5. פלטפורמת ניהול סוכנים של צ'ק פוינט SandBlast. יומנים, דוחות וזיהוי פלילי. ציד איומים

ברוכים הבאים למאמר החמישי בסדרה על פתרון פלטפורמת ניהול הסוכנים של צ'ק פוינט SandBlast. ניתן למצוא מאמרים קודמים בקישור המתאים: הראשון, שני, שלישי, רביעי. היום נבחן את יכולות הניטור בפלטפורמת הניהול, כלומר עבודה עם יומנים, לוחות מחוונים אינטראקטיביים (View) ודוחות. כמו כן, ניגע בנושא של ציד איומים כדי לזהות איומים נוכחיים ואירועים חריגים במחשב של המשתמש.

יומנים

מקור המידע העיקרי לניטור אירועי אבטחה הוא מדור Logs, המציג מידע מפורט על כל אירוע וגם מאפשר לך להשתמש במסננים נוחים כדי לחדד את קריטריוני החיפוש שלך. לדוגמה, כאשר אתה לוחץ לחיצה ימנית על פרמטר (להב, פעולה, חומרה וכו') ביומן העניין, ניתן לסנן את הפרמטר הזה בתור מסנן: "פרמטר" או סינון: "פרמטר". כמו כן עבור הפרמטר Source ניתן לבחור באפשרות IP Tools שבה ניתן להריץ ping לכתובת/שם IP נתון או להפעיל nslookup כדי לקבל את כתובת ה-IP המקור לפי שם.

בסעיף יומנים, לסינון אירועים, יש תת-סעיף סטטיסטיקה, המציג סטטיסטיקה על כל הפרמטרים: דיאגרמת זמן עם מספר היומנים, וכן אחוזים לכל פרמטר. מתוך תת-סעיף זה ניתן לסנן יומנים בקלות מבלי להשתמש בסרגל החיפוש ולכתוב ביטויי סינון - פשוט בחר את הפרמטרים המעניינים ומיד תוצג רשימה חדשה של יומנים.

מידע מפורט על כל יומן זמין בחלונית הימנית של קטע יומנים, אך נוח יותר לפתוח את היומן על ידי לחיצה כפולה כדי לנתח את התוכן. להלן דוגמה של יומן רישום (ניתן ללחוץ על התמונה), המציג מידע מפורט על הפעלת פעולת ה-Prevent של הלהב של Threat Emulation על קובץ ".docx" נגוע. ביומן מספר תת-סעיפים המציגים את פרטי אירוע האבטחה: מדיניות והגנות שהופעלו, פרטים פורנזיים, מידע על הלקוח ותעבורה. הדוחות הזמינים ביומן ראויים לתשומת לב מיוחדת - דוח הדמיית איומים ודוח פורנזי. ניתן לפתוח דוחות אלו גם מלקוח SandBlast Agent.

דוח הדמיית איומים

בעת שימוש בלהב של Threat Emulation, לאחר ביצוע האמולציה בענן צ'ק פוינט, מופיע קישור לדוח מפורט על תוצאות האמולציה - Threat Emulation Report - ביומן המתאים. התוכן של דוח כזה מתואר בפירוט במאמר שלנו על ניתוח תוכנות זדוניות באמצעות זיהוי פלילי של Check Point SandBlast Network. ראוי לציין שדוח זה הוא אינטראקטיבי ומאפשר "לצלול" לפרטים של כל סעיף. כמו כן, ניתן לצפות בהקלטה של ​​תהליך האמולציה במכונה וירטואלית, להוריד את הקובץ הזדוני המקורי או להשיג את ה-hash שלו, וכן ליצור קשר עם צוות התקריות של צ'ק פוינט.

דוח פורנזי

כמעט לכל אירוע אבטחה נוצר דוח Forensics, הכולל מידע מפורט על הקובץ הזדוני: מאפייניו, פעולותיו, נקודת הכניסה למערכת והשפעתו על נכסי החברה החשובים. דנו בפירוט במבנה הדו"ח במאמר על ניתוח תוכנות זדוניות באמצעות זיהוי פלילי של Check Point SandBlast Agent. דיווח כזה מהווה מקור מידע חשוב בעת חקירת אירועי אבטחה, ובמידת הצורך ניתן לשלוח מיד את תוכן הדיווח לצוות התגובה לאירועי צ'ק פוינט.

תצוגה חכמה

Check Point SmartView הוא כלי נוח ליצירה וצפייה של לוחות מחוונים דינמיים (View) ודוחות בפורמט PDF. מ-SmartView אתה יכול גם להציג יומני משתמשים ואירועי ביקורת עבור מנהלי מערכת. האיור שלהלן מציג את הדוחות ואת לוחות המחוונים השימושיים ביותר לעבודה עם SandBlast Agent.

דוחות ב-SmartView הם מסמכים עם מידע סטטיסטי על אירועים על פני פרק זמן מסוים. הוא תומך בהעלאת דוחות בפורמט PDF למכשיר שבו SmartView פתוח, וכן בהעלאה רגילה ל-PDF/Excel למייל של מנהל המערכת. בנוסף, הוא תומך בייבוא/ייצוא של תבניות דוחות, יצירת דוחות משלך ויכולת להסתיר שמות משתמשים בדוחות. האיור שלהלן מציג דוגמה לדוח מובנה למניעת איומים.

לוחות מחוונים (View) ב-SmartView מאפשרים למנהלן לגשת ללוגים עבור האירוע המתאים - פשוט לחץ פעמיים על אובייקט העניין, בין אם זה עמודת תרשים או שם של קובץ זדוני. כמו בדוחות, אתה יכול ליצור לוחות מחוונים משלך ולהסתיר נתוני משתמשים. לוחות מחוונים תומכים גם בייבוא/ייצוא של תבניות, העלאה קבועה ל-PDF/Excel למייל של המנהל ועדכוני נתונים אוטומטיים לניטור אירועי אבטחה בזמן אמת.

קטעי ניטור נוספים

תיאור של כלי הניטור בפלטפורמת הניהול לא יהיה שלם מבלי להזכיר את הסעיפים סקירה, ניהול מחשב, הגדרות נקודות קצה ופעולות דחיפה. סעיפים אלה תוארו בפירוט ב מאמר שניעם זאת, זה יהיה שימושי לשקול את היכולות שלהם לפתרון בעיות ניטור. נתחיל עם Overview, המורכב משני תת-סעיפים - סקירה תפעולית ו-Security Overview, שהם לוחות מחוונים עם מידע על מצב מכונות המשתמש המוגנות ואירועי אבטחה. כמו בעת אינטראקציה עם כל לוח מחוונים אחר, תת הסעיפים סקירה תפעולית וסקירת אבטחה, בעת לחיצה כפולה על הפרמטר המעניין, מאפשרים לך להגיע לקטע ניהול מחשבים עם המסנן הנבחר (לדוגמה, "מחשבים שולחניים" או "קדם- מצב אתחול: מופעל"), או למקטע יומני אירוע ספציפי. סעיף המשנה סקירת אבטחה הוא לוח מחוונים של "תצוגת סייבר - נקודת קצה", שניתן להתאים אישית ולהגדיר לעדכון אוטומטי של נתונים.

מקטע ניהול מחשבים תוכלו לעקוב אחר מצב הסוכן במכונות המשתמש, סטטוס העדכון של מסד הנתונים נגד תוכנות זדוניות, שלבי הצפנת הדיסק ועוד ועוד. כל הנתונים מתעדכנים אוטומטית, ולכל מסנן מוצג אחוז מכשירי המשתמש התואמים. ייצוא נתוני מחשב בפורמט CSV נתמך גם כן.

היבט חשוב בניטור אבטחת תחנות העבודה הוא הגדרת התראות על אירועים קריטיים (Alerts) וייצוא יומנים (Export Events) לאחסון בשרת היומן של החברה. שתי ההגדרות מתבצעות בסעיף הגדרות נקודת קצה, ועבור התראות אפשר לחבר שרת דואר כדי לשלוח התראות על אירועים למנהלן ולהגדיר ספים להפעלה/השבתה של התראות בהתאם לאחוז/מספר המכשירים העומדים בקריטריונים של האירוע. ייצוא אירועים מאפשר לך להגדיר את העברת היומנים מפלטפורמת הניהול לשרת היומן של החברה להמשך עיבוד. תומך בפורמטים של SYSLOG, CEF, LEEF, SPLUNK, פרוטוקולי TCP/UDP, כל מערכות SIEM עם סוכן syslog פועל, שימוש בהצפנת TLS/SSL ואימות לקוח syslog.

לניתוח מעמיק של אירועים על הסוכן או במקרה של פנייה לתמיכה טכנית, ניתן לאסוף במהירות יומנים מלקוח SandBlast Agent באמצעות פעולה כפויה בסעיף פעולות דחיפה. אתה יכול להגדיר את העברת הארכיון שנוצר עם יומנים לשרתי Check Point או שרתים ארגוניים, והארכיון עם היומנים נשמר במחשב של המשתמש בספריית C:UserusernameCPInfo. הוא תומך בהשקת תהליך איסוף היומנים בזמן מוגדר וביכולת לדחות את הפעולה על ידי המשתמש.

ציד איומים

ציד איומים משמש לחיפוש יזום אחר פעילויות זדוניות והתנהגות חריגה במערכת כדי להמשיך ולחקור אירוע אבטחה פוטנציאלי. קטע ציד האיומים בפלטפורמת הניהול מאפשר לך לחפש אירועים עם פרמטרים שצוינו בנתוני מחשב המשתמש.

לכלי Threat Hunting יש מספר שאילתות מוגדרות מראש, למשל: לסיווג דומיינים או קבצים זדוניים, מעקב אחר בקשות נדירות לכתובות IP מסוימות (ביחס לסטטיסטיקה כללית). מבנה הבקשה מורכב משלושה פרמטרים: מחוון (פרוטוקול רשת, מזהה תהליך, סוג קובץ וכו'), מפעיל ("הוא", "אינו", "כולל", "אחד מ" וכו') ו גוף הבקשה. אתה יכול להשתמש בביטויים רגולריים בגוף הבקשה, ותוכל להשתמש במספר מסננים בו-זמנית בשורת החיפוש.

לאחר בחירת מסנן והשלמת עיבוד הבקשה, יש לך גישה לכל האירועים הרלוונטיים, עם אפשרות לצפות במידע מפורט על האירוע, להסגר את אובייקט הבקשה או ליצור דוח פורנזי מפורט עם תיאור האירוע. נכון לעכשיו הכלי הזה נמצא בגרסת בטא ובעתיד מתוכנן להרחיב את מערך היכולות, למשל הוספת מידע על האירוע בצורה של מטריצת Mitre Att&ck.

מסקנה

בואו נסכם: במאמר זה בדקנו את היכולות של ניטור אירועי אבטחה בפלטפורמת SandBlast Agent Management, ולמדנו כלי חדש לחיפוש יזום אחר פעולות זדוניות וחריגות במכונות משתמש - Threat Hunting. המאמר הבא יהיה האחרון בסדרה זו ובו נבחן את השאלות הנפוצות ביותר לגבי פתרון ה-Management Platform ונדבר על האפשרויות לבדיקת מוצר זה.

מבחר גדול של חומרים בצ'ק פוינט מבית TS Solution. כדי לא לפספס את הפרסומים הבאים בנושא SandBlast Agent Management Platform, עקבו אחר העדכונים ברשתות החברתיות שלנו (מברק, פייסבוק, VK, בלוג פתרונות TS, יאנדקס זן).

מקור: www.habr.com