Bienvenue dans le cinquième article de la série sur la solution Check Point SandBlast Agent Management Platform. Les articles précédents peuvent être consultés en suivant le lien approprié : , , , . Aujourd'hui, nous examinerons les capacités de surveillance de la plateforme de gestion, à savoir l'utilisation de journaux, de tableaux de bord interactifs (View) et de rapports. Nous aborderons également le sujet de la chasse aux menaces pour identifier les menaces actuelles et les événements anormaux sur la machine de l’utilisateur.
Journaux
La principale source d'informations pour surveiller les événements de sécurité est la section Journaux, qui affiche des informations détaillées sur chaque incident et vous permet également d'utiliser des filtres pratiques pour affiner vos critères de recherche. Par exemple, lorsque vous faites un clic droit sur un paramètre (Blade, Action, Gravité, etc.) du journal qui vous intéresse, ce paramètre peut être filtré comme Filtre : "Paramètre" ou Filtrer : "Paramètre". Également pour le paramètre Source, l'option Outils IP peut être sélectionnée, où vous pouvez exécuter un ping vers une adresse IP/un nom donné ou exécuter un nslookup pour obtenir l'adresse IP source par son nom.
Dans la section Journaux, pour filtrer les événements, il existe une sous-section Statistiques, qui affiche des statistiques sur tous les paramètres : un diagramme temporel avec le nombre de journaux, ainsi que des pourcentages pour chaque paramètre. À partir de cette sous-section, vous pouvez facilement filtrer les journaux sans utiliser la barre de recherche ni écrire d'expressions de filtrage - sélectionnez simplement les paramètres qui vous intéressent et une nouvelle liste de journaux s'affichera immédiatement.
Des informations détaillées sur chaque journal sont disponibles dans le panneau de droite de la section Journaux, mais il est plus pratique d'ouvrir le journal en double-cliquant pour en analyser le contenu. Vous trouverez ci-dessous un exemple de journal (l'image est cliquable), qui affiche des informations détaillées sur le déclenchement de l'action Prévenir du blade Threat Emulation sur un fichier « .docx » infecté. Le journal comporte plusieurs sous-sections qui affichent les détails de l'événement de sécurité : politiques et protections déclenchées, détails d'investigation, informations sur le client et le trafic. Les rapports disponibles dans le journal méritent une attention particulière : rapport d'émulation des menaces et rapport d'investigation. Ces rapports peuvent également être ouverts à partir du client SandBlast Agent.
Rapport d'émulation des menaces
Lors de l'utilisation du blade Threat Emulation, une fois l'émulation effectuée dans le cloud Check Point, un lien vers un rapport détaillé sur les résultats de l'émulation - Threat Emulation Report - apparaît dans le journal correspondant. Le contenu d'un tel rapport est décrit en détail dans notre article sur . Il convient de noter que ce rapport est interactif et vous permet de « plonger dans » les détails de chaque section. Il est également possible de visualiser un enregistrement du processus d'émulation dans une machine virtuelle, de télécharger le fichier malveillant original ou d'obtenir son hachage, et également de contacter l'équipe de réponse aux incidents de Check Point.
Rapport médico-légal
Pour presque tous les événements de sécurité, un rapport d'investigation est généré, qui comprend des informations détaillées sur le fichier malveillant : ses caractéristiques, ses actions, son point d'entrée dans le système et son impact sur les actifs importants de l'entreprise. Nous avons discuté de la structure du rapport en détail dans l'article sur . Un tel rapport constitue une source d'informations importante lors d'une enquête sur des événements de sécurité et, si nécessaire, le contenu du rapport peut être immédiatement envoyé à l'équipe de réponse aux incidents de Check Point.
SmartView
Check Point SmartView est un outil pratique pour créer et visualiser des tableaux de bord dynamiques (View) et des rapports au format PDF. Depuis SmartView, vous pouvez également afficher les journaux des utilisateurs et les événements d'audit pour les administrateurs. La figure ci-dessous montre les rapports et tableaux de bord les plus utiles pour travailler avec SandBlast Agent.
Les rapports dans SmartView sont des documents contenant des informations statistiques sur les événements sur une certaine période de temps. Il prend en charge le téléchargement de rapports au format PDF sur la machine sur laquelle SmartView est ouvert, ainsi que le téléchargement régulier au format PDF/Excel vers la messagerie électronique de l'administrateur. De plus, il prend en charge l'importation/exportation de modèles de rapports, la création de vos propres rapports et la possibilité de masquer les noms d'utilisateurs dans les rapports. La figure ci-dessous montre un exemple de rapport de prévention des menaces intégré.
Les tableaux de bord (View) dans SmartView permettent à l'administrateur d'accéder aux journaux de l'événement correspondant - il suffit de double-cliquer sur l'objet qui vous intéresse, qu'il s'agisse d'une colonne de graphique ou du nom d'un fichier malveillant. Comme pour les rapports, vous pouvez créer vos propres tableaux de bord et masquer les données utilisateur. Les tableaux de bord prennent également en charge l'importation/exportation de modèles, le téléchargement régulier au format PDF/Excel vers la messagerie électronique de l'administrateur et les mises à jour automatiques des données pour surveiller les événements de sécurité en temps réel.
Sections de surveillance supplémentaires
Une description des outils de surveillance de la plateforme de gestion serait incomplète sans mentionner les sections Présentation, Gestion de l'ordinateur, Paramètres des points de terminaison et Opérations push. Ces sections ont été décrites en détail dans , il sera cependant utile de considérer leurs capacités à résoudre les problèmes de surveillance. Commençons par Présentation, qui se compose de deux sous-sections : Présentation opérationnelle et Présentation de la sécurité, qui sont des tableaux de bord contenant des informations sur l'état des machines utilisateur protégées et les événements de sécurité. Comme lors de l'interaction avec tout autre tableau de bord, les sous-sections Présentation opérationnelle et Présentation de la sécurité, en double-cliquant sur le paramètre qui vous intéresse, vous permettent d'accéder à la section Gestion de l'ordinateur avec le filtre sélectionné (par exemple, « Bureaux » ou « Pré- Boot Status: Enabled"), ou à la section Journaux pour un événement spécifique. La sous-section Présentation de la sécurité est un tableau de bord « Cyber Attack View – Endpoint », qui peut être personnalisé et configuré pour mettre à jour automatiquement les données.
Dans la section Gestion de l'ordinateur, vous pouvez surveiller l'état de l'agent sur les machines des utilisateurs, l'état de mise à jour de la base de données Anti-Malware, les étapes de chiffrement du disque et bien plus encore. Toutes les données sont mises à jour automatiquement et pour chaque filtre, le pourcentage de machines utilisateur correspondantes est affiché. L'exportation de données informatiques au format CSV est également prise en charge.
Un aspect important de la surveillance de la sécurité des postes de travail est la mise en place de notifications sur les événements critiques (Alertes) et l’exportation des journaux (Export Events) pour stockage sur le serveur de journaux de l’entreprise. Les deux paramètres sont définis dans la section Paramètres du point de terminaison, et pour Alertes Il est possible de connecter un serveur de messagerie pour envoyer des notifications d'événements à l'administrateur et configurer des seuils de déclenchement/désactivation des notifications en fonction du pourcentage/nombre d'appareils répondant aux critères d'événement. Exporter des événements vous permet de configurer le transfert des journaux de la plateforme de gestion vers le serveur de journaux de l'entreprise pour un traitement ultérieur. Prend en charge les formats SYSLOG, CEF, LEEF, SPLUNK, les protocoles TCP/UDP, tous les systèmes SIEM avec un agent Syslog en cours d'exécution, l'utilisation du cryptage TLS/SSL et l'authentification du client Syslog.
Pour une analyse approfondie des événements sur l'agent ou en cas de contact avec le support technique, vous pouvez collecter rapidement les journaux du client SandBlast Agent à l'aide d'une opération forcée dans la section Opérations Push. Vous pouvez configurer le transfert de l'archive générée avec les journaux vers des serveurs Check Point ou des serveurs d'entreprise, et l'archive avec les journaux est enregistrée sur la machine de l'utilisateur dans le répertoire C:UsersusernameCPInfo. Il prend en charge le lancement du processus de collecte de journaux à une heure spécifiée et la possibilité de reporter l'opération par l'utilisateur.
Chasse aux menaces
La chasse aux menaces est utilisée pour rechercher de manière proactive des activités malveillantes et des comportements anormaux dans un système afin d'enquêter plus en profondeur sur un événement de sécurité potentiel. La section Threat Hunting de la plateforme de gestion vous permet de rechercher des événements avec des paramètres spécifiés dans les données de la machine utilisateur.
L'outil Threat Hunting dispose de plusieurs requêtes prédéfinies, par exemple : pour classer les domaines ou fichiers malveillants, suivre les requêtes rares vers certaines adresses IP (par rapport aux statistiques générales). La structure de la demande se compose de trois paramètres : indicateur (protocole réseau, identifiant du processus, type de fichier, etc.), l'opérateur (« est », « n'est pas », « comprend », « l'un des », etc.) et corps de la demande. Vous pouvez utiliser des expressions régulières dans le corps de la requête et utiliser plusieurs filtres simultanément dans la barre de recherche.
Après avoir sélectionné un filtre et terminé le traitement de la demande, vous avez accès à tous les événements pertinents, avec la possibilité d'afficher des informations détaillées sur l'événement, de mettre l'objet de la demande en quarantaine ou de générer un rapport d'investigation détaillé avec une description de l'événement. Actuellement, cet outil est en version bêta et à l'avenir, il est prévu d'étendre l'ensemble des fonctionnalités, par exemple en ajoutant des informations sur l'événement sous la forme d'une matrice Mitre Att&ck.
Conclusion
Résumons : dans cet article, nous avons examiné les capacités de surveillance des événements de sécurité dans la plate-forme de gestion des agents SandBlast et étudié un nouvel outil de recherche proactive d'actions malveillantes et d'anomalies sur les machines des utilisateurs - Threat Hunting. Le prochain article sera le dernier de cette série et nous y examinerons les questions les plus fréquemment posées sur la solution Management Platform et parlerons des possibilités de tester ce produit.
. Afin de ne pas manquer les prochaines publications sur le thème SandBlast Agent Management Platform, suivez les mises à jour sur nos réseaux sociaux (, , , , ).
Source: habr.com