Velkomin í fimmtu greinina í seríunni um Check Point SandBlast Agent Management Platform lausnina. Fyrri greinar má finna með því að fylgja viðeigandi hlekk: , , , . Í dag munum við skoða vöktunarmöguleika í stjórnunarvettvanginum, þ.e. að vinna með annálum, gagnvirkum mælaborðum (View) og skýrslum. Við munum einnig snerta efni Ógnaveiði til að bera kennsl á núverandi ógnir og afbrigðilega atburði á vél notandans.
Logs
Aðaluppspretta upplýsinga til að fylgjast með öryggisatburðum er Logs hluti, sem sýnir nákvæmar upplýsingar um hvert atvik og gerir þér einnig kleift að nota þægilegar síur til að fínstilla leitarskilyrðin. Til dæmis, þegar þú hægrismellir á færibreytu (Blade, Action, Severity, o.s.frv.) í áhugaskránni er hægt að sía þessa færibreytu sem Sía: "Fjarbreyta" eða Sía út: "Fjarbreyta". Einnig fyrir Source færibreytuna er hægt að velja IP Tools valmöguleikann þar sem þú getur keyrt ping á tiltekið IP tölu/nafn eða keyrt nslookup til að fá uppruna IP tölu með nafni.
Í Logs hlutanum, til að sía atburði, er undirkafli Tölfræði, sem sýnir tölfræði um allar færibreytur: tímarit með fjölda annála, sem og prósentur fyrir hverja færibreytu. Frá þessum undirkafla geturðu auðveldlega síað annála án þess að nota leitarstikuna og skrifa síunartjáningar - veldu bara þær breytur sem þú vilt og nýr listi yfir annála birtist strax.
Ítarlegar upplýsingar um hvern annál eru fáanlegar í hægra spjaldinu í Logs hlutanum, en það er þægilegra að opna annálinn með því að tvísmella til að greina innihaldið. Hér að neðan er dæmi um log (myndin er smellanleg), sem sýnir nákvæmar upplýsingar um kveikja á aðgerðinni Hindra aðgerð ógnarhermiblaðsins á sýktri ".docx" skrá. Skráin hefur nokkra undirkafla sem sýna upplýsingar um öryggisatburðinn: ræstar stefnur og varnir, réttarupplýsingar, upplýsingar um viðskiptavininn og umferð. Skýrslurnar sem eru fáanlegar úr skránni eiga skilið sérstaka athygli - Skýrsla um ógnunarlíkingu og réttarskýrslu. Þessar skýrslur er einnig hægt að opna frá SandBlast Agent viðskiptavininum.
Skýrsla um ógnahermi
Þegar þú notar Threat Emulation blaðið, eftir að hermi hefur verið framkvæmt í Check Point skýinu, birtist hlekkur á ítarlega skýrslu um hermi niðurstöður - Threat Emulation Report - í samsvarandi log. Innihaldi slíkrar skýrslu er lýst í smáatriðum í grein okkar um . Þess má geta að þessi skýrsla er gagnvirk og gerir þér kleift að „kafa ofan í“ upplýsingarnar fyrir hvern hluta. Það er líka hægt að skoða upptöku af hermiferlinu í sýndarvél, hlaða niður upprunalegu skaðlegu skránni eða fá kjötkássa hennar og einnig hafa samband við viðbragðsteymi Check Point.
Réttarrannsóknarskýrsla
Fyrir næstum hvaða öryggisatburði sem er er réttarskýrsla búin til, sem inniheldur nákvæmar upplýsingar um skaðlega skrána: eiginleika hennar, aðgerðir, inngangspunkt í kerfið og áhrif á mikilvægar eignir fyrirtækisins. Við ræddum uppbyggingu skýrslunnar í smáatriðum í greininni um . Slík skýrsla er mikilvæg uppspretta upplýsinga þegar öryggisatburðir eru rannsakaðir og ef nauðsyn krefur er hægt að senda innihald skýrslunnar strax til viðbragðsteymis Check Point.
Smart View
Check Point SmartView er þægilegt tæki til að búa til og skoða kraftmikil mælaborð (View) og skýrslur á PDF formi. Frá SmartView geturðu líka skoðað notendaskrár og endurskoðunarviðburði fyrir stjórnendur. Myndin hér að neðan sýnir gagnlegustu skýrslur og mælaborð til að vinna með SandBlast Agent.
Skýrslur í SmartView eru skjöl með tölfræðilegum upplýsingum um atburði yfir ákveðið tímabil. Það styður upphleðslu skýrslna á PDF formi í vélina þar sem SmartView er opið, auk reglubundins upphleðslu á PDF/Excel í tölvupósti stjórnanda. Að auki styður það innflutning/útflutning á skýrslusniðmátum, gerð eigin skýrslna og getu til að fela notendanöfn í skýrslum. Myndin hér að neðan sýnir dæmi um innbyggða ógnarvarnaskýrslu.
Mælaborð (Skoða) í SmartView gera stjórnandanum kleift að fá aðgang að annálum fyrir tilsvarandi atburði - bara tvísmelltu á hlutinn sem þú vilt, hvort sem það er töfludálkur eða nafn illgjarnrar skráar. Eins og með skýrslur geturðu búið til þín eigin mælaborð og falið notendagögn. Mælaborð styðja einnig innflutning/útflutning á sniðmátum, reglulega upphleðslu á PDF/Excel í tölvupósti stjórnanda og sjálfvirkar gagnauppfærslur til að fylgjast með öryggisatburðum í rauntíma.
Auka vöktunarkaflar
Lýsing á vöktunarverkfærum í stjórnunarpallinum væri ófullnægjandi án þess að nefna hlutana Yfirlit, Tölvustjórnun, endapunktastillingar og Push Operations. Þessum köflum hefur verið lýst í smáatriðum í Hins vegar mun vera gagnlegt að huga að getu þeirra til að leysa vöktunarvandamál. Byrjum á Yfirlit, sem samanstendur af tveimur undirköflum - Rekstraryfirlit og Öryggisyfirlit, sem eru mælaborð með upplýsingum um stöðu verndaðra notendavéla og öryggisatburði. Eins og þegar þú ert í samskiptum við önnur mælaborð, gerir undirkaflarnir Rekstraryfirlit og Öryggisyfirlit þér, þegar tvísmellt er á færibreytuna sem vekur áhuga, þér kleift að komast í tölvustjórnunarhlutann með valinni síu (til dæmis „Skrifborð“ eða „For- Boot Status: Enabled“), eða í hlutann Logs fyrir tiltekinn atburð. Öryggisyfirlit undirkaflinn er "Cyber Attack View - Endpoint" mælaborð, sem hægt er að aðlaga og stilla til að uppfæra gögn sjálfkrafa.
Í tölvustjórnunarhlutanum geturðu fylgst með stöðu umboðsmannsins á notendavélum, uppfærslustöðu gagnagrunns gegn spilliforritum, stig dulkóðunar diska og margt fleira. Öll gögn eru uppfærð sjálfkrafa og fyrir hverja síu birtist hlutfall samsvarandi notendavéla. Útflutningur tölvugagna á CSV-sniði er einnig studdur.
Mikilvægur þáttur í eftirliti með öryggi vinnustöðva er að setja upp tilkynningar um mikilvæga atburði (Alerts) og útflutningsskrár (Export Events) til geymslu á annálaþjóni fyrirtækisins. Báðar stillingarnar eru gerðar í hlutanum Endpoint Settings og fyrir Tilkynningar Það er hægt að tengja póstþjón til að senda viðburðatilkynningar til stjórnanda og stilla þröskulda til að kveikja/slökkva á tilkynningum eftir hlutfalli/fjölda tækja sem uppfylla viðburðaskilyrðin. Flytja út viðburði gerir þér kleift að stilla flutning á annálum frá stjórnunarvettvangi yfir á notendaþjón fyrirtækisins til frekari vinnslu. Styður SYSLOG, CEF, LEEF, SPLUNK snið, TCP/UDP samskiptareglur, hvaða SIEM kerfi sem er með keyrandi syslog umboðsmanni, notkun TLS/SSL dulkóðunar og syslog biðlara auðkenningu.
Fyrir ítarlega greiningu á atburðum á umboðsmanninum eða ef þú hefur samband við tækniaðstoð geturðu fljótt safnað annálum frá SandBlast Agent viðskiptavininum með því að nota þvingaða aðgerð í Push Operations hlutanum. Þú getur stillt flutning á mynduðu skjalasafni með annálum yfir á Check Point netþjóna eða fyrirtækjaþjóna, og skjalasafnið með annálum er vistað á vél notandans í C:UserusernameCPInfo skránni. Það styður að ræsa söfnunarferlið á tilteknum tíma og getu til að fresta aðgerð af notanda.
Ógnaveiði
Threat Hunting er notað til að leita fyrirbyggjandi að skaðlegum athöfnum og afbrigðilegri hegðun í kerfi til að rannsaka frekar hugsanlegan öryggisatburð. Ógnaveiðihlutinn í stjórnunarvettvanginum gerir þér kleift að leita að atburðum með tilgreindum breytum í gögnum notendavélarinnar.
Threat Hunting tólið hefur nokkrar fyrirfram skilgreindar fyrirspurnir, til dæmis: til að flokka skaðleg lén eða skrár, rekja sjaldgæfar beiðnir á tilteknar IP tölur (miðað við almenna tölfræði). Uppbygging beiðninnar samanstendur af þremur breytum: vísir (netsamskiptareglur, vinnsluauðkenni, skráargerð osfrv.), rekstraraðili ("er", "er ekki", "inniheldur", "eitt af" osfrv.) og beiðni aðili. Þú getur notað reglulegar segðir í meginmáli beiðninnar og þú getur notað margar síur samtímis í leitarstikunni.
Eftir að hafa valið síu og lokið við vinnslu beiðni hefurðu aðgang að öllum viðeigandi atburðum, með möguleika á að skoða nákvæmar upplýsingar um atburðinn, setja beiðnihlutinn í sóttkví eða búa til ítarlega réttarskýrslu með lýsingu á atburðinum. Eins og er, þetta tól er í beta útgáfu og í framtíðinni er fyrirhugað að stækka safnið af getu, til dæmis, bæta við upplýsingum um atburðinn í formi Mitre Att&ck fylkis.
Ályktun
Við skulum draga saman: í þessari grein skoðuðum við möguleika á að fylgjast með öryggisatburðum í SandBlast Agent Management Platform, og rannsökuðum nýtt tól til að leita fyrirbyggjandi að illgjarnum aðgerðum og frávikum á notendavélum - Threat Hunting. Næsta grein verður sú síðasta í þessari röð og í henni munum við skoða algengustu spurningarnar um Management Platform lausnina og tala um möguleikana á að prófa þessa vöru.
. Til að missa ekki af næstu útgáfum um efnið SandBlast Agent Management Platform, fylgdu uppfærslunum á samfélagsnetunum okkar (, , , , ).
Heimild: www.habr.com