5. Check Point SandBlast Agent Management Platform. ჟურნალები, ანგარიშები და სასამართლო ექსპერტიზა. საფრთხე ნადირობა

კეთილი იყოს თქვენი მობრძანება სერიის მეხუთე სტატიაში Check Point SandBlast Agent Management Platform-ის გადაწყვეტის შესახებ. წინა სტატიები შეგიძლიათ იხილოთ შესაბამის ბმულზე: პირველი, მეორე, მესამე, მეოთხე. დღეს ჩვენ განვიხილავთ მენეჯმენტის პლატფორმის მონიტორინგის შესაძლებლობებს, კერძოდ, ჟურნალებთან, ინტერაქტიულ დაფებთან (View) და ანგარიშებთან მუშაობას. ჩვენ ასევე შევეხებით საფრთხეებზე ნადირობის თემას მომხმარებლის აპარატზე მიმდინარე საფრთხეებისა და ანომალიური მოვლენების დასადგენად.

ლოგები

უსაფრთხოების მოვლენების მონიტორინგისთვის ინფორმაციის ძირითადი წყაროა ჟურნალების განყოფილება, რომელიც აჩვენებს დეტალურ ინფორმაციას თითოეულ ინციდენტის შესახებ და ასევე საშუალებას გაძლევთ გამოიყენოთ მოსახერხებელი ფილტრები თქვენი ძიების კრიტერიუმების დახვეწისთვის. მაგალითად, როდესაც თქვენ დააწკაპუნებთ მაუსის მარჯვენა ღილაკით პარამეტრზე (Blade, Action, Severity და ა.შ.) ინტერესის ჟურნალში, ეს პარამეტრი შეიძლება გაფილტრული იყოს როგორც ფილტრი: "პარამეტრი" ან გაფილტვრა: "პარამეტრი". ასევე Source პარამეტრისთვის შეიძლება აირჩეს IP Tools ოფცია, სადაც შეგიძლიათ აწარმოოთ ping მოცემულ IP მისამართზე/სახელზე ან გაუშვათ nslookup, რომ მიიღოთ წყაროს IP მისამართი სახელით.

Logs განყოფილებაში, მოვლენების გაფილტვრისთვის, არის სტატისტიკის ქვეგანყოფილება, რომელიც აჩვენებს სტატისტიკას ყველა პარამეტრზე: დროის დიაგრამა ჟურნალების რაოდენობით, ასევე პროცენტები თითოეული პარამეტრისთვის. ამ ქვესექციიდან შეგიძლიათ მარტივად გაფილტროთ ჟურნალები საძიებო ზოლის გამოყენებისა და ფილტრაციის გამონათქვამების დაწერის გარეშე - უბრალოდ აირჩიეთ თქვენთვის საინტერესო პარამეტრები და მაშინვე გამოჩნდება ჟურნალების ახალი სია.

დეტალური ინფორმაცია თითოეული ჟურნალის შესახებ ხელმისაწვდომია ჟურნალების განყოფილების მარჯვენა პანელში, მაგრამ უფრო მოსახერხებელია ჟურნალის გახსნა ორჯერ დაწკაპუნებით შინაარსის გასაანალიზებლად. ქვემოთ მოცემულია ჟურნალის მაგალითი (სურათზე დაწკაპუნება შესაძლებელია), რომელიც აჩვენებს დეტალურ ინფორმაციას Threat Emulation blade-ის პრევენციის მოქმედების გააქტიურების შესახებ ინფიცირებულ ".docx" ფაილზე. ჟურნალს აქვს რამდენიმე ქვეგანყოფილება, რომელიც აჩვენებს უსაფრთხოების ღონისძიების დეტალებს: გააქტიურებული წესები და დაცვა, სასამართლო ექსპერტიზის დეტალები, ინფორმაცია კლიენტისა და ტრაფიკის შესახებ. ჟურნალიდან ხელმისაწვდომი ანგარიშები განსაკუთრებულ ყურადღებას იმსახურებს - საფრთხის ემულაციის ანგარიში და სასამართლო ექსპერტიზის ანგარიში. ეს მოხსენებები ასევე შეიძლება გაიხსნას SandBlast Agent კლიენტიდან.

საფრთხის ემულაციის ანგარიში

Threat Emulation blade-ის გამოყენებისას, მას შემდეგ, რაც ემულაცია განხორციელდება Check Point ღრუბელში, ემულაციის შედეგების დეტალური ანგარიშის ბმული - Threat Emulation Report - გამოჩნდება შესაბამის ჟურნალში. ასეთი მოხსენების შინაარსი დეტალურად არის აღწერილი ჩვენს სტატიაში მავნე პროგრამების ანალიზი Check Point SandBlast Network-ის სასამართლო ექსპერტიზის გამოყენებით. აღსანიშნავია, რომ ეს ანგარიში ინტერაქტიულია და საშუალებას გაძლევთ „ჩაყვინთოთ“ დეტალები თითოეული სექციისთვის. ასევე შესაძლებელია ვირტუალურ მანქანაში ემულაციის პროცესის ჩანაწერის ნახვა, ორიგინალური მავნე ფაილის ჩამოტვირთვა ან მისი ჰეშის მიღება და აგრეთვე Check Point Incident Response Team-თან დაკავშირება.

სასამართლო ექსპერტიზის ანგარიში

უსაფრთხოების თითქმის ნებისმიერი მოვლენისთვის, გენერირდება სასამართლო ექსპერტიზის ანგარიში, რომელიც შეიცავს დეტალურ ინფორმაციას მავნე ფაილის შესახებ: მისი მახასიათებლები, მოქმედებები, სისტემაში შესვლის წერტილი და გავლენა კომპანიის მნიშვნელოვან აქტივებზე. ჩვენ დეტალურად განვიხილეთ ანგარიშის სტრუქტურა სტატიაში მავნე პროგრამების ანალიზი Check Point SandBlast Agent-ის სასამართლო ექსპერტიზის გამოყენებით. ასეთი მოხსენება არის ინფორმაციის მნიშვნელოვანი წყარო უსაფრთხოების მოვლენების გამოძიებისას და საჭიროების შემთხვევაში, ანგარიშის შინაარსი შეიძლება დაუყოვნებლივ გაეგზავნოს Check Point Incident Response Team-ს.

ჭკვიანი ხედი

Check Point SmartView არის მოსახერხებელი ინსტრუმენტი PDF ფორმატში დინამიური დაფების (View) და ანგარიშების შესაქმნელად და სანახავად. SmartView-დან ასევე შეგიძლიათ იხილოთ მომხმარებლის ჟურნალები და აუდიტის მოვლენები ადმინისტრატორებისთვის. ქვემოთ მოყვანილი ფიგურა აჩვენებს ყველაზე სასარგებლო ანგარიშებს და დაფებს SandBlast Agent-თან მუშაობისთვის.

ანგარიშები SmartView-ში არის დოკუმენტები, რომლებსაც აქვთ სტატისტიკური ინფორმაცია მოვლენების შესახებ გარკვეული პერიოდის განმავლობაში. ის მხარს უჭერს PDF ფორმატში ანგარიშების ატვირთვას მანქანაში, სადაც SmartView ღიაა, ასევე PDF/Excel-ში რეგულარულ ატვირთვას ადმინისტრატორის ელფოსტაზე. გარდა ამისა, იგი მხარს უჭერს მოხსენების შაბლონების იმპორტს/ექსპორტს, საკუთარი ანგარიშების შექმნას და ანგარიშებში მომხმარებლის სახელების დამალვის შესაძლებლობას. ქვემოთ მოყვანილი სურათი გვიჩვენებს ჩაშენებული საფრთხის პრევენციის ანგარიშის მაგალითს.

Dashboards (View) SmartView-ში ადმინისტრატორს წვდომის საშუალებას აძლევს შესაბამისი მოვლენის ჟურნალებს - უბრალოდ ორჯერ დააწკაპუნეთ ინტერესის ობიექტზე, იქნება ეს დიაგრამის სვეტი თუ მავნე ფაილის სახელი. როგორც მოხსენებებში, შეგიძლიათ შექმნათ თქვენი საკუთარი დაფები და დამალოთ მომხმარებლის მონაცემები. საინფორმაციო დაფები ასევე მხარს უჭერს შაბლონების იმპორტს/ექსპორტს, რეგულარულ ატვირთვას PDF/Excel-ში ადმინისტრატორის ელფოსტაზე და მონაცემთა ავტომატური განახლებები უსაფრთხოების მოვლენებზე რეალურ დროში მონიტორინგისთვის.

მონიტორინგის დამატებითი განყოფილებები

მართვის პლატფორმის მონიტორინგის ხელსაწყოების აღწერა არასრული იქნება მიმოხილვის, კომპიუტერული მენეჯმენტის, ბოლო წერტილის პარამეტრების და Push ოპერაციების სექციების მითითების გარეშე. ეს სექციები დეტალურად არის აღწერილი მეორე სტატიათუმცა, სასარგებლო იქნება მათი შესაძლებლობების გათვალისწინება მონიტორინგის პრობლემების გადასაჭრელად. დავიწყოთ მიმოხილვით, რომელიც შედგება ორი ქვესექციისგან - ოპერაციული მიმოხილვა და უსაფრთხოების მიმოხილვა, რომლებიც არის დაფები დაცული მომხმარებლის მანქანების მდგომარეობისა და უსაფრთხოების მოვლენების შესახებ ინფორმაციის შესახებ. როგორც ნებისმიერ სხვა დაფასთან ურთიერთობისას, ოპერატიული მიმოხილვისა და უსაფრთხოების მიმოხილვის ქვესექციები, როდესაც ორჯერ დააწკაპუნებთ ინტერესის პარამეტრზე, საშუალებას გაძლევთ შეხვიდეთ კომპიუტერის მართვის განყოფილებაში არჩეული ფილტრით (მაგალითად, „Desktops“ ან „Pre- ჩატვირთვის სტატუსი: ჩართულია“), ან განყოფილებაში ჟურნალები კონკრეტული მოვლენისთვის. უსაფრთხოების მიმოხილვის ქვეგანყოფილება არის „კიბერ თავდასხმის ხედი – ბოლო წერტილი“ დაფა, რომლის მორგება და მონაცემების ავტომატურად განახლება შესაძლებელია.

კომპიუტერული მენეჯმენტის განყოფილებიდან შეგიძლიათ აკონტროლოთ აგენტის სტატუსი მომხმარებლის აპარატებზე, ანტი-მავნე მონაცემთა ბაზის განახლების სტატუსი, დისკის დაშიფვრის ეტაპები და მრავალი სხვა. ყველა მონაცემი ავტომატურად განახლდება და თითოეული ფილტრისთვის ნაჩვენებია მომხმარებლის მანქანების შესაბამისი პროცენტი. ასევე მხარდაჭერილია კომპიუტერული მონაცემების ექსპორტი CSV ფორმატში.

სამუშაო სადგურების უსაფრთხოების მონიტორინგის მნიშვნელოვანი ასპექტია კრიტიკული მოვლენების შესახებ შეტყობინებების დაყენება (Alerts) და ჟურნალების ექსპორტი (Export Events) კომპანიის ჟურნალის სერვერზე შესანახად. ორივე პარამეტრი მზადდება ბოლო წერტილის პარამეტრების განყოფილებაში და for შეტყობინებები შესაძლებელია ფოსტის სერვერის დაკავშირება ადმინისტრატორთან მოვლენის შეტყობინებების გასაგზავნად და შეტყობინებების გააქტიურების/გამორთვის ზღვრების კონფიგურაციისთვის, მოწყობილობების პროცენტული/რაოდენობიდან გამომდინარე, რომლებიც აკმაყოფილებენ მოვლენის კრიტერიუმებს. ექსპორტის ღონისძიებები საშუალებას გაძლევთ დააკონფიგურიროთ ჟურნალების გადატანა მართვის პლატფორმიდან კომპანიის ჟურნალის სერვერზე შემდგომი დამუშავებისთვის. მხარს უჭერს SYSLOG, CEF, LEEF, SPLUNK ფორმატებს, TCP/UDP პროტოკოლებს, ნებისმიერ SIEM სისტემას გაშვებული syslog აგენტით, TLS/SSL დაშიფვრის და syslog კლიენტის ავთენტიფიკაციის გამოყენებას.

აგენტზე მოვლენების სიღრმისეული ანალიზისთვის ან ტექნიკურ მხარდაჭერასთან დაკავშირების შემთხვევაში, შეგიძლიათ სწრაფად შეაგროვოთ ჟურნალები SandBlast Agent კლიენტისგან იძულებითი ოპერაციის გამოყენებით Push Operations განყოფილებაში. თქვენ შეგიძლიათ დააკონფიგურიროთ გენერირებული არქივის გადაცემა ჟურნალებით Check Point სერვერებზე ან კორპორატიულ სერვერებზე, ხოლო არქივი ჟურნალებით შეინახება მომხმარებლის მანქანაზე C:UsersusernameCPInfo დირექტორიაში. იგი მხარს უჭერს ჟურნალის შეგროვების პროცესის დაწყებას მითითებულ დროს და მომხმარებლის მიერ ოპერაციის გადადების შესაძლებლობას.

საფრთხეებზე ნადირობა

საფრთხეებზე ნადირობა გამოიყენება სისტემაში მავნე მოქმედებების და ანომალიური ქცევის პროაქტიულად მოსაძიებლად, უსაფრთხოების პოტენციური მოვლენის შემდგომი გამოსაძიებლად. საფრთხეებზე ნადირობის განყოფილება მართვის პლატფორმაში საშუალებას გაძლევთ მოძებნოთ მოვლენები მითითებული პარამეტრებით მომხმარებლის მანქანის მონაცემებში.

Threat Hunting ინსტრუმენტს აქვს რამდენიმე წინასწარ განსაზღვრული მოთხოვნა, მაგალითად: მავნე დომენების ან ფაილების კლასიფიკაციისთვის, იშვიათი მოთხოვნების თვალყურის დევნება გარკვეულ IP მისამართებზე (ზოგადი სტატისტიკის მიმართ). მოთხოვნის სტრუქტურა შედგება სამი პარამეტრისგან: მაჩვენებელი (ქსელის პროტოკოლი, პროცესის იდენტიფიკატორი, ფაილის ტიპი და ა.შ.), ოპერატორი („არის“, „არ არის“, „მოიცავს“, „ერთი“ და ა.შ.) და მოთხოვნის ორგანო. თქვენ შეგიძლიათ გამოიყენოთ რეგულარული გამონათქვამები მოთხოვნის მთავარ ნაწილში და შეგიძლიათ გამოიყენოთ რამდენიმე ფილტრი ერთდროულად საძიებო ზოლში.

ფილტრის არჩევისა და მოთხოვნის დამუშავების დასრულების შემდეგ, თქვენ გექნებათ წვდომა ყველა შესაბამის მოვლენაზე, ღონისძიების შესახებ დეტალური ინფორმაციის ნახვის, მოთხოვნის ობიექტის კარანტინის, ან მოვლენის აღწერით დეტალური სასამართლო ექსპერტიზის ანგარიშის გენერირების შესაძლებლობით. ამჟამად ეს ინსტრუმენტი არის ბეტა ვერსიაში და სამომავლოდ იგეგმება შესაძლებლობების სიმრავლის გაფართოება, მაგალითად მოვლენის შესახებ ინფორმაციის დამატება Mitre Att&ck მატრიცის სახით.

დასკვნა

მოდით შევაჯამოთ: ამ სტატიაში ჩვენ გადავხედეთ უსაფრთხოების მოვლენების მონიტორინგის შესაძლებლობებს SandBlast Agent Management Platform-ში და შევისწავლეთ ახალი ინსტრუმენტი მომხმარებლის მანქანებზე მავნე ქმედებებისა და ანომალიების პროაქტიული საძიებლად - Threat Hunting. შემდეგი სტატია იქნება ამ სერიის ბოლო სტატია და მასში განვიხილავთ ყველაზე ხშირად დასმულ კითხვებს მართვის პლატფორმის გადაწყვეტის შესახებ და ვისაუბრებთ ამ პროდუქტის ტესტირების შესაძლებლობებზე.

მასალების დიდი არჩევანი Check Point-ზე TS Solution-ისგან. იმისათვის, რომ არ გამოტოვოთ შემდეგი პუბლიკაციები თემაზე SandBlast Agent Management Platform, მიჰყევით განახლებებს ჩვენს სოციალურ ქსელებში (დეპეშა, Facebook, VK, TS Solution ბლოგი, Yandex Zen).

წყარო: www.habr.com