Benvenuti al quinto articolo della serie sulla soluzione Check Point SandBlast Agent Management Platform. Gli articoli precedenti sono reperibili seguendo il link apposito: , , , . Oggi esamineremo le funzionalità di monitoraggio della piattaforma di gestione, ovvero il lavoro con registri, dashboard interattive (Visualizzazione) e report. Toccheremo anche il tema del Threat Hunting per identificare le minacce attuali e gli eventi anomali sulla macchina dell'utente.
Registri
La principale fonte di informazioni per il monitoraggio degli eventi di sicurezza è la sezione Log, che visualizza informazioni dettagliate su ciascun incidente e consente inoltre di utilizzare comodi filtri per affinare i criteri di ricerca. Ad esempio, quando si fa clic con il tasto destro su un parametro (Blade, Azione, Gravità, ecc.) del log di interesse, questo parametro può essere filtrato come Filtro: "Parametro" o Filtra: "Parametro". Anche per il parametro Source è possibile selezionare l'opzione Strumenti IP in cui è possibile eseguire un ping su un determinato indirizzo IP/nome o eseguire un nslookup per ottenere l'indirizzo IP di origine in base al nome.
Nella sezione Registri, per filtrare gli eventi, è presente una sottosezione Statistiche, che visualizza le statistiche su tutti i parametri: un diagramma temporale con il numero di registri, nonché le percentuali per ciascun parametro. Da questa sottosezione puoi filtrare facilmente i log senza utilizzare la barra di ricerca e scrivere espressioni di filtraggio: basta selezionare i parametri di interesse e verrà immediatamente visualizzato un nuovo elenco di log.
Informazioni dettagliate su ciascun registro sono disponibili nel pannello di destra della sezione Registri, ma è più comodo aprire il registro facendo doppio clic per analizzarne il contenuto. Di seguito è riportato un esempio di registro (l'immagine è cliccabile), che visualizza informazioni dettagliate sull'attivazione dell'azione Previeni del pannello Threat Emulation su un file ".docx" infetto. Il registro presenta diverse sottosezioni che visualizzano i dettagli dell'evento di sicurezza: policy e protezioni attivate, dettagli forensi, informazioni sul client e sul traffico. I report disponibili nel registro meritano un'attenzione particolare: Threat Emulation Report e Forensics Report. Questi report possono essere aperti anche dal client SandBlast Agent.
Rapporto sull'emulazione delle minacce
Quando si utilizza il pannello Threat Emulation, dopo aver eseguito l'emulazione nel cloud Check Point, nel registro corrispondente viene visualizzato un collegamento a un report dettagliato sui risultati dell'emulazione, Threat Emulation Report. Il contenuto di tale rapporto è descritto in dettaglio nel nostro articolo su . Vale la pena notare che questo rapporto è interattivo e consente di “immergersi” nei dettagli di ciascuna sezione. È anche possibile visualizzare una registrazione del processo di emulazione in una macchina virtuale, scaricare il file dannoso originale o ottenerne l'hash e anche contattare il Check Point Incident Response Team.
Rapporto forense
Per quasi tutti gli eventi di sicurezza, viene generato un rapporto forense che include informazioni dettagliate sul file dannoso: caratteristiche, azioni, punto di ingresso nel sistema e impatto su importanti risorse aziendali. Abbiamo discusso in dettaglio la struttura del rapporto nell'articolo su . Tale rapporto costituisce un'importante fonte di informazioni quando si indaga su eventi di sicurezza e, se necessario, i contenuti del rapporto possono essere immediatamente inviati al Check Point Incident Response Team.
SmartView
Check Point SmartView è un comodo strumento per creare e visualizzare dashboard dinamici (Visualizza) e report in formato PDF. Da SmartView è inoltre possibile visualizzare i registri utente e controllare gli eventi per gli amministratori. La figura seguente mostra i report e i dashboard più utili per lavorare con SandBlast Agent.
I report in SmartView sono documenti con informazioni statistiche sugli eventi in un determinato periodo di tempo. Supporta il caricamento di report in formato PDF sulla macchina su cui è aperto SmartView, nonché il caricamento regolare in PDF/Excel nell'e-mail dell'amministratore. Inoltre, supporta l'importazione/esportazione di modelli di report, la creazione di report personalizzati e la possibilità di nascondere i nomi utente nei report. La figura seguente mostra un esempio di report di Prevenzione delle minacce integrato.
I dashboard (Visualizzazione) in SmartView consentono all'amministratore di accedere ai registri per l'evento corrispondente: basta fare doppio clic sull'oggetto di interesse, sia esso una colonna del grafico o il nome di un file dannoso. Come con i report, puoi creare le tue dashboard e nascondere i dati degli utenti. Le dashboard supportano inoltre l'importazione/esportazione di modelli, il caricamento regolare in PDF/Excel nell'e-mail dell'amministratore e gli aggiornamenti automatici dei dati per monitorare gli eventi di sicurezza in tempo reale.
Sezioni di monitoraggio aggiuntive
Una descrizione degli strumenti di monitoraggio nella piattaforma di gestione sarebbe incompleta senza menzionare le sezioni Panoramica, Gestione computer, Impostazioni endpoint e Operazioni push. Queste sezioni sono state descritte in dettaglio in , tuttavia, sarà utile considerare le loro capacità per risolvere i problemi di monitoraggio. Iniziamo con Panoramica, composta da due sottosezioni: Panoramica operativa e Panoramica sulla sicurezza, che sono dashboard con informazioni sullo stato delle macchine degli utenti protetti e sugli eventi di sicurezza. Come quando si interagisce con qualsiasi altra dashboard, le sottosezioni Panoramica Operativa e Panoramica Sicurezza, facendo doppio clic sul parametro di interesse, permettono di arrivare alla sezione Gestione Computer con il filtro selezionato (ad esempio “Desktop” o “Pre- Stato di avvio: Abilitato") o alla sezione Registri per un evento specifico. La sottosezione Panoramica sulla sicurezza è una dashboard “Cyber Attack View – Endpoint”, che può essere personalizzata e impostata per aggiornare automaticamente i dati.
Dalla sezione Gestione Computer è possibile monitorare lo stato dell'agente sulle macchine degli utenti, lo stato di aggiornamento del database Anti-Malware, le fasi di crittografia del disco e molto altro. Tutti i dati vengono aggiornati automaticamente e per ciascun filtro viene visualizzata la percentuale di macchine utente corrispondenti. È supportata anche l'esportazione dei dati del computer in formato CSV.
Un aspetto importante del monitoraggio della sicurezza delle postazioni di lavoro è l’impostazione delle notifiche sugli eventi critici (Alerts) e l’esportazione dei log (Export Events) per l’archiviazione sul log server dell’azienda. Entrambe le impostazioni vengono effettuate nella sezione Impostazioni endpoint e per Avvisi È possibile connettere un server di posta per inviare notifiche di eventi all'amministratore e configurare le soglie per l'attivazione/disattivazione delle notifiche in base alla percentuale/numero di dispositivi che soddisfano i criteri dell'evento. Esporta eventi consente di configurare il trasferimento dei log dalla Piattaforma di Gestione al server dei log dell'azienda per ulteriori elaborazioni. Supporta i formati SYSLOG, CEF, LEEF, SPLUNK, i protocolli TCP/UDP, qualsiasi sistema SIEM con un agente syslog in esecuzione, l'uso della crittografia TLS/SSL e l'autenticazione del client syslog.
Per un'analisi approfondita degli eventi sull'agent o in caso di contatto con il supporto tecnico, è possibile raccogliere rapidamente i log dal client SandBlast Agent utilizzando un'operazione forzata nella sezione Operazioni Push. È possibile configurare il trasferimento dell'archivio generato con i log ai server Check Point o ai server aziendali e l'archivio con i log viene salvato sul computer dell'utente nella directory C:UsersusernameCPInfo. Supporta l'avvio del processo di raccolta dei registri in un momento specifico e la possibilità di posticipare l'operazione da parte dell'utente.
Caccia alle minacce
Il Threat Hunting viene utilizzato per cercare in modo proattivo attività dannose e comportamenti anomali in un sistema per indagare ulteriormente su un potenziale evento di sicurezza. La sezione Threat Hunting nella piattaforma di gestione consente di cercare eventi con parametri specificati nei dati della macchina dell'utente.
Lo strumento Threat Hunting dispone di diverse query predefinite, ad esempio: per classificare domini o file dannosi, tracciare richieste rare a determinati indirizzi IP (relative alle statistiche generali). La struttura della richiesta è composta da tre parametri: indicatore (protocollo di rete, identificatore di processo, tipo di file, ecc.), l'operatore (“è”, “non è”, “include”, “uno di”, ecc.) e corpo della richiesta. Puoi utilizzare espressioni regolari nel corpo della richiesta e utilizzare più filtri contemporaneamente nella barra di ricerca.
Dopo aver selezionato un filtro e completato l'elaborazione della richiesta, hai accesso a tutti gli eventi rilevanti, con la possibilità di visualizzare informazioni dettagliate sull'evento, mettere in quarantena l'oggetto della richiesta o generare un rapporto forense dettagliato con una descrizione dell'evento. Attualmente, questo strumento è in versione beta e in futuro si prevede di espandere l'insieme di funzionalità, ad esempio aggiungendo informazioni sull'evento sotto forma di matrice Mitre Att&ck.
conclusione
Riassumiamo: in questo articolo abbiamo esaminato le capacità di monitoraggio degli eventi di sicurezza nella piattaforma di gestione degli agenti SandBlast e studiato un nuovo strumento per la ricerca proattiva di azioni dannose e anomalie sui computer degli utenti: Threat Hunting. Il prossimo articolo sarà l'ultimo di questa serie e in esso esamineremo le domande più frequenti sulla soluzione Management Platform e parleremo delle possibilità di testare questo prodotto.
. Per non perdere le prossime pubblicazioni sull'argomento SandBlast Agent Management Platform, segui gli aggiornamenti sui nostri social network (, , , , ).
Fonte: habr.com