Ongi etorri Check Point SandBlast Agent Management Platform irtenbideari buruzko serieko bosgarren artikulura. Aurreko artikuluak dagokion esteka jarraituz aurki daitezke: , , , . Gaur kudeaketa-plataformako monitorizazio-gaitasunak aztertuko ditugu, hots, erregistroekin, panel interaktiboekin (Ikusi) eta txostenekin lan egitea. Mehatxuen Ehizaren gaia ere ukituko dugu, erabiltzailearen makinan uneko mehatxuak eta gertakari anomaliak identifikatzeko.
Erregistroak
Segurtasun-gertaerak kontrolatzeko informazio-iturri nagusia Erregistroak atala da, gertakari bakoitzari buruzko informazio zehatza erakusten duena eta, gainera, iragazki erosoak erabiltzeko aukera ematen dizu bilaketa-irizpideak fintzeko. Adibidez, interesgarri den erregistroko parametro batean (Blade, Ekintza, Larritasuna, etab.) eskuineko botoiarekin klik egiten duzunean, parametro hau honela iragazi daiteke. Iragazkia: "Parametroa" edo Iragazi: "Parametroa". Gainera, Iturburua parametrorako, IP Tresnak aukera hauta daiteke, eta bertan ping bat exekutatu dezakezu IP helbide/izen jakin batera edo nslookup bat exekutatu iturburuko IP helbidea izenez lortzeko.
Erregistroak atalean, gertaerak iragazteko, Estatistika azpiatal bat dago, parametro guztien estatistikak bistaratzen dituena: denbora-diagrama bat erregistro kopuruarekin, baita parametro bakoitzeko ehunekoak ere. Azpi-atal honetatik erregistroak erraz iragazi ditzakezu bilaketa-barra erabili gabe eta iragazketa-esamoldeak idatzi gabe. Hautatu besterik ez dago intereseko parametroak eta berehala agertuko da erregistro-zerrenda berri bat.
Erregistro bakoitzari buruzko informazio zehatza Erregistroak ataleko eskuineko panelean dago eskuragarri, baina erosoagoa da erregistroa irekitzea edukia aztertzeko klik bikoitza eginez. Jarraian, erregistro baten adibide bat dago (argazkia klikagarria da), eta infektatutako ".docx" fitxategi batean Mehatxuaren emulazioa labelaren Prebent ekintza abiarazteko informazio zehatza erakusten du. Erregistroak hainbat azpiatal ditu segurtasun-gertaeraren xehetasunak bistaratzen dituztenak: abiarazitako politikak eta babesak, auzitegiko xehetasunak, bezeroari eta trafikoari buruzko informazioa. Erregistroan eskuragarri dauden txostenek arreta berezia merezi dute - Mehatxuen Emulazio Txostena eta Forensics txostena. Txosten hauek SandBlast Agent bezerotik ere ireki daitezke.
Mehatxuen emulazio txostena
Threat Emulation blade erabiltzean, emulazioa Check Point hodeian egin ondoren, emulazioaren emaitzei buruzko txosten zehatz baterako esteka bat agertzen da - Threat Emulation Report - dagokion erregistroan. Txosten horren edukia zehatz-mehatz deskribatzen da gure artikuluan . Aipatzekoa da txosten hau interaktiboa dela eta atal bakoitzaren xehetasunak "murgiltzeko" aukera ematen duela. Emulazio-prozesuaren grabazio bat makina birtual batean ikusteko, jatorrizko fitxategi gaiztoa deskargatu edo hash-a lortzeko aukera ere badago, eta Check Point-eko Intzidentziaren Erantzuteko Taldearekin ere jarri harremanetan.
Auzitegiko Txostena
Segurtasun-gertaera ia edozeinetarako, Auzitegiko Txosten bat sortzen da, eta fitxategi gaiztoari buruzko informazio zehatza jasotzen du: bere ezaugarriak, ekintzak, sisteman sartzeko puntua eta konpainiaren aktibo garrantzitsuetan duen eragina. Txostenaren egiturari buruzko artikuluan xehetasunez eztabaidatu dugu . Txosten hori informazio-iturri garrantzitsua da segurtasun-gertaerak ikertzeko garaian, eta behar izanez gero, txostenaren edukia berehala bidali ahal izango da Check Point-eko Intzidentzia Erantzun Taldera.
SmartView
Check Point SmartView tresna erosoa da aginte-panel dinamikoak (Ikusi) eta txostenak PDF formatuan sortzeko eta ikusteko. SmartView-tik erabiltzaileen erregistroak eta administratzaileentzako auditoretza-gertaerak ere ikus ditzakezu. Beheko irudian SandBlast Agent-ekin lan egiteko txosten eta aginte-panel erabilgarrienak erakusten dira.
SmartView-ko txostenak denbora-tarte jakin bateko gertaerei buruzko informazio estatistikoa duten dokumentuak dira. SmartView irekita dagoen makinan txostenak PDF formatuan kargatzea onartzen du, baita administratzailearen posta elektronikora PDF/Excel-era ohiko igoera ere. Horrez gain, txostenen txantiloiak inportatu/esportatzea, zure txostenak sortzea eta txostenetan erabiltzaile-izenak ezkutatzeko aukera onartzen du. Beheko irudiak Mehatxuen Prebentzio-txosten integratuaren adibide bat erakusten du.
SmartView-ko aginte-panelek (Ikuspena) administratzaileak dagokion gertaeraren erregistroak atzitzeko aukera ematen dio; egin klik bikoitza interesgarri den objektuan, izan diagrama-zutabe bat edo fitxategi maltzur baten izena. Txostenekin bezala, zure aginte-panelak sor ditzakezu eta erabiltzaileen datuak ezkutatu. Arbelak ere onartzen ditu txantiloiak inportatu/esportatzea, PDF/Excel-era erregular kargatzea administratzailearen posta elektronikora eta datuen eguneratze automatikoak segurtasun-gertaerak denbora errealean kontrolatzeko.
Jarraipen atal osagarriak
Kudeaketa Plataformako monitorizazio tresnen deskribapena osatu gabe egongo litzateke Ikuspegi Orokorra, Ordenagailuen Kudeaketa, Amaierako Ezarpenak eta Push Eragiketak atalak aipatu gabe. Atal hauek xehetasunez deskribatu dira , hala ere, baliagarria izango da monitorizazio-arazoak konpontzeko dituzten gaitasunak kontuan hartzea. Has gaitezen Ikuspegi Orokorrarekin, bi azpiatalez osatuta: Eragiketa Orokorra eta Segurtasunaren Ikuspegia, babestutako erabiltzaile-makinen egoerari eta segurtasun-gertaeren inguruko informazioa duten aginte-panelak dira. Beste edozein panelekin elkarreraginean bezala, Eragiketa Orokorra eta Segurtasunaren Ikuspegi Orokorra azpiatalek, interesgarri den parametroan klik bikoitza egitean, aukeratutako iragazkiarekin Ordenagailuen Kudeaketa atalera iristeko aukera ematen dute (adibidez, "Mahaigainak" edo "Aurretik". Boot Status: Enabled"), edo gertaera zehatz baten Erregistroak atalean. Segurtasunaren ikuspegi orokorra azpiatala "Cyber ββββAttack View - Endpoint" panela da, pertsonalizatu eta datuak automatikoki eguneratzeko konfiguratu daitekeena.
Ordenagailuen Kudeaketa ataletik agentearen egoera kontrolatu dezakezu erabiltzaile-makinetan, Anti-Malware datu-basearen eguneratze-egoera, disko-zifraketaren faseak eta askoz gehiago. Datu guztiak automatikoki eguneratzen dira, eta iragazki bakoitzeko bat datozen erabiltzaile-makinen ehunekoa bistaratzen da. Ordenagailuaren datuak CSV formatuan esportatzea ere onartzen da.
Lan-estazioen segurtasuna kontrolatzeko alderdi garrantzitsu bat gertaera larriei buruzko jakinarazpenak konfiguratzea da (Alertak) eta erregistroak esportatzea (Esportatu Gertaerak) konpainiaren erregistro-zerbitzarian biltegiratzeko. Bi ezarpenak Endpoint Settings atalean egiten dira, eta for Alertak Posta-zerbitzari bat konektatu daiteke administratzaileari gertaeren jakinarazpenak bidaltzeko eta jakinarazpenak abiarazteko/desgaitzeko atalaseak konfiguratzeko, gertaeren irizpideak betetzen dituzten gailuen ehuneko/kopuruaren arabera. Esportatu gertaerak Kudeaketa Plataformatik enpresaren erregistro-zerbitzarira erregistroen transferentzia konfiguratzeko aukera ematen du, gehiago prozesatzeko. SYSLOG, CEF, LEEF, SPLUNK formatuak, TCP/UDP protokoloak, syslog agente exekutatzen duten SIEM sistemak, TLS/SSL enkriptatzea eta syslog bezeroen autentifikazioa onartzen ditu.
Agentearen gertaeren azterketa sakona egiteko edo laguntza teknikoarekin harremanetan jarriz gero, SandBlast Agent bezeroaren erregistroak azkar bil ditzakezu Push Operations atalean behartutako eragiketa bat erabiliz. Sortutako artxiboa erregistroekin transferitzea konfigura dezakezu Check Pointeko zerbitzarietara edo zerbitzari korporatiboetara, eta erregistroekin artxiboa erabiltzailearen makinan gordetzen da C:UsersusernameCPInfo direktorioa. Erregistroak biltzeko prozesua denbora zehatz batean abiarazteko eta erabiltzaileak eragiketa atzeratzeko gaitasuna onartzen du.
Mehatxuen Ehiza
Mehatxuen Ehiza sistema batean jarduera gaiztoak eta portaera anormalak modu proaktiboan bilatzeko erabiltzen da, balizko segurtasun-gertaera bat gehiago ikertzeko. Kudeaketa Plataformako Mehatxuen Ehiza atalak erabiltzailearen makinaren datuetan zehaztutako parametroak dituzten gertaerak bilatzeko aukera ematen du.
Threat Hunting tresnak aurrez zehaztutako hainbat kontsulta ditu, adibidez: domeinu edo fitxategi gaiztoak sailkatzeko, IP helbide jakin batzuetako eskaera arraroen jarraipena (estatistika orokorrekin erlazionatuta). Eskaeraren egiturak hiru parametro ditu: adierazle (sare-protokoloa, prozesu-identifikatzailea, fitxategi mota, etab.), operadore (βdaβ, βez daβ, βbarneβ, βbatβ, etab.) eta eskaera organoa. Adierazpen erregularrak erabil ditzakezu eskaeraren gorputzean, eta hainbat iragazki erabil ditzakezu aldi berean bilaketa-barran.
Iragazki bat hautatu eta eskaeraren prozesamendua amaitu ondoren, gertaera garrantzitsu guztietarako sarbidea izango duzu, gertakariari buruzko informazio zehatza ikusteko, eskaeraren objektua berrogeialdian jarri edo gertaeraren deskribapenarekin Forentse Txosten zehatza sortzeko aukerarekin. Gaur egun, tresna hau beta bertsioan dago eta etorkizunean gaitasun multzoa zabaltzea aurreikusten da, adibidez, ekitaldiari buruzko informazioa Mitre Att&ck matrize moduan gehituz.
Ondorioa
Labur dezagun: artikulu honetan SandBlast Agent Management Platform-en segurtasun-gertaerak monitorizatzeko gaitasunak aztertu ditugu eta erabiltzaile-makinetan ekintza maltzurren eta anomaliak proaktiboki bilatzeko tresna berri bat aztertu dugu - Threat Hunting. Hurrengo artikulua serie honetako azkena izango da eta bertan Kudeaketa Plataformaren soluzioari buruz gehien egiten diren galderak aztertuko ditugu eta produktu hau probatzeko aukerei buruz hitz egingo dugu.
. SandBlast Agent Management Platform gaiari buruzko hurrengo argitalpenak ez galtzeko, jarraitu gure sare sozialetako eguneraketak (, , , , ).
Iturria: www.habr.com