Tere tulemast Check Point SandBlast Agent Management Platformi lahenduse sarja viiendasse artiklisse. Eelmised artiklid leiate vastava lingi kaudu: , , , . Täna vaatleme haldusplatvormi jälgimisvõimalusi, nimelt töötamist logide, interaktiivsete armatuurlaudade (vaade) ja aruannetega. Samuti puudutame ohtude jahi teemat, et tuvastada kasutaja masinas praegused ohud ja anomaalsed sündmused.
Logid
Peamiseks teabeallikaks turvasündmuste jälgimisel on jaotis Logid, mis kuvab üksikasjalikku teavet iga intsidendi kohta ja võimaldab kasutada ka mugavaid filtreid otsingukriteeriumide täpsustamiseks. Näiteks kui paremklõpsate huvipakkuva logi parameetril (Blade, Action, Severity jne), saab seda parameetrit filtreerida järgmiselt. Filter: "Parameeter" või Filtreeri välja: "Parameeter". Samuti saab parameetri Source jaoks valida suvandi IP Tools, milles saate käivitada pingi antud IP-aadressile/nimele või käivitada nslookup-i, et hankida allika IP-aadress nime järgi.
Jaotises Logid sündmuste filtreerimiseks on alamjaotis Statistika, kus kuvatakse statistika kõigi parameetrite kohta: ajadiagramm logide arvuga, samuti protsendid iga parameetri kohta. Sellest alajaotusest saate logisid hõlpsalt filtreerida ilma otsinguriba kasutamata ja filtreerimisavaldisi kirjutamata – lihtsalt valige huvipakkuvad parameetrid ja kohe kuvatakse uus logide loend.
Üksikasjalik teave iga logi kohta on saadaval jaotise Logid parempoolses paneelis, kuid sisu analüüsimiseks on mugavam logi avada topeltklõpsuga. Allpool on näide logist (pilt on klõpsatav), mis kuvab üksikasjalikku teavet ohuemulatsiooni tera toimingu Vältimise käivitamise kohta nakatunud ".docx" failis. Logil on mitu alamjaotist, mis kuvavad turbesündmuse üksikasju: käivitatud poliitikad ja kaitsed, kohtuekspertiisi üksikasjad, teave kliendi ja liikluse kohta. Erilist tähelepanu väärivad logist saadaolevad aruanded – ohuemulatsiooni aruanne ja kohtuekspertiisi aruanne. Neid aruandeid saab avada ka SandBlast Agenti kliendist.
Ohu emuleerimise aruanne
Threat Emulation tera kasutamisel ilmub pärast kontrollpunkti pilves emuleerimist vastavasse logisse link emulatsiooni tulemuste üksikasjalikule aruandele - Threat Emulation Report. Sellise aruande sisu on üksikasjalikult kirjeldatud meie artiklis . Väärib märkimist, et see aruanne on interaktiivne ja võimaldab teil "sukelduda" iga jaotise üksikasjadesse. Samuti on võimalik vaadata virtuaalmasinas emuleerimisprotsessi salvestist, laadida alla algne pahatahtlik fail või hankida selle räsi ning võtta ühendust ka Check Pointi intsidentidele reageerimise meeskonnaga.
Kohtuekspertiisi aruanne
Peaaegu iga turvasündmuse kohta koostatakse kohtuekspertiisi aruanne, mis sisaldab üksikasjalikku teavet pahatahtliku faili kohta: selle omadused, tegevused, süsteemi sisenemispunkt ja mõju ettevõtte olulistele varadele. Arutasime üksikasjalikult aruande ülesehitust artiklis . Selline aruanne on turvasündmuste uurimisel oluliseks infoallikaks ning vajadusel saab raporti sisu koheselt saata Check Pointi intsidentidele reageerimise meeskonnale.
Nutikas vaade
Check Point SmartView on mugav tööriist dünaamiliste armatuurlaudade (View) ja aruannete loomiseks ja vaatamiseks PDF-vormingus. SmartView'st saate vaadata ka administraatorite kasutajaloge ja auditisündmusi. Alloleval joonisel on näidatud kõige kasulikumad aruanded ja armatuurlauad SandBlast Agentiga töötamiseks.
SmartView aruanded on dokumendid, mis sisaldavad statistilist teavet sündmuste kohta teatud aja jooksul. See toetab PDF-vormingus aruannete üleslaadimist masinasse, kus SmartView on avatud, samuti regulaarset PDF/Exceli üleslaadimist administraatori meilile. Lisaks toetab see aruandemallide importi/eksporti, oma aruannete loomist ja võimalust aruannetes kasutajanimesid peita. Alloleval joonisel on näide sisseehitatud ohuennetuse aruandest.
SmartView armatuurlauad (View) võimaldavad administraatoril ligi pääseda vastava sündmuse logidele – lihtsalt topeltklõpsake huvipakkuval objektil, olgu selleks siis diagrammi veerg või pahatahtliku faili nimi. Nagu aruannete puhul, saate luua oma armatuurlauad ja peita kasutajaandmed. Armatuurlauad toetavad ka mallide importi/eksporti, regulaarset PDF-i/Exceli üleslaadimist administraatori meilile ning automaatseid andmete uuendamist, et jälgida turvasündmusi reaalajas.
Täiendavad jälgimisosad
Haldusplatvormi jälgimistööriistade kirjeldus oleks puudulik, kui ei mainitaks jaotisi Ülevaade, Arvutihaldus, Lõpp-punkti sätted ja Tõuketoimingud. Neid jaotisi on üksikasjalikult kirjeldatud artiklis Siiski on kasulik kaaluda nende võimalusi seireprobleemide lahendamisel. Alustame ülevaatest, mis koosneb kahest alajaost – Operational Overview ja Security Overview, mis on armatuurlauad, mis sisaldavad teavet kaitstud kasutajamasinate oleku ja turvasündmuste kohta. Nagu iga teise armatuurlauaga suhtlemisel, võimaldavad alamjaotised Kasutusülevaade ja Turbeülevaade, kui topeltklõpsate huvipakkuval parameetril, pääsete valitud filtriga jaotisse Arvutihaldus (näiteks "Lauaarvutid" või "Eel- Alglaadimise olek: lubatud”) või konkreetse sündmuse jaotisesse Logid. Alamjaotis Turvalisuse ülevaade on armatuurlaud "Küberrünnaku vaade – lõpp-punkt", mida saab kohandada ja seadistada andmete automaatseks värskendamiseks.
Jaotises Arvutihaldus saate jälgida agendi olekut kasutaja masinates, pahavaratõrje andmebaasi värskenduse olekut, ketta krüptimise etappe ja palju muud. Kõiki andmeid värskendatakse automaatselt ja iga filtri puhul kuvatakse vastavate kasutajamasinate protsent. Toetatud on ka arvutiandmete eksportimine CSV-vormingus.
Tööjaamade turvalisuse jälgimise oluline aspekt on kriitiliste sündmuste märguannete (Alerts) seadistamine ja logide eksportimine (Export Events) ettevõtte logiserverisse salvestamiseks. Mõlemad sätted tehakse jaotises Lõpp-punkti sätted ja jaoks Märguanded Võimalik on ühendada meiliserver, et saata administraatorile sündmuste märguandeid ja konfigureerida märguannete käivitamise/keelamise lävesid sõltuvalt sündmuse kriteeriumitele vastavate seadmete protsendist/arvust. Ekspordi sündmused võimaldab seadistada logide edastamist haldusplatvormilt ettevõtte logiserverisse edasiseks töötlemiseks. Toetab SYSLOG-, CEF-, LEEF-, SPLUNK-vorminguid, TCP/UDP-protokolle, mis tahes töötava syslogi agendiga SIEM-süsteeme, TLS/SSL-krüptimise ja syslogi kliendi autentimise kasutamist.
Agendi sündmuste põhjalikuks analüüsiks või tehnilise toega ühenduse võtmiseks saate kiiresti koguda SandBlast Agenti kliendi logisid, kasutades sundtoimingut jaotises Push Operations. Saate konfigureerida loodud arhiivi koos logidega ülekandmise Check Pointi serveritesse või ettevõtte serveritesse ning logidega arhiiv salvestatakse kasutaja masinasse kataloogi C:UsersusernameCPInfo. See toetab logide kogumise protsessi käivitamist kindlaksmääratud ajal ja võimalust kasutaja toimingut edasi lükata.
Ohuküttimine
Ohujahti kasutatakse pahatahtlike tegevuste ja anomaalse käitumise ennetavaks otsimiseks süsteemis, et täiendavalt uurida võimalikku turvasündmust. Haldusplatvormi jaotis Ohujaht võimaldab otsida kasutaja masinaandmetest määratud parameetritega sündmusi.
Ohujahi tööriistal on mitu eelmääratletud päringut, näiteks: pahatahtlike domeenide või failide klassifitseerimiseks, teatud IP-aadressidele tehtavate harvade päringute jälgimiseks (võrreldes üldise statistikaga). Taotluse struktuur koosneb kolmest parameetrist: indikaator (võrguprotokoll, protsessi identifikaator, failitüüp jne), operaator (“on”, “ei ole”, “sisaldab”, “üks” jne) ja taotluse organ. Päringu sisus saate kasutada regulaaravaldisi ja otsinguribal kasutada korraga mitut filtrit.
Pärast filtri valimist ja päringu töötlemise lõpuleviimist on teil juurdepääs kõikidele asjakohastele sündmustele koos võimalusega vaadata sündmuse üksikasjalikku teavet, panna päringuobjekti karantiini või koostada üksikasjalik kohtuekspertiisi aruanne koos sündmuse kirjeldusega. Hetkel on see tööriist beetaversioonis ning tulevikus on plaanis võimaluste komplekti laiendada, lisades näiteks sündmuse kohta infot Mitre Att&ck maatriksi näol.
Järeldus
Teeme kokkuvõtte: selles artiklis vaatlesime SandBlast Agent Management Platformi turbesündmuste jälgimise võimalusi ja uurisime uut tööriista pahatahtlike toimingute ja anomaaliate ennetavaks otsimiseks kasutaja masinates – Ohujahti. Järgmine artikkel on selle sarja viimane ja selles vaatleme haldusplatvormi lahenduse kohta korduma kippuvaid küsimusi ning räägime selle toote testimise võimalustest.
. Et mitte jääda ilma järgmistest väljaannetest teemal SandBlast Agent Management Platform, järgige meie sotsiaalvõrgustike värskendusi (, , , , ).
Allikas: www.habr.com