Selamat datang di artikel kelima dalam seri tentang solusi Platform Manajemen Agen SandBlast Check Point. Artikel sebelumnya dapat ditemukan dengan mengikuti tautan yang sesuai: , , , . Hari ini kita akan melihat kemampuan pemantauan di Platform Manajemen, yaitu bekerja dengan log, dasbor interaktif (Tampilan), dan laporan. Kami juga akan membahas topik Perburuan Ancaman untuk mengidentifikasi ancaman terkini dan kejadian anomali pada mesin pengguna.
Log
Sumber informasi utama untuk memantau peristiwa keamanan adalah bagian Log, yang menampilkan informasi terperinci tentang setiap insiden dan juga memungkinkan Anda menggunakan filter yang mudah digunakan untuk menyaring kriteria pencarian Anda. Misalnya, saat Anda mengklik kanan pada parameter (Blade, Action, Severity, dll.) dari log yang diinginkan, parameter ini dapat difilter sebagai Filter: "Parameter" или Saring: "Parameter". Selain itu, untuk parameter Sumber, opsi Alat IP dapat dipilih, di mana Anda dapat menjalankan ping ke alamat/nama IP tertentu atau menjalankan nslookup untuk mendapatkan alamat IP sumber berdasarkan nama.
Di bagian Log, untuk memfilter peristiwa, terdapat subbagian Statistik, yang menampilkan statistik semua parameter: diagram waktu dengan jumlah log, serta persentase untuk setiap parameter. Dari subbagian ini Anda dapat dengan mudah memfilter log tanpa menggunakan bilah pencarian dan menulis ekspresi pemfilteran - cukup pilih parameter yang diinginkan dan daftar log baru akan segera ditampilkan.
Informasi rinci tentang setiap log tersedia di panel kanan bagian Log, namun akan lebih mudah untuk membuka log dengan mengklik dua kali untuk menganalisis isinya. Di bawah ini adalah contoh log (gambar dapat diklik), yang menampilkan informasi rinci tentang pemicuan tindakan Cegah bilah Emulasi Ancaman pada file ".docx" yang terinfeksi. Log memiliki beberapa subbagian yang menampilkan rincian peristiwa keamanan: kebijakan dan perlindungan yang dipicu, rincian forensik, informasi tentang klien dan lalu lintas. Laporan yang tersedia dari log patut mendapat perhatian khusus - Laporan Emulasi Ancaman dan Laporan Forensik. Laporan ini juga dapat dibuka dari klien Agen SandBlast.
Laporan Emulasi Ancaman
Saat menggunakan bilah Emulasi Ancaman, setelah emulasi dilakukan di cloud Check Point, tautan ke laporan terperinci tentang hasil emulasi - Laporan Emulasi Ancaman - muncul di log yang sesuai. Isi laporan tersebut dijelaskan secara rinci dalam artikel kami tentang . Perlu diperhatikan bahwa laporan ini bersifat interaktif dan memungkinkan Anda “menyelami” detail setiap bagian. Dimungkinkan juga untuk melihat rekaman proses emulasi di mesin virtual, mengunduh file berbahaya asli atau mendapatkan hashnya, dan juga menghubungi Tim Respons Insiden Check Point.
Laporan Forensik
Untuk hampir semua peristiwa keamanan, Laporan Forensik dibuat, yang mencakup informasi terperinci tentang file berbahaya: karakteristiknya, tindakannya, titik masuknya ke dalam sistem, dan dampaknya terhadap aset penting perusahaan. Kami membahas struktur laporan secara rinci di artikel tentang . Laporan tersebut merupakan sumber informasi penting ketika menyelidiki peristiwa keamanan, dan bila diperlukan, isi laporan dapat segera dikirimkan ke Tim Respons Insiden Check Point.
SmartView
Check Point SmartView adalah alat yang mudah digunakan untuk membuat dan melihat dasbor dinamis (Tampilan) dan laporan dalam format PDF. Dari SmartView Anda juga dapat melihat log pengguna dan mengaudit peristiwa untuk administrator. Gambar di bawah menunjukkan laporan dan dasbor yang paling berguna untuk bekerja dengan Agen SandBlast.
Laporan di SmartView adalah dokumen berisi informasi statistik tentang peristiwa selama periode waktu tertentu. Ini mendukung pengunggahan laporan dalam format PDF ke mesin tempat SmartView terbuka, serta pengunggahan reguler ke PDF/Excel ke email administrator. Selain itu, mendukung impor/ekspor templat laporan, pembuatan laporan Anda sendiri, dan kemampuan untuk menyembunyikan nama pengguna dalam laporan. Gambar di bawah menunjukkan contoh laporan Pencegahan Ancaman bawaan.
Dasbor (Tampilan) di SmartView memungkinkan administrator mengakses log peristiwa terkait - cukup klik dua kali pada objek yang diinginkan, baik itu kolom bagan atau nama file berbahaya. Seperti halnya laporan, Anda dapat membuat dasbor sendiri dan menyembunyikan data pengguna. Dasbor juga mendukung impor/ekspor templat, pengunggahan rutin ke PDF/Excel ke email administrator, dan pembaruan data otomatis untuk memantau peristiwa keamanan secara real time.
Bagian pemantauan tambahan
Deskripsi alat pemantauan di Platform Manajemen tidak akan lengkap tanpa menyebutkan bagian Ikhtisar, Manajemen Komputer, Pengaturan Titik Akhir, dan Operasi Dorong. Bagian-bagian ini telah dijelaskan secara rinci di Namun, akan berguna untuk mempertimbangkan kemampuan mereka dalam memecahkan masalah pemantauan. Mari kita mulai dengan Ikhtisar, yang terdiri dari dua subbagian - Ikhtisar Operasional dan Ikhtisar Keamanan, yang merupakan dasbor dengan informasi tentang status mesin pengguna yang dilindungi dan peristiwa keamanan. Seperti saat berinteraksi dengan dasbor lainnya, subbagian Tinjauan Operasional dan Tinjauan Keamanan, ketika mengklik dua kali pada parameter yang diinginkan, memungkinkan Anda untuk masuk ke bagian Manajemen Komputer dengan filter yang dipilih (misalnya, “Desktop” atau “Pra- Status Boot: Diaktifkan”), atau ke bagian Log untuk peristiwa tertentu. Subbagian Ikhtisar Keamanan adalah dasbor “Tampilan Serangan Cyber – Titik Akhir”, yang dapat disesuaikan dan diatur untuk memperbarui data secara otomatis.
Dari bagian Manajemen Komputer Anda dapat memantau status agen pada mesin pengguna, status pembaruan database Anti-Malware, tahapan enkripsi disk, dan masih banyak lagi. Semua data diperbarui secara otomatis, dan untuk setiap filter, persentase mesin pengguna yang cocok ditampilkan. Mengekspor data komputer dalam format CSV juga didukung.
Aspek penting dalam memantau keamanan stasiun kerja adalah menyiapkan pemberitahuan tentang peristiwa penting (Peringatan) dan mengekspor log (Ekspor Peristiwa) untuk disimpan di server log perusahaan. Kedua pengaturan dibuat di bagian Pengaturan Titik Akhir, dan untuk Alerts Dimungkinkan untuk menghubungkan server email untuk mengirim pemberitahuan acara ke administrator dan mengonfigurasi ambang batas untuk memicu/menonaktifkan pemberitahuan tergantung pada persentase/jumlah perangkat yang memenuhi kriteria acara. Ekspor Acara memungkinkan Anda mengonfigurasi transfer log dari Platform Manajemen ke server log perusahaan untuk diproses lebih lanjut. Mendukung format SYSLOG, CEF, LEEF, SPLUNK, protokol TCP/UDP, sistem SIEM apa pun dengan agen syslog yang berjalan, penggunaan enkripsi TLS/SSL dan otentikasi klien syslog.
Untuk analisis mendalam tentang peristiwa pada agen atau jika menghubungi dukungan teknis, Anda dapat dengan cepat mengumpulkan log dari klien Agen SandBlast menggunakan operasi paksa di bagian Operasi Dorong. Anda dapat mengonfigurasi transfer arsip yang dihasilkan dengan log ke server Check Point atau server perusahaan, dan arsip dengan log disimpan di mesin pengguna di direktori C:UsersusernameCPInfo. Ini mendukung peluncuran proses pengumpulan log pada waktu tertentu dan kemampuan untuk menunda operasi oleh pengguna.
Perburuan Ancaman
Perburuan Ancaman digunakan untuk secara proaktif mencari aktivitas berbahaya dan perilaku anomali dalam sistem untuk menyelidiki lebih lanjut potensi peristiwa keamanan. Bagian Perburuan Ancaman di Platform Manajemen memungkinkan Anda mencari peristiwa dengan parameter tertentu di data mesin pengguna.
Alat Pemburu Ancaman memiliki beberapa kueri yang telah ditentukan sebelumnya, misalnya: untuk mengklasifikasikan domain atau file berbahaya, melacak permintaan langka ke alamat IP tertentu (relatif terhadap statistik umum). Struktur permintaan terdiri dari tiga parameter: indikator (protokol jaringan, pengidentifikasi proses, jenis file, dll.), operator (“adalah”, “tidak”, “termasuk”, “salah satu dari”, dll.) dan badan permintaan. Anda dapat menggunakan ekspresi reguler di isi permintaan, dan Anda dapat menggunakan beberapa filter secara bersamaan di bilah pencarian.
Setelah memilih filter dan menyelesaikan pemrosesan permintaan, Anda memiliki akses ke semua peristiwa yang relevan, dengan kemampuan untuk melihat informasi terperinci tentang peristiwa tersebut, mengkarantina objek permintaan, atau membuat Laporan Forensik terperinci dengan deskripsi peristiwa tersebut. Saat ini alat ini masih dalam versi beta dan kedepannya direncanakan untuk memperluas rangkaian kemampuannya, misalnya menambahkan informasi tentang acara dalam bentuk matriks Mitre Att&ck.
Kesimpulan
Mari kita rangkum: dalam artikel ini kita melihat kemampuan memantau peristiwa keamanan di Platform Manajemen Agen SandBlast, dan mempelajari alat baru untuk secara proaktif mencari tindakan jahat dan anomali pada mesin pengguna - Perburuan Ancaman. Artikel berikutnya akan menjadi artikel terakhir dalam seri ini dan di dalamnya kita akan melihat pertanyaan yang paling sering diajukan tentang solusi Platform Manajemen dan membicarakan kemungkinan pengujian produk ini.
. Agar tidak ketinggalan publikasi berikutnya tentang topik Platform Manajemen Agen SandBlast, ikuti pembaruan di jejaring sosial kami (, , , , ).
Sumber: www.habr.com