Üdvözöljük a Check Point SandBlast Agent Management Platform megoldásról szóló sorozat ötödik cikkében. A korábbi cikkeket a megfelelő linkre kattintva érheti el: , , , . Ma megvizsgáljuk a felügyeleti platform felügyeleti lehetőségeit, nevezetesen a naplókkal, interaktív irányítópultokkal (View) és jelentésekkel való munkát. A fenyegetésvadászat témáját is érintjük, hogy azonosítsuk az aktuális fenyegetéseket és rendellenes eseményeket a felhasználó gépén.
Naplók
A biztonsági események figyelésének fő információforrása a Naplók rész, amely részletes információkat jelenít meg az egyes eseményekről, és kényelmes szűrőket is lehetővé tesz a keresési feltételek finomításához. Például, ha a jobb gombbal rákattint egy paraméterre (Blade, Action, Severity stb.) az érdeklődési naplóban, ez a paraméter szűrhető a következőképpen: Szűrő: "Paraméter" vagy Szűrés: "Paraméter". A Forrás paraméternél az IP Tools opció is kiválasztható, ahol egy ping parancsot futtathat egy adott IP-címre/névre, vagy futtathat egy nslookup-ot a forrás IP-címének név szerinti lekéréséhez.
A Naplók részben az események szűrésére van egy Statisztika alszakasz, amely minden paraméterre vonatkozóan megjeleníti a statisztikákat: egy idődiagramot a naplók számával, valamint az egyes paraméterek százalékos értékével. Ebből az alszakaszból egyszerűen szűrheti a naplókat a keresősáv használata és a szűrési kifejezések írása nélkül – csak válassza ki a kívánt paramétereket, és azonnal megjelenik a naplók új listája.
Az egyes naplók részletes információi a Naplók rész jobb oldali paneljén érhetők el, de kényelmesebb a napló megnyitása dupla kattintással a tartalom elemzéséhez. Az alábbiakban egy példa látható egy naplóra (a képre kattintható), amely részletes információkat jelenít meg a fertőzött ".docx" fájlban lévő Fenyegetés-emulációs panel Megelőzés műveletének aktiválásáról. A naplóban több alszakasz található, amelyek a biztonsági esemény részleteit jelenítik meg: aktivált házirendek és védelmek, kriminalisztikai adatok, az ügyfélre és a forgalomra vonatkozó információk. Külön figyelmet érdemelnek a naplóból elérhető jelentések – a fenyegetés-emulációs jelentés és a törvényszéki jelentés. Ezek a jelentések a SandBlast Agent kliensből is megnyithatók.
Fenyegetés-emulációs jelentés
A Threat Emulation blade használatakor a Check Point felhőben végzett emuláció után a megfelelő naplóban megjelenik egy hivatkozás az emuláció eredményeiről szóló részletes jelentéshez - Threat Emulation Report. Egy ilyen jelentés tartalmát részletesen ismertetjük az erről szóló cikkünkben . Érdemes megjegyezni, hogy ez a jelentés interaktív, és lehetővé teszi, hogy „elmerüljön” az egyes szakaszok részleteiben. Lehetőség van arra is, hogy virtuális gépen tekintse meg az emulációs folyamat felvételét, töltse le az eredeti rosszindulatú fájlt, vagy szerezze be annak kivonatát, és lépjen kapcsolatba a Check Point Incident Response Team csapatával.
Törvényszéki jelentés
Szinte minden biztonsági eseményről kriminalisztikai jelentés készül, amely részletes információkat tartalmaz a rosszindulatú fájlról: jellemzőiről, műveleteiről, a rendszerbe való belépési pontról és a vállalat fontos eszközeire gyakorolt hatásáról. A jelentés felépítését a cikkben részletesen tárgyaltuk . Egy ilyen jelentés fontos információforrás a biztonsági események kivizsgálásakor, és szükség esetén a jelentés tartalma azonnal elküldhető a Check Point Incident Response Team-nek.
SmartView
A Check Point SmartView egy kényelmes eszköz dinamikus irányítópultok (View) és jelentések PDF formátumban történő létrehozására és megtekintésére. A SmartView-ból megtekintheti a felhasználói naplókat és az adminisztrátorok megfigyelési eseményeit is. Az alábbi ábra a SandBlast Agenttel való munkavégzéshez leghasznosabb jelentéseket és irányítópultokat mutatja.
A SmartView jelentései olyan dokumentumok, amelyek statisztikai információkat tartalmaznak egy bizonyos időszak eseményeiről. Támogatja a jelentések PDF formátumú feltöltését arra a gépre, ahol a SmartView meg van nyitva, valamint a rendszeres PDF/Excel formátumú feltöltést a rendszergazda e-mailjére. Ezenkívül támogatja a jelentéssablonok importálását/exportálását, saját jelentések létrehozását, valamint a felhasználónevek elrejtésének lehetőségét a jelentésekben. Az alábbi ábra egy példát mutat be egy beépített fenyegetésmegelőzési jelentésre.
A SmartView irányítópultjai (View) lehetővé teszik a rendszergazda számára, hogy hozzáférjen a megfelelő esemény naplóihoz – csak kattintson duplán a kívánt objektumra, legyen az diagramoszlop vagy egy rosszindulatú fájl neve. A jelentésekhez hasonlóan itt is létrehozhat saját irányítópultokat, és elrejtheti a felhasználói adatokat. Az irányítópultok emellett támogatják a sablonok importálását/exportálását, a rendszeres PDF/Excel formátumba való feltöltést a rendszergazda e-mailjére, valamint az automatikus adatfrissítéseket a biztonsági események valós idejű nyomon követéséhez.
További megfigyelési szakaszok
A felügyeleti eszközök leírása a felügyeleti platformon hiányos lenne az Áttekintés, Számítógép-kezelés, Végpontbeállítások és Leküldéses műveletek szakasz említése nélkül. Ezeket a részeket részletesen leírtuk a hasznos lesz azonban mérlegelni képességeiket a megfigyelési problémák megoldásában. Kezdjük az Áttekintéssel, amely két alszakaszból áll – Működési áttekintés és Biztonsági áttekintés, amelyek irányítópultok a védett felhasználói gépek állapotáról és a biztonsági eseményekről. Mint minden más irányítópulttal való interakció során, a Működési áttekintés és a Biztonsági áttekintés alszakaszok is lehetővé teszik, hogy a kiválasztott szűrővel (például „Asztali számítógépek” vagy „Elő- Boot Status: Enabled”), vagy a Naplók szakaszba egy adott eseményhez. A Biztonsági áttekintés alszakasz egy „Cyber Attack View – Endpoint” irányítópult, amely testreszabható és beállítható az adatok automatikus frissítésére.
A Számítógép-kezelés részben nyomon követheti az ügynök állapotát a felhasználói gépeken, az Anti-Malware adatbázis frissítési állapotát, a lemeztitkosítás szakaszait és még sok mást. Minden adat automatikusan frissül, és minden szűrőnél megjelenik a megfelelő felhasználói gépek százalékos aránya. A számítógépes adatok CSV formátumban történő exportálása is támogatott.
A munkaállomások biztonságának figyelésének fontos szempontja a kritikus eseményekről szóló értesítések beállítása (Alerts) és a naplók exportálása (Export Events) a vállalat naplószerverén való tároláshoz. Mindkét beállítást a Végpont beállításai részben és a számára végezheti el Figyelmeztetések Lehetőség van egy levelezőszerver csatlakoztatására, amely eseményértesítéseket küld az adminisztrátornak, és beállíthatja az értesítések kiváltására/letiltására vonatkozó küszöbértékeket az eseménykritériumoknak megfelelő eszközök százalékos arányától/számától függően. Események exportálása lehetővé teszi a naplók átvitelének konfigurálását a Management Platformról a vállalat naplószerverére további feldolgozás céljából. Támogatja a SYSLOG, CEF, LEEF, SPLUNK formátumokat, TCP/UDP protokollokat, minden futó syslog ügynökkel rendelkező SIEM rendszert, TLS/SSL titkosítás és syslog kliens hitelesítés használatát.
Az ügynökkel kapcsolatos események mélyreható elemzéséhez vagy a technikai támogatással való kapcsolatfelvételhez gyorsan összegyűjtheti a naplókat a SandBlast Agent kliensből a Push Operations szakaszban végrehajtott kényszerített művelettel. A generált naplókkal ellátott archívum átvitelét beállíthatja a Check Point szerverekre vagy vállalati szerverekre, és a naplókat tartalmazó archívum mentésre kerül a felhasználó gépén a C:UsersusernameCPInfo könyvtárba. Támogatja a naplógyűjtési folyamat meghatározott időpontban történő elindítását és a művelet felhasználó általi elhalasztásának lehetőségét.
Fenyegetés vadászat
A fenyegetésvadászatot arra használják, hogy proaktívan keressenek rosszindulatú tevékenységeket és rendellenes viselkedést a rendszerben, hogy tovább vizsgálják a lehetséges biztonsági eseményeket. A Kezelőplatform Fenyegetésvadászat szakasza lehetővé teszi, hogy meghatározott paraméterekkel rendelkező eseményeket keressen a felhasználói gép adataiban.
A Fenyegetésvadász eszköz számos előre definiált lekérdezést tartalmaz, például: rosszindulatú tartományok vagy fájlok osztályozása, bizonyos IP-címekre érkező ritka kérések nyomon követése (az általános statisztikákhoz képest). A kérés szerkezete három paraméterből áll: mutató (hálózati protokoll, folyamatazonosító, fájltípus stb.), operátor ("van", "nem", "beleértve", "az egyik" stb.) és kérelmező szerv. Használhat reguláris kifejezéseket a kérés törzsében, és egyszerre több szűrőt is használhat a keresősávban.
A szűrő kiválasztása és a kérésfeldolgozás befejezése után hozzáférhet az összes releváns eseményhez, és megtekintheti az esemény részletes adatait, karanténba helyezheti a kérelmet, vagy részletes kriminalisztikai jelentést készíthet az esemény leírásával. Jelenleg ez az eszköz béta verzióban van, és a jövőben a tervek szerint bővítik a képességek körét, például Mitre Att&ck mátrix formájában adnak hozzá információkat az eseményről.
Következtetés
Összefoglalva: ebben a cikkben megvizsgáltuk a SandBlast Agent Management Platform biztonsági eseményeinek megfigyelésének lehetőségeit, és egy új eszközt tanulmányoztunk a rosszindulatú műveletek és anomáliák proaktív keresésére a felhasználói gépeken – a fenyegetésvadászatot. A következő cikk a sorozat utolsó része lesz, és ebben a Management Platform megoldással kapcsolatos leggyakrabban feltett kérdéseket tekintjük át, és beszélünk a termék tesztelésének lehetőségeiről.
. Annak érdekében, hogy ne maradjon le a következő kiadványokról a SandBlast Agent Management Platform témában, kövesse a frissítéseket közösségi hálózatainkon (, , , , ).
Forrás: will.com