ืืจืืืื ืืืืื ืืืืืจ ืืืืืฉื ืืกืืจื ืขื ืคืชืจืื ืคืืืคืืจืืช ื ืืืื ืืกืืื ืื ืฉื ืฆ'ืง ืคืืื ื SandBlast. ื ืืชื ืืืฆืื ืืืืจืื ืงืืืืื ืืงืืฉืืจ ืืืชืืื:
ืืืื ืื
ืืงืืจ ืืืืืข ืืขืืงืจื ืื ืืืืจ ืืืจืืขื ืืืืื ืืื ืืืืจ Logs, ืืืฆืื ืืืืข ืืคืืจื ืขื ืื ืืืจืืข ืืื ืืืคืฉืจ ืื ืืืฉืชืืฉ ืืืกื ื ืื ื ืืืื ืืื ืืืื ืืช ืงืจืืืจืืื ื ืืืืคืืฉ ืฉืื. ืืืืืื, ืืืฉืจ ืืชื ืืืืฅ ืืืืฆื ืืื ืืช ืขื ืคืจืืืจ (ืืื, ืคืขืืื, ืืืืจื ืืื') ืืืืื ืืขื ืืื, ื ืืชื ืืกื ื ืืช ืืคืจืืืจ ืืื ืืชืืจ ืืกื ื: "ืคืจืืืจ" ืื ืกืื ืื: "ืคืจืืืจ". ืืื ืื ืขืืืจ ืืคืจืืืจ Source ื ืืชื ืืืืืจ ืืืคืฉืจืืช IP Tools ืฉืื ื ืืชื ืืืจืืฅ ping ืืืชืืืช/ืฉื IP ื ืชืื ืื ืืืคืขืื nslookup ืืื ืืงืื ืืช ืืชืืืช ื-IP ืืืงืืจ ืืคื ืฉื.
ืืกืขืืฃ ืืืื ืื, ืืกืื ืื ืืืจืืขืื, ืืฉ ืชืช-ืกืขืืฃ ืกืืืืกืืืงื, ืืืฆืื ืกืืืืกืืืงื ืขื ืื ืืคืจืืืจืื: ืืืืืจืืช ืืื ืขื ืืกืคืจ ืืืืื ืื, ืืื ืืืืืื ืืื ืคืจืืืจ. ืืชืื ืชืช-ืกืขืืฃ ืื ื ืืชื ืืกื ื ืืืื ืื ืืงืืืช ืืืื ืืืฉืชืืฉ ืืกืจืื ืืืืคืืฉ ืืืืชืื ืืืืืื ืกืื ืื - ืคืฉืื ืืืจ ืืช ืืคืจืืืจืื ืืืขื ืืื ืื ืืืื ืชืืฆื ืจืฉืืื ืืืฉื ืฉื ืืืื ืื.
ืืืืข ืืคืืจื ืขื ืื ืืืื ืืืื ืืืืื ืืช ืืืื ืืช ืฉื ืงืืข ืืืื ืื, ืื ื ืื ืืืชืจ ืืคืชืื ืืช ืืืืื ืขื ืืื ืืืืฆื ืืคืืื ืืื ืื ืชื ืืช ืืชืืื. ืืืื ืืืืื ืฉื ืืืื ืจืืฉืื (ื ืืชื ืืืืืฅ ืขื ืืชืืื ื), ืืืฆืื ืืืืข ืืคืืจื ืขื ืืคืขืืช ืคืขืืืช ื-Prevent ืฉื ืืืื ืฉื Threat Emulation ืขื ืงืืืฅ ".docx" ื ืืืข. ืืืืื ืืกืคืจ ืชืช-ืกืขืืคืื ืืืฆืืืื ืืช ืคืจืื ืืืจืืข ืืืืืื: ืืืื ืืืช ืืืื ืืช ืฉืืืคืขืื, ืคืจืืื ืคืืจื ืืืื, ืืืืข ืขื ืืืงืื ืืชืขืืืจื. ืืืืืืช ืืืืื ืื ืืืืื ืจืืืืื ืืชืฉืืืช ืื ืืืืืืช - ืืื ืืืืืืช ืืืืืื ืืืื ืคืืจื ืื. ื ืืชื ืืคืชืื ืืืืืช ืืื ืื ืืืงืื SandBlast Agent.
ืืื ืืืืืืช ืืืืืื
ืืขืช ืฉืืืืฉ ืืืื ืฉื Threat Emulation, ืืืืจ ืืืฆืืข ืืืืืืฆืื ืืขื ื ืฆ'ืง ืคืืื ื, ืืืคืืข ืงืืฉืืจ ืืืื ืืคืืจื ืขื ืชืืฆืืืช ืืืืืืฆืื - Threat Emulation Report - ืืืืื ืืืชืืื. ืืชืืื ืฉื ืืื ืืื ืืชืืืจ ืืคืืจืื ืืืืืจ ืฉืื ื ืขื
ืืื ืคืืจื ืื
ืืืขื ืืื ืืืจืืข ืืืืื ื ืืฆืจ ืืื Forensics, ืืืืื ืืืืข ืืคืืจื ืขื ืืงืืืฅ ืืืืื ื: ืืืคืืื ืื, ืคืขืืืืชืื, ื ืงืืืช ืืื ืืกื ืืืขืจืืช ืืืฉืคืขืชื ืขื ื ืืกื ืืืืจื ืืืฉืืืื. ืื ื ืืคืืจืื ืืืื ื ืืื"ื ืืืืืจ ืขื
ืชืฆืืื ืืืื
Check Point SmartView ืืื ืืื ื ืื ืืืฆืืจื ืืฆืคืืื ืฉื ืืืืืช ืืืืื ืื ืืื ืืืื (View) ืืืืืืช ืืคืืจืื PDF. ื-SmartView ืืชื ืืืื ืื ืืืฆืื ืืืื ื ืืฉืชืืฉืื ืืืืจืืขื ืืืงืืจืช ืขืืืจ ืื ืืื ืืขืจืืช. ืืืืืจ ืฉืืืื ืืฆืื ืืช ืืืืืืช ืืืช ืืืืืช ืืืืืื ืื ืืฉืืืืฉืืื ืืืืชืจ ืืขืืืื ืขื SandBlast Agent.
ืืืืืช ื-SmartView ืื ืืกืืืื ืขื ืืืืข ืกืืืืกืื ืขื ืืืจืืขืื ืขื ืคื ื ืคืจืง ืืื ืืกืืื. ืืื ืชืืื ืืืขืืืช ืืืืืช ืืคืืจืื PDF ืืืืฉืืจ ืฉืื SmartView ืคืชืื, ืืื ืืืขืืื ืจืืืื ื-PDF/Excel ืืืืื ืฉื ืื ืื ืืืขืจืืช. ืื ืืกืฃ, ืืื ืชืืื ืืืืืื/ืืืฆืื ืฉื ืชืื ืืืช ืืืืืช, ืืฆืืจืช ืืืืืช ืืฉืื ืืืืืืช ืืืกืชืืจ ืฉืืืช ืืฉืชืืฉืื ืืืืืืช. ืืืืืจ ืฉืืืื ืืฆืื ืืืืื ืืืื ืืืื ื ืืื ืืขืช ืืืืืื.
ืืืืืช ืืืืื ืื (View) ื-SmartView ืืืคืฉืจืื ืืื ืืื ืืืฉืช ืืืืืื ืขืืืจ ืืืืจืืข ืืืชืืื - ืคืฉืื ืืืฅ ืคืขืืืื ืขื ืืืืืืงื ืืขื ืืื, ืืื ืื ืื ืขืืืืช ืชืจืฉืื ืื ืฉื ืฉื ืงืืืฅ ืืืื ื. ืืื ืืืืืืช, ืืชื ืืืื ืืืฆืืจ ืืืืืช ืืืืื ืื ืืฉืื ืืืืกืชืืจ ื ืชืื ื ืืฉืชืืฉืื. ืืืืืช ืืืืื ืื ืชืืืืื ืื ืืืืืื/ืืืฆืื ืฉื ืชืื ืืืช, ืืขืืื ืงืืืขื ื-PDF/Excel ืืืืื ืฉื ืืื ืื ืืขืืืื ื ื ืชืื ืื ืืืืืืืืื ืื ืืืืจ ืืืจืืขื ืืืืื ืืืื ืืืช.
ืงืืขื ื ืืืืจ ื ืืกืคืื
ืชืืืืจ ืฉื ืืื ืื ืืืืจ ืืคืืืคืืจืืช ืื ืืืื ืื ืืืื ืฉืื ืืืื ืืืืืืจ ืืช ืืกืขืืคืื ืกืงืืจื, ื ืืืื ืืืฉื, ืืืืจืืช ื ืงืืืืช ืงืฆื ืืคืขืืืืช ืืืืคื. ืกืขืืคืื ืืื ืชืืืจื ืืคืืจืื ื
ืืงืืข ื ืืืื ืืืฉืืื ืชืืืื ืืขืงืื ืืืจ ืืฆื ืืกืืื ืืืืื ืืช ืืืฉืชืืฉ, ืกืืืืก ืืขืืืื ืฉื ืืกื ืื ืชืื ืื ื ืื ืชืืื ืืช ืืืื ืืืช, ืฉืืื ืืฆืคื ืช ืืืืกืง ืืขืื ืืขืื. ืื ืื ืชืื ืื ืืชืขืืื ืื ืืืืืืืืช, ืืืื ืืกื ื ืืืฆื ืืืื ืืืฉืืจื ืืืฉืชืืฉ ืืชืืืืื. ืืืฆืื ื ืชืื ื ืืืฉื ืืคืืจืื CSV ื ืชืื ืื ืื.
ืืืื ืืฉืื ืื ืืืืจ ืืืืืช ืชืื ืืช ืืขืืืื ืืื ืืืืจืช ืืชืจืืืช ืขื ืืืจืืขืื ืงืจืืืืื (Alerts) ืืืืฆืื ืืืื ืื (Export Events) ืืืืกืื ืืฉืจืช ืืืืื ืฉื ืืืืจื. ืฉืชื ืืืืืจืืช ืืชืืฆืขืืช ืืกืขืืฃ ืืืืจืืช ื ืงืืืช ืงืฆื, ืืขืืืจ ืืชืจืืืช ืืคืฉืจ ืืืืจ ืฉืจืช ืืืืจ ืืื ืืฉืืื ืืชืจืืืช ืขื ืืืจืืขืื ืืื ืืื ืืืืืืืจ ืกืคืื ืืืคืขืื/ืืฉืืชื ืฉื ืืชืจืืืช ืืืชืื ืืืืื/ืืกืคืจ ืืืืฉืืจืื ืืขืืืืื ืืงืจืืืจืืื ืื ืฉื ืืืืจืืข. ืืืฆืื ืืืจืืขืื ืืืคืฉืจ ืื ืืืืืืจ ืืช ืืขืืจืช ืืืืื ืื ืืคืืืคืืจืืช ืื ืืืื ืืฉืจืช ืืืืื ืฉื ืืืืจื ืืืืฉื ืขืืืื. ืชืืื ืืคืืจืืืื ืฉื SYSLOG, CEF, LEEF, SPLUNK, ืคืจืืืืงืืื TCP/UDP, ืื ืืขืจืืืช SIEM ืขื ืกืืื syslog ืคืืขื, ืฉืืืืฉ ืืืฆืคื ืช TLS/SSL ืืืืืืช ืืงืื syslog.
ืื ืืชืื ืืขืืืง ืฉื ืืืจืืขืื ืขื ืืกืืื ืื ืืืงืจื ืฉื ืคื ืืื ืืชืืืื ืืื ืืช, ื ืืชื ืืืกืืฃ ืืืืืจืืช ืืืื ืื ืืืงืื SandBlast Agent ืืืืฆืขืืช ืคืขืืื ืืคืืื ืืกืขืืฃ ืคืขืืืืช ืืืืคื. ืืชื ืืืื ืืืืืืจ ืืช ืืขืืจืช ืืืจืืืื ืฉื ืืฆืจ ืขื ืืืื ืื ืืฉืจืชื Check Point ืื ืฉืจืชืื ืืจืืื ืืื, ืืืืจืืืื ืขื ืืืืื ืื ื ืฉืืจ ืืืืฉื ืฉื ืืืฉืชืืฉ ืืกืคืจืืืช C:UserusernameCPInfo. ืืื ืชืืื ืืืฉืงืช ืชืืืื ืืืกืืฃ ืืืืื ืื ืืืื ืืืืืจ ืืืืืืืช ืืืืืช ืืช ืืคืขืืื ืขื ืืื ืืืฉืชืืฉ.
ืฆืื ืืืืืื
ืฆืื ืืืืืื ืืฉืืฉ ืืืืคืืฉ ืืืื ืืืจ ืคืขืืืืืืช ืืืื ืืืช ืืืชื ืืืืช ืืจืืื ืืืขืจืืช ืืื ืืืืฉืื ืืืืงืืจ ืืืจืืข ืืืืื ืคืืื ืฆืืืื. ืงืืข ืฆืื ืืืืืืื ืืคืืืคืืจืืช ืื ืืืื ืืืคืฉืจ ืื ืืืคืฉ ืืืจืืขืื ืขื ืคืจืืืจืื ืฉืฆืืื ื ืื ืชืื ื ืืืฉื ืืืฉืชืืฉ.
ืืืื Threat Hunting ืืฉ ืืกืคืจ ืฉืืืืชืืช ืืืืืจืืช ืืจืืฉ, ืืืฉื: ืืกืืืื ืืืืืื ืื ืื ืงืืฆืื ืืืื ืืื, ืืขืงื ืืืจ ืืงืฉืืช ื ืืืจืืช ืืืชืืืืช IP ืืกืืืืืช (ืืืืก ืืกืืืืกืืืงื ืืืืืช). ืืื ื ืืืงืฉื ืืืจืื ืืฉืืืฉื ืคืจืืืจืื: ืืืืื (ืคืจืืืืงืื ืจืฉืช, ืืืื ืชืืืื, ืกืื ืงืืืฅ ืืื'), ืืคืขืื ("ืืื", "ืืื ื", "ืืืื", "ืืื ื" ืืื') ื ืืืฃ ืืืงืฉื. ืืชื ืืืื ืืืฉืชืืฉ ืืืืืืืื ืจืืืืจืืื ืืืืฃ ืืืงืฉื, ืืชืืื ืืืฉืชืืฉ ืืืกืคืจ ืืกื ื ืื ืื-ืืื ืืช ืืฉืืจืช ืืืืคืืฉ.
ืืืืจ ืืืืจืช ืืกื ื ืืืฉืืืช ืขืืืื ืืืงืฉื, ืืฉ ืื ืืืฉื ืืื ืืืืจืืขืื ืืจืืืื ืืืื, ืขื ืืคืฉืจืืช ืืฆืคืืช ืืืืืข ืืคืืจื ืขื ืืืืจืืข, ืืืกืืจ ืืช ืืืืืืงื ืืืงืฉื ืื ืืืฆืืจ ืืื ืคืืจื ืื ืืคืืจื ืขื ืชืืืืจ ืืืืจืืข. ื ืืื ืืขืืฉืื ืืืื ืืื ื ืืฆื ืืืจืกืช ืืื ืืืขืชืื ืืชืืื ื ืืืจืืื ืืช ืืขืจื ืืืืืืืช, ืืืฉื ืืืกืคืช ืืืืข ืขื ืืืืจืืข ืืฆืืจื ืฉื ืืืจืืฆืช Mitre Att&ck.
ืืกืงื ื
ืืืื ื ืกืื: ืืืืืจ ืื ืืืงื ื ืืช ืืืืืืืช ืฉื ื ืืืืจ ืืืจืืขื ืืืืื ืืคืืืคืืจืืช SandBlast Agent Management, ืืืืื ื ืืื ืืืฉ ืืืืคืืฉ ืืืื ืืืจ ืคืขืืืืช ืืืื ืืืช ืืืจืืืืช ืืืืื ืืช ืืฉืชืืฉ - Threat Hunting. ืืืืืจ ืืื ืืืื ืืืืจืื ืืกืืจื ืื ืืื ื ืืื ืืช ืืฉืืืืช ืื ืคืืฆืืช ืืืืชืจ ืืืื ืคืชืจืื ื-Management Platform ืื ืืืจ ืขื ืืืคืฉืจืืืืช ืืืืืงืช ืืืฆืจ ืื.
ืืงืืจ: www.habr.com