5. Check Point SandBlast エージェント管理プラットフォーム。 ログ、レポート、フォレンジック。 脅威ハンティング

Check Point SandBlast Agent Management Platform ソリューションに関するシリーズの XNUMX 番目の記事へようこそ。 以前の記事は、適切なリンクからご覧いただけます。 最初の, 2番目の, 第3, 第XNUMX。 今日は、管理プラットフォームの監視機能、つまりログ、対話型ダッシュボード (ビュー)、レポートの操作について見ていきます。 また、ユーザーのマシン上の現在の脅威や異常なイベントを特定するための脅威ハンティングのトピックについても触れます。

ログ

セキュリティ イベントを監視するための主な情報源は「ログ」セクションです。このセクションには、各インシデントの詳細情報が表示され、便利なフィルターを使用して検索条件を絞り込むこともできます。 たとえば、対象のログのパラメータ (ブレード、アクション、重大度など) を右クリックすると、このパラメータを次のようにフィルタリングできます。 フィルター:「パラメータ」 または フィルタアウト:「パラメータ」。 また、[Source] パラメーターでは、[IP Tools] オプションを選択できます。このオプションでは、指定された IP アドレス/名前に対して ping を実行したり、nslookup を実行してソース IP アドレスを名前で取得したりできます。

「ログ」セクションには、イベントをフィルタリングするための「統計」サブセクションがあり、すべてのパラメータに関する統計 (ログ数を含む時間グラフと各パラメータの割合) が表示されます。 このサブセクションでは、検索バーを使用したりフィルタリング式を記述したりせずに、ログを簡単にフィルタリングできます。目的のパラメータを選択するだけで、ログの新しいリストがすぐに表示されます。

各ログの詳細情報は、「ログ」セクションの右側のパネルに表示されますが、内容を分析するにはダブルクリックしてログを開いた方が便利です。 以下はログの例です (画像はクリック可能です)。感染した「.docx」ファイルに対する脅威エミュレーション ブレードの防止アクションのトリガーに関する詳細情報が表示されます。 ログには、トリガーされたポリシーと保護、フォレンジックの詳細、クライアントとトラフィックに関する情報など、セキュリティ イベントの詳細を表示するいくつかのサブセクションがあります。 ログから入手できるレポート、つまり脅威エミュレーション レポートとフォレンジック レポートには特に注意が必要です。 これらのレポートは、SandBlast Agent クライアントから開くこともできます。

脅威エミュレーションレポート

Threat Emulation ブレードを使用する場合、Check Point クラウドでエミュレーションが実行された後、エミュレーション結果に関する詳細レポート (Threat Emulation Report) へのリンクが対応するログに表示されます。 このようなレポートの内容については、次の記事で詳しく説明しています。 Check Point SandBlast Network フォレンジックを使用したマルウェア分析。 このレポートは対話型であり、各セクションの詳細を「詳しく調べる」ことができることは注目に値します。 仮想マシンでのエミュレーション プロセスの記録を表示したり、元の悪意のあるファイルをダウンロードしたりそのハッシュを取得したり、Check Point インシデント対応チームに連絡したりすることもできます。

フォレンジックレポート

ほぼすべてのセキュリティ イベントに対して、フォレンジック レポートが生成されます。これには、悪意のあるファイルの特徴、アクション、システムへのエントリ ポイント、重要な企業資産への影響など、悪意のあるファイルに関する詳細情報が含まれます。 レポートの構造については、次の記事で詳しく説明しました。 Check Point SandBlast Agent フォレンジックを使用したマルウェア分析。 このようなレポートは、セキュリティ イベントを調査する際の重要な情報源であり、必要に応じて、レポートの内容をすぐに Check Point インシデント対応チームに送信できます。

SmartView

Check Point SmartView は、動的なダッシュボード (ビュー) とレポートを PDF 形式で作成および表示するための便利なツールです。 SmartView から、管理者のユーザー ログや監査イベントを表示することもできます。 以下の図は、SandBlast Agent を使用する場合に最も役立つレポートとダッシュボードを示しています。

SmartView のレポートは、一定期間のイベントに関する統計情報を含むドキュメントです。 SmartView が開いているマシンへの PDF 形式でのレポートのアップロードと、管理者の電子メールへの PDF/Excel への定期的なアップロードがサポートされています。 さらに、レポート テンプレートのインポート/エクスポート、独自のレポートの作成、レポート内のユーザー名を非表示にする機能もサポートされています。 以下の図は、組み込みの脅威対策レポートの例を示しています。

SmartView のダッシュボード (ビュー) を使用すると、管理者は、グラフの列や悪意のあるファイルの名前など、関心のあるオブジェクトをダブルクリックするだけで、対応するイベントのログにアクセスできます。 レポートと同様に、独自のダッシュボードを作成してユーザー データを非表示にすることができます。 ダッシュボードは、テンプレートのインポート/エクスポート、管理者の電子メールへの PDF/Excel への定期的なアップロード、セキュリティ イベントをリアルタイムで監視するための自動データ更新もサポートしています。

追加の監視セクション

管理プラットフォームの監視ツールの説明は、「概要」、「コンピュータ管理」、「エンドポイント設定」、および「プッシュ操作」セクションに言及しないと不完全になります。 これらのセクションについては、以下で詳しく説明されています。 第二条ただし、監視の問題を解決するための機能を考慮することは有益です。 まずは「概要」から始めましょう。これは、「運用概要」と「セキュリティ概要」という XNUMX つのサブセクションで構成されており、保護されたユーザー マシンの状態とセキュリティ イベントに関する情報が含まれるダッシュボードです。 他のダッシュボードと対話する場合と同様に、「操作の概要」サブセクションと「セキュリティの概要」サブセクションで関心のあるパラメーターをダブルクリックすると、選択したフィルター (「デスクトップ」や「プレ「ブート ステータス: 有効」)、または特定のイベントの「ログ」セクションを参照してください。 セキュリティ概要サブセクションは「サイバー攻撃ビュー – エンドポイント」ダッシュボードであり、データを自動的に更新するようにカスタマイズおよび設定できます。

[コンピュータ管理] セクションから、ユーザー マシン上のエージェントのステータス、マルウェア対策データベースの更新ステータス、ディスク暗号化の段階などを監視できます。 すべてのデータは自動的に更新され、フィルターごとに一致するユーザー マシンの割合が表示されます。 パソコンのデータをCSV形式でエクスポートすることもできます。

ワークステーションのセキュリティを監視する重要な側面は、重要なイベントに関する通知 (アラート) を設定し、企業のログ サーバーに保存するためにログをエクスポートする (エクスポート イベント) ことです。 どちらの設定も [エンドポイント設定] セクションで行われます。 アラート メール サーバーに接続してイベント通知を管理者に送信し、イベント基準を満たすデバイスの割合/数に応じて通知をトリガー/無効にするためのしきい値を構成することができます。 イベントのエクスポート さらに処理するために、管理プラットフォームから会社のログ サーバーへのログの転送を構成できます。 SYSLOG、CEF、LEEF、SPLUNK 形式、TCP/UDP プロトコル、syslog エージェントが実行されている任意の SIEM システム、TLS/SSL 暗号化の使用、および syslog クライアント認証をサポートします。

エージェント上のイベントを詳細に分析する場合、またはテクニカル サポートに連絡する場合は、「プッシュ操作」セクションの強制操作を使用して SandBlast エージェント クライアントからログを迅速に収集できます。 生成されたログ付きアーカイブを Check Point サーバーまたは企業サーバーに転送するように設定できます。ログ付きアーカイブは、ユーザーのマシンの C:UsersusernameCPInfo ディレクトリに保存されます。 指定した時刻にログ収集プロセスを起動する機能と、ユーザーによる操作を延期する機能がサポートされています。

脅威ハンティング

脅威ハンティングは、システム内の悪意のあるアクティビティや異常な動作を積極的に検索し、潜在的なセキュリティ イベントをさらに調査するために使用されます。 管理プラットフォームの [脅威ハンティング] セクションでは、ユーザー マシン データ内の指定されたパラメーターを持つイベントを検索できます。

脅威ハンティング ツールには、たとえば、悪意のあるドメインやファイルを分類したり、特定の IP アドレスへの稀なリクエストを追跡したりするための事前定義されたクエリがいくつかあります (一般的な統計と比較して)。 リクエスト構造は XNUMX つのパラメータで構成されます。 インジケータ (ネットワークプロトコル、プロセス識別子、ファイルタイプなど)、 オペレータ （「である」、「ではない」、「含む」、「のいずれか」など）および リクエストボディ。 リクエストの本文で正規表現を使用でき、検索バーで複数のフィルターを同時に使用できます。

フィルターを選択してリクエストの処理を完了すると、関連するすべてのイベントにアクセスできるようになり、イベントに関する詳細情報を表示したり、リクエスト オブジェクトを隔離したり、イベントの説明を含む詳細なフォレンジック レポートを生成したりすることができます。 現在、このツールはベータ版ですが、将来的には、イベントに関する情報を Mitre Att&ck マトリクスの形式で追加するなど、一連の機能を拡張する予定です。

まとめ

要約しましょう: この記事では、SandBlast エージェント管理プラットフォームのセキュリティ イベントを監視する機能を検討し、ユーザー マシン上の悪意のあるアクションや異常をプロアクティブに検索するための新しいツールである脅威ハンティングについて研究しました。 次の記事はこのシリーズの最終記事となり、管理プラットフォーム ソリューションに関して最もよく寄せられる質問を取り上げ、この製品をテストする可能性について説明します。

TS ソリューションの Check Point に関する豊富な資料。 SandBlast エージェント管理プラットフォームのトピックに関する次の出版物を見逃さないように、ソーシャル ネットワークの更新情報をフォローしてください (Telegram, Facebook, VK, TSソリューションブログ, Yandex.Den).

出所： habr.com