Check Point SandBlast Agent басқару платформасы шешімі туралы сериядағы бесінші мақалаға қош келдіңіз. Алдыңғы мақалаларды тиісті сілтеме арқылы табуға болады: , , , . Бүгін біз Басқару платформасындағы бақылау мүмкіндіктерін, атап айтқанда журналдармен, интерактивті бақылау тақталарымен (Көру) және есептермен жұмыс істеуді қарастырамыз. Біз сондай-ақ пайдаланушының құрылғысындағы ағымдағы қауіптер мен аномальды оқиғаларды анықтау үшін Threat Hunting тақырыбына тоқталамыз.
Журналдар
Қауіпсіздік оқиғаларын бақылауға арналған ақпараттың негізгі көзі әрбір оқиға туралы егжей-тегжейлі ақпаратты көрсететін және іздеу критерийлерін нақтылау үшін ыңғайлы сүзгілерді пайдалануға мүмкіндік беретін Журналдар бөлімі болып табылады. Мысалы, қызығушылық журналының параметрін (Жұмыс, Әрекет, Қауіптілік, т.б.) тінтуірдің оң жақ түймешігімен басқанда, бұл параметрді келесідей сүзуге болады. Сүзгі: "Параметр" немесе Сүзгіден шығу: "Параметр". Сондай-ақ Source параметрі үшін IP Tools опциясын таңдауға болады, онда берілген IP мекенжайына/атауға пингті іске қосуға немесе бастапқы IP мекенжайын аты бойынша алу үшін nslookup іске қосуға болады.
Журналдар бөлімінде оқиғаларды сүзу үшін барлық параметрлер бойынша статистиканы көрсететін Статистика ішкі бөлімі бар: журналдар саны бар уақыт диаграммасы, сондай-ақ әрбір параметр үшін пайыздар. Осы бөлімшеден іздеу жолағын пайдаланбай және сүзгілеу өрнектерін жазбай-ақ журналдарды оңай сүзуге болады - қызықтыратын параметрлерді таңдап, журналдардың жаңа тізімі бірден көрсетіледі.
Әрбір журнал туралы толық ақпарат Журналдар бөлімінің оң жақ панелінде қолжетімді, бірақ мазмұнды талдау үшін журналды екі рет басу арқылы ашу ыңғайлырақ. Төменде вирус жұққан ".docx" файлындағы Қауіпті эмуляция жолының Алдын алу әрекетін іске қосу туралы толық ақпаратты көрсететін журналдың мысалы (суретті басуға болады). Журналда қауіпсіздік оқиғасының мәліметтерін көрсететін бірнеше бөлімдер бар: іске қосылған саясаттар мен қорғаулар, криминалистикалық мәліметтер, клиент және трафик туралы ақпарат. Журналда қол жетімді есептер ерекше назар аударуды қажет етеді - Қауіптердің эмуляциясы туралы есеп және Сот сараптамасының есебі. Бұл есептерді SandBlast Agent клиентінен де ашуға болады.
Қауіпті эмуляциялау есебі
Қауіпті эмуляциялау жолағын пайдаланған кезде, тексеру нүктесі бұлтында эмуляция орындалғаннан кейін, сәйкес журналда эмуляция нәтижелері туралы егжей-тегжейлі есепке сілтеме - Қауіпті эмуляциялау есебі - пайда болады. Мұндай есептің мазмұны біздің мақалада егжей-тегжейлі сипатталған . Айта кету керек, бұл есеп интерактивті және әр бөлімнің егжей-тегжейлеріне «сүңгуге» мүмкіндік береді. Сондай-ақ виртуалды машинада эмуляция процесінің жазбасын көруге, зиянды файлдың түпнұсқасын жүктеп алуға немесе оның хэшін алуға, сондай-ақ Check Point Incident Response Team командасына хабарласуға болады.
Сот сараптамасының есебі
Кез келген дерлік қауіпсіздік оқиғасы үшін зиянды файл туралы толық ақпаратты қамтитын Криминалистикалық есеп жасалады: оның сипаттамалары, әрекеттері, жүйеге кіру нүктесі және маңызды компания активтеріне әсері. Біз туралы мақалада есептің құрылымын егжей-тегжейлі талқыладық . Мұндай есеп қауіпсіздік оқиғаларын тексеру кезінде маңызды ақпарат көзі болып табылады және қажет болған жағдайда есептің мазмұнын тексеру пунктінің инциденттеріне әрекет ету тобына дереу жіберуге болады.
SmartView
Check Point SmartView - динамикалық бақылау тақталарын (Көрініс) және PDF пішіміндегі есептерді жасауға және көруге ыңғайлы құрал. SmartView қолданбасынан пайдаланушы журналдарын және әкімшілерге арналған аудит оқиғаларын да көруге болады. Төмендегі сурет SandBlast агентімен жұмыс істеуге арналған ең пайдалы есептер мен бақылау тақталарын көрсетеді.
SmartView қызметіндегі есептер белгілі бір уақыт аралығындағы оқиғалар туралы статистикалық ақпараты бар құжаттар болып табылады. Ол SmartView ашық құрылғыға PDF пішіміндегі есептерді жүктеп салуды, сондай-ақ әкімшінің электрондық поштасына PDF/Excel файлына тұрақты жүктеп салуды қолдайды. Бұған қоса, ол есеп үлгілерін импорттауды/экспорттауды, өзіңіздің есептеріңізді жасауды және есептердегі пайдаланушы атын жасыру мүмкіндігін қолдайды. Төмендегі сурет кірістірілген Қауіптің алдын алу есебінің мысалын көрсетеді.
SmartView бағдарламасындағы бақылау тақталары (көрініс) әкімшіге сәйкес оқиғаның журналдарына қол жеткізуге мүмкіндік береді - қызықтыратын нысанды екі рет басыңыз, ол диаграмма бағаны немесе зиянды файлдың атауы болсын. Есептер сияқты, сіз өзіңіздің бақылау тақталарыңызды жасай аласыз және пайдаланушы деректерін жасыра аласыз. Бақылау тақталары сонымен қатар үлгілерді импорттауды/экспорттауды, әкімшінің электрондық поштасына PDF/Excel-ге жүйелі түрде жүктеп салуды және нақты уақытта қауіпсіздік оқиғаларын бақылау үшін автоматты деректерді жаңартуды қолдайды.
Қосымша бақылау бөлімдері
Басқару платформасындағы бақылау құралдарының сипаттамасы Шолу, Компьютерді басқару, Соңғы нүкте параметрлері және Push операциялары бөлімдерін айтпағанда толық болмайды. Бұл бөлімдер мақалада егжей-тегжейлі сипатталған дегенмен, олардың мониторинг мәселелерін шешу мүмкіндіктерін қарастыру пайдалы болады. Қорғалған пайдаланушы машиналарының күйі және қауіпсіздік оқиғалары туралы ақпараты бар бақылау тақталары болып табылатын «Операцияға шолу» және «Қауіпсіздікке шолу» деген екі бөлімнен тұратын шолудан бастайық. Кез келген басқа бақылау тақтасымен өзара әрекеттесу кезіндегідей, «Операцияға шолу» және «Қауіпсіздікті шолу» бөлімдері қызықтыратын параметрді екі рет басқан кезде таңдалған сүзгімен «Компьютерді басқару» бөліміне өтуге мүмкіндік береді (мысалы, «Жұмыс үстелдері» немесе «Алдын ала Жүктеу күйі: Қосылған») немесе белгілі бір оқиғаға арналған журналдар бөліміне өтіңіз. «Қауіпсіздікті шолу» бөлімшесі «Кибершабуыл көрінісі – соңғы нүкте» бақылау тақтасы болып табылады, оны реттеуге және деректерді автоматты түрде жаңартуға орнатуға болады.
«Компьютерді басқару» бөлімінен пайдаланушы машиналарындағы агент күйін, Зиянды бағдарламаға қарсы дерекқордың жаңарту күйін, дискіні шифрлау кезеңдерін және т.б. бақылауға болады. Барлық деректер автоматты түрде жаңартылады және әрбір сүзгі үшін сәйкес пайдаланушы машиналарының пайызы көрсетіледі. Компьютер деректерін CSV пішімінде экспорттауға да қолдау көрсетіледі.
Жұмыс станцияларының қауіпсіздігін бақылаудың маңызды аспектісі компанияның журнал серверінде сақтау үшін маңызды оқиғалар (Ескертулер) және журналдарды экспорттау (Экспорттау оқиғалары) туралы хабарландыруларды орнату болып табылады. Екі параметр де соңғы нүкте параметрлері бөлімінде және үшін жасалған Ескертулер Оқиға туралы хабарландыруларды әкімшіге жіберу үшін пошта серверін қосуға және оқиға критерийлеріне сәйкес келетін құрылғылардың пайызына/санына байланысты хабарландыруларды іске қосу/өшіру шектерін конфигурациялауға болады. Экспорттық іс-шаралар одан әрі өңдеу үшін журналдарды басқару платформасынан компанияның журнал серверіне тасымалдауды конфигурациялауға мүмкіндік береді. SYSLOG, CEF, LEEF, SPLUNK пішімдерін, TCP/UDP протоколдарын, іске қосылған syslog агенті бар кез келген SIEM жүйелерін, TLS/SSL шифрлауын және syslog клиентінің аутентификациясын пайдалануды қолдайды.
Агенттегі оқиғаларды терең талдау үшін немесе техникалық қолдау қызметіне хабарласқан жағдайда Push операциялары бөліміндегі мәжбүрлі әрекетті пайдаланып SandBlast Agent клиентінен журналдарды жылдам жинауға болады. Сіз журналдармен жасалған мұрағатты Check Point серверлеріне немесе корпоративтік серверлерге тасымалдауды конфигурациялай аласыз және журналдар бар мұрағат C:UsersusernameCPInfo каталогында пайдаланушының машинасында сақталады. Ол белгілі бір уақытта журналды жинау процесін іске қосуды және пайдаланушының операцияны кейінге қалдыру мүмкіндігін қолдайды.
Қауіпті аң аулау
Threat Hunting ықтимал қауіпсіздік оқиғасын әрі қарай зерттеу үшін жүйедегі зиянды әрекеттерді және аномальды әрекетті белсенді түрде іздеу үшін пайдаланылады. Басқару платформасындағы Threat Hunting бөлімі пайдаланушы құрылғысының деректерінде көрсетілген параметрлері бар оқиғаларды іздеуге мүмкіндік береді.
Threat Hunting құралында алдын ала анықталған бірнеше сұраулар бар, мысалы: зиянды домендерді немесе файлдарды жіктеу, белгілі бір IP мекенжайларына сирек сұрауларды қадағалау (жалпы статистикаға қатысты). Сұраныс құрылымы үш параметрден тұрады: индикаторы (желі протоколы, процесс идентификаторы, файл түрі және т.б.), оператор («болған», «емес», «қосады», «бірінің» және т.б.) және сұрау органы. Сұрау мәтінінде тұрақты өрнектерді пайдалануға болады және іздеу жолағында бір уақытта бірнеше сүзгілерді пайдалануға болады.
Сүзгіні таңдап, сұрауды өңдеуді аяқтағаннан кейін оқиға туралы егжей-тегжейлі ақпаратты көру, сұрау нысанын карантиндеу немесе оқиғаның сипаттамасы бар егжей-тегжейлі сот сараптамасының есебін жасау мүмкіндігі бар барлық қатысты оқиғаларға қол жеткізе аласыз. Қазіргі уақытта бұл құрал бета нұсқасында және болашақта мүмкіндіктер жиынтығын кеңейту жоспарлануда, мысалы, оқиға туралы ақпаратты Miter Att&ck матрицасы түрінде қосу.
қорытынды
Қорытындылаймыз: бұл мақалада біз SandBlast Agent басқару платформасында қауіпсіздік оқиғаларын бақылау мүмкіндіктерін қарастырдық және пайдаланушы машиналарында зиянды әрекеттер мен аномалияларды белсенді түрде іздеудің жаңа құралы - Threat Hunting зерттелді. Келесі мақала осы серияның соңғы мақаласы болады және онда біз басқару платформасының шешімі туралы жиі қойылатын сұрақтарды қарастырамыз және осы өнімді сынау мүмкіндіктері туралы сөйлесеміз.
. SandBlast Agent Management Platform тақырыбы бойынша келесі жарияланымдарды жіберіп алмау үшін біздің әлеуметтік желілердегі жаңартуларды қадағалаңыз (, , , , ).
Ақпарат көзі: www.habr.com