به پنجمین مقاله از مجموعه در مورد راه حل پلت فرم مدیریت عامل چک پوینت سندبلاست خوش آمدید. مقالات قبلی را می توانید با دنبال کردن لینک مناسب پیدا کنید: , , , . امروز ما به قابلیتهای نظارت در پلتفرم مدیریت، یعنی کار با گزارشها، داشبوردهای تعاملی (نمایش) و گزارشها خواهیم پرداخت. ما همچنین به موضوع Threat Hunting خواهیم پرداخت تا تهدیدات فعلی و رویدادهای غیرعادی را در دستگاه کاربر شناسایی کنیم.
سیاههها
منبع اصلی اطلاعات برای نظارت بر رویدادهای امنیتی، بخش Logs است که اطلاعات دقیق در مورد هر حادثه را نمایش می دهد و همچنین به شما امکان می دهد از فیلترهای مناسب برای اصلاح معیارهای جستجوی خود استفاده کنید. به عنوان مثال، هنگامی که روی یک پارامتر (Blade، Action، Severity و غیره) از گزارش مورد علاقه کلیک راست می کنید، این پارامتر می تواند به صورت فیلتر شود. فیلتر: "پارامتر" یا فیلتر کردن: "پارامتر". همچنین برای پارامتر Source، گزینه IP Tools را می توان انتخاب کرد که در آن می توانید یک پینگ به آدرس/نام IP داده شده اجرا کنید یا یک nslookup را اجرا کنید تا آدرس IP منبع را بر اساس نام دریافت کنید.
در قسمت Logs برای فیلتر کردن رویدادها یک زیربخش Statistics وجود دارد که آمار تمام پارامترها را نمایش می دهد: نمودار زمانی با تعداد لاگ ها و همچنین درصد برای هر پارامتر. از این بخش فرعی می توانید به راحتی لاگ ها را بدون استفاده از نوار جستجو و نوشتن عبارات فیلتر فیلتر کنید - فقط پارامترهای مورد نظر را انتخاب کنید و بلافاصله لیست جدیدی از گزارش ها نمایش داده می شود.
اطلاعات دقیق در مورد هر گزارش در پانل سمت راست بخش Logs موجود است، اما برای تجزیه و تحلیل مطالب، با دوبار کلیک کردن، راحت تر است که لاگ را باز کنید. در زیر نمونهای از گزارش وجود دارد (تصویر قابل کلیک است)، که اطلاعات دقیقی را در مورد راهاندازی عمل Prevent از Threat Emulation blade در فایل ".docx" آلوده نشان میدهد. گزارش دارای چندین بخش فرعی است که جزئیات رویداد امنیتی را نشان می دهد: خط مشی ها و محافظت های فعال شده، جزئیات پزشکی قانونی، اطلاعات مربوط به مشتری و ترافیک. گزارشهای موجود از لاگ مستحق توجه ویژه هستند - گزارش شبیهسازی تهدید و گزارش پزشکی قانونی. این گزارش ها همچنین می توانند از سرویس گیرنده SandBlast Agent باز شوند.
گزارش شبیه سازی تهدید
هنگام استفاده از Threat Emulation blade، پس از انجام شبیهسازی در Check Point ابری، پیوندی به گزارش مفصلی در مورد نتایج شبیهسازی - Threat Emulation Report - در گزارش مربوطه ظاهر میشود. محتوای چنین گزارشی به تفصیل در مقاله ما در مورد شرح داده شده است . شایان ذکر است که این گزارش تعاملی است و به شما امکان می دهد جزئیات هر بخش را "غواصی" کنید. همچنین امکان مشاهده ضبط فرآیند شبیه سازی در ماشین مجازی، دانلود فایل مخرب اصلی یا دریافت هش آن و همچنین تماس با تیم پاسخگویی به حادثه Check Point وجود دارد.
گزارش پزشکی قانونی
تقریباً برای هر رویداد امنیتی، یک گزارش Forensics تولید میشود که شامل اطلاعات دقیق درباره فایل مخرب است: ویژگیها، اقدامات، نقطه ورود به سیستم و تأثیر بر داراییهای مهم شرکت. ما ساختار گزارش را به طور مفصل در مقاله در مورد بحث کردیم . چنین گزارشی منبع اطلاعاتی مهمی در هنگام بررسی رویدادهای امنیتی است و در صورت لزوم می توان محتوای گزارش را فوراً برای تیم پاسخگویی به رویداد Check Point ارسال کرد.
SmartView
Check Point SmartView ابزاری مناسب برای ایجاد و مشاهده داشبوردهای پویا (View) و گزارش ها در قالب PDF است. از SmartView همچنین می توانید گزارش های کاربری و رویدادهای حسابرسی را برای مدیران مشاهده کنید. شکل زیر مفیدترین گزارش ها و داشبوردها برای کار با SandBlast Agent را نشان می دهد.
گزارشها در SmartView اسنادی با اطلاعات آماری درباره رویدادها در یک دوره زمانی معین هستند. این برنامه از آپلود گزارش ها در قالب PDF در دستگاهی که SmartView در آن باز است و همچنین آپلود منظم در PDF/Excel به ایمیل مدیر پشتیبانی می کند. علاوه بر این، از واردات/صادرات قالب های گزارش، ایجاد گزارش های خود و امکان مخفی کردن نام کاربری در گزارش ها پشتیبانی می کند. شکل زیر نمونه ای از گزارش داخلی پیشگیری از تهدید را نشان می دهد.
داشبوردها (مشاهده) در SmartView به مدیر امکان دسترسی به گزارشهای رویداد مربوطه را میدهند - فقط روی شی مورد نظر، خواه ستون نمودار یا نام یک فایل مخرب، دوبار کلیک کنید. همانند گزارشها، میتوانید داشبوردهای خود را ایجاد کنید و دادههای کاربر را پنهان کنید. داشبوردها همچنین از واردات/صادرات الگوها، آپلود منظم به PDF/Excel در ایمیل مدیر و بهروزرسانی خودکار دادهها برای نظارت بر رویدادهای امنیتی در زمان واقعی پشتیبانی میکنند.
بخش های نظارتی اضافی
توضیح ابزارهای نظارت در پلتفرم مدیریت بدون ذکر بخش های نمای کلی، مدیریت رایانه، تنظیمات نقطه پایانی و عملیات فشار ناقص خواهد بود. این بخش ها به تفصیل در توضیح داده شده است با این حال، در نظر گرفتن توانایی های آنها برای حل مشکلات نظارت مفید خواهد بود. بیایید با نمای کلی شروع کنیم، که شامل دو بخش فرعی است - نمای کلی عملیاتی و نمای کلی امنیتی، که داشبوردهایی با اطلاعاتی در مورد وضعیت ماشین های کاربر محافظت شده و رویدادهای امنیتی هستند. مانند هنگام تعامل با هر داشبورد دیگری، زیربخش های بازنگری عملیاتی و بررسی اجمالی امنیت، هنگام دوبار کلیک کردن بر روی پارامتر مورد علاقه، به شما امکان می دهد با فیلتر انتخاب شده به بخش مدیریت رایانه بروید (به عنوان مثال، «دسکتاپ ها» یا «پیش- وضعیت راهاندازی: فعال»)، یا به بخش گزارشها برای یک رویداد خاص. زیربخش بررسی اجمالی امنیت یک داشبورد "نمای حمله سایبری - نقطه پایان" است که می تواند سفارشی شود و تنظیم شود تا داده ها به طور خودکار به روز شوند.
از بخش مدیریت کامپیوتر می توانید وضعیت عامل در ماشین های کاربر، وضعیت به روز رسانی پایگاه داده Anti-Malware، مراحل رمزگذاری دیسک و موارد دیگر را نظارت کنید. همه دادهها بهطور خودکار بهروزرسانی میشوند و برای هر فیلتر درصد دستگاههای کاربر منطبق نمایش داده میشود. صادرات داده های کامپیوتری در قالب CSV نیز پشتیبانی می شود.
یکی از جنبههای مهم نظارت بر امنیت ایستگاههای کاری، تنظیم اعلانها درباره رویدادهای مهم (هشدارها) و صادرات گزارشها (رویدادهای صادراتی) برای ذخیرهسازی در سرور گزارش شرکت است. هر دو تنظیمات در قسمت Endpoint Settings و برای تصویر، موسیقی اتصال یک سرور ایمیل برای ارسال اعلانهای رویداد به مدیر و پیکربندی آستانهها برای راهاندازی/غیرفعال کردن اعلانها بسته به درصد/تعداد دستگاههایی که معیارهای رویداد را دارند، ممکن است. صادرات رویدادها به شما اجازه می دهد تا انتقال گزارش ها را از پلتفرم مدیریت به سرور گزارش شرکت برای پردازش بیشتر پیکربندی کنید. از فرمت های SYSLOG، CEF، LEEF، SPLUNK، پروتکل های TCP/UDP، هر سیستم SIEM با عامل syslog در حال اجرا، استفاده از رمزگذاری TLS/SSL و احراز هویت مشتری syslog پشتیبانی می کند.
برای تجزیه و تحلیل عمیق رویدادها در عامل یا در صورت تماس با پشتیبانی فنی، می توانید با استفاده از یک عملیات اجباری در بخش Push Operations، به سرعت گزارش ها را از کلاینت SandBlast Agent جمع آوری کنید. میتوانید انتقال بایگانی تولید شده با گزارشها را به سرورهای Check Point یا سرورهای شرکتی پیکربندی کنید، و بایگانی با گزارشها در دایرکتوری C:UsersusernameCPInfo در دستگاه کاربر ذخیره میشود. این برنامه از راه اندازی فرآیند جمع آوری گزارش ها در یک زمان مشخص و امکان به تعویق انداختن عملیات توسط کاربر پشتیبانی می کند.
شکار تهدید
Threat Hunting برای جستجوی فعالانه برای فعالیت های مخرب و رفتار غیرعادی در یک سیستم برای بررسی بیشتر یک رویداد امنیتی بالقوه استفاده می شود. بخش Threat Hunting در پلتفرم مدیریت به شما امکان می دهد رویدادها را با پارامترهای مشخص شده در داده های ماشین کاربر جستجو کنید.
ابزار Threat Hunting چندین درخواست از پیش تعریف شده دارد، به عنوان مثال: برای طبقه بندی دامنه ها یا فایل های مخرب، پیگیری درخواست های نادر به آدرس های IP خاص (نسبت به آمار عمومی). ساختار درخواست شامل سه پارامتر است: شاخص (پروتکل شبکه، شناسه فرآیند، نوع فایل و غیره)، اپراتور («است»، «نه»، «شامل»، «یکی از» و غیره) و بدن درخواست. می توانید از عبارات منظم در بدنه درخواست استفاده کنید و می توانید از چندین فیلتر به طور همزمان در نوار جستجو استفاده کنید.
پس از انتخاب فیلتر و تکمیل پردازش درخواست، به تمام رویدادهای مرتبط با امکان مشاهده اطلاعات دقیق در مورد رویداد، قرنطینه کردن شی درخواست یا ایجاد گزارش دقیق پزشکی قانونی با شرح رویداد دسترسی دارید. در حال حاضر این ابزار در نسخه بتا قرار دارد و در آینده قرار است مجموعه قابلیت ها را گسترش دهد، مثلاً اطلاعات رویداد را در قالب ماتریس Mitre Att&ck اضافه کند.
نتیجه
بیایید خلاصه کنیم: در این مقاله به قابلیت های نظارت بر رویدادهای امنیتی در پلتفرم مدیریت عامل SandBlast نگاه کردیم و ابزار جدیدی را برای جستجوی فعالانه برای اقدامات مخرب و ناهنجاری ها در ماشین های کاربر - Threat Hunting بررسی کردیم. مقاله بعدی آخرین مقاله از این مجموعه خواهد بود و در آن به متداول ترین سوالات در مورد راه حل پلتفرم مدیریت خواهیم پرداخت و در مورد احتمالات تست این محصول صحبت خواهیم کرد.
. برای اینکه انتشارات بعدی در مورد پلتفرم مدیریت عامل SandBlast را از دست ندهید، به روز رسانی ها را در شبکه های اجتماعی ما دنبال کنید (, , , , ).
منبع: www.habr.com