Bienvenido al quinto artículo de la serie sobre la solución Check Point SandBlast Agent Management Platform. Los artículos anteriores se pueden encontrar siguiendo el enlace correspondiente: , , , . Hoy veremos las capacidades de monitoreo en la Plataforma de administración, es decir, trabajar con registros, paneles interactivos (Ver) e informes. También tocaremos el tema de Threat Hunting para identificar amenazas actuales y eventos anómalos en la máquina del usuario.
Troncos
La principal fuente de información para monitorear eventos de seguridad es la sección Registros, que muestra información detallada sobre cada incidente y también le permite utilizar filtros convenientes para refinar sus criterios de búsqueda. Por ejemplo, cuando hace clic derecho en un parámetro (Blade, Acción, Gravedad, etc.) del registro de interés, este parámetro se puede filtrar como Filtro: "Parámetro" o Filtrar: "Parámetro". Además, para el parámetro Fuente, se puede seleccionar la opción Herramientas IP, donde puede ejecutar un ping a una dirección/nombre IP determinado o ejecutar un nslookup para obtener la dirección IP de origen por nombre.
En la sección Registros, para filtrar eventos, hay una subsección Estadísticas, que muestra estadísticas de todos los parámetros: un diagrama de tiempo con el número de registros, así como porcentajes para cada parámetro. Desde esta subsección puede filtrar registros fácilmente sin usar la barra de búsqueda ni escribir expresiones de filtrado; simplemente seleccione los parámetros de interés e inmediatamente se mostrará una nueva lista de registros.
La información detallada sobre cada registro está disponible en el panel derecho de la sección Registros, pero es más conveniente abrir el registro haciendo doble clic para analizar el contenido. A continuación se muestra un ejemplo de un registro (se puede hacer clic en la imagen), que muestra información detallada sobre la activación de la acción Prevent de la hoja Threat Emulation en un archivo ".docx" infectado. El registro tiene varias subsecciones que muestran los detalles del evento de seguridad: políticas y protecciones activadas, detalles forenses, información sobre el cliente y el tráfico. Los informes disponibles en el registro merecen especial atención: Informe de emulación de amenazas y Informe forense. Estos informes también se pueden abrir desde el cliente SandBlast Agent.
Informe de emulación de amenazas
Cuando se utiliza la hoja Threat Emulation, después de realizar la emulación en la nube de Check Point, aparece un enlace a un informe detallado sobre los resultados de la emulación (Informe de Emulación de amenazas) en el registro correspondiente. El contenido de dicho informe se describe en detalle en nuestro artículo sobre . Vale la pena señalar que este informe es interactivo y le permite “profundizar” en los detalles de cada sección. También es posible ver una grabación del proceso de emulación en una máquina virtual, descargar el archivo malicioso original u obtener su hash, y también contactar al equipo de respuesta a incidentes de Check Point.
Informe forense
Para casi cualquier evento de seguridad, se genera un Informe Forense, que incluye información detallada sobre el archivo malicioso: sus características, acciones, punto de entrada al sistema e impacto en activos importantes de la empresa. Discutimos la estructura del informe en detalle en el artículo sobre . Dicho informe es una fuente importante de información al investigar eventos de seguridad y, si es necesario, el contenido del informe se puede enviar inmediatamente al Equipo de respuesta a incidentes de Check Point.
SmartView
Check Point SmartView es una herramienta conveniente para crear y visualizar paneles dinámicos (Ver) e informes en formato PDF. Desde SmartView también puede ver registros de usuarios y eventos de auditoría para administradores. La siguiente figura muestra los informes y paneles más útiles para trabajar con SandBlast Agent.
Los informes en SmartView son documentos con información estadística sobre eventos durante un período de tiempo determinado. Admite la carga de informes en formato PDF a la máquina donde está abierto SmartView, así como la carga regular en PDF/Excel al correo electrónico del administrador. Además, admite la importación/exportación de plantillas de informes, la creación de sus propios informes y la capacidad de ocultar nombres de usuarios en los informes. La siguiente figura muestra un ejemplo de un informe de Prevención de amenazas integrado.
Los paneles (Ver) en SmartView permiten al administrador acceder a los registros del evento correspondiente: simplemente haga doble clic en el objeto de interés, ya sea una columna del gráfico o el nombre de un archivo malicioso. Al igual que con los informes, puede crear sus propios paneles y ocultar los datos del usuario. Los paneles también admiten la importación/exportación de plantillas, la carga regular en PDF/Excel al correo electrónico del administrador y actualizaciones automáticas de datos para monitorear eventos de seguridad en tiempo real.
Secciones de seguimiento adicionales
Una descripción de las herramientas de monitoreo en la Plataforma de administración estaría incompleta sin mencionar las secciones Descripción general, Administración de computadoras, Configuración de terminales y Operaciones push. Estas secciones se han descrito en detalle en Sin embargo, será útil considerar sus capacidades para resolver problemas de monitoreo. Comencemos con Descripción general, que consta de dos subsecciones: Descripción general operativa y Descripción general de seguridad, que son paneles con información sobre el estado de las máquinas de los usuarios protegidos y los eventos de seguridad. Como al interactuar con cualquier otro panel, las subsecciones Descripción general operativa y Descripción general de seguridad, al hacer doble clic en el parámetro de interés, le permiten acceder a la sección Administración de computadoras con el filtro seleccionado (por ejemplo, “Escritorios” o “Pre- Estado de inicio: habilitado”), o a la sección Registros de un evento específico. La subsección Descripción general de seguridad es un panel de “Vista de ataques cibernéticos – Punto final”, que se puede personalizar y configurar para actualizar los datos automáticamente.
Desde la sección Administración de Computadoras puede monitorear el estado del agente en las máquinas de los usuarios, el estado de actualización de la base de datos Anti-Malware, las etapas de cifrado del disco y mucho más. Todos los datos se actualizan automáticamente y para cada filtro se muestra el porcentaje de máquinas de usuario coincidentes. También se admite la exportación de datos de computadora en formato CSV.
Un aspecto importante del monitoreo de la seguridad de las estaciones de trabajo es configurar notificaciones sobre eventos críticos (Alertas) y exportar registros (Exportar eventos) para almacenarlos en el servidor de registros de la empresa. Ambas configuraciones se realizan en la sección Configuración de endpoints y, para Alertas Es posible conectar un servidor de correo para enviar notificaciones de eventos al administrador y configurar umbrales para activar/deshabilitar notificaciones según el porcentaje/número de dispositivos que cumplen con los criterios del evento. Exportar eventos le permite configurar la transferencia de registros desde la plataforma de gestión al servidor de registros de la empresa para su posterior procesamiento. Admite formatos SYSLOG, CEF, LEEF, SPLUNK, protocolos TCP/UDP, cualquier sistema SIEM con un agente syslog en ejecución, el uso de cifrado TLS/SSL y autenticación de cliente syslog.
Para un análisis en profundidad de los eventos en el agente o en caso de contactar al soporte técnico, puede recopilar rápidamente registros del cliente SandBlast Agent mediante una operación forzada en la sección Operaciones push. Puede configurar la transferencia del archivo generado con registros a servidores de Check Point o servidores corporativos, y el archivo con registros se guarda en la máquina del usuario en el directorio C:UsersusernameCPInfo. Admite el inicio del proceso de recopilación de registros en un momento específico y la capacidad de posponer la operación por parte del usuario.
La caza de amenazas
Threat Hunting se utiliza para buscar proactivamente actividades maliciosas y comportamientos anómalos en un sistema para investigar más a fondo un posible evento de seguridad. La sección Threat Hunting en Management Platform le permite buscar eventos con parámetros específicos en los datos de la máquina del usuario.
La herramienta Threat Hunting tiene varias consultas predefinidas, por ejemplo: clasificar dominios o archivos maliciosos, rastrear solicitudes raras a determinadas direcciones IP (en relación con estadísticas generales). La estructura de la solicitud consta de tres parámetros: indicador (protocolo de red, identificador de proceso, tipo de archivo, etc.), el operador (“es”, “no es”, “incluye”, “uno de”, etc.) y cuerpo de la solicitud. Puede utilizar expresiones regulares en el cuerpo de la solicitud y puede utilizar varios filtros simultáneamente en la barra de búsqueda.
Después de seleccionar un filtro y completar el procesamiento de la solicitud, tendrá acceso a todos los eventos relevantes, con la capacidad de ver información detallada sobre el evento, poner en cuarentena el objeto de la solicitud o generar un informe forense detallado con una descripción del evento. Actualmente, esta herramienta se encuentra en versión beta y en el futuro está previsto ampliar el conjunto de capacidades, por ejemplo, añadiendo información sobre el evento en forma de matriz Mitre Att&ck.
Conclusión
Resumamos: en este artículo analizamos las capacidades de monitorear eventos de seguridad en SandBlast Agent Management Platform y estudiamos una nueva herramienta para buscar proactivamente acciones maliciosas y anomalías en las máquinas de los usuarios: Threat Hunting. El próximo artículo será el último de esta serie y en él analizaremos las preguntas más frecuentes sobre la solución Management Platform y hablaremos sobre las posibilidades de probar este producto.
. Para no perderse las próximas publicaciones sobre el tema SandBlast Agent Management Platform, siga las actualizaciones en nuestras redes sociales (, , , , ).
Fuente: habr.com