Καλώς ήρθατε στο πέμπτο άρθρο της σειράς σχετικά με τη λύση Check Point SandBlast Agent Management Platform. Μπορείτε να βρείτε προηγούμενα άρθρα ακολουθώντας τον κατάλληλο σύνδεσμο: , , , . Σήμερα θα εξετάσουμε τις δυνατότητες παρακολούθησης στην Πλατφόρμα Διαχείρισης, δηλαδή την εργασία με αρχεία καταγραφής, διαδραστικούς πίνακες εργαλείων (Προβολή) και αναφορές. Θα θίξουμε επίσης το θέμα του Threat Hunting για να εντοπίσουμε τρέχουσες απειλές και ανώμαλα συμβάντα στον υπολογιστή του χρήστη.
Logs
Η κύρια πηγή πληροφοριών για την παρακολούθηση συμβάντων ασφαλείας είναι η ενότητα Καταγραφή, η οποία εμφανίζει λεπτομερείς πληροφορίες για κάθε περιστατικό και σας επιτρέπει επίσης να χρησιμοποιείτε βολικά φίλτρα για να βελτιώσετε τα κριτήρια αναζήτησής σας. Για παράδειγμα, όταν κάνετε δεξί κλικ σε μια παράμετρο (Blade, Action, Severity, κ.λπ.) του αρχείου καταγραφής ενδιαφέροντος, αυτή η παράμετρος μπορεί να φιλτραριστεί ως Φίλτρο: "Παράμετρος" ή Filter Out: "Parameter". Επίσης για την παράμετρο Source μπορεί να επιλεγεί η επιλογή Εργαλεία IP όπου μπορείτε να εκτελέσετε ένα ping σε μια δεδομένη διεύθυνση IP/όνομα ή να εκτελέσετε ένα nslookup για να λάβετε τη διεύθυνση IP προέλευσης με το όνομα.
Στην ενότητα Αρχεία, για το φιλτράρισμα συμβάντων, υπάρχει μια υποενότητα Στατιστικά, η οποία εμφανίζει στατιστικά στοιχεία για όλες τις παραμέτρους: ένα διάγραμμα χρόνου με τον αριθμό των αρχείων καταγραφής, καθώς και ποσοστά για κάθε παράμετρο. Από αυτήν την υποενότητα μπορείτε εύκολα να φιλτράρετε αρχεία καταγραφής χωρίς να χρησιμοποιείτε τη γραμμή αναζήτησης και να γράφετε εκφράσεις φιλτραρίσματος - απλώς επιλέξτε τις παραμέτρους που σας ενδιαφέρουν και θα εμφανιστεί αμέσως μια νέα λίστα αρχείων καταγραφής.
Λεπτομερείς πληροφορίες για κάθε αρχείο καταγραφής είναι διαθέσιμες στο δεξιό πλαίσιο της ενότητας Αρχεία καταγραφής, αλλά είναι πιο βολικό να ανοίξετε το αρχείο καταγραφής κάνοντας διπλό κλικ για να αναλύσετε τα περιεχόμενα. Παρακάτω είναι ένα παράδειγμα αρχείου καταγραφής (η εικόνα μπορεί να κάνει κλικ), το οποίο εμφανίζει λεπτομερείς πληροφορίες σχετικά με την ενεργοποίηση της ενέργειας Αποτροπή της λεπίδας εξομοίωσης απειλής σε ένα μολυσμένο αρχείο ".docx". Το αρχείο καταγραφής έχει πολλές υποενότητες που εμφανίζουν τις λεπτομέρειες του συμβάντος ασφαλείας: ενεργοποιημένες πολιτικές και προστασίες, λεπτομέρειες εγκληματολογίας, πληροφορίες σχετικά με τον πελάτη και την κυκλοφορία. Οι αναφορές που είναι διαθέσιμες από το αρχείο καταγραφής αξίζουν ιδιαίτερης προσοχής - Αναφορά εξομοίωσης απειλών και αναφορά εγκληματολογίας. Αυτές οι αναφορές μπορούν επίσης να ανοίξουν από τον πελάτη SandBlast Agent.
Αναφορά εξομοίωσης απειλών
Όταν χρησιμοποιείτε τη λεπίδα εξομοίωσης απειλής, μετά την πραγματοποίηση της εξομοίωσης στο σύννεφο Σημείων ελέγχου, εμφανίζεται στο αντίστοιχο αρχείο καταγραφής ένας σύνδεσμος προς μια λεπτομερή αναφορά σχετικά με τα αποτελέσματα της εξομοίωσης - Αναφορά εξομοίωσης απειλών. Τα περιεχόμενα μιας τέτοιας αναφοράς περιγράφονται λεπτομερώς στο άρθρο μας σχετικά . Αξίζει να σημειωθεί ότι αυτή η αναφορά είναι διαδραστική και σας επιτρέπει να «βουτήξετε» στις λεπτομέρειες για κάθε ενότητα. Είναι επίσης δυνατή η προβολή μιας εγγραφής της διαδικασίας εξομοίωσης σε μια εικονική μηχανή, η λήψη του αρχικού κακόβουλου αρχείου ή η λήψη του κατακερματισμού του, καθώς και η επικοινωνία με την Ομάδα Απόκρισης Συμβάντος του Check Point.
Έκθεση Ιατροδικαστικής
Για σχεδόν οποιοδήποτε συμβάν ασφαλείας, δημιουργείται μια Αναφορά Forensics, η οποία περιλαμβάνει λεπτομερείς πληροφορίες σχετικά με το κακόβουλο αρχείο: τα χαρακτηριστικά, τις ενέργειές του, το σημείο εισόδου στο σύστημα και τον αντίκτυπο σε σημαντικά περιουσιακά στοιχεία της εταιρείας. Συζητήσαμε τη δομή της έκθεσης λεπτομερώς στο άρθρο σχετικά . Μια τέτοια αναφορά είναι μια σημαντική πηγή πληροφοριών κατά τη διερεύνηση συμβάντων ασφαλείας και, εάν είναι απαραίτητο, τα περιεχόμενα της αναφοράς μπορούν να σταλούν αμέσως στην Ομάδα Αντιμετώπισης Συμβάντων του Σημείου Ελέγχου.
Έξυπνη προβολή
Το Check Point SmartView είναι ένα βολικό εργαλείο για τη δημιουργία και την προβολή δυναμικών πινάκων εργαλείων (Προβολή) και αναφορών σε μορφή PDF. Από το SmartView μπορείτε επίσης να προβάλετε αρχεία καταγραφής χρηστών και συμβάντα ελέγχου για διαχειριστές. Το παρακάτω σχήμα δείχνει τις πιο χρήσιμες αναφορές και πίνακες εργαλείων για εργασία με το SandBlast Agent.
Οι αναφορές στο SmartView είναι έγγραφα με στατιστικές πληροφορίες σχετικά με συμβάντα για μια συγκεκριμένη χρονική περίοδο. Υποστηρίζει τη μεταφόρτωση αναφορών σε μορφή PDF στο μηχάνημα όπου είναι ανοιχτό το SmartView, καθώς και τακτική μεταφόρτωση σε PDF/Excel στο email του διαχειριστή. Επιπλέον, υποστηρίζει την εισαγωγή/εξαγωγή προτύπων αναφορών, τη δημιουργία των δικών σας αναφορών και τη δυνατότητα απόκρυψης ονομάτων χρηστών σε αναφορές. Το παρακάτω σχήμα δείχνει ένα παράδειγμα ενσωματωμένης αναφοράς αποτροπής απειλών.
Οι πίνακες ελέγχου (Προβολή) στο SmartView επιτρέπουν στον διαχειριστή να έχει πρόσβαση στα αρχεία καταγραφής για το αντίστοιχο συμβάν - απλώς κάντε διπλό κλικ στο αντικείμενο ενδιαφέροντος, είτε πρόκειται για στήλη γραφήματος είτε για το όνομα ενός κακόβουλου αρχείου. Όπως και με τις αναφορές, μπορείτε να δημιουργήσετε τους δικούς σας πίνακες εργαλείων και να αποκρύψετε δεδομένα χρήστη. Οι πίνακες ελέγχου υποστηρίζουν επίσης εισαγωγή/εξαγωγή προτύπων, τακτική μεταφόρτωση σε PDF/Excel στο email του διαχειριστή και αυτόματες ενημερώσεις δεδομένων για την παρακολούθηση συμβάντων ασφαλείας σε πραγματικό χρόνο.
Πρόσθετες ενότητες παρακολούθησης
Μια περιγραφή των εργαλείων παρακολούθησης στην πλατφόρμα διαχείρισης θα ήταν ελλιπής χωρίς να αναφερθούν οι ενότητες Επισκόπηση, Διαχείριση υπολογιστή, Ρυθμίσεις τελικού σημείου και Λειτουργίες ώθησης. Αυτές οι ενότητες έχουν περιγραφεί λεπτομερώς στο , ωστόσο, θα είναι χρήσιμο να εξεταστούν οι δυνατότητές τους για την επίλυση προβλημάτων παρακολούθησης. Ας ξεκινήσουμε με την Επισκόπηση, η οποία αποτελείται από δύο υποενότητες - Επισκόπηση λειτουργίας και Επισκόπηση ασφαλείας, οι οποίες είναι πίνακες εργαλείων με πληροφορίες σχετικά με την κατάσταση των προστατευμένων μηχανημάτων χρήστη και συμβάντων ασφαλείας. Όπως όταν αλληλεπιδράτε με οποιονδήποτε άλλο πίνακα εργαλείων, οι υποενότητες Επισκόπηση λειτουργίας και Επισκόπηση ασφαλείας, όταν κάνετε διπλό κλικ στην παράμετρο που σας ενδιαφέρει, σας επιτρέπουν να μεταβείτε στην ενότητα Διαχείριση Υπολογιστή με το επιλεγμένο φίλτρο (για παράδειγμα, «Επιτραπέζιοι υπολογιστές» ή «Προ- Κατάσταση εκκίνησης: Ενεργοποιημένη»), ή στην ενότητα Αρχεία καταγραφής για ένα συγκεκριμένο συμβάν. Η υποενότητα Επισκόπηση Ασφαλείας είναι ένας πίνακας εργαλείων «Προβολή Cyber Attack – Endpoint», ο οποίος μπορεί να προσαρμοστεί και να ρυθμιστεί ώστε να ενημερώνει αυτόματα τα δεδομένα.
Από την ενότητα Διαχείριση Υπολογιστή μπορείτε να παρακολουθείτε την κατάσταση του πράκτορα σε μηχανήματα χρηστών, την κατάσταση ενημέρωσης της βάσης δεδομένων Anti-Malware, τα στάδια κρυπτογράφησης δίσκου και πολλά άλλα. Όλα τα δεδομένα ενημερώνονται αυτόματα και για κάθε φίλτρο εμφανίζεται το ποσοστό των αντίστοιχων μηχανημάτων χρήστη. Υποστηρίζεται επίσης η εξαγωγή δεδομένων υπολογιστή σε μορφή CSV.
Μια σημαντική πτυχή της παρακολούθησης της ασφάλειας των σταθμών εργασίας είναι η ρύθμιση ειδοποιήσεων για κρίσιμα συμβάντα (Alerts) και η εξαγωγή αρχείων καταγραφής (Export Events) για αποθήκευση στον διακομιστή καταγραφής της εταιρείας. Και οι δύο ρυθμίσεις γίνονται στην ενότητα Ρυθμίσεις τελικού σημείου και για Ειδοποιήσεις Είναι δυνατή η σύνδεση ενός διακομιστή αλληλογραφίας για την αποστολή ειδοποιήσεων συμβάντων στον διαχειριστή και τη διαμόρφωση ορίων για ενεργοποίηση/απενεργοποίηση ειδοποιήσεων ανάλογα με το ποσοστό/αριθμό συσκευών που πληρούν τα κριτήρια συμβάντων. Εκδηλώσεις εξαγωγής σας επιτρέπει να διαμορφώσετε τη μεταφορά των αρχείων καταγραφής από την πλατφόρμα διαχείρισης στον διακομιστή καταγραφής της εταιρείας για περαιτέρω επεξεργασία. Υποστηρίζει μορφές SYSLOG, CEF, LEEF, SPLUNK, πρωτόκολλα TCP/UDP, οποιαδήποτε συστήματα SIEM με εκτελούμενο πράκτορα syslog, χρήση κρυπτογράφησης TLS/SSL και έλεγχο ταυτότητας πελάτη syslog.
Για μια εις βάθος ανάλυση των συμβάντων στον πράκτορα ή σε περίπτωση επικοινωνίας με την τεχνική υποστήριξη, μπορείτε να συλλέξετε γρήγορα αρχεία καταγραφής από τον πελάτη SandBlast Agent χρησιμοποιώντας μια αναγκαστική λειτουργία στην ενότητα Λειτουργίες Push. Μπορείτε να διαμορφώσετε τη μεταφορά του αρχείου που δημιουργήθηκε με αρχεία καταγραφής σε διακομιστές Check Point ή εταιρικούς διακομιστές και το αρχείο με αρχεία καταγραφής αποθηκεύεται στον υπολογιστή του χρήστη στον κατάλογο C:UsersusernameCPInfo. Υποστηρίζει την έναρξη της διαδικασίας συλλογής αρχείων καταγραφής σε καθορισμένο χρόνο και τη δυνατότητα αναβολής της λειτουργίας από τον χρήστη.
Κυνήγι απειλής
Το Threat Hunting χρησιμοποιείται για την προληπτική αναζήτηση κακόβουλων δραστηριοτήτων και ανώμαλων συμπεριφορών σε ένα σύστημα για την περαιτέρω διερεύνηση ενός πιθανού συμβάντος ασφαλείας. Η ενότητα Threat Hunting στην Πλατφόρμα Διαχείρισης σάς επιτρέπει να αναζητήσετε συμβάντα με καθορισμένες παραμέτρους στα δεδομένα του μηχανήματος χρήστη.
Το εργαλείο Threat Hunting έχει πολλά προκαθορισμένα ερωτήματα, για παράδειγμα: για ταξινόμηση κακόβουλων τομέων ή αρχείων, παρακολούθηση σπάνιων αιτημάτων σε συγκεκριμένες διευθύνσεις IP (σε σχέση με γενικά στατιστικά στοιχεία). Η δομή του αιτήματος αποτελείται από τρεις παραμέτρους: δείκτης (πρωτόκολλο δικτύου, αναγνωριστικό διαδικασίας, τύπος αρχείου κ.λπ.), τον χειριστή ("είναι", "δεν είναι", "περιλαμβάνει", "ένα από", κ.λπ.) και όργανο αιτήματος. Μπορείτε να χρησιμοποιήσετε κανονικές εκφράσεις στο σώμα του αιτήματος και μπορείτε να χρησιμοποιήσετε πολλά φίλτρα ταυτόχρονα στη γραμμή αναζήτησης.
Μετά την επιλογή ενός φίλτρου και την ολοκλήρωση της επεξεργασίας αιτήματος, έχετε πρόσβαση σε όλα τα σχετικά συμβάντα, με τη δυνατότητα να δείτε λεπτομερείς πληροφορίες σχετικά με το συμβάν, να θέσετε σε καραντίνα το αντικείμενο του αιτήματος ή να δημιουργήσετε μια λεπτομερή Αναφορά Εγκληματολογίας με περιγραφή του συμβάντος. Επί του παρόντος, αυτό το εργαλείο είναι σε έκδοση beta και στο μέλλον σχεδιάζεται να επεκτείνει το σύνολο των δυνατοτήτων, για παράδειγμα, προσθέτοντας πληροφορίες για το συμβάν με τη μορφή μήτρας Mitre Att&ck.
Συμπέρασμα
Ας συνοψίσουμε: σε αυτό το άρθρο εξετάσαμε τις δυνατότητες παρακολούθησης συμβάντων ασφαλείας στην πλατφόρμα διαχείρισης πράκτορα SandBlast και μελετήσαμε ένα νέο εργαλείο για την προληπτική αναζήτηση κακόβουλων ενεργειών και ανωμαλιών σε μηχανές χρηστών - Threat Hunting. Το επόμενο άρθρο θα είναι το τελευταίο αυτής της σειράς και σε αυτό θα δούμε τις πιο συχνές ερωτήσεις σχετικά με τη λύση της πλατφόρμας διαχείρισης και θα μιλήσουμε για τις δυνατότητες δοκιμής αυτού του προϊόντος.
. Για να μην χάσετε τις ακόλουθες δημοσιεύσεις σχετικά με το θέμα SandBlast Agent Management Platform - ακολουθήστε τις ενημερώσεις στα κοινωνικά μας δίκτυα (, , , , ).
Πηγή: www.habr.com