Willkommen zum fünften Artikel der Serie über die Check Point SandBlast Agent Management Platform-Lösung. Frühere Artikel finden Sie über den entsprechenden Link: , , , . Heute befassen wir uns mit den Überwachungsfunktionen der Managementplattform, insbesondere mit Protokollen, interaktiven Dashboards (Ansicht) und Berichten. Wir werden auch auf das Thema Threat Hunting eingehen, um aktuelle Bedrohungen und anomale Ereignisse auf dem Computer des Benutzers zu identifizieren.
Logs
Die wichtigste Informationsquelle für die Überwachung von Sicherheitsereignissen ist der Abschnitt „Protokolle“, der detaillierte Informationen zu jedem Vorfall anzeigt und Ihnen außerdem die Verwendung praktischer Filter zur Verfeinerung Ihrer Suchkriterien ermöglicht. Wenn Sie beispielsweise mit der rechten Maustaste auf einen Parameter (Blade, Aktion, Schweregrad usw.) des interessierenden Protokolls klicken, kann dieser Parameter gefiltert werden als Filter: „Parameter“ oder Herausfiltern: „Parameter“. Außerdem kann für den Quellparameter die Option „IP-Tools“ ausgewählt werden, mit der Sie einen Ping an eine bestimmte IP-Adresse/einen bestimmten IP-Namen ausführen oder einen nslookup ausführen können, um die Quell-IP-Adresse anhand des Namens abzurufen.
Im Abschnitt „Protokolle“ gibt es zum Filtern von Ereignissen einen Unterabschnitt „Statistiken“, der Statistiken zu allen Parametern anzeigt: ein Zeitdiagramm mit der Anzahl der Protokolle sowie Prozentsätze für jeden Parameter. In diesem Unterabschnitt können Sie Protokolle ganz einfach filtern, ohne die Suchleiste zu verwenden und Filterausdrücke zu schreiben. Wählen Sie einfach die gewünschten Parameter aus und eine neue Protokollliste wird sofort angezeigt.
Detaillierte Informationen zu jedem Protokoll sind im rechten Bereich des Abschnitts „Protokolle“ verfügbar. Um den Inhalt zu analysieren, ist es jedoch bequemer, das Protokoll durch Doppelklicken zu öffnen. Unten sehen Sie ein Beispiel für ein Protokoll (das Bild ist anklickbar), das detaillierte Informationen zum Auslösen der Aktion „Verhindern“ des Threat Emulation Blade für eine infizierte „.docx“-Datei anzeigt. Das Protokoll verfügt über mehrere Unterabschnitte, die die Details des Sicherheitsereignisses anzeigen: ausgelöste Richtlinien und Schutzmaßnahmen, forensische Details, Informationen über den Client und den Datenverkehr. Besondere Aufmerksamkeit verdienen die im Protokoll verfügbaren Berichte – Threat Emulation Report und Forensics Report. Diese Berichte können auch über den SandBlast Agent-Client geöffnet werden.
Bericht zur Bedrohungsemulation
Wenn Sie das Blatt „Threat Emulation“ verwenden, wird nach der Emulation in der Check Point Cloud ein Link zu einem detaillierten Bericht über die Emulationsergebnisse – Threat Emulation Report – im entsprechenden Protokoll angezeigt. Die Inhalte eines solchen Berichts werden in unserem Artikel ausführlich beschrieben . Es ist erwähnenswert, dass dieser Bericht interaktiv ist und es Ihnen ermöglicht, in die Details jedes Abschnitts einzutauchen. Es ist auch möglich, eine Aufzeichnung des Emulationsprozesses in einer virtuellen Maschine anzusehen, die ursprüngliche Schaddatei herunterzuladen oder ihren Hash zu erhalten und sich auch an das Check Point Incident Response Team zu wenden.
Forensikbericht
Für fast jedes Sicherheitsereignis wird ein Forensikbericht erstellt, der detaillierte Informationen über die Schaddatei enthält: ihre Eigenschaften, Aktionen, Eintrittspunkt in das System und Auswirkungen auf wichtige Unternehmenswerte. Den Aufbau des Berichts haben wir im Artikel ausführlich besprochen . Ein solcher Bericht ist eine wichtige Informationsquelle bei der Untersuchung von Sicherheitsvorfällen. Bei Bedarf kann der Inhalt des Berichts sofort an das Check Point Incident Response Team gesendet werden.
SmartView
Check Point SmartView ist ein praktisches Tool zum Erstellen und Anzeigen dynamischer Dashboards (Ansicht) und Berichte im PDF-Format. Von SmartView aus können Sie auch Benutzerprotokolle und Audit-Ereignisse für Administratoren anzeigen. Die folgende Abbildung zeigt die nützlichsten Berichte und Dashboards für die Arbeit mit SandBlast Agent.
Berichte in SmartView sind Dokumente mit statistischen Informationen über Ereignisse über einen bestimmten Zeitraum. Es unterstützt das Hochladen von Berichten im PDF-Format auf den Computer, auf dem SmartView geöffnet ist, sowie das regelmäßige Hochladen in PDF/Excel an die E-Mail-Adresse des Administrators. Darüber hinaus unterstützt es den Import/Export von Berichtsvorlagen, die Erstellung eigener Berichte und die Möglichkeit, Benutzernamen in Berichten auszublenden. Die folgende Abbildung zeigt ein Beispiel eines integrierten Bedrohungsschutzberichts.
Dashboards (Ansicht) in SmartView ermöglichen dem Administrator den Zugriff auf Protokolle für das entsprechende Ereignis – doppelklicken Sie einfach auf das gewünschte Objekt, sei es eine Diagrammspalte oder der Name einer schädlichen Datei. Wie bei Berichten können Sie Ihre eigenen Dashboards erstellen und Benutzerdaten ausblenden. Dashboards unterstützen außerdem den Import/Export von Vorlagen, das regelmäßige Hochladen in PDF/Excel an die E-Mail-Adresse des Administrators und automatische Datenaktualisierungen zur Überwachung von Sicherheitsereignissen in Echtzeit.
Zusätzliche Überwachungsabschnitte
Eine Beschreibung der Überwachungstools in der Managementplattform wäre unvollständig, ohne die Abschnitte „Übersicht“, „Computerverwaltung“, „Endpunkteinstellungen“ und „Push-Vorgänge“ zu erwähnen. Diese Abschnitte wurden ausführlich beschrieben in Es wird jedoch nützlich sein, ihre Fähigkeiten zur Lösung von Überwachungsproblemen zu berücksichtigen. Beginnen wir mit der Übersicht, die aus zwei Unterabschnitten besteht: Betriebsübersicht und Sicherheitsübersicht, bei denen es sich um Dashboards mit Informationen zum Status geschützter Benutzermaschinen und Sicherheitsereignissen handelt. Wie bei der Interaktion mit jedem anderen Dashboard ermöglichen Ihnen die Unterabschnitte „Betriebsübersicht“ und „Sicherheitsübersicht“ durch Doppelklicken auf den gewünschten Parameter den Zugriff auf den Abschnitt „Computerverwaltung“ mit dem ausgewählten Filter (z. B. „Desktops“ oder „Vorab“). Boot-Status: Aktiviert“) oder zum Abschnitt Protokolle für ein bestimmtes Ereignis. Der Unterabschnitt „Sicherheitsübersicht“ ist ein Dashboard „Cyber-Angriffsansicht – Endpunkt“, das angepasst und so eingestellt werden kann, dass Daten automatisch aktualisiert werden.
Im Abschnitt „Computerverwaltung“ können Sie den Status des Agents auf Benutzercomputern, den Aktualisierungsstatus der Anti-Malware-Datenbank, die Phasen der Festplattenverschlüsselung und vieles mehr überwachen. Alle Daten werden automatisch aktualisiert und für jeden Filter wird der Prozentsatz übereinstimmender Benutzermaschinen angezeigt. Der Export von Computerdaten im CSV-Format wird ebenfalls unterstützt.
Ein wichtiger Aspekt der Überwachung der Sicherheit von Arbeitsstationen ist das Einrichten von Benachrichtigungen über kritische Ereignisse (Alerts) und das Exportieren von Protokollen (Export Events) zur Speicherung auf dem Protokollserver des Unternehmens. Beide Einstellungen werden im Abschnitt Endpunkteinstellungen vorgenommen und für Warnmeldungen Es ist möglich, einen Mailserver anzuschließen, um Ereignisbenachrichtigungen an den Administrator zu senden und Schwellenwerte für das Auslösen/Deaktivieren von Benachrichtigungen abhängig vom Prozentsatz/der Anzahl der Geräte zu konfigurieren, die die Ereigniskriterien erfüllen. Ereignisse exportieren ermöglicht Ihnen, die Übertragung von Protokollen von der Managementplattform an den Protokollserver des Unternehmens zur weiteren Verarbeitung zu konfigurieren. Unterstützt die Formate SYSLOG, CEF, LEEF, SPLUNK, TCP/UDP-Protokolle, alle SIEM-Systeme mit einem laufenden Syslog-Agenten, die Verwendung von TLS/SSL-Verschlüsselung und Syslog-Client-Authentifizierung.
Für eine detaillierte Analyse von Ereignissen auf dem Agent oder im Falle einer Kontaktaufnahme mit dem technischen Support können Sie mithilfe einer erzwungenen Operation im Abschnitt „Push-Vorgänge“ schnell Protokolle vom SandBlast-Agent-Client sammeln. Sie können die Übertragung des generierten Archivs mit Protokollen an Check Point-Server oder Unternehmensserver konfigurieren und das Archiv mit Protokollen wird auf dem Computer des Benutzers im Verzeichnis C:BenutzerBenutzernameCPInfo gespeichert. Es unterstützt das Starten des Protokollerfassungsprozesses zu einem bestimmten Zeitpunkt und die Möglichkeit, den Vorgang durch den Benutzer zu verschieben.
Bedrohungsjagd
Threat Hunting wird verwendet, um proaktiv nach böswilligen Aktivitäten und anomalem Verhalten in einem System zu suchen, um ein potenzielles Sicherheitsereignis weiter zu untersuchen. Im Abschnitt „Threat Hunting“ der Managementplattform können Sie nach Ereignissen mit bestimmten Parametern in den Benutzermaschinendaten suchen.
Das Threat Hunting-Tool verfügt über mehrere vordefinierte Abfragen, beispielsweise zur Klassifizierung bösartiger Domänen oder Dateien, zur Verfolgung seltener Anfragen an bestimmte IP-Adressen (relativ zu allgemeinen Statistiken). Die Anfragestruktur besteht aus drei Parametern: Anzeige (Netzwerkprotokoll, Prozesskennung, Dateityp usw.), Betreiber („ist“, „ist nicht“, „beinhaltet“, „einer von“ usw.) und Anfragetext. Sie können im Hauptteil der Anfrage reguläre Ausdrücke verwenden und in der Suchleiste mehrere Filter gleichzeitig verwenden.
Nachdem Sie einen Filter ausgewählt und die Anforderungsbearbeitung abgeschlossen haben, haben Sie Zugriff auf alle relevanten Ereignisse und können detaillierte Informationen zum Ereignis anzeigen, das Anforderungsobjekt unter Quarantäne stellen oder einen detaillierten forensischen Bericht mit einer Beschreibung des Ereignisses erstellen. Derzeit befindet sich dieses Tool in der Beta-Version und in Zukunft ist geplant, den Funktionsumfang zu erweitern, beispielsweise durch das Hinzufügen von Informationen über das Ereignis in Form einer Mitre Att&ck-Matrix.
Abschluss
Fassen wir zusammen: In diesem Artikel haben wir uns mit den Möglichkeiten der Überwachung von Sicherheitsereignissen in der SandBlast Agent Management Platform befasst und ein neues Tool zur proaktiven Suche nach böswilligen Aktionen und Anomalien auf Benutzercomputern untersucht – Threat Hunting. Der nächste Artikel wird der letzte dieser Reihe sein. Darin werden wir uns mit den am häufigsten gestellten Fragen zur Management Platform-Lösung befassen und über die Möglichkeiten sprechen, dieses Produkt zu testen.
. Um die nächsten Veröffentlichungen zum Thema SandBlast Agent Management Platform nicht zu verpassen, verfolgen Sie die Updates in unseren sozialen Netzwerken (, , , , ).
Source: habr.com