Tervetuloa Check Point SandBlast Agent Management Platform -ratkaisua käsittelevän sarjan viidenteen artikkeliin. Aiemmat artikkelit löytyvät sopivasta linkistä:
Lokit
Pääasiallinen tietolähde tietoturvatapahtumien seurannassa on Lokit-osio, joka näyttää yksityiskohtaiset tiedot kustakin tapauksesta ja mahdollistaa myös kätevien suodattimien avulla hakuehtojen tarkentamisen. Esimerkiksi kun napsautat hiiren kakkospainikkeella kiinnostavan lokin parametria (Blade, Action, Severity jne.), tämä parametri voidaan suodattaa seuraavasti: Suodatin: "Parametri" tai Suodata pois: "Parametri". Myös Lähde-parametrille voidaan valita IP-työkalut-vaihtoehto, jossa voit suorittaa ping-komennon tiettyyn IP-osoitteeseen/nimeen tai suorittaa nslookup-haun saadaksesi lähde-IP-osoitteen nimellä.
Lokit-osiossa tapahtumien suodattamista varten on Tilastot-alaosio, jossa näkyy tilastot kaikista parametreista: aikakaavio lokien määrästä sekä kunkin parametrin prosenttiosuudet. Tästä alaosiosta voit suodattaa lokit helposti ilman hakupalkkia ja kirjoittamatta suodatuslausekkeita - valitse vain kiinnostavat parametrit ja uusi lokiluettelo tulee heti näkyviin.
Yksityiskohtaiset tiedot kustakin lokista löytyvät Lokit-osion oikeanpuoleisesta paneelista, mutta on helpompi avata loki kaksoisnapsauttamalla sen sisältöä analysoidaksesi. Alla on esimerkki lokista (kuvaa voi napsauttaa), joka näyttää yksityiskohtaiset tiedot uhkaemulointilevyn Estä-toiminnon käynnistämisestä tartunnan saaneessa ".docx"-tiedostossa. Lokissa on useita alaosioita, jotka näyttävät tietoturvatapahtuman tiedot: laukaistut käytännöt ja suojaukset, rikostekniset tiedot, tiedot asiakkaasta ja liikenteestä. Loista saatavilla olevat raportit ansaitsevat erityistä huomiota - Threat Emulation Report ja Forensics Report. Nämä raportit voidaan avata myös SandBlast Agent -asiakasohjelmasta.
Uhkien emulointiraportti
Käytettäessä Threat Emulation -korttia, sen jälkeen kun emulointi on suoritettu Check Point -pilvessä, vastaavaan lokiin ilmestyy linkki yksityiskohtaiseen raporttiin emuloinnin tuloksista - Threat Emulation Report. Tällaisen raportin sisältö on kuvattu yksityiskohtaisesti artikkelissamme
Oikeuslääketieteen raportti
Lähes kaikista tietoturvatapahtumista syntyy rikostekninen raportti, joka sisältää yksityiskohtaista tietoa haitallisesta tiedostosta: sen ominaisuuksista, toiminnoista, järjestelmän sisääntulokohdasta ja vaikutuksista yrityksen tärkeisiin omaisuuteen. Keskustelimme raportin rakenteesta yksityiskohtaisesti artikkelissa
SmartView
Check Point SmartView on kätevä työkalu dynaamisten kojetaulujen (View) ja raporttien luomiseen ja katseluun PDF-muodossa. SmartView-sovelluksesta voit myös tarkastella järjestelmänvalvojien käyttäjälokeja ja tarkastustapahtumia. Alla oleva kuva näyttää hyödyllisimmät raportit ja kojelaudat SandBlast Agentin kanssa työskentelemiseen.
SmartView'n raportit ovat asiakirjoja, jotka sisältävät tilastotietoja tapahtumista tietyltä ajanjaksolta. Se tukee raporttien lataamista PDF-muodossa koneeseen, jossa SmartView on auki, sekä säännöllistä lataamista PDF/Exceliin järjestelmänvalvojan sähköpostiin. Lisäksi se tukee raporttimallien tuontia/vientiä, omien raporttien luomista ja mahdollisuutta piilottaa käyttäjätunnukset raporteissa. Alla olevassa kuvassa on esimerkki sisäänrakennetusta uhkien ehkäisyraportista.
SmartView'n hallintapaneelit (View) antavat järjestelmänvalvojalle pääsyn vastaavan tapahtuman lokeihin - kaksoisnapsauta kiinnostavaa kohdetta, olipa se sitten kaaviosarake tai haitallisen tiedoston nimi. Raporttien tapaan voit luoda omia hallintapaneeleja ja piilottaa käyttäjätiedot. Hallintapaneelit tukevat myös mallien tuontia/vientiä, säännöllistä lataamista PDF-/Excel-tiedostoon järjestelmänvalvojan sähköpostiin ja automaattisia tietojen päivityksiä tietoturvatapahtumien seuraamiseksi reaaliajassa.
Muut valvontaosat
Hallintaympäristön valvontatyökalujen kuvaus olisi epätäydellinen ilman yleiskatsaus-, tietokonehallinta-, päätepiste- ja työntötoiminto-osioiden mainitsemista. Nämä osat on kuvattu yksityiskohtaisesti kohdassa
Tietokoneen hallinta -osiosta voit seurata agentin tilaa käyttäjäkoneissa, haittaohjelmien torjuntatietokannan päivitystilaa, levyn salauksen vaiheita ja paljon muuta. Kaikki tiedot päivitetään automaattisesti, ja jokaiselle suodattimelle näytetään vastaavien käyttäjäkoneiden prosenttiosuus. Myös tietokonetietojen vientiä CSV-muodossa tuetaan.
Tärkeä osa työasemien turvallisuuden valvontaa on kriittisten tapahtumien ilmoitusten asettaminen (Alerts) ja lokien vienti (Export Events) tallennettavaksi yrityksen lokipalvelimelle. Molemmat asetukset tehdään Päätepisteen asetukset -osiossa ja varten Hälytykset On mahdollista yhdistää sähköpostipalvelin lähettämään tapahtumailmoituksia järjestelmänvalvojalle ja konfiguroida kynnysarvot ilmoitusten käynnistämiselle/poistamiselle tapahtumakriteerit täyttävien laitteiden prosenttiosuudesta/määrästä riippuen. Vie tapahtumat voit määrittää lokien siirron Management Platformilta yrityksen lokipalvelimelle jatkokäsittelyä varten. Tukee SYSLOG-, CEF-, LEEF-, SPLUNK-muotoja, TCP/UDP-protokollia, kaikkia SIEM-järjestelmiä, joissa on käynnissä syslog-agentti, TLS/SSL-salauksen käyttöä ja syslog-asiakastodennusta.
Agentin tapahtumien syvällistä analysointia varten tai jos otat yhteyttä tekniseen tukeen, voit nopeasti kerätä lokit SandBlast Agent -asiakasohjelmasta käyttämällä pakkotoimintoa Push Operations -osiossa. Voit määrittää luodun lokiarkiston siirron Check Point -palvelimille tai yrityspalvelimille, ja lokit sisältävä arkisto tallennetaan käyttäjän koneelle C:UsersusernameCPInfo-hakemistoon. Se tukee lokinkeruuprosessin käynnistämistä tiettynä ajankohtana ja käyttäjän mahdollisuutta lykätä toimintoa.
Uhkien metsästys
Uhkametsästystä käytetään haitallisten toimintojen ja epänormaalin toiminnan ennakoivaan etsimiseen järjestelmästä mahdollisen tietoturvatapahtuman tutkimiseksi. Hallintaympäristön Uhkien metsästys -osiossa voit etsiä tapahtumia käyttäjän konetiedoissa määritetyillä parametreilla.
Threat Hunting -työkalussa on useita ennalta määritettyjä kyselyitä, esimerkiksi: haitallisten verkkotunnusten tai tiedostojen luokittelu, harvinaisten pyyntöjen seuraaminen tiettyihin IP-osoitteisiin (suhteessa yleisiin tilastoihin). Pyyntörakenne koostuu kolmesta parametrista: osoitin (verkkoprotokolla, prosessin tunniste, tiedostotyyppi jne.), operaattori ("on", "ei ole", "sisältää", "yksi" jne.) ja pyynnön elin. Voit käyttää säännöllisiä lausekkeita pyynnön tekstiosassa ja voit käyttää useita suodattimia samanaikaisesti hakupalkissa.
Kun olet valinnut suodattimen ja suorittanut pyynnön käsittelyn, sinulla on pääsy kaikkiin asiaankuuluviin tapahtumiin. Voit tarkastella tapahtuman yksityiskohtaisia tietoja, asettaa pyyntöobjektin karanteeniin tai luoda yksityiskohtaisen rikosteknisen raportin tapahtuman kuvauksella. Tällä hetkellä tämä työkalu on beta-versiossa ja tulevaisuudessa on tarkoitus laajentaa ominaisuuksien joukkoa esimerkiksi lisäämällä tietoa tapahtumasta Mitre Att&ck -matriisin muodossa.
Johtopäätös
Tehdään yhteenveto: tässä artikkelissa tarkastelimme SandBlast Agent Management Platformin tietoturvatapahtumien valvontamahdollisuuksia ja tutkimme uutta työkalua haitallisten toimintojen ja poikkeamien ennakoivaan etsimiseen käyttäjien koneilla - Uhkien metsästys. Seuraava artikkeli on tämän sarjan viimeinen, ja siinä tarkastellaan yleisimmin kysyttyjä kysymyksiä Management Platform -ratkaisusta ja keskustellaan mahdollisuuksista testata tätä tuotetta.
Lähde: will.com