Bienvenue dans le cinquième article de la série sur la solution Check Point SandBlast Agent Management Platform. Les articles précédents peuvent être consultés en suivant le lien approprié :
Journaux
La principale source d'informations pour surveiller les événements de sécurité est la section Journaux, qui affiche des informations détaillées sur chaque incident et vous permet également d'utiliser des filtres pratiques pour affiner vos critères de recherche. Par exemple, lorsque vous faites un clic droit sur un paramètre (Blade, Action, Gravité, etc.) du journal qui vous intéresse, ce paramètre peut être filtré comme Filtre : "Paramètre" ou Filtrer : "Paramètre". Également pour le paramètre Source, l'option Outils IP peut être sélectionnée, où vous pouvez exécuter un ping vers une adresse IP/un nom donné ou exécuter un nslookup pour obtenir l'adresse IP source par son nom.
Dans la section Journaux, pour filtrer les événements, il existe une sous-section Statistiques, qui affiche des statistiques sur tous les paramètres : un diagramme temporel avec le nombre de journaux, ainsi que des pourcentages pour chaque paramètre. À partir de cette sous-section, vous pouvez facilement filtrer les journaux sans utiliser la barre de recherche ni écrire d'expressions de filtrage - sélectionnez simplement les paramètres qui vous intéressent et une nouvelle liste de journaux s'affichera immédiatement.
Des informations détaillées sur chaque journal sont disponibles dans le panneau de droite de la section Journaux, mais il est plus pratique d'ouvrir le journal en double-cliquant pour en analyser le contenu. Vous trouverez ci-dessous un exemple de journal (l'image est cliquable), qui affiche des informations détaillées sur le déclenchement de l'action Prévenir du blade Threat Emulation sur un fichier « .docx » infecté. Le journal comporte plusieurs sous-sections qui affichent les détails de l'événement de sécurité : politiques et protections déclenchées, détails d'investigation, informations sur le client et le trafic. Les rapports disponibles dans le journal méritent une attention particulière : rapport d'émulation des menaces et rapport d'investigation. Ces rapports peuvent également être ouverts à partir du client SandBlast Agent.
Rapport d'émulation des menaces
Lors de l'utilisation du blade Threat Emulation, une fois l'émulation effectuée dans le cloud Check Point, un lien vers un rapport détaillé sur les résultats de l'émulation - Threat Emulation Report - apparaît dans le journal correspondant. Le contenu d'un tel rapport est décrit en détail dans notre article sur
Rapport médico-légal
Pour presque tous les événements de sécurité, un rapport d'investigation est généré, qui comprend des informations détaillées sur le fichier malveillant : ses caractéristiques, ses actions, son point d'entrée dans le système et son impact sur les actifs importants de l'entreprise. Nous avons discuté de la structure du rapport en détail dans l'article sur
SmartView
Check Point SmartView est un outil pratique pour créer et visualiser des tableaux de bord dynamiques (View) et des rapports au format PDF. Depuis SmartView, vous pouvez également afficher les journaux des utilisateurs et les événements d'audit pour les administrateurs. La figure ci-dessous montre les rapports et tableaux de bord les plus utiles pour travailler avec SandBlast Agent.
Les rapports dans SmartView sont des documents contenant des informations statistiques sur les événements sur une certaine période de temps. Il prend en charge le téléchargement de rapports au format PDF sur la machine sur laquelle SmartView est ouvert, ainsi que le téléchargement régulier au format PDF/Excel vers la messagerie électronique de l'administrateur. De plus, il prend en charge l'importation/exportation de modèles de rapports, la création de vos propres rapports et la possibilité de masquer les noms d'utilisateurs dans les rapports. La figure ci-dessous montre un exemple de rapport de prévention des menaces intégré.
Les tableaux de bord (View) dans SmartView permettent à l'administrateur d'accéder aux journaux de l'événement correspondant - il suffit de double-cliquer sur l'objet qui vous intéresse, qu'il s'agisse d'une colonne de graphique ou du nom d'un fichier malveillant. Comme pour les rapports, vous pouvez créer vos propres tableaux de bord et masquer les données utilisateur. Les tableaux de bord prennent également en charge l'importation/exportation de modèles, le téléchargement régulier au format PDF/Excel vers la messagerie électronique de l'administrateur et les mises à jour automatiques des données pour surveiller les événements de sécurité en temps réel.
Sections de surveillance supplémentaires
Une description des outils de surveillance de la plateforme de gestion serait incomplète sans mentionner les sections Présentation, Gestion de l'ordinateur, Paramètres des points de terminaison et Opérations push. Ces sections ont été décrites en détail dans
Dans la section Gestion de l'ordinateur, vous pouvez surveiller l'état de l'agent sur les machines des utilisateurs, l'état de mise à jour de la base de données Anti-Malware, les étapes de chiffrement du disque et bien plus encore. Toutes les données sont mises à jour automatiquement et pour chaque filtre, le pourcentage de machines utilisateur correspondantes est affiché. L'exportation de données informatiques au format CSV est également prise en charge.
Un aspect important de la surveillance de la sécurité des postes de travail est la mise en place de notifications sur les événements critiques (Alertes) et l’exportation des journaux (Export Events) pour stockage sur le serveur de journaux de l’entreprise. Les deux paramètres sont définis dans la section Paramètres du point de terminaison, et pour Alertes Il est possible de connecter un serveur de messagerie pour envoyer des notifications d'événements à l'administrateur et configurer des seuils de déclenchement/désactivation des notifications en fonction du pourcentage/nombre d'appareils répondant aux critères d'événement. Exporter des événements vous permet de configurer le transfert des journaux de la plateforme de gestion vers le serveur de journaux de l'entreprise pour un traitement ultérieur. Prend en charge les formats SYSLOG, CEF, LEEF, SPLUNK, les protocoles TCP/UDP, tous les systèmes SIEM avec un agent Syslog en cours d'exécution, l'utilisation du cryptage TLS/SSL et l'authentification du client Syslog.
Pour une analyse approfondie des événements sur l'agent ou en cas de contact avec le support technique, vous pouvez collecter rapidement les journaux du client SandBlast Agent à l'aide d'une opération forcée dans la section Opérations Push. Vous pouvez configurer le transfert de l'archive générée avec les journaux vers des serveurs Check Point ou des serveurs d'entreprise, et l'archive avec les journaux est enregistrée sur la machine de l'utilisateur dans le répertoire C:UsersusernameCPInfo. Il prend en charge le lancement du processus de collecte de journaux à une heure spécifiée et la possibilité de reporter l'opération par l'utilisateur.
Chasse aux menaces
La chasse aux menaces est utilisée pour rechercher de manière proactive des activités malveillantes et des comportements anormaux dans un système afin d'enquêter plus en profondeur sur un événement de sécurité potentiel. La section Threat Hunting de la plateforme de gestion vous permet de rechercher des événements avec des paramètres spécifiés dans les données de la machine utilisateur.
L'outil Threat Hunting dispose de plusieurs requêtes prédéfinies, par exemple : pour classer les domaines ou fichiers malveillants, suivre les requêtes rares vers certaines adresses IP (par rapport aux statistiques générales). La structure de la demande se compose de trois paramètres : indicateur (protocole réseau, identifiant du processus, type de fichier, etc.), l'opérateur (« est », « n'est pas », « comprend », « l'un des », etc.) et corps de la demande. Vous pouvez utiliser des expressions régulières dans le corps de la requête et utiliser plusieurs filtres simultanément dans la barre de recherche.
Après avoir sélectionné un filtre et terminé le traitement de la demande, vous avez accès à tous les événements pertinents, avec la possibilité d'afficher des informations détaillées sur l'événement, de mettre l'objet de la demande en quarantaine ou de générer un rapport d'investigation détaillé avec une description de l'événement. Actuellement, cet outil est en version bêta et à l'avenir, il est prévu d'étendre l'ensemble des fonctionnalités, par exemple en ajoutant des informations sur l'événement sous la forme d'une matrice Mitre Att&ck.
Conclusion
Résumons : dans cet article, nous avons examiné les capacités de surveillance des événements de sécurité dans la plate-forme de gestion des agents SandBlast et étudié un nouvel outil de recherche proactive d'actions malveillantes et d'anomalies sur les machines des utilisateurs - Threat Hunting. Le prochain article sera le dernier de cette série et nous y examinerons les questions les plus fréquemment posées sur la solution Management Platform et parlerons des possibilités de tester ce produit.
Source: habr.com