Benvido ao quinto artigo da serie sobre a solución Check Point SandBlast Agent Management Platform. Os artigos anteriores pódense atopar seguindo a ligazón correspondente: , , , . Hoxe analizaremos as capacidades de monitorización da Plataforma de Xestión, é dicir, traballar con rexistros, paneis interactivos (Ver) e informes. Tamén abordaremos o tema da caza de ameazas para identificar as ameazas actuais e os eventos anómalos na máquina do usuario.
Rexistros
A principal fonte de información para supervisar os eventos de seguridade é a sección Rexistros, que mostra información detallada sobre cada incidente e tamén che permite utilizar filtros convenientes para refinar os teus criterios de busca. Por exemplo, cando fai clic co botón dereito nun parámetro (Blade, Action, Severity, etc.) do rexistro de interese, este parámetro pode filtrarse como Filtro: "Parámetro" ou Filtrar: "Parámetro". Ademais, para o parámetro Orixe, pódese seleccionar a opción Ferramentas IP, na que pode executar un ping a un determinado enderezo/nome IP ou executar un nslookup para obter o enderezo IP de orixe polo nome.
Na sección Rexistros, para filtrar eventos, hai unha subsección Estatísticas, que mostra estatísticas de todos os parámetros: un diagrama de tempo co número de rexistros, así como porcentaxes para cada parámetro. Desde esta subsección podes filtrar facilmente os rexistros sen usar a barra de busca e escribir expresións de filtrado; só tes que seleccionar os parámetros de interese e inmediatamente aparecerá unha nova lista de rexistros.
A información detallada sobre cada rexistro está dispoñible no panel dereito da sección Rexistros, pero é máis cómodo abrir o rexistro facendo dobre clic para analizar o contido. A continuación móstrase un exemplo de rexistro (se pode facer clic na imaxe), que amosa información detallada sobre a activación da acción Prevención da folla de emulación de ameazas nun ficheiro ".docx" infectado. O rexistro ten varias subseccións que mostran os detalles do evento de seguridade: políticas e proteccións activadas, detalles forenses, información sobre o cliente e o tráfico. Os informes dispoñibles no rexistro merecen unha atención especial: Informe de emulación de ameazas e Informe forense. Estes informes tamén se poden abrir desde o cliente SandBlast Agent.
Informe de emulación de ameazas
Cando se utiliza a folla de emulación de ameazas, despois de que a emulación se realice na nube de Check Point, aparece unha ligazón a un informe detallado sobre os resultados da emulación - Informe de emulación de ameazas - no rexistro correspondente. O contido deste informe descríbese en detalle no noso artigo sobre . Cabe destacar que este informe é interactivo e permite "mergullo" nos detalles de cada sección. Tamén é posible ver unha gravación do proceso de emulación nunha máquina virtual, descargar o ficheiro malicioso orixinal ou obter o seu hash, e tamén contactar co Equipo de Resposta a Incidentes de Check Point.
Informe Forense
Para case calquera evento de seguridade, xérase un Informe Forense, que inclúe información detallada sobre o ficheiro malicioso: as súas características, accións, punto de entrada ao sistema e impacto nos activos importantes da empresa. Discutimos a estrutura do informe en detalle no artigo sobre . Este informe é unha fonte importante de información cando se investigan eventos de seguridade e, se é necesario, o contido do informe pódese enviar inmediatamente ao Equipo de Resposta a Incidentes de Check Point.
SmartView
Check Point SmartView é unha ferramenta conveniente para crear e ver paneis dinámicos (Ver) e informes en formato PDF. Desde SmartView tamén pode ver rexistros de usuarios e eventos de auditoría dos administradores. A seguinte figura mostra os informes e paneis de control máis útiles para traballar con SandBlast Agent.
Os informes en SmartView son documentos con información estatística sobre eventos durante un período de tempo determinado. Admite a carga de informes en formato PDF na máquina onde SmartView está aberto, así como a carga regular en PDF/Excel ao correo electrónico do administrador. Ademais, admite a importación/exportación de modelos de informes, a creación dos seus propios informes e a posibilidade de ocultar os nomes de usuario nos informes. A figura seguinte mostra un exemplo dun informe de prevención de ameazas integrado.
Os paneis (Ver) en SmartView permiten ao administrador acceder aos rexistros do evento correspondente; só tes que facer dobre clic no obxecto de interese, xa sexa unha columna de gráfico ou o nome dun ficheiro malicioso. Do mesmo xeito que cos informes, pode crear os seus propios paneis e ocultar os datos do usuario. Os paneis tamén admiten a importación/exportación de modelos, a carga regular en PDF/Excel ao correo electrónico do administrador e as actualizacións automáticas de datos para supervisar os eventos de seguridade en tempo real.
Seccións adicionais de vixilancia
Unha descrición das ferramentas de vixilancia na Plataforma de Xestión estaría incompleta sen mencionar as seccións Visión xeral, Xestión informática, Configuración do punto final e Operacións push. Estas seccións foron descritas en detalle en , non obstante, será útil considerar as súas capacidades para resolver problemas de vixilancia. Comecemos coa Visión xeral, que consta de dúas subseccións: Visión xeral operativa e Visión xeral da seguridade, que son paneis de control con información sobre o estado das máquinas de usuarios protexidas e eventos de seguridade. Como cando se interactúa con calquera outro panel, as subseccións Visión xeral operativa e Visión xeral da seguridade, ao facer dobre clic sobre o parámetro de interese, permítenche acceder á sección Xestión informática co filtro seleccionado (por exemplo, "Escritorios" ou "Pre- Estado de arranque: activado"), ou á sección Rexistros para un evento específico. A subsección Visión xeral da seguridade é un panel de control "Cyber Attack View - Endpoint", que se pode personalizar e configurar para actualizar automaticamente os datos.
Desde a sección Xestión informática pode supervisar o estado do axente nas máquinas dos usuarios, o estado de actualización da base de datos Anti-Malware, as fases de cifrado do disco e moito máis. Todos os datos actualízanse automaticamente e para cada filtro móstrase a porcentaxe de máquinas de usuarios coincidentes. Tamén se admite a exportación de datos do ordenador en formato CSV.
Un aspecto importante da supervisión da seguridade das estacións de traballo é configurar notificacións sobre eventos críticos (Alertas) e exportar rexistros (Exportar eventos) para almacenalos no servidor de rexistros da empresa. Ambas as configuracións realízanse na sección Configuración do punto final e para Alertas É posible conectar un servidor de correo para enviar notificacións de eventos ao administrador e configurar limiares para activar/desactivar notificacións dependendo da porcentaxe/número de dispositivos que cumpran os criterios do evento. Exportar eventos permítelle configurar a transferencia de rexistros desde a Plataforma de Xestión ao servidor de rexistros da empresa para o seu procesamento posterior. Admite os formatos SYSLOG, CEF, LEEF, SPLUNK, protocolos TCP/UDP, calquera sistema SIEM cun axente syslog en execución, o uso de cifrado TLS/SSL e autenticación de cliente syslog.
Para unha análise en profundidade dos eventos no axente ou en caso de contactar co soporte técnico, pode recoller rapidamente rexistros do cliente do axente SandBlast mediante unha operación forzada na sección Operacións de inserción. Pode configurar a transferencia do arquivo xerado con rexistros a servidores Check Point ou servidores corporativos, e o arquivo cos rexistros gárdase na máquina do usuario no directorio C:UsersusernameCPInfo. Admite o lanzamento do proceso de recollida de rexistros nunha hora especificada e a posibilidade de aprazar a operación por parte do usuario.
Caza de Ameazas
A caza de ameazas úsase para buscar de forma proactiva actividades maliciosas e comportamentos anómalos nun sistema para investigar máis a fondo un posible evento de seguranza. A sección Threat Hunting da plataforma de xestión permítelle buscar eventos con parámetros especificados nos datos da máquina do usuario.
A ferramenta Threat Hunting ten varias consultas predefinidas, por exemplo: para clasificar dominios ou ficheiros maliciosos, rastrexar solicitudes raras a certos enderezos IP (en relación coas estatísticas xerais). A estrutura da solicitude consta de tres parámetros: indicador (protocolo de rede, identificador de proceso, tipo de ficheiro, etc.), o operador (“é”, “non é”, “inclúe”, “un dos”, etc.) e órgano de solicitude. Podes usar expresións regulares no corpo da solicitude e podes usar varios filtros á vez na barra de busca.
Despois de seleccionar un filtro e completar o procesamento da solicitude, tes acceso a todos os eventos relevantes, coa posibilidade de ver información detallada sobre o evento, poñer en corentena o obxecto da solicitude ou xerar un informe forense detallado cunha descrición do evento. Actualmente, esta ferramenta está en versión beta e no futuro está previsto ampliar o conxunto de capacidades, por exemplo, engadindo información sobre o evento en forma de matriz Mitre Att&ck.
Conclusión
Sintetizamos: neste artigo analizamos as capacidades de vixilancia dos eventos de seguridade na Plataforma de xestión de axentes SandBlast e estudamos unha nova ferramenta para buscar de forma proactiva accións e anomalías maliciosas nas máquinas dos usuarios: Threat Hunting. O seguinte artigo será o definitivo desta serie e nel analizaremos as preguntas máis frecuentes sobre a solución da Plataforma de Xestión e falaremos das posibilidades de probar este produto.
. Para non perderse as próximas publicacións sobre o tema SandBlast Agent Management Platform, siga as actualizacións nas nosas redes sociais (, , , , ).
Fonte: www.habr.com