Üdvözöljük a Check Point SandBlast Agent Management Platform megoldásról szóló sorozat ötödik cikkében. A korábbi cikkeket a megfelelő linkre kattintva érheti el:
Naplók
A biztonsági események figyelésének fő információforrása a Naplók rész, amely részletes információkat jelenít meg az egyes eseményekről, és kényelmes szűrőket is lehetővé tesz a keresési feltételek finomításához. Például, ha a jobb gombbal rákattint egy paraméterre (Blade, Action, Severity stb.) az érdeklődési naplóban, ez a paraméter szűrhető a következőképpen: Szűrő: "Paraméter" vagy Szűrés: "Paraméter". A Forrás paraméternél az IP Tools opció is kiválasztható, ahol egy ping parancsot futtathat egy adott IP-címre/névre, vagy futtathat egy nslookup-ot a forrás IP-címének név szerinti lekéréséhez.
A Naplók részben az események szűrésére van egy Statisztika alszakasz, amely minden paraméterre vonatkozóan megjeleníti a statisztikákat: egy idődiagramot a naplók számával, valamint az egyes paraméterek százalékos értékével. Ebből az alszakaszból egyszerűen szűrheti a naplókat a keresősáv használata és a szűrési kifejezések írása nélkül – csak válassza ki a kívánt paramétereket, és azonnal megjelenik a naplók új listája.
Az egyes naplók részletes információi a Naplók rész jobb oldali paneljén érhetők el, de kényelmesebb a napló megnyitása dupla kattintással a tartalom elemzéséhez. Az alábbiakban egy példa látható egy naplóra (a képre kattintható), amely részletes információkat jelenít meg a fertőzött ".docx" fájlban lévő Fenyegetés-emulációs panel Megelőzés műveletének aktiválásáról. A naplóban több alszakasz található, amelyek a biztonsági esemény részleteit jelenítik meg: aktivált házirendek és védelmek, kriminalisztikai adatok, az ügyfélre és a forgalomra vonatkozó információk. Külön figyelmet érdemelnek a naplóból elérhető jelentések – a fenyegetés-emulációs jelentés és a törvényszéki jelentés. Ezek a jelentések a SandBlast Agent kliensből is megnyithatók.
Fenyegetés-emulációs jelentés
A Threat Emulation blade használatakor a Check Point felhőben végzett emuláció után a megfelelő naplóban megjelenik egy hivatkozás az emuláció eredményeiről szóló részletes jelentéshez - Threat Emulation Report. Egy ilyen jelentés tartalmát részletesen ismertetjük az erről szóló cikkünkben
Törvényszéki jelentés
Szinte minden biztonsági eseményről kriminalisztikai jelentés készül, amely részletes információkat tartalmaz a rosszindulatú fájlról: jellemzőiről, műveleteiről, a rendszerbe való belépési pontról és a vállalat fontos eszközeire gyakorolt hatásáról. A jelentés felépítését a cikkben részletesen tárgyaltuk
SmartView
A Check Point SmartView egy kényelmes eszköz dinamikus irányítópultok (View) és jelentések PDF formátumban történő létrehozására és megtekintésére. A SmartView-ból megtekintheti a felhasználói naplókat és az adminisztrátorok megfigyelési eseményeit is. Az alábbi ábra a SandBlast Agenttel való munkavégzéshez leghasznosabb jelentéseket és irányítópultokat mutatja.
A SmartView jelentései olyan dokumentumok, amelyek statisztikai információkat tartalmaznak egy bizonyos időszak eseményeiről. Támogatja a jelentések PDF formátumú feltöltését arra a gépre, ahol a SmartView meg van nyitva, valamint a rendszeres PDF/Excel formátumú feltöltést a rendszergazda e-mailjére. Ezenkívül támogatja a jelentéssablonok importálását/exportálását, saját jelentések létrehozását, valamint a felhasználónevek elrejtésének lehetőségét a jelentésekben. Az alábbi ábra egy példát mutat be egy beépített fenyegetésmegelőzési jelentésre.
A SmartView irányítópultjai (View) lehetővé teszik a rendszergazda számára, hogy hozzáférjen a megfelelő esemény naplóihoz – csak kattintson duplán a kívánt objektumra, legyen az diagramoszlop vagy egy rosszindulatú fájl neve. A jelentésekhez hasonlóan itt is létrehozhat saját irányítópultokat, és elrejtheti a felhasználói adatokat. Az irányítópultok emellett támogatják a sablonok importálását/exportálását, a rendszeres PDF/Excel formátumba való feltöltést a rendszergazda e-mailjére, valamint az automatikus adatfrissítéseket a biztonsági események valós idejű nyomon követéséhez.
További megfigyelési szakaszok
A felügyeleti eszközök leírása a felügyeleti platformon hiányos lenne az Áttekintés, Számítógép-kezelés, Végpontbeállítások és Leküldéses műveletek szakasz említése nélkül. Ezeket a részeket részletesen leírtuk a
A Számítógép-kezelés részben nyomon követheti az ügynök állapotát a felhasználói gépeken, az Anti-Malware adatbázis frissítési állapotát, a lemeztitkosítás szakaszait és még sok mást. Minden adat automatikusan frissül, és minden szűrőnél megjelenik a megfelelő felhasználói gépek százalékos aránya. A számítógépes adatok CSV formátumban történő exportálása is támogatott.
A munkaállomások biztonságának figyelésének fontos szempontja a kritikus eseményekről szóló értesítések beállítása (Alerts) és a naplók exportálása (Export Events) a vállalat naplószerverén való tároláshoz. Mindkét beállítást a Végpont beállításai részben és a számára végezheti el Figyelmeztetések Lehetőség van egy levelezőszerver csatlakoztatására, amely eseményértesítéseket küld az adminisztrátornak, és beállíthatja az értesítések kiváltására/letiltására vonatkozó küszöbértékeket az eseménykritériumoknak megfelelő eszközök százalékos arányától/számától függően. Események exportálása lehetővé teszi a naplók átvitelének konfigurálását a Management Platformról a vállalat naplószerverére további feldolgozás céljából. Támogatja a SYSLOG, CEF, LEEF, SPLUNK formátumokat, TCP/UDP protokollokat, minden futó syslog ügynökkel rendelkező SIEM rendszert, TLS/SSL titkosítás és syslog kliens hitelesítés használatát.
Az ügynökkel kapcsolatos események mélyreható elemzéséhez vagy a technikai támogatással való kapcsolatfelvételhez gyorsan összegyűjtheti a naplókat a SandBlast Agent kliensből a Push Operations szakaszban végrehajtott kényszerített művelettel. A generált naplókkal ellátott archívum átvitelét beállíthatja a Check Point szerverekre vagy vállalati szerverekre, és a naplókat tartalmazó archívum mentésre kerül a felhasználó gépén a C:UsersusernameCPInfo könyvtárba. Támogatja a naplógyűjtési folyamat meghatározott időpontban történő elindítását és a művelet felhasználó általi elhalasztásának lehetőségét.
Fenyegetés vadászat
A fenyegetésvadászatot arra használják, hogy proaktívan keressenek rosszindulatú tevékenységeket és rendellenes viselkedést a rendszerben, hogy tovább vizsgálják a lehetséges biztonsági eseményeket. A Kezelőplatform Fenyegetésvadászat szakasza lehetővé teszi, hogy meghatározott paraméterekkel rendelkező eseményeket keressen a felhasználói gép adataiban.
A Fenyegetésvadász eszköz számos előre definiált lekérdezést tartalmaz, például: rosszindulatú tartományok vagy fájlok osztályozása, bizonyos IP-címekre érkező ritka kérések nyomon követése (az általános statisztikákhoz képest). A kérés szerkezete három paraméterből áll: mutató (hálózati protokoll, folyamatazonosító, fájltípus stb.), operátor ("van", "nem", "beleértve", "az egyik" stb.) és kérelmező szerv. Használhat reguláris kifejezéseket a kérés törzsében, és egyszerre több szűrőt is használhat a keresősávban.
A szűrő kiválasztása és a kérésfeldolgozás befejezése után hozzáférhet az összes releváns eseményhez, és megtekintheti az esemény részletes adatait, karanténba helyezheti a kérelmet, vagy részletes kriminalisztikai jelentést készíthet az esemény leírásával. Jelenleg ez az eszköz béta verzióban van, és a jövőben a tervek szerint bővítik a képességek körét, például Mitre Att&ck mátrix formájában adnak hozzá információkat az eseményről.
Következtetés
Összefoglalva: ebben a cikkben megvizsgáltuk a SandBlast Agent Management Platform biztonsági eseményeinek megfigyelésének lehetőségeit, és egy új eszközt tanulmányoztunk a rosszindulatú műveletek és anomáliák proaktív keresésére a felhasználói gépeken – a fenyegetésvadászatot. A következő cikk a sorozat utolsó része lesz, és ebben a Management Platform megoldással kapcsolatos leggyakrabban feltett kérdéseket tekintjük át, és beszélünk a termék tesztelésének lehetőségeiről.
Forrás: will.com