Bienvenue dans une nouvelle série d'articles dédiés à la protection des lieux de travail personnels grâce à une solution et un nouveau système de gestion cloud - . SandBlast Agent a été examiné par nos soins dans des articles sur и , et nous avons promis depuis longtemps de publier une série complète d'articles sur le déploiement et l'administration des agents. Et la plate-forme de gestion du système de gestion des agents basée sur le cloud présentée par Check Point dans le portail Infinity est la mieux adaptée pour cela - du moment de l'enregistrement sur le portail jusqu'au début de l'analyse du poste de travail par l'agent et de la détection des activités malveillantes, il faudra seulement quelques minutes.
Pourquoi l'agent SandBlast ?
D'après le dernier test L'agent Check Point SandBlast est classé AA et recommandé avec les résultats de tests suivants :
- Le taux de blocage du trafic WEB est de 100 % ;
- Le taux de blocage des e-mails est de 100 % ;
- Taux de blocage des menaces hors ligne : 100 % ;
- Le taux de blocage des tentatives de contournement est de 100 % ;
- Taux de blocage global : 99,12 % ;
- La valeur des faux positifs Les faux positifs sont de 0,8 %.
SandBlast Agent offre un haut niveau de sécurité aux postes de travail des utilisateurs grâce à la collaboration de plusieurs composants, appelés « lames » dans la terminologie Check Point. Brève description des lames utilisées dans SandBlast Agent :
- Émulation de menace — la technologie sandbox, résistante à diverses techniques d'évasion et permettant de prévenir les attaques zero-day ;
- Extraction des menaces — technologie de nettoyage de fichiers à la volée, permettant à l'utilisateur d'obtenir un document débarrassé de ses composants actifs avant le verdict de l'émulation complète ;
- Anti-Exploit — protection des applications largement utilisées (Microsoft Office, Adobe PDF Reader, navigateurs, etc.) contre les attaques utilisant des exploits ;
- anti-bot — une technologie qui protège les ordinateurs personnels contre l'adhésion aux réseaux de zombies, vous permet de détecter les infections, d'arrêter le fonctionnement des logiciels malveillants et de « nettoyer » les machines infectées ;
- Zéro hameçonnage — un module de protection qui bloque les sites de phishing frauduleux et informe l'utilisateur de l'utilisation d'un mot de passe fonctionnel sur des ressources tierces ;
- Garde comportementale — une technologie visant à prévenir les attaques utilisant des technologies pour contourner et échapper à la détection ;
- Anti-Ransomware — un module de protection qui détecte et bloque les actions des ransomwares, et permet également de restaurer les fichiers cryptés à l'aide de Snapshots ;
- Forensics — un module de sécurité qui enregistre et analyse tous les événements sur la machine et fournit ainsi un rapport de haute qualité sur les attaques faisant l'objet d'une enquête.
En plus des fonctionnalités répertoriées, SandBlast Agent permet le cryptage complet du disque, ainsi que le cryptage des supports amovibles et la protection des ports de l'ordinateur, dispose d'un client VPN intégré, de modules de signature et heuristiques pour la protection contre les logiciels malveillants. Les capacités de tous les composants SandBlast Agent seront discutées plus en détail dans les articles suivants, mais il est maintenant temps de se familiariser avec la plate-forme en développement actif - Check Point Infinity.
Check Point Infinity : protection contre les menaces de génération V
Depuis 2017, Check Point développe et promeut une architecture de sécurité unique et consolidée , qui vous permet de protéger avec succès tous les composants de l'infrastructure informatique moderne : infrastructure réseau et cloud, postes de travail, appareils mobiles. L'idée principale est la possibilité de gérer des outils de sécurité de différentes catégories à partir d'une seule console de gestion basée sur un navigateur.
Actuellement, l'architecture Check Point Infinity vous permet d'administrer des solutions de protection du cloud - CloudGuard SaaS, des solutions de sécurité réseau - CloudGuard Connect, Smart-1 Cloud, Infinity SOC, ainsi que de protéger les appareils des utilisateurs à l'aide de SandBlast Agent Management Platform, SandBlast Agent Cloud. Gestion et tableau de bord Web SandBlast.
Cette série d'articles sera consacrée à la solution SandBlast Agent Management Platform (actuellement en version Beta), qui permet de déployer un serveur de gestion cloud en quelques minutes, de configurer une politique de sécurité et de distribuer des agents sur les ordinateurs des utilisateurs.
Portail Infinity et plateforme de gestion des agents SandBlast : pour commencer
Le processus de déploiement de SandBlast Agent à l'aide de la plateforme de gestion comprend 5 étapes :
- Inscription sur le portail Check Point Infinity ;
- Enregistrement de l'application SandBlast Agent Management Platform ;
- Création d'un nouveau service Endpoint Management pour gérer les agents ;
- Créer et configurer une politique pour les agents ;
- Déploiement d'agents sur les ordinateurs des utilisateurs.
Cet article couvre les trois premières étapes, et dans les articles suivants, nous examinerons de plus près les deux autres, notamment l'exploration de l'interface de la plateforme de gestion, la distribution des agents sur les ordinateurs clients, la configuration de la stratégie et le test de la capacité de l'agent à gérer les problèmes les plus courants. menaces à la sécurité.
1. Inscription sur le portail Infinity
Tout d'abord, vous devez vous rendre sur le site Web et remplissez le formulaire d'inscription en indiquant le nom de l'entreprise, les coordonnées et acceptez les conditions d'utilisation du service et la politique de confidentialité du portail, ainsi que de compléter reCAPTCHA. Il est à noter que lors de votre inscription, vous pouvez sélectionner le pays dans le centre de données duquel les données collectées par le portail seront stockées conformément aux règles d'utilisation du service et à la politique de confidentialité. Il n’y a que deux options : l’Irlande et les États-Unis. Pour ce faire, vous devez cocher la case « Utiliser une région de résidence des données spécifique » et sélectionner le pays.
Une fois votre inscription réussie sur le portail, une lettre sera envoyée à votre adresse e-mail confirmant votre accès au portail Infinity et vous invitant à vous connecter au portail. Il convient de noter que lors de votre première connexion au portail pour la première fois, vous devrez peut-être sélectionner l'option de réinitialisation du mot de passe pour une authentification plus réussie.
2. Enregistrez l'application SandBlast Agent Management Platform
Après vous être authentifié sur le portail et cliqué sur l'icône « Menu » (étape 1 dans l'image ci-dessous), il vous sera demandé d'enregistrer une application parmi la liste des applications disponibles dans les catégories suivantes : Protection Cloud, Protection Réseau et Protection des Points Finaux. Chaque application mérite son propre cours d'articles d'introduction, nous ne nous y attarderons donc pas plus en détail et sélectionnerons l'application SandBlast Agent Management Platform dans la catégorie Endpoint Protection (étape 2 dans l'image ci-dessous).
Après avoir sélectionné l'application, vous devez alors accepter les conditions d'utilisation du service et la politique de confidentialité du portail, et après avoir cliqué sur le bouton « ESSAYER MAINTENANT », l'accès à l'interface de création de services Endpoint Management s'ouvre.
3. Créez un nouveau service de gestion des points de terminaison
La dernière étape consiste à créer un nouveau service pour Endpoint Management, qui est une interface Web pour la gestion des agents. Le processus, comme auparavant, est extrêmement simple : sélectionnez l'option « Nouveau service de gestion des points de terminaison » (comme indiqué dans la figure ci-dessous), remplissez les détails de votre nouveau service (ID, région d'hébergement et mot de passe) et cliquez sur « CRÉER ». bouton.
Une fois le processus de création du service terminé, vous recevrez un e-mail contenant les paramètres que vous pourrez utiliser pour vous connecter au serveur de gestion cloud à l'aide de la console Check Point standard pour l'administration des agents - SmartEndpoint version R80.40. Nous n'envisagerons pas la gestion à l'aide d'une console standard, puisque cette série d'articles vise à démontrer les capacités du système de gestion d'agent cloud SandBlast.
À ce stade, le processus d'enregistrement d'un service cloud pour la gestion de l'outil de protection de l'ordinateur personnel SandBlast Agent peut être considéré comme terminé avec succès. Nous voyons l'interface Web de la plateforme d'administration d'agents, qui sera discutée en détail dans notre prochain article de la série « Check Point SandBlast Agent Management Platform ».
Conclusion
Il est temps de résumer le travail effectué : nous nous sommes inscrits avec succès sur le portail Infinity, avons enregistré l'application SandBlast Agent Management Platform sur le portail et avons créé un nouveau service de gestion cloud, Endpoint Management Service.
Dans notre prochain article de la série, nous examinerons en détail l'interface de gestion des agents - aucun onglet ne sera laissé sans surveillance, ce qui nous permettra de créer facilement une politique de sécurité à l'avenir et de surveiller l'état des machines des utilisateurs utilisant journaux et rapports.
. Afin de ne pas manquer les prochaines publications sur le thème SandBlast Agent Management Platform, suivez les mises à jour sur nos réseaux sociaux (, , , , ).
Source: habr.com