Fàilte don chòigeamh artaigil san t-sreath mu fhuasgladh Àrd-ùrlar Riaghlaidh Àidseant Check Point SandBlast. Gheibhear artaigilean roimhe seo le bhith leantainn a’ cheangal iomchaidh: , , , . An-diugh seallaidh sinn ri comasan sgrùdaidh anns an Àrd-ùrlar Riaghlaidh, is e sin ag obair le logaichean, deas-bhòrdan eadar-ghnìomhach (View) agus aithisgean. Bruidhnidh sinn cuideachd air a’ chuspair Sealg Cunnart gus bagairtean gnàthach agus tachartasan neo-riaghailteach air inneal an neach-cleachdaidh a chomharrachadh.
Logaichean
Is e am prìomh thùs fiosrachaidh airson sùil a chumail air tachartasan tèarainteachd an roinn Logaichean, a sheallas fiosrachadh mionaideach mu gach tachartas agus a leigeas leat sìoltachain goireasach a chleachdadh gus na slatan-tomhais sgrùdaidh agad ùrachadh. Mar eisimpleir, nuair a nì thu briogadh deas air paramadair (Blade, Action, Severity, msaa) den log ùidh, faodar am paramadair seo a shìoladh mar Criathrag: "Parameter" no Criathraich a-mach: "Parameter". Cuideachd, airson paramadair Stòr, faodar an roghainn Innealan IP a thaghadh, anns an urrainn dhut ping a ruith gu seòladh / ainm IP sònraichte no nslookup a ruith gus an seòladh IP tùsail fhaighinn le ainm.
Anns an roinn Logaichean, airson tachartasan sìolaidh, tha fo-earrann Staitistig, a sheallas staitistig air a h-uile paramadair: diagram ùine leis an àireamh de logaichean, a bharrachd air ceudadan airson gach paramadair. Bhon fho-earrann seo is urrainn dhut logaichean a shìoladh gu furasta gun a bhith a’ cleachdadh a’ bhàr sgrùdaidh agus abairtean sìoltachaidh a sgrìobhadh - dìreach tagh na paramadairean inntinneach agus thèid liosta ùr de logaichean a thaisbeanadh sa bhad.
Tha fiosrachadh mionaideach mu gach log ri fhaighinn anns a’ phannal deas de roinn nan Logaichean, ach tha e nas freagarraiche an loga fhosgladh le bhith a’ briogadh dùbailte gus na tha ann a sgrùdadh. Gu h-ìosal tha eisimpleir de log (faodar cliogadh air an dealbh), a tha a’ taisbeanadh fiosrachadh mionaideach mu bhith ag adhbhrachadh gnìomh Prevent an lann Emulation Cunnart air faidhle “.docx” le galair. Tha grunn fo-roinnean anns a’ log a tha a’ taisbeanadh mion-fhiosrachadh mun tachartas tèarainteachd: poileasaidhean brosnachaidh agus dìonan, mion-fhiosrachadh forensics, fiosrachadh mun neach-dèiligidh agus trafaic. Tha na h-aithisgean a tha rim faighinn bhon log airidh air aire shònraichte - Aithisg Emulation Cunnart agus Aithisg Foireansach. Faodar na h-aithisgean sin fhosgladh cuideachd bhon neach-dèiligidh SandBlast Agent.
Aithisg Emulation Cunnart
Nuair a bhios tu a’ cleachdadh an lann Cunnart Emulation, às deidh emulation a dhèanamh anns an sgòth Check Point, tha ceangal gu aithisg mhionaideach air toraidhean emulation - Threat Emulation Report - a’ nochdadh anns an loga co-fhreagarrach. Tha susbaint na h-aithisg seo air a mhìneachadh gu mionaideach san artaigil againn mu dheidhinn . Is fhiach a bhith mothachail gu bheil an aithisg seo eadar-ghnìomhach agus a’ toirt cothrom dhut “dàibheadh a-steach” air mion-fhiosrachadh gach earrann. Tha e comasach cuideachd clàradh den phròiseas aithris fhaicinn ann an inneal brìgheil, am faidhle droch-rùnach tùsail a luchdachadh sìos no an hash aige fhaighinn, agus cuideachd fios a chuir gu Sgioba Freagairt Tachartas Tachartas Check Point.
Aithisg Forensics
Airson cha mhòr tachartas tèarainteachd sam bith, thèid Aithisg Foireansach a chruthachadh, a tha a’ toirt a-steach fiosrachadh mionaideach mun fhaidhle droch-rùnach: a fheartan, gnìomhan, àite-inntrigidh don t-siostam agus a’ bhuaidh air maoin chudromach na companaidh. Beachdaich sinn gu mionaideach air structar na h-aithisg san artaigil mu dheidhinn . Tha aithisg mar seo na stòr fiosrachaidh cudromach nuair a thathar a’ sgrùdadh thachartasan tèarainteachd, agus ma tha sin riatanach, faodar susbaint na h-aithisg a chuir sa bhad gu Sgioba Freagairt Tachartas Puing Sgrùdaidh.
SmartView
Tha Check Point SmartView na inneal goireasach airson deas-bhòrdan fiùghantach (View) agus aithisgean ann an cruth PDF a chruthachadh agus fhaicinn. Bho SmartView faodaidh tu cuideachd sùil a thoirt air logaichean luchd-cleachdaidh agus tachartasan sgrùdaidh airson luchd-rianachd. Tha am figear gu h-ìosal a’ sealltainn na h-aithisgean agus na clàran-deasachaidh as fheumaile airson a bhith ag obair le SandBlast Agent.
Tha aithisgean ann an SmartView nan sgrìobhainnean le fiosrachadh staitistigeil mu thachartasan thar ùine sònraichte. Bidh e a’ toirt taic do bhith a’ luchdachadh suas aithisgean ann an cruth PDF chun inneal far a bheil SmartView fosgailte, a bharrachd air luchdachadh suas gu cunbhalach gu PDF / Excel gu post-d an rianaire. A bharrachd air an sin, tha e a’ toirt taic do in-mhalairt / às-mhalairt teamplaidean aithris, cruthachadh na h-aithisgean agad fhèin, agus an comas ainmean luchd-cleachdaidh fhalach ann an aithisgean. Tha am figear gu h-ìosal a’ sealltainn eisimpleir de dh’ aithisg Bacadh Cunnart a chaidh a thogail a-steach.
Leigidh dashboards (View) ann an SmartView leis an rianaire faighinn gu logaichean airson an tachartas co-fhreagarrach - dìreach cliog dùbailte air an rud inntinneach, biodh e na cholbh cairt no ainm faidhle droch-rùnach. Coltach ri aithisgean, faodaidh tu na clàran-deasachaidh agad fhèin a chruthachadh agus dàta cleachdaiche fhalach. Bidh deas-bhòrd cuideachd a’ toirt taic do in-mhalairt / às-mhalairt teamplaidean, luchdachadh suas gu cunbhalach gu PDF / Excel gu post-d an rianaire, agus ùrachadh dàta fèin-ghluasadach gus sùil a chumail air tachartasan tèarainteachd ann an àm fìor.
Roinnean sgrùdaidh a bharrachd
Bhiodh tuairisgeul air na h-innealan sgrùdaidh anns an Àrd-ùrlar Riaghlaidh neo-choileanta gun a bhith a’ toirt iomradh air na h-earrannan Ath-shealladh, Riaghladh Coimpiutaireachd, Roghainnean Endpoint agus Obraichean Push. Tha na h-earrannan sin air am mìneachadh gu mionaideach ann an , ge-tà, bidh e feumail beachdachadh air na comasan aca airson fuasgladh fhaighinn air duilgheadasan sgrùdaidh. Feuch an tòisich sinn le Sealladh farsaing, anns a bheil dà fho-roinn - Sealladh farsaing air Gnìomh agus Ath-shealladh Tèarainteachd, a tha nan clàran le fiosrachadh mu staid innealan luchd-cleachdaidh fo dhìon agus tachartasan tèarainteachd. Mar nuair a bhios tu ag eadar-obrachadh le deas-bhòrd sam bith eile, leigidh na fo-roinnean Ath-shealladh Obrachaidh agus Ath-shealladh Tèarainteachd, nuair a nì thu briogadh dùbailte air paramadair ùidh, dhut faighinn chun roinn Riaghladh Coimpiutaireachd leis a’ chriathrag taghte (mar eisimpleir, “Desktops” no “Pre- Inbhe Boot: Air a chomasachadh”), no chun roinn Logaichean airson tachartas sònraichte. Tha am fo-earrann Sealladh farsaing air tèarainteachd na deas-bhòrd “Cyber Attack View - Endpoint”, a dh’ fhaodar a ghnàthachadh agus a shuidheachadh gus dàta ùrachadh gu fèin-ghluasadach.
Bhon roinn Riaghladh Coimpiutaireachd faodaidh tu sùil a chumail air inbhe an neach-ionaid air innealan luchd-cleachdaidh, inbhe ùrachadh stòr-dàta Anti-Malware, ìrean crioptachadh diosc, agus mòran a bharrachd. Tha an dàta gu lèir air ùrachadh gu fèin-ghluasadach, agus airson gach sìoltachan tha an àireamh sa cheud de dh’ innealan cleachdaiche co-fhreagarrach air a thaisbeanadh. Thathas cuideachd a’ toirt taic do às-mhalairt dàta coimpiutair ann an cruth CSV.
Is e taobh chudromach de bhith a’ cumail sùil air tèarainteachd ionadan-obrach fiosan mu thachartasan èiginneach (Rabhadh) agus às-mhalairt logaichean (Tachartasan Às-mhalairt) airson an stòradh air frithealaiche log na companaidh. Tha an dà shuidheachadh air an dèanamh anns an roinn Endpoint Settings, agus airson Tìr Tha e comasach frithealaiche puist a cheangal gus fiosan tachartais a chuir chun rianadair agus stairsnich a rèiteachadh airson fiosan a bhrosnachadh / a dhì-chomasachadh a rèir an àireamh sa cheud / àireamh de dh’ innealan a choinnicheas ri slatan-tomhais an tachartais. Tachartasan às-mhalairt a’ leigeil leat gluasad logaichean a rèiteachadh bhon Àrd-ùrlar Riaghlaidh gu frithealaiche log a’ chompanaidh airson tuilleadh giollachd. A ’toirt taic do chruthan SYSLOG, CEF, LEEF, SPLUNK, protocolaidhean TCP / UDP, siostaman SIEM sam bith le àidseant syslog ruith, cleachdadh crioptachadh TLS / SSL agus dearbhadh teachdaiche syslog.
Airson mion-sgrùdadh domhainn air tachartasan air an neach-ionaid no gun fhios nach cuir thu fios gu taic theicnigeach, faodaidh tu logaichean a chruinneachadh gu sgiobalta bhon neach-dèiligidh SandBlast Agent a ’cleachdadh gnìomhachd èiginneach anns an roinn Push Operations. Faodaidh tu gluasad na tasglann a chaidh a chruthachadh a rèiteachadh le logaichean gu frithealaichean Check Point no frithealaichean corporra, agus tha an tasglann le logaichean air a shàbhaladh air inneal an neach-cleachdaidh anns an eòlaire C:UserusernameCPInfo. Bidh e a’ toirt taic do bhith a’ cur air bhog pròiseas cruinneachadh nan logaichean aig àm sònraichte agus an comas an obair a chuir dheth leis an neach-cleachdaidh.
Sealg Cunnart
Thathas a’ cleachdadh Sealg Cunnart gus gnìomhan droch-rùnach agus giùlan neo-riaghailteach a lorg ann an siostam gus tuilleadh sgrùdaidh a dhèanamh air tachartas tèarainteachd a dh’ fhaodadh a bhith ann. Leigidh an roinn Sealg Cunnart anns an Àrd-ùrlar Riaghlaidh dhut tachartasan a lorg le crìochan sònraichte ann an dàta inneal an neach-cleachdaidh.
Tha grunn cheistean ro-mhìnichte aig an inneal Sealg Cunnart, mar eisimpleir: gus raointean no faidhlichean droch-rùnach a sheòrsachadh, lorg iarrtasan tearc gu cuid de sheòlaidhean IP (an coimeas ri staitistig choitcheann). Tha structar an iarrtais air a dhèanamh suas de thrì crìochan: comharradh (pròtacal lìonra, aithnichear pròiseas, seòrsa faidhle, msaa), an gnìomhaiche (“tha”, “chan eil”, “a’ gabhail a-steach”, “aon de”, msaa.) agus corp iarraidh. Faodaidh tu abairtean cunbhalach a chleachdadh ann am bodhaig an iarrtais, agus faodaidh tu iomadh sìoltachan a chleachdadh aig an aon àm anns a’ bhàr sgrùdaidh.
Às deidh dhut criathrag a thaghadh agus crìoch a chuir air giollachd iarrtasan, bidh cothrom agad air a h-uile tachartas buntainneach, le comas sùil a thoirt air fiosrachadh mionaideach mun tachartas, cuarantine an nì iarrtas, no cruthaich Aithisg Foireansach mionaideach le tuairisgeul air an tachartas. An-dràsta, tha an inneal seo ann an dreach beta agus san àm ri teachd thathas an dùil an seata de chomasan a leudachadh, mar eisimpleir, a’ cur fiosrachadh mun tachartas ann an cruth matrix Miter Att&ck.
co-dhùnadh
Bheir sinn geàrr-chunntas: san artaigil seo thug sinn sùil air na comasan airson sùil a chumail air tachartasan tèarainteachd ann an Àrd-ùrlar Riaghlaidh Àidseant SandBlast, agus rinn sinn sgrùdadh air inneal ùr airson a bhith a’ coimhead gu for-ghnìomhach airson gnìomhan droch-rùnach agus neo-riaghailteachdan air innealan luchd-cleachdaidh - Sealg Cunnart. Is e an ath artaigil an tè mu dheireadh san t-sreath seo agus innte bheir sinn sùil air na ceistean as trice a thèid fhaighneachd mu fhuasgladh an Àrd-ùrlar Riaghlaidh agus bruidhnidh sinn mu na cothroman a th’ ann airson an toradh seo a dhearbhadh.
. Gus nach caill thu na h-ath fhoillseachaidhean air a’ chuspair SandBlast Agent Management Platform, lean na h-ùrachaidhean air na lìonraidhean sòisealta againn (, , , , ).
Source: www.habr.com