Tere tulemast 12. õppetundi. Täna räägime veel ühest väga olulisest teemast, nimelt logide ja aruannetega töötamine. Mõnikord osutub see funktsionaalsus kaitsevahendi valikul peaaegu määravaks. Turvaspetsialistid armastavad väga mugavat aruandlussüsteemi ja funktsionaalset erinevate sündmuste otsimist. Neid on selles raske süüdistada. Tegelikult on logid ja aruanded turvalisuse hindamise kõige olulisem element. Kuidas mõista oma praegust turvataset, kui te ei näe, mis toimub? Õnneks on Check Point selles osas täiesti korras ja isegi rohkem. Check Pointil on üks parimaid aruandlussüsteeme, mis töötab juba karbist välja! Samal ajal on võimalus kohandada ja luua oma aruandeid! Seda kõike täiendab mugav ja intuitiivne palkidega töötamise protsess. Aga räägime kõigest järjekorras.
Täiesti uus liides
Kui olete varem Check Pointiga töötanud, üllatas teid tõenäoliselt täiesti uus liides logide ja aruannetega töötamiseks R80-s. Pildil on näha, kui palju erinevaid utiliite on üheks uueks vaheleheks ühendatud Logid ja monitor:
Logide ja jälgimise jaotis
Kui avate Logs & Monitor ja avate uue vahekaardi, peaksite nägema midagi sellist:
Vaikimisi on siin kaks suurt jaotist:
- Auditi logide vaade — siit leiate kõik sündmused, mis on seotud administraatorite sisse-/väljalogimisega, konfiguratsioonimuudatustega jne. Need. klassikaline administraatori toimingute audit.
- Logide vaade - siit saate otsida sündmusi, mida genereerivad kõik meie lubatud labad, olgu selleks tulemüür, viirusetõrje, IPS jne. Oleme seda funktsiooni kasutanud rohkem kui korra.
Lisaks on siin lingid aruannetele (Aruanded) ja erinevad armatuurlauad (views). Nende töötamiseks on vaja lubatud tera. Nutikas sündmus. Aga sellest pikemalt hiljem. Kõigepealt vaatame palkidega töötamist.
Logi otsing
Minu arvates on R80-s palkidega töötamine nauding. Meil on väga nutikas otsingurida, mis võimaldab meil "otsida" suvalise teksti, tera ja muude indekseeritud parameetrite, nagu allikas, sihtkoht, tegevus jne, järgi.
Samas saame loogiliste operaatorite abil koostada väga keerulisi otsingupäringuid JA, OR, EI. Ja selleks ei pea te isegi midagi printima. Filtri saab luua vaid paari hiireklõpsuga. Veidi hiljem proovime seda kõike ka praktikas.
Logiteadete kuvamine juurdepääsuloendi järgi
Samuti oleme juba hinnanud võimalust kuvada konkreetse juurdepääsuloendi logisid. See on uskumatult mugav ja sellega harjub väga kiiresti. See on eriti kasulik tõrkeotsingul. Valisin välja teile huvitava “juurdepääsuloendi” ja vaatan altpoolt, kas vajalik liiklus jääb selle alla.
Pole vaja kuhugi minna ega logide jaoks keerulist filtrit luua.
Vaated ja aruanded
Blade vastutab aruandluse ja andmete visualiseerimise eest Check Pointis. Nutikas sündmus, mis on aktiveeritud haldusserveris. Seda funktsiooni võib julgelt nimetada SIEM-iks, kuid ainult Check Pointi toodete puhul! Tehniliselt võib Smart Event sisaldada logisid teistest süsteemidest (näiteks Cisco, Microsoft jne), kuid see pole parim idee :) Praktikas on see väga problemaatiline. Kuid SmartEvent tuleb "kontrollpunkti" logidega suurepäraselt toime. Saab korreleerida, summeerida, keskmist ja palju muud. Ja see kõik töötab karbist väljas! Loomulikult on olulisema teabe kuvamiseks valmis armatuurlauad. Check Pointis kutsutakse neid views:
Näete, et siin on üsna palju vaikimisi armatuurlaudu, mis on igapäevases halduses ja jälgimises väga kasulikud.
Lisaks armatuurlaudadele, kus info lihtsalt visualiseeritakse, on võimalik genereerida täisväärtuslikke aruandeid ja salvestada need pdf- või excel-vormingus. Saate need ajakava alusel genereerida ja mõnda postkasti saata.
Ja parim osa! Saate ise luua armatuurlaudu ja aruandeid! Need. te ei piirdu ainult sisseehitatud seadmetega. Mitte iga müüja ei saa sellega kiidelda. Samal ajal saab importida või eksportida nende armatuurlaudade või aruannete malle, mis võimaldab kasutajatel oma tööd jagada. Armatuurlaua loomise protsess on väga lihtne ja intuitiivne. Püüan teile seda laboris näidata, mille leiate allolevast videoõpetusest.
Videotund
Olge kursis ja liituge meiega 🙂
Allikas: www.habr.com