Selamat datang di pelajaran 12. Hari ini kita akan membicarakan topik lain yang sangat penting, yaitu, bekerja dengan log dan laporan. Terkadang fungsi ini hampir menentukan saat memilih alat perlindungan. "Perlindungan" sangat menyukai sistem pelaporan yang nyaman dan pencarian fungsional untuk berbagai acara. Sulit untuk menyalahkan mereka. Faktanya, log dan laporan adalah elemen terpenting dari penilaian keamanan. Bagaimana memahami tingkat keamanan saat ini jika Anda tidak dapat melihat apa yang terjadi? Untungnya, Check Point dalam urutan yang sempurna dalam hal ini dan bahkan lebih. Check Point memiliki salah satu sistem pelaporan terbaik di luar kotak! Pada saat yang sama, Anda dapat menyesuaikan dan membuat laporan Anda sendiri! Semua ini dilengkapi dengan proses bekerja dengan log yang nyaman dan intuitif. Tapi mari kita bicarakan semuanya secara berurutan.
Antarmuka yang benar-benar baru
Jika Anda pernah bekerja dengan Check Point sebelumnya, Anda pasti terkejut dengan antarmuka yang benar-benar baru untuk bekerja dengan log dan laporan di R80. Gambar menunjukkan berapa banyak utilitas berbeda yang telah digabungkan dalam satu tab baru Log & Pantau:
Bagian Log & Monitor
Jika Anda membuka Log & Monitor dan membuka tab baru, Anda akan melihat sesuatu seperti ini:
Secara default, ada dua bagian besar di sini:
- Tampilan Log Audit - di sini Anda dapat menemukan semua acara yang terkait dengan masuk / keluarnya administrator, perubahan konfigurasi, dll. Itu. audit klasik tindakan administrator.
- tampilan log - ini adalah tempat Anda dapat mencari peristiwa yang "menghasilkan" semua bilah aktif kami, baik itu firewall, antivirus, IPS, dll. Kami telah menggunakan fitur ini lebih dari sekali.
Selain itu, berikut adalah tautan ke laporan (laporan) dan berbagai dasbor (views). Mereka membutuhkan blade yang diaktifkan untuk bekerja. Acara Cerdas. Tapi lebih dari itu nanti. Pertama, mari kita berurusan dengan bekerja dengan log.
Pencarian Log
Menurut saya, bekerja dengan log di R80 itu menyenangkan. Kami memiliki string pencarian yang sangat cerdas yang memungkinkan kami untuk "memotong" baik dengan teks arbitrer, dan dengan blade, dan dengan parameter yang diindeks lainnya seperti sumber, tujuan, tindakan, dll.
Pada saat yang sama, kami dapat menyusun kueri penelusuran yang sangat kompleks menggunakan operator logika DAN, OR, JANGAN. Dan itu bahkan tidak perlu dicetak. Filter dapat dibuat hanya dengan beberapa klik mouse. Beberapa saat kemudian, kami akan mencoba semuanya dalam praktik.
Tampilan pesan Log oleh Access-List
Selain itu, kami telah mengevaluasi kemungkinan menampilkan log untuk daftar akses tertentu. Ini sangat nyaman dan Anda terbiasa dengan sangat cepat. Ini sangat membantu saat memecahkan masalah. Saya telah menyoroti "daftar akses" yang menarik bagi Anda dan melihat dari bawah untuk melihat apakah lalu lintas yang diperlukan ada di bawahnya.
Tidak perlu pergi ke mana pun atau membuat filter log yang rumit.
Tampilan & Laporan
Blade bertanggung jawab atas pelaporan dan visualisasi data di Check Point Acara Cerdas, yang diaktifkan di server manajemen. Fungsionalitas ini dapat dengan aman disebut SIEM, tetapi hanya untuk produk Check Point! Secara teknis, Anda dapat membungkus log dari sistem lain (seperti cisco, microsoft, dll.) di Smart Event, tetapi ini bukan ide terbaik π Dalam praktiknya, ini sangat bermasalah. Tapi SmartEvent mengatasi log "pos pemeriksaan" dengan sangat baik. Dapat berkorelasi, menjumlahkan, rata-rata, dan lainnya. Dan semuanya bekerja di luar kotak! Tentunya ada dashboard siap pakai untuk menampilkan informasi terpenting. Di Check Point mereka dipanggil views:
Anda dapat melihat bahwa ada cukup banyak dasbor default di sini, yang sangat berguna dalam administrasi dan pemantauan sehari-hari.
Selain dasbor, di mana informasi hanya divisualisasikan, dimungkinkan untuk membuat laporan lengkap dan menyimpannya dalam format pdf atau excel. Anda dapat menghasilkan sesuai dengan jadwal dan mengirimkannya ke kotak surat mana pun.
Dan yang paling menyenangkan! Anda dapat membuat dasbor dan melaporkan sendiri! Itu. Anda tidak terbatas pada built-in. Tidak semua vendor bisa membanggakan ini. Pada saat yang sama, template dasbor atau laporan ini dapat diimpor atau diekspor, yang memungkinkan pengguna membagikan praktik terbaik mereka. Proses pembuatan dasbor sangat sederhana dan intuitif. Saya akan mencoba menunjukkan ini sebagai bagian dari lab, yang akan Anda temukan di video tutorial di bawah ini.
Video tutorial
Nantikan lebih lanjut dan bergabunglah dengan kami π
Sumber: www.habr.com