Sugeng rawuh ing artikel kaping lima ing seri babagan solusi Platform Manajemen Agen SandBlast Check Point. Artikel sadurunge bisa ditemokake kanthi ngetutake tautan sing cocog: , , , . Dina iki kita bakal ndeleng kemampuan ngawasi ing Platform Manajemen, yaiku nggarap log, dashboard interaktif (View) lan laporan. Kita uga bakal ndemek topik Ancaman Hunting kanggo ngenali ancaman saiki lan acara anomali ing mesin pangguna.
log
Sumber informasi utama kanggo ngawasi acara keamanan yaiku bagean Log, sing nampilake informasi rinci babagan saben kedadeyan lan uga ngidini sampeyan nggunakake saringan sing trep kanggo nyaring kritΓ©ria telusuran. Contone, nalika sampeyan klik-tengen ing parameter (Blade, Action, Severity, etc.) saka log kapentingan, parameter iki bisa disaring minangka Filter: "Parameter" utawa Nyaring: "Parameter". Uga kanggo parameter Source opsi IP Tools bisa milih ngendi sampeyan bisa mbukak ping menyang alamat IP diwenehi / jeneng utawa mbukak nslookup kanggo njaluk alamat IP sumber dening jeneng.
Ing bagean Log, kanggo nyaring acara, ana bagean Statistik, sing nampilake statistik ing kabeh parameter: diagram wektu kanthi jumlah log, uga persentase kanggo saben parameter. Saka bagean iki, sampeyan bisa kanthi gampang nyaring log tanpa nggunakake garis telusuran lan nulis ekspresi nyaring - mung pilih paramèter kapentingan lan dhaptar log anyar bakal langsung ditampilake.
Informasi rinci ing saben log kasedhiya ing panel tengen bagean Log, nanging luwih trep kanggo mbukak log kanthi ngeklik kaping pindho kanggo njelasno isi. Ing ngisor iki minangka conto log (gambar bisa diklik), sing nampilake informasi rinci babagan pemicu tumindak Nyegah lading Emulation Ancaman ing file ".docx" sing kena infeksi. Log kasebut nduweni sawetara bagean sing nampilake rincian acara keamanan: kabijakan lan proteksi sing dipicu, rincian forensik, informasi babagan klien lan lalu lintas. Laporan sing kasedhiya saka log kudu diwenehi perhatian khusus - Laporan Emulasi Ancaman lan Laporan Forensik. Laporan kasebut uga bisa dibukak saka klien SandBlast Agent.
Laporan Emulation Ancaman
Nalika nggunakake bilah Emulasi Ancaman, sawise emulasi ditindakake ing awan Check Point, link menyang laporan rinci babagan asil emulasi - Laporan Emulasi Ancaman - katon ing log sing cocog. Isi laporan kasebut diterangake kanthi rinci ing artikel kita babagan . Wigati dicathet yen laporan iki interaktif lan ngidini sampeyan "nyilem" rincian kanggo saben bagean. Sampeyan uga bisa ndeleng rekaman proses emulasi ing mesin virtual, download file angkoro asli utawa entuk hash, lan uga hubungi Tim Respon Insiden Check Point.
Laporan Forensik
Kanggo meh kabeh acara keamanan, Laporan Forensik digawe, sing kalebu informasi rinci babagan file angkoro: karakteristik, tumindak, titik mlebu menyang sistem lan pengaruhe marang aset perusahaan penting. Kita ngrembug struktur laporan kanthi rinci ing artikel babagan . Laporan kasebut minangka sumber informasi sing penting nalika nyelidiki acara keamanan, lan yen perlu, isi laporan kasebut bisa langsung dikirim menyang Tim Tanggap Insiden Check Point.
Smart View
Check Point SmartView minangka alat sing trep kanggo nggawe lan ndeleng dashboard dinamis (View) lan laporan ing format PDF. Saka SmartView sampeyan uga bisa ndeleng log pangguna lan acara audit kanggo pangurus. Tokoh ing ngisor iki nuduhake laporan lan dashboard sing paling migunani kanggo nggarap SandBlast Agent.
Laporan ing SmartView minangka dokumen kanthi informasi statistik babagan acara sajrone wektu tartamtu. Ndhukung ngunggah laporan ing format PDF menyang mesin ing ngendi SmartView mbukak, uga upload biasa menyang PDF / Excel menyang email administrator. Kajaba iku, ndhukung impor / ekspor template laporan, nggawe laporan sampeyan dhewe, lan kemampuan kanggo ndhelikake jeneng pangguna ing laporan. Tokoh ing ngisor iki nuduhake conto laporan Nyegah Ancaman sing dibangun.
Dashboards (View) ing SmartView ngidini administrator ngakses log kanggo acara sing cocog - mung klik kaping pindho ing obyek sing dikarepake, dadi kolom grafik utawa jeneng file sing mbebayani. Kaya laporan, sampeyan bisa nggawe dashboard dhewe lan ndhelikake data pangguna. Dashboard uga ndhukung impor / ekspor template, upload biasa menyang PDF / Excel menyang email administrator, lan nganyari data otomatis kanggo ngawasi acara keamanan ing wektu nyata.
bagean ngawasi tambahan
Katrangan babagan alat ngawasi ing Platform Manajemen bakal ora lengkap tanpa nyebutake bagean Ringkesan, Manajemen Komputer, Setelan Endpoint lan Operasi Push. Bagean kasebut wis diterangake kanthi rinci ing , Nanging, iku bakal migunani kanggo nimbang kemampuan kanggo mecahaken masalah ngawasi. Ayo dadi miwiti karo Ringkesan, kang kasusun saka rong bagean - Ringkesan Operasional lan Ringkesan Keamanan, kang dashboards karo informasi bab negara mesin pangguna dilindhungi lan acara keamanan. Kaya nalika sesambungan karo dashboard liyane, bagean Ringkesan Operasional lan Ringkesan Keamanan, nalika ngeklik kaping pindho ing parameter kapentingan, ngidini sampeyan pindhah menyang bagean Manajemen Komputer kanthi filter sing dipilih (contone, "Desktop" utawa "Pre- Status Boot: Diaktifake"), utawa menyang bagean Log kanggo acara tartamtu. Subbagian Ringkesan Keamanan minangka dasbor "Cyber ββAttack View - Endpoint", sing bisa disesuaikan lan disetel kanggo nganyari data kanthi otomatis.
Saka bagean Manajemen Komputer sampeyan bisa ngawasi status agen ing mesin pangguna, status nganyari database Anti-Malware, tahapan enkripsi disk, lan liya-liyane. Kabeh data dianyari kanthi otomatis, lan kanggo saben Filter persentasi mesin pangguna cocog ditampilake. Ngekspor data komputer ing format CSV uga didhukung.
Aspek penting kanggo ngawasi keamanan workstation yaiku nyetel kabar babagan acara kritis (Tandha) lan ngekspor log (Ekspor Acara) kanggo panyimpenan ing server log perusahaan. Setelan loro kasebut digawe ing bagean Setelan Endpoint, lan kanggo Tandha Sampeyan bisa nyambung server mail kanggo ngirim kabar acara menyang administrator lan ngatur batesan kanggo pemicu / mateni kabar gumantung ing persentasi / nomer piranti sing ketemu kritΓ©ria acara. Acara Ekspor ngijini sampeyan kanggo ngatur transfer log saka Platform Manajemen menyang server log perusahaan kanggo proses luwih. Ndhukung format SYSLOG, CEF, LEEF, SPLUNK, protokol TCP/UDP, sistem SIEM apa wae sing nganggo agen syslog sing mlaku, panggunaan enkripsi TLS/SSL lan otentikasi klien syslog.
Kanggo analisis sing jero babagan acara ing agen utawa yen sampeyan ngubungi dhukungan teknis, sampeyan bisa kanthi cepet ngumpulake log saka klien Agen SandBlast nggunakake operasi paksa ing bagean Operasi Push. Sampeyan bisa ngatur transfer saka arsip kui karo log menyang Check Point server utawa server perusahaan, lan arsip karo log disimpen ing mesin pangguna ing direktori C: UsernameCPInfo. Ndhukung ngluncurake proses koleksi log ing wektu tartamtu lan kemampuan kanggo nundha operasi dening pangguna.
Mburu Ancaman
Ancaman Hunting digunakake kanggo proaktif nggoleki aktivitas angkoro lan prilaku anomali ing sistem kanggo luwih neliti acara keamanan potensial. Bagean Ancaman Hunting ing Platform Manajemen ngidini sampeyan nggoleki acara kanthi paramèter tartamtu ing data mesin pangguna.
Alat Threat Hunting nduweni sawetara pitakon sing wis ditemtokake, contone: kanggo nggolongake domain utawa file sing mbebayani, lacak panjaluk langka menyang alamat IP tartamtu (relatif karo statistik umum). Struktur request kasusun saka telung paramèter: indikator (protokol jaringan, pengenal proses, jinis file, lsp.), operator ("iku", "ora", "kalebu", "siji", etc.) lan njaluk awak. Sampeyan bisa nggunakake ekspresi biasa ing awak panyuwunan, lan sampeyan bisa nggunakake macem-macem saringan bebarengan ing garis telusuran.
Sawise milih saringan lan ngrampungake pangolahan panjaluk, sampeyan duwe akses menyang kabeh acara sing cocog, kanthi kemampuan kanggo ndeleng informasi rinci babagan acara kasebut, quarantine obyek sing dijaluk, utawa ngasilake Laporan Forensik sing rinci kanthi katrangan babagan acara kasebut. Saiki, alat iki ana ing versi beta lan ing mangsa ngarep direncanakake kanggo nggedhekake set kapabilitas, contone, nambah informasi babagan acara kasebut ing wangun matriks Mitre Att&ck.
kesimpulan
Ayo ngringkes: ing artikel iki kita ndeleng kemampuan ngawasi acara keamanan ing SandBlast Agent Management Platform, lan sinau alat anyar kanggo proaktif nggoleki tumindak ala lan anomali ing mesin pangguna - Threat Hunting. Artikel sabanjure bakal dadi sing terakhir ing seri iki lan kita bakal nliti pitakonan sing paling sering ditakoni babagan solusi Platform Manajemen lan ngobrol babagan kemungkinan nguji produk iki.
. Supaya ora kantun publikasi sabanjure babagan topik SandBlast Agent Management Platform, tindakake nganyari ing jaringan sosial kita (, , , , ).
Source: www.habr.com