Dobro došli u peti članak u nizu o rješenju Check Point SandBlast Agent Management Platform. Prethodne članke možete pronaći slijedeći odgovarajuću poveznicu: , , , . Danas ćemo se osvrnuti na mogućnosti praćenja u platformi za upravljanje, odnosno rad sa zapisima, interaktivnim nadzornim pločama (View) i izvješćima. Također ćemo se dotaknuti teme Threat Huntinga kako bismo identificirali trenutne prijetnje i nenormalne događaje na korisničkom računalu.
Drva
Glavni izvor informacija za praćenje sigurnosnih događaja je odjeljak Dnevnici, koji prikazuje detaljne informacije o svakom incidentu, a također vam omogućuje korištenje prikladnih filtara za pročišćavanje kriterija pretraživanja. Na primjer, kada desnom tipkom miša kliknete parametar (Blade, Action, Severity, itd.) zapisnika od interesa, ovaj se parametar može filtrirati kao Filter: "Parametar" ili Filtriraj: "Parametar". Također se za parametar Izvora može odabrati opcija IP Alati gdje možete pokrenuti ping na zadanu IP adresu/ime ili pokrenuti nslookup da dobijete izvornu IP adresu prema imenu.
U odjeljku Dnevnici, za filtriranje događaja, nalazi se pododjeljak Statistika, koji prikazuje statistiku svih parametara: vremenski dijagram s brojem zapisa, kao i postotke za svaki parametar. U ovom pododjeljku možete jednostavno filtrirati zapise bez korištenja trake za pretraživanje i pisanja izraza za filtriranje - samo odaberite parametre koji vas zanimaju i odmah će se prikazati novi popis zapisa.
Detaljne informacije o svakom dnevniku dostupne su na desnoj ploči odjeljka Zapisnici, no praktičnije je otvoriti zapisnik dvostrukim klikom za analizu sadržaja. Dolje je primjer dnevnika (na sliku se može kliknuti), koji prikazuje detaljne informacije o pokretanju radnje Spriječi blade Threat Emulation na zaraženoj ".docx" datoteci. Dnevnik ima nekoliko pododjeljaka koji prikazuju pojedinosti o sigurnosnom događaju: pokrenuta pravila i zaštite, pojedinosti forenzike, informacije o klijentu i prometu. Izvješća dostupna iz dnevnika zaslužuju posebnu pozornost - Izvješće o emulaciji prijetnji i Izvješće o forenzici. Ta se izvješća također mogu otvoriti iz SandBlast Agent klijenta.
Izvješće o emulaciji prijetnji
Kada koristite oštricu Threat Emulation, nakon što se emulacija provede u oblaku Check Point, poveznica na detaljno izvješće o rezultatima emulacije - Threat Emulation Report - pojavljuje se u odgovarajućem dnevniku. Sadržaj takvog izvješća detaljno je opisan u našem članku o . Vrijedno je napomenuti da je ovo izvješće interaktivno i omogućuje vam da "zaronite" u detalje za svaki odjeljak. Također je moguće pogledati snimku procesa emulacije u virtualnom stroju, preuzeti originalnu zlonamjernu datoteku ili dobiti njen hash te također kontaktirati Check Point tim za odgovor na incidente.
Forenzičko izvješće
Za gotovo svaki sigurnosni događaj generira se forenzičko izvješće koje uključuje detaljne informacije o zlonamjernoj datoteci: njezinim karakteristikama, radnjama, ulaznoj točki u sustav i utjecaju na važnu imovinu tvrtke. O strukturi izvješća detaljno smo govorili u članku o . Takvo izvješće važan je izvor informacija prilikom istraživanja sigurnosnih događaja, a po potrebi se sadržaj izvješća može odmah poslati Timu za odgovor na incidente Check Pointa.
Smart View
Check Point SmartView je praktičan alat za izradu i pregled dinamičkih nadzornih ploča (View) i izvješća u PDF formatu. Iz SmartViewa također možete vidjeti korisničke zapisnike i revizijske događaje za administratore. Slika u nastavku prikazuje najkorisnija izvješća i nadzorne ploče za rad s SandBlast Agentom.
Izvješća u SmartViewu su dokumenti sa statističkim podacima o događajima u određenom vremenskom razdoblju. Podržava učitavanje izvješća u PDF formatu na stroj na kojem je otvoren SmartView, kao i redovito učitavanje u PDF/Excel na e-mail administratora. Osim toga, podržava uvoz/izvoz predložaka izvješća, izradu vlastitih izvješća i mogućnost skrivanja korisničkih imena u izvješćima. Donja slika prikazuje primjer ugrađenog izvješća o sprječavanju prijetnji.
Nadzorne ploče (View) u SmartViewu omogućuju administratoru pristup zapisima za odgovarajući događaj - samo dvaput kliknite na predmet interesa, bilo da se radi o stupcu grafikona ili nazivu zlonamjerne datoteke. Kao i kod izvješća, možete izraditi vlastite nadzorne ploče i sakriti korisničke podatke. Nadzorne ploče također podržavaju uvoz/izvoz predložaka, redoviti prijenos u PDF/Excel na e-poštu administratora i automatsko ažuriranje podataka za praćenje sigurnosnih događaja u stvarnom vremenu.
Dodatni odjeljci za praćenje
Opis alata za nadzor u platformi za upravljanje bio bi nepotpun bez spominjanja odjeljaka Pregled, Upravljanje računalom, Postavke krajnje točke i Push operacije. Ovi dijelovi su detaljno opisani u međutim, bilo bi korisno razmotriti njihove sposobnosti za rješavanje problema praćenja. Započnimo s Pregledom koji se sastoji od dva pododjeljka - Operativni pregled i Sigurnosni pregled, a to su nadzorne ploče s informacijama o stanju zaštićenih korisničkih računala i sigurnosnim događajima. Kao i kod interakcije s bilo kojom drugom nadzornom pločom, pododjeljci Operational Overview i Security Overview, kada dvaput kliknete na parametar od interesa, omogućuju vam da dođete do odjeljka Computer Management s odabranim filtrom (na primjer, "Desktops" ili "Pre- Boot Status: Enabled”), ili u odjeljak Dnevnici za određeni događaj. Pododjeljak Pregled sigurnosti nadzorna je ploča "Prikaz cyber napada – krajnja točka", koja se može prilagoditi i postaviti za automatsko ažuriranje podataka.
U odjeljku Upravljanje računalom možete pratiti status agenta na korisničkim računalima, status ažuriranja Anti-Malware baze podataka, faze šifriranja diska i još mnogo toga. Svi podaci ažuriraju se automatski, a za svaki filter prikazan je postotak podudarnih korisničkih računala. Također je podržan izvoz računalnih podataka u CSV formatu.
Važan aspekt praćenja sigurnosti radnih stanica je postavljanje obavijesti o kritičnim događajima (Alerts) i izvoz logova (Export Events) za pohranjivanje na poslužitelj dnevnika tvrtke. Obje postavke se postavljaju u odjeljku Postavke krajnje točke i za Upozorenja Moguće je povezati poslužitelj e-pošte za slanje obavijesti o događajima administratoru i konfigurirati pragove za pokretanje/onemogućavanje obavijesti ovisno o postotku/broju uređaja koji zadovoljavaju kriterije događaja. Izvoz događaja omogućuje vam konfiguriranje prijenosa zapisa s platforme za upravljanje na poslužitelj zapisa tvrtke za daljnju obradu. Podržava SYSLOG, CEF, LEEF, SPLUNK formate, TCP/UDP protokole, sve SIEM sustave s aktivnim syslog agentom, upotrebu TLS/SSL enkripcije i syslog provjeru autentičnosti klijenta.
Za dubinsku analizu događaja na agentu ili u slučaju kontaktiranja tehničke podrške, možete brzo prikupiti zapise s SandBlast Agent klijenta pomoću prisilne operacije u odjeljku Push Operations. Možete konfigurirati prijenos generirane arhive s zapisnicima na poslužitelje Check Pointa ili korporativne poslužitelje, a arhiva s zapisnicima sprema se na korisnikovo računalo u direktoriju C:UsersusernameCPInfo. Podržava pokretanje procesa prikupljanja zapisa u određeno vrijeme i mogućnost korisnikove odgode operacije.
Lov na prijetnje
Lov na prijetnje koristi se za proaktivno traženje zlonamjernih aktivnosti i nenormalnog ponašanja u sustavu kako bi se dodatno istražio potencijalni sigurnosni događaj. Odjeljak Lov na prijetnje u platformi za upravljanje omogućuje vam pretragu događaja s određenim parametrima u podacima korisničkog stroja.
Alat za lov na prijetnje ima nekoliko unaprijed definiranih upita, na primjer: za klasificiranje zlonamjernih domena ili datoteka, praćenje rijetkih zahtjeva određenim IP adresama (u odnosu na opću statistiku). Struktura zahtjeva sastoji se od tri parametra: indikator (mrežni protokol, identifikator procesa, tip datoteke itd.), operator ("je", "nije", "uključuje", "jedan od", itd.) i tijelo zahtjeva. Možete koristiti regularne izraze u tijelu zahtjeva, a možete koristiti više filtara istovremeno u traci za pretraživanje.
Nakon odabira filtra i dovršetka obrade zahtjeva, imate pristup svim relevantnim događajima, uz mogućnost pregleda detaljnih informacija o događaju, stavljanje objekta zahtjeva u karantenu ili generiranje detaljnog Forenzičkog izvješća s opisom događaja. Trenutno je ovaj alat u beta verziji, au budućnosti se planira proširiti skup mogućnosti, na primjer, dodavanje informacija o događaju u obliku Mitre Att&ck matrice.
Zaključak
Rezimirajmo: u ovom smo članku pogledali mogućnosti praćenja sigurnosnih događaja u SandBlast Agent Management Platformi i proučili novi alat za proaktivno traženje zlonamjernih radnji i anomalija na korisničkim računalima - Threat Hunting. Sljedeći članak bit će posljednji u ovoj seriji iu njemu ćemo se osvrnuti na najčešće postavljana pitanja o rješenju Management Platform te govoriti o mogućnostima testiranja ovog proizvoda.
. Kako ne biste propustili sljedeće publikacije na temu SandBlast Agent Management Platforma, pratite ažuriranja na našim društvenim mrežama (, , , , ).
Izvor: www.habr.com