenten unter Gesundheitsgesichtspunkten (Anzahl der geschützten Maschinen, deren Betriebssystemversionen, Agentenstatus, Fehlermeldungen usw.) und unter Sicherheitsgesichtspunkten (Daten zu angegriffenen und angegriffenen Maschinen) anzeigen infizierte Maschinen, aktive und blockierte Angriffe, Angriffszeitplan usw.);
Abschnitt ÜBERSICHT: Details
Dieser Abschnitt besteht aus zwei Unterabschnitten: Betriebsübersicht и SicherheitsüberblickDie erste Ansicht, die Betriebsübersicht, zeigt Informationen über den Status der Benutzerrechner und Agenten an: die Anzahl der geschützten Rechner, die Merkmale der Benutzercomputer (Gerätetyp – PC/Laptop, Betriebssystemtyp – …). Windows(MacOS), Statistiken zur Agentenbereitstellung, Systemzustand, Informationen zu Antivirendatenbank-Updates sowie zu den installierten SandBlast-Agent- und Betriebssystemversionen und ein Bereich mit aktiven Ereignissen (Warnungen). Der SandBlast-Agent-Client kann in diesem Unterabschnitt heruntergeladen werden.
Der zweite Unterabschnitt, Sicherheitsübersicht, zeigt Informationen über den Schutzgrad der Benutzercomputer und Angriffe (aktiv und blockiert) an. In diesem Unterabschnitt können Sie die angezeigten Informationen nach Zeit filtern und Suchparameter für bestimmte Objekte festlegen. Jeder der Blöcke im Abschnitt „Sicherheitsübersicht“ kann individuell konfiguriert werden – Sie können Diagramme verschiedener Typen hinzufügen, die Informationen gemäß dem angegebenen Filter anzeigen. Der Unterabschnitt kann als Bericht im Excel-/PDF-Format hochgeladen werden. Sie können den SandBlast Agent-Client auch in diesem Unterabschnitt herunterladen.
- POLITIK — ein Abschnitt des Navigationsbereichs, in dem die Parameter einer einheitlichen Sicherheitsrichtlinie (der sogenannten Unified Policy) konfiguriert sowie Agentenverteilungsregeln und globale Richtlinieneinstellungen definiert werden;
Abschnitt RICHTLINIEN: Details
Der erste Unterabschnitt BedrohungspräventionMit dieser Funktion können Sie Sicherheitsrichtlinienregeln konfigurieren, die die Objekte angeben, auf die die Richtlinie angewendet wird, und den Betrieb von Blades optimieren. Jede Regel kann Einstellungen für drei logische Komponenten der Bedrohungsschutzrichtlinie enthalten: Web- und Dateischutz, Verhaltensschutz, Analyse und Behebung. Die Komponente „Web- und Dateischutz“ umfasst Einstellungen für URL-Filterung, Download-Schutz, Anmeldeinformationsschutz und Dateischutz. Die Komponente „Behavioral Protection“ besteht aus Anti-Bot-, Behavioral Guard- und Anti-Ransomware- sowie Anti-Exploit-Blades. Die Komponente „Analyse und Abhilfe“ umfasst die automatisierte Angriffsanalyse (Forensik) sowie die Abhilfe und Reaktion.
Es gibt drei voreingestellte Profile, die die Einstellungen der Sicherheitskomponenten regeln: Tuning (alle Blades werden in den Erkennungsmodus geschaltet), Empfohlen (einige Blades befinden sich im Erkennungsmodus) und Standard (nur URL-Filterung im Erkennungsmodus). Sie können im Abschnitt „Bedrohungsprävention“ (im Ausschlusscenter) auch Ausnahmen hinzufügen, um Richtlinienregeln zu umgehen.
Zweiter Unterabschnitt - Datenschutz, beinhaltet Einstellungen für die vollständige Festplattenverschlüsselung. Check Point-Verschlüsselung und BitLocker-Verschlüsselung werden unterstützt für WindowsFile Vault für macOS. Zusätzlich können Sie die Verschlüsselungseinstellungen, die Vorstartauthentifizierung und erweiterte Einstellungen anpassen. Windows Authentifizierung.
Nächster Unterabschnitt - Einsatz, das die Einstellungen für die Installation von SandBlast Agent-Komponenten auf Benutzercomputern konfiguriert. In diesem Unterabschnitt ist es möglich, die Installation verschiedener Blades für verschiedene Maschinen und Agentenversionen mithilfe von Richtlinienregeln zu trennen.
Der letzte Unterabschnitt Globale RichtlinieneinstellungenMit dieser Funktion können Sie ein Kennwort konfigurieren, um SandBlast Agent vom Computer eines Benutzers zu entfernen, Datenparameter für die Übertragung an Check Point zu ändern und Kennworteigenschaften für die vollständige Festplattenverschlüsselung festzulegen.
- COMPUTERMANAGEMENT – ein Navigationsbereich, der detaillierte Informationen zu allen Client-Rechnern anzeigt und Ihnen außerdem ermöglicht, logische Computergruppen zu verwalten, erzwungene Aktionen auszuführen (Push-Vorgang) und die Festplattenverschlüsselung zu konfigurieren (Aktionen zur vollständigen Festplattenverschlüsselung);
Abschnitt COMPUTERVERWALTUNG: Details
Der Abschnitt COMPUTERVERWALTUNG besteht aus drei Hauptkomponenten: Einstellungssymbolen, einem Feld zum Anzeigen von Informationen zu Benutzercomputern und Filtern zum Festlegen von Anzeigeparametern. Schauen wir uns die Einstellungssymbole in der Reihenfolge von links nach rechts an: Informationen aktualisieren; Hochladen eines Berichts über die ausgewählte Maschine im CSV-Format; Erstellen eines Verzeichnisscanners, um Informationen über Benutzer, Maschinen und Gruppen aus Active Directory zu erhalten; Gruppenverwaltung (Erstellen/Bearbeiten/Löschen); Erstellen einer neuen virtuellen Gruppe; Hinzufügen einer Benutzermaschine zu einer vorhandenen virtuellen Gruppe; Hinzufügen einer erzwungenen Aktion aus der Kategorie „Push-Operation“ (ausführlich im entsprechenden Abschnitt besprochen); Erstellen von Aufgaben zur Wiederherstellung von Daten von einer verschlüsselten Festplatte bei Zugriffsproblemen (Aktionen zur vollständigen Festplattenverschlüsselung).
Virtuelle Gruppen ermöglichen es Ihnen, Benutzercomputer für eine flexible Verwaltung in logischen Gruppen zusammenzufassen. Diese Gruppen können als Alternative zu Active Directory oder in Verbindung mit AD verwendet werden. Es gibt mehrere virtuelle Gruppen, die Benutzermaschinen automatisch zugewiesen werden, zum Beispiel Desktops, Laptops, Server und andere.
Das Anzeigefeld des Benutzercomputers kann gemäß den in der Abbildung oben gezeigten Filtern angepasst werden. Erster Filter (durch Computereigentum) verfügt über viele integrierte Kriterien und ermöglicht die Anzeige von Benutzercomputern basierend auf ihren Eigenschaften, dem Maschinenzustand oder den SandBlast Agent-Komponenten. Zweiter Filter (nach virtueller Gruppe) stellt die Möglichkeit der Probenahme durch virtuelle Gruppen dar, und die dritte (nach Organisationseinheit) – entsprechend den Active Directory-Parametern.
- LOGS — ein Protokollanzeigefeld, das Statistiken zu vielen Parametern (Blades, Ereigniskritikalität, Benutzermaschinen usw.) anzeigt und detaillierte Informationen zu jedem Protokoll bereitstellt;
Abschnitt „LOGS“: Details
Dieser Abschnitt bietet eine praktische Schnittstelle zum Studieren von Protokollen mit vielen Filtertools. Herkömmlicherweise lassen sich im Arbeitsbereich des LOGS-Bereichs 4 Komponenten unterscheiden: die oberste Suchzeile für Abfragen und Auswahl eines Zeitraums; linkes Feld mit Statistiken für verschiedene Kriterien; zentraler Bereich, in dem alle Protokolle und grundlegende Informationen dazu angezeigt werden; Im rechten Bereich werden detaillierte Informationen zum ausgewählten Protokoll angezeigt. Die Möglichkeit, Protokolle ohne Informationen zu Benutzer und Maschine anzuzeigen (Identitäten ausblenden) und in eine Excel-Datei zu exportieren, wird unterstützt.
- PUSH-BETRIEB – ein Abschnitt, in dem auf dem Client-Computer zwangsweise ausgeführte Aufgaben erstellt und überwacht werden (Erfassen von Protokollen, Neustarten oder Herunterfahren des Computers, Scannen nach Malware/Dateien usw.);
Abschnitt PUSH-OPERATIONEN: Details
Dieser Abschnitt verfügt über zwei Hauptarbeitsbereiche: Der obere Bereich konfiguriert und zeigt erzwungene Aufgaben für Client-Rechner an, und der untere zeigt detaillierte Informationen zur ausgewählten Aufgabe an.
Es gibt drei Kategorien von Durchsetzungseinsätzen, die jeweils mehrere Aufgaben haben: in der Kategorie Anti-Malware Dies ist „Nach Malware suchen“, „Malware-Signaturdatenbank aktualisieren“, „Dateien aus der Quarantäne wiederherstellen“. in der Kategorie Forensik und Sanierung Dies ist „Analysieren nach Indikator, Dateikorrektur“; in der Kategorie Agenteneinstellungen Dies sind „Client-Protokolle sammeln“, „Client reparieren“, „Computer herunterfahren“, „Computer neu starten“. Sie können jeder erzwungenen Aufgabe auch eine genaue Startzeit zuweisen und einen Kommentar mit einer Beschreibung hinzufügen.
- ENDPOINT-EINSTELLUNGEN — ein Abschnitt des Navigationsbereichs, in dem die Integration mit Active Directory konfiguriert wird, Systemnachrichtenparameter (Alerts) konfiguriert werden, der Protokollexport mit Syslog aktiviert ist und es auch möglich ist, den Status von Lizenzen zu überwachen und den Typ der aktuellen Richtlinie (Benutzer) auszuwählen -basiert oder computerbasiert);
Abschnitt ENDPOINT-EINSTELLUNGEN: Details
Der erste Unterabschnitt AD-ScannerMit dieser Option können Sie die vollständige Synchronisierung des Portals mit dem Active Directory Ihrer Organisation konfigurieren, um Informationen über alle Benutzer und Computer zu erhalten. Standardmäßig ist der Organization Distributed Scan-Modus aktiviert, in dem Maschinen mit installiertem SandBlast Agent Daten über ihren Pfad an die Verwaltungskonsole senden, um sie im Abschnitt COMPUTERVERWALTUNG weiter anzuzeigen. Sie können den Modus auch auf „Vollständige Active Directory-Synchronisierung“ ändern, bei dem alle Daten aus Active Directory in die Verwaltungskonsole übernommen werden. Für einen erfolgreichen Scan benötigen Sie ein Konto mit vollständigen Leserechten für: Active Directory-Stammverzeichnis, alle untergeordneten Container und Objekte sowie den Container für gelöschte Objekte.
Der zweite Unterabschnitt ist Warnmeldungen, in dem Sie Einstellungen für Benachrichtigungen über kritische Situationen konfigurieren, beispielsweise über eine Infektion eines Computers oder Probleme bei der Agentenbereitstellung. Auf der rechten Seite des Arbeitsbereichs werden Einstellungen für 12 vordefinierte kritische Situationen konfiguriert, einschließlich Schwellenwerten für die Aktivierung und Deaktivierung von Benachrichtigungen. In diesem Unterabschnitt können Sie auch die Mailserver-Einstellungen für den Versand von Benachrichtigungen per E-Mail konfigurieren.
Unterabschnitt folgt Ereignisse exportieren, mit dem Sie die Übertragung von Protokollen verschiedener Formate (Syslog, CEF, LEEF, Generic) an Ihren Protokollserver konfigurieren können. Mit dieser Option können Sie auch die Übertragung von Protokollen an Ihr SIEM-System konfigurieren, auf dem der Syslog-Agent gestartet werden kann.
Nächster Unterabschnitt - Lizenzen, das Lizenzinformationen anzeigt: eindeutiger Schlüssel, Lizenzstatus, Anzahl aktiver Agenten und Kontingentgröße. Lizenzen werden in den GLOBAL SETTINS-Einstellungen verwaltet.
Der letzte Unterabschnitt ist Richtlinienbetriebsmodus, in dem der aktive Richtlinientyp ausgewählt ist: Benutzerbasierte Richtlinie oder Computerbasierte Richtlinie. Wie aus der Beschreibung der Richtlinien in der folgenden Abbildung hervorgeht, unterscheiden sie sich in der Anwendung von Richtlinien entweder ausschließlich in Bezug auf Maschinen oder die Richtlinie wird in einem gemischten Schema in Bezug auf Benutzer und Maschinen angewendet.
- SERVICE-MANAGEMENT – ein Navigationsbereich, mit dem Sie den Endpoint Management Platform-Dienst verwalten und mit SmartView detaillierte Berichte zu Sicherheitsereignissen anzeigen können. In diesem Abschnitt können Sie Installationsdateien für die SmartConsole-Anwendung und den SandBlast Agent-Client herunterladen.
Abschnitt SERVICE-MANAGEMENT: Details
Der Arbeitsbereich des Bereichs SERVICE MANAGEMENT besteht aus drei Komponenten: Serviceverwaltung und Anzeige von Servicedaten sowie Zugriff auf SmartView (die Schnittstelle ist im Bild unten dargestellt) zur Analyse von Protokollen und Berichten; Panel zum Herunterladen von SmartConsole R80.40 – Check Point-Produktverwaltungsprogramme, einschließlich SandBlast Agent; Panel zum Herunterladen des SandBlast Agent-Clients.
- Bedrohungsjagd — ein Abschnitt, in dem Regeln für die proaktive Bedrohungserkennung konfiguriert werden (derzeit Beta-Version);
Abschnitt „BEDROHUNGSJAGD“: Details
Mit dem Threat-Hunting-Ansatz können Sie proaktiv nach anomalen oder bösartigen Aktivitäten auf Benutzercomputern suchen, auf denen SandBlast Agent installiert ist – zum Beispiel Aufrufe an Domänen, die Check Point als bösartig erachtet, Prozesse, die mit WMI gestartet wurden usw. Es ist möglich, die vorinstallierte Suche zu verwenden Filter hinzufügen oder eigene erstellen. Diese Technologie nutzt Check Point ThreatCloud, einen ständig aktualisierten Dienst, der ein globales Netzwerk von Bedrohungserkennungssensoren und Unternehmen darstellt, die Bedrohungsinformationen an Check Point senden. Threat Hunting befindet sich derzeit in der Entwicklung und der Zugriff auf die Beta-Version ist auf Anfrage bei Check Point erhältlich. Wir werden uns dieses Tool auf jeden Fall in einem der nächsten Artikel der Serie genauer ansehen.
- GLOBALE EINSTELLUNGEN – ein globaler Einstellungsbereich für alle Ihre Anwendungen im Infinity-Portal, der es Ihnen ermöglicht, die Einstellungen des Unternehmenskontos im Portal zu ändern, Administratorkonten zu verwalten und deren Aktionen zu verfolgen, den Status von Verträgen für verschiedene Kontoanwendungen anzuzeigen sowie die API zu verwalten Schlüssel und exportieren Sie Protokolle von CloudGuard SaaS auf Ihren lokalen Protokollserver.
Abschnitt GLOBALE EINSTELLUNGEN: Details
Der erste Unterabschnitt Kontoeinstellungen, zeigt Ihren Kontonamen und Ihre Konto-ID an und ermöglicht Ihnen außerdem, erzwungene Authentifizierungseinstellungen und Inaktivitäts-Timeouts zu konfigurieren. Darüber hinaus können Sie in diesem Unterabschnitt Parameter für die SSO-Autorisierung festlegen und den Kontotyp (Kunde, Partner der Kategorie „Distributor/Reseller“ oder Partner der Kategorie „MSSP“) ändern.
Der nächste Unterabschnitt Nutzer, zeigt Informationen über die Administratoren Ihres Portals an – Kontaktinformationen sowie Datum und Uhrzeit der Registrierung und letzten Anmeldung am Portal. Im selben Abschnitt können Sie zwei Arten von Benutzern hinzufügen: Administrator und schreibgeschützter Benutzer.
Unterabschnitt folgt Audits, mit dem Sie die Aktionen von Portaladministratoren verfolgen können. Wie in der folgenden Abbildung dargestellt, enthalten Administratoraktivitätsprotokolle den Benutzernamen, Datum und Uhrzeit des Ereignisses, Dienst, Kategorie und Art des Ereignisses sowie eine kurze Beschreibung des Protokolls. In den folgenden Protokollen werden beispielsweise Ereignisse der Anmeldung beim Portal (Anmeldung), der Änderung des Kontotyps (Konto aktualisiert) in „Verteiler“ sowie des Hinzufügens einer Zwei-Faktor-Authentifizierung für den Zugriff auf das Portal für einen bestimmten Benutzer (Benutzer aktualisiert) aufgezeichnet ).
Der vierte Unterabschnitt ist Verträge, das Vertragsinformationen für Ihre Anwendungen im Portal anzeigt – Vertragsablaufdatum, Anzahl der Verträge und Kontingentnutzung (falls vorhanden). Außerdem können Sie in diesem Unterabschnitt verknüpfte Check Point-Konten über den Punkt VERWANDTE KONTEN verwalten.
Nächster Unterabschnitt - API-Keys, das API-Schlüssel für alle verfügbaren Infinity Portal-Anwendungen verwaltet. Beim Generieren eines Schlüssels werden eine Client-ID und ein geheimer Schlüssel erstellt, mit denen später Anwendungen von Drittanbietern auf das Portal zugreifen können.
Die letzten beiden Unterabschnitte sind Ereignisse exportieren и Partnereinstellungen, wobei der erste den Prozess des Exportierens von Protokollen von CloudGuard SaaS auf Ihren lokalen Protokollserver beschreibt und der zweite Ihnen ermöglicht, Informationen zu Konten anzuzeigen und neue hinzuzufügen (nur für Konten in der Kategorie „Partner“).
SandBlast Agent: Installation und Einarbeitung in die Schnittstelle
Optionen zur Agentenverteilung
Check Point beschreibt zwei Möglichkeiten, Agenten an Benutzercomputer zu verteilen: automatisch und manuell. Automatische Bereitstellung – Dies erfolgt durch die Installation des ursprünglichen Clients (Initial Client) mithilfe von Drittanbieterlösungen (z. B. Active Directory-Gruppenrichtlinien) und das anschließende automatische Herunterladen der Richtlinien auf den Agenten. Manuelle Bereitstellung – Es wird ein Client mit integrierten Bedrohungspräventions- und/oder Datenschutzrichtlinien heruntergeladen, der dann mithilfe von Lösungen von Drittanbietern an Benutzercomputer verteilt wird. Die erste Methode ist bequemer, da die Initial Client-Version zehnmal weniger wiegt als die Vollversion mit allen Richtlinien, sodass Sie den Agenten beispielsweise per E-Mail als Anhang verteilen können. Andererseits erfordert die manuelle Bereitstellung keine Zeit, um Richtlinien und Blades nach der Installation in den Agenten zu laden – alle Komponenten sind bereits im SandBlast Agent-Paket enthalten.
Lassen Sie uns die automatische Agentenbereitstellung verwenden. Die erste Client-Version kann in zwei Bereichen der Konsole heruntergeladen werden: Serviceverwaltung und Übersicht. Wenn Sie im Abschnitt „Dienstverwaltung“ die Option „Initialen Client herunterladen“ auswählen, wird der erste Client heruntergeladen. Beim Herunterladen aus dem Abschnitt „Übersicht“ gibt es drei Optionen zum Erstellen des SandBlast-Agenten: Schnellinstallation (Erstinstallation), Threat Prevention Agent und Data Protection & Threat Prevention. Die zweite und dritte Option eignen sich für die manuelle Bereitstellung und die erste ist ein Initial Client-Build.
Die heruntergeladene EPS.msi-Datei wird auf den Computer des Benutzers übertragen, woraufhin der Installationsvorgang gestartet werden muss. Nach erfolgreicher Installation erscheint das Check Point Endpoint Security-Symbol in der Taskleiste und zeigt an, dass der Agent vom Verwaltungsserver getrennt wurde.
Zu diesem Zeitpunkt versucht der Client automatisch, über die integrierte Adresse eine Verbindung zum Cloud-Management-Server herzustellen. Dies ist ein recht schneller Vorgang, und nach ein paar Minuten weist eine neue Warnung darauf hin, dass eine Agenteninstallation geplant ist. Diese Meldung zeigt an, dass der Agent erfolgreich eine Verbindung zum Cloud-Management-Server hergestellt hat.
Wenn Sie mit der rechten Maustaste auf das Endpoint Security-Symbol klicken, können Sie detailliertere Informationen über die mit dem Verwaltungsserver hergestellte Verbindung abrufen, z. B. den Namen des Verwaltungsservers, mit dem sich der Client verbunden hat, und den aktuellen Verbindungsstatus.
Nach erfolgreicher Verbindung mit dem Verwaltungsserver beginnt der Prozess des Herunterladens der erforderlichen Komponenten (gemäß der Sicherheitsrichtlinie) auf den Benutzercomputer. Der Administrator kann den Status des Agenteninstallationsprozesses im Abschnitt „Computerverwaltung“ der Webverwaltungskonsole überwachen. Nach erfolgreicher Verbindung des Benutzercomputers mit dem Cloud-Verwaltungsserver ändert sich sein Status im Abschnitt „Computerverwaltung“ von „Geplant“ in „Wird heruntergeladen“. Nach dem Herunterladen und Überprüfen aller Komponenten wird dem Benutzer angeboten, den Agenten sofort zu installieren oder den Installationsvorgang zu verschieben. Wenn der Benutzer den Agent nicht innerhalb von 2 Tagen nach Beginn des Prozesses installiert, wird die Installation des Agenten erzwungen, was in dem Fenster angezeigt wird, in dem die Installation gestartet wird.
Nachdem die Agenteninstallation begonnen hat, wechselt der Benutzercomputer im Abschnitt „Computerverwaltung“ der Verwaltungskonsole in den Status „Bereitstellen“. Sobald der Installationsprozess des Agenten abgeschlossen ist, können Sie seine Benutzeroberfläche öffnen, indem Sie mit der rechten Maustaste auf das Endpoint Security-Symbol klicken und „Übersicht anzeigen“ auswählen.
Nach der Installation wird empfohlen, auf „Jetzt aktualisieren“ zu klicken, um den Prozess der Aktualisierung der Richtlinien und Datenbanken auf dem Agenten zu starten. Das erste Update der Anti-Malware-Datenbank kann einige Zeit dauern. Sobald alle Datenbanken aktualisiert sind, startet ein automatischer erster Scan des Systems. Zu diesem Zeitpunkt sollte der Client-Computer in der Verwaltungskonsole im Status „Abgeschlossen“ angezeigt werden, was die erfolgreiche Installation des Agenten anzeigt.
Beginnen wir mit der Erkundung der Agentenoberfläche. In der unteren linken Ecke werden der Agentenstatus (Online/Getrennt) und der Name Ihres Cloud-Management-Servers angezeigt – in unserem Fall ist der Status „Online“ und der Name des Management-Servers ist „matssolution“. Die aktuelle Version des Agenten wird in der unteren rechten Ecke angezeigt – wir haben Version E83.11 (83.11.2702) installiert. Das Agenten-Navigationsfeld besteht aus mehreren Abschnitten:
- Übersicht – der Hauptabschnitt, der Informationen über den Status aller Blades und die Einhaltung der Sicherheitsrichtlinie durch den Computer des Benutzers anzeigt. Außerdem können Sie in diesem Abschnitt in jedes Blade „eintauchen“, um detailliertere Informationen zum Status und zu Sicherheitsereignissen zu erhalten.
- Jetzt aktualisieren – ermöglicht Ihnen, den Prozess der Überprüfung der Relevanz der auf dem Agenten geltenden Sicherheitsrichtlinien und Datenbanken zu starten;
- System jetzt scannen – leitet den Scanvorgang des Systems auf das Vorhandensein schädlicher Software oder Dateien ein;
- Erweitert – Erweiterte Agent-Einstellungen, mit denen Sie die installierte Richtlinie anzeigen, Protokolle anzeigen oder sammeln und den Computer des Benutzers auch als Deployment Agent verwenden können.
Da an der ursprünglichen Richtlinie keine Änderungen vorgenommen wurden, enthält der Agent derzeit nur Threat Prevention-Policy Blades mit Standardwerten. Der Inhalt der ursprünglichen Bedrohungspräventionsrichtlinie wird in unserem nächsten Artikel der Serie ausführlicher besprochen.
Fazit
Es ist Zeit, die geleistete Arbeit zusammenzufassen: In diesem Artikel haben wir uns ausführlich mit der Benutzeroberfläche der Webverwaltungskonsole der SandBlast Agent Management Platform vertraut gemacht, den Agenten auf dem Benutzercomputer installiert und seine Benutzeroberfläche untersucht.
In unserem nächsten Artikel der Reihe werden wir die Standardrichtlinie zur Bedrohungsprävention untersuchen und sie testen, um den häufigsten Angriffen entgegenzuwirken. Wir werden auch unsere eigenen Richtlinienregeln erstellen, um das Sicherheitsniveau des Benutzercomputers zu erhöhen.
. Um die nächsten Veröffentlichungen zum Thema SandBlast Agent Management Platform nicht zu verpassen, verfolgen Sie die Updates in unseren sozialen Netzwerken (, , , , ).
Source: habr.com
