Bonvenon al la kvina artikolo en la serio pri la solvo de Check Point SandBlast Agent Management Platform. Antaŭaj artikoloj troveblas sekvante la taŭgan ligilon: , , , . Hodiaŭ ni rigardos monitorajn kapablojn en la Administra Platformo, nome laborante kun protokoloj, interagaj paneloj (Vido) kaj raportoj. Ni ankaŭ tuŝos la temon de Minaco-Ĉasado por identigi aktualajn minacojn kaj anomaliajn eventojn sur la maŝino de la uzanto.
Registroj
La ĉefa fonto de informoj por monitorado de sekurecaj eventoj estas la sekcio Registroj, kiu montras detalajn informojn pri ĉiu okazaĵo kaj ankaŭ permesas vin uzi oportunajn filtrilojn por rafini viajn serĉkriteriojn. Ekzemple, kiam vi dekstre alklakas parametron (Klingo, Ago, Severeco, ktp.) de la interesa protokolo, ĉi tiu parametro povas esti filtrita kiel Filtrilo: "Parametro" aŭ Filtrilo: "Parametro". Ankaŭ por la Fonta parametro la opcio IP-Iloj povas esti elektita kie vi povas ruli ping al difinita IP-adreso/nomo aŭ ruli nslookup por akiri la fontan IP-adreson laŭnome.
En la sekcio Registroj, por filtrado de eventoj, estas subfako Statistiko, kiu montras statistikojn pri ĉiuj parametroj: tempodiagramo kun la nombro da protokoloj, kaj ankaŭ procentojn por ĉiu parametro. El ĉi tiu subsekcio vi povas facile filtri protokolojn sen uzi la serĉbreton kaj skribi filtrajn esprimojn - simple elektu la interesajn parametrojn kaj nova listo de protokoloj tuj aperos.
Detalaj informoj pri ĉiu protokolo haveblas en la dekstra panelo de la sekcio Registroj, sed estas pli oportune malfermi la protokolon per duobla klako por analizi la enhavon. Malsupre estas ekzemplo de protokolo (la bildo estas klakebla), kiu montras detalajn informojn pri la ekfunkciigo de la Preventi ago de la klingo de Emulado de Minaco sur infektita ".docx" dosiero. La protokolo havas plurajn subsekciojn, kiuj montras la detalojn de la sekureca evento: ekigitaj politikoj kaj protektoj, krimmedicinaj detaloj, informoj pri la kliento kaj trafiko. La raportoj disponeblaj de la protokolo meritas specialan atenton - Raporto pri Emulado de Minaco kaj Raporto pri Krimmedicino. Ĉi tiuj raportoj ankaŭ povas esti malfermitaj de la SandBlast Agent-kliento.
Raporto pri Emulado de Minaco
Kiam vi uzas la klingon de Emulado de Minaco, post kiam la emulado estas farita en la nubo de Check Point, ligo al detala raporto pri la rezultoj de emulado - Raporto pri Emulado de Minaco - aperas en la responda protokolo. La enhavo de tia raporto estas detale priskribita en nia artikolo pri . Indas noti, ke ĉi tiu raporto estas interaga kaj permesas vin "plonĝi" la detalojn por ĉiu sekcio. Eblas ankaŭ vidi registradon de la emuladprocezo en virtuala maŝino, elŝuti la originalan malican dosieron aŭ akiri ĝian haŝon, kaj ankaŭ kontakti la Check Point Incident Response Team.
Krimmedicina Raporto
Por preskaŭ ajna sekureca evento, Krimmedicina Raporto estas generita, kiu inkluzivas detalajn informojn pri la malica dosiero: ĝiaj trajtoj, agoj, enirpunkto en la sistemon kaj efikon al gravaj kompaniaj aktivoj. Ni diskutis la strukturon de la raporto detale en la artikolo pri . Tia raporto estas grava fonto de informoj dum esplorado de sekurecaj eventoj, kaj se necese, la enhavo de la raporto povas esti tuj sendita al la Check Point Incident Response Team.
Inteligenta Vido
Check Point SmartView estas oportuna ilo por krei kaj vidi dinamikajn panelojn (Vidi) kaj raportojn en PDF-formato. De SmartView vi ankaŭ povas vidi uzantprotokolojn kaj revizii eventojn por administrantoj. La suba figuro montras la plej utilajn raportojn kaj panelojn por labori kun SandBlast Agent.
Raportoj en SmartView estas dokumentoj kun statistikaj informoj pri eventoj dum certa tempodaŭro. Ĝi subtenas alŝuti raportojn en PDF-formato al la maŝino kie SmartView estas malfermita, same kiel regulan alŝutadon al PDF/Excel al la retpoŝto de la administranto. Krome, ĝi subtenas importon/eksportadon de raportŝablonoj, kreadon de viaj propraj raportoj, kaj la kapablon kaŝi uzantnomojn en raportoj. La suba figuro montras ekzemplon de enkonstruita Minaco-Preventado-raporto.
Paneloj (Vido) en SmartView permesas al la administranto aliri protokolojn por la responda evento - nur duoble alklaku la interesan objekton, ĉu ĝi estas diagramkolumno aŭ la nomo de malica dosiero. Kiel ĉe raportoj, vi povas krei viajn proprajn panelojn kaj kaŝi uzantajn datumojn. Paneloj ankaŭ subtenas importadon/eksportadon de ŝablonoj, regula alŝutado al PDF/Excel al la retpoŝto de la administranto, kaj aŭtomataj datumĝisdatigoj por monitori sekurecajn eventojn en reala tempo.
Pliaj monitoraj sekcioj
Priskribo de la monitoraj iloj en la Administra Platformo estus nekompleta sen mencio de la sekcioj Superrigardo, Komputila Administrado, Finpunkto-Agordoj kaj Puŝo-Operacioj. Ĉi tiuj sekcioj estis priskribitaj detale en , tamen, estos utile konsideri iliajn kapablojn por solvi monitorajn problemojn. Ni komencu per Superrigardo, kiu konsistas el du subfakoj - Operacia Superrigardo kaj Sekureca Superrigardo, kiuj estas paneloj kun informoj pri la stato de protektitaj uzantmaŝinoj kaj sekurecaj eventoj. Kiel kiam vi interagas kun iu ajn alia panelo, la subsekcioj de Operacia Superrigardo kaj Sekureca Superrigardo, kiam duoble alklakas la interesan parametron, ebligas al vi atingi la sekcion pri Komputila Administrado kun la elektita filtrilo (ekzemple "Tablokomputiloj" aŭ "Pre- Boot Status: Enabled"), aŭ al la sekcio Registroj por specifa evento. La subsekcio de Sekureca Superrigardo estas panelo "Cyber Attack View - Endpoint", kiu povas esti personecigita kaj agordita por aŭtomate ĝisdatigi datumojn.
De la sekcio pri Komputila Administrado vi povas kontroli la staton de la agento sur uzantaj maŝinoj, la ĝisdatigon de la datumbazo Anti-Malware, la stadiojn de disko-ĉifrado kaj multe pli. Ĉiuj datumoj estas aŭtomate ĝisdatigitaj, kaj por ĉiu filtrilo montriĝas la procento de kongruaj uzantmaŝinoj. Eksporti komputilajn datumojn en CSV-formato ankaŭ estas subtenata.
Grava aspekto de monitorado de la sekureco de laborstacioj estas starigi sciigojn pri kritikaj eventoj (Atentigoj) kaj eksporti protokolojn (Eksporti Eventojn) por stokado en la protokolo-servilo de la kompanio. Ambaŭ agordoj estas faritaj en la sekcio Endpoint Settings, kaj por atentigoj Eblas konekti retpoŝtan servilon por sendi okazaĵajn sciigojn al la administranto kaj agordi sojlojn por ekigi/malŝalti sciigojn depende de la procento/nombro de aparatoj, kiuj plenumas la okazaĵkriteriojn. Eksportaj Eventoj permesas al vi agordi la translokigon de protokoloj de la Administra Platformo al la protokolo-servilo de la kompanio por plua prilaborado. Subtenas SYSLOG, CEF, LEEF, SPLUNK-formatojn, TCP/UDP-protokolojn, iujn ajn SIEM-sistemojn kun funkcianta syslog-agento, la uzon de TLS/SSL-ĉifrado kaj syslog-kliento-konfirmo.
Por profunda analizo de eventoj pri la agento aŭ en kazo de kontakti teknikan subtenon, vi povas rapide kolekti ŝtipojn de la SandBlast Agent-kliento uzante devigan operacion en la sekcio Push Operations. Vi povas agordi la translokigon de la generita arkivo kun protokoloj al Check Point-serviloj aŭ kompaniaj serviloj, kaj la arkivo kun protokoloj estas konservita en la maŝino de la uzanto en la dosierujo C:UsersusernameCPInfo. Ĝi subtenas lanĉi la protokolan kolekton je difinita tempo kaj la kapablon prokrasti la operacion de la uzanto.
Minaco-Ĉasado
Minacĉasado estas uzata por proaktive serĉi malicajn agadojn kaj nenormalan konduton en sistemo por plue esplori eblan sekurecan eventon. La sekcio de Minaco-Ĉasado en la Administra Platformo permesas serĉi eventojn kun specifitaj parametroj en la uzantmaŝino-datumoj.
La ilo Threat Hunting havas plurajn antaŭdifinitajn demandojn, ekzemple: por klasifiki malicajn domajnojn aŭ dosierojn, spuri maloftajn petojn al certaj IP-adresoj (rilate al ĝeneralaj statistikoj). La peta strukturo konsistas el tri parametroj: indikilo (retprotokolo, procezidentigilo, dosiertipo, ktp.), operatoro ("estas", "ne estas", "inkludas", "unu el", ktp.) kaj peta korpo. Vi povas uzi regulajn esprimojn en la korpo de la peto, kaj vi povas uzi plurajn filtrilojn samtempe en la serĉbreto.
Post elektado de filtrilo kaj kompletigado de pettraktado, vi havas aliron al ĉiuj koncernaj eventoj, kun la kapablo vidi detalajn informojn pri la evento, kvaranteni la peton, aŭ generi detalan Krimmedicinan Raporton kun priskribo de la evento. Nuntempe, ĉi tiu ilo estas en beta-versio kaj estonte oni planas vastigi la aron de kapabloj, ekzemple, aldonante informojn pri la evento en formo de Mitre Att&ck-matrico.
konkludo
Ni resumu: en ĉi tiu artikolo ni rigardis la kapablojn de monitorado de sekurecaj eventoj en la SandBlast Agent Management Platform, kaj studis novan ilon por proaktive serĉi malicajn agojn kaj anomaliojn sur uzantaj maŝinoj - Threat Hunting. La sekva artikolo estos la fina en ĉi tiu serio kaj en ĝi ni rigardos la plej oftajn demandojn pri la solvo de Administra Platformo kaj parolos pri la eblecoj provi ĉi tiun produkton.
. Por ne maltrafi la sekvajn publikaĵojn pri la temo SandBlast Agent Management Platform, sekvu la ĝisdatigojn en niaj sociaj retoj (, , , , ).
fonto: www.habr.com