Hûn bi xêr hatin gotara pêncemîn a rêzenivîsê ya di derbarê çareseriya Platforma Rêvebiriya Agentê ya Check Point SandBlast. Gotarên berê dikarin bi şopandina girêdana guncan werin dîtin: , , , . Îro em ê li kapasîteyên çavdêriyê yên di Platforma Rêvebiriyê de, bi navgîniya xebata bi têketin, tabloyên înteraktîf (Nêrîn) û raporan binêrin. Em ê di heman demê de dest bi mijara Nêçîra Gefê bikin da ku tehdîdên heyî û bûyerên neasayî yên li ser makîneya bikarhêner nas bikin.
Logs
Çavkaniya sereke ya agahdariyê ji bo şopandina bûyerên ewlehiyê beşa Têketin e, ku agahdariya berfireh li ser her bûyerê nîşan dide û di heman demê de dihêle hûn fîlterên hêsan bikar bînin da ku pîvanên lêgerîna xwe safî bikin. Mînakî, gava ku hûn li ser pîvanek (Blade, Action, Severity, hwd.) ya têketina berjewendiyê rast-klîk bikin, ev pîvan dikare wekî were fîlter kirin. Parzûn: "Parameter" an Parzûnkirin: "Parameter". Di heman demê de ji bo parametreya Çavkaniyê vebijarka Amûrên IP-yê dikare were hilbijartin ku hûn dikarin pingek navnîşek IP-ya/navekî diyarkirî bimeşînin an jî nslookupek bimeşînin da ku navnîşana IP-ya çavkaniyê bi navê xwe bistînin.
Di beşa Têketinê de, ji bo fîlterkirina bûyeran, binebeşa Statîstîkê heye, ku statîstîkên li ser hemî pîvanan nîşan dide: diyagramek demê ya bi hejmara têketinê, û her weha ji sedî ji bo her parametreyê. Ji vê binbeşê hûn dikarin bi hêsanî têketinan fîlter bikin bêyî ku barê lêgerînê bikar bînin û îfadeyên fîlterkirinê binivîsin - tenê pîvanên balkêş hilbijêrin û navnîşek nû ya têketinê dê tavilê were xuyang kirin.
Agahiyên berfireh li ser her têketinê di panela rastê ya beşa Têketinê de heye, lê hêsantir e ku meriv têketinê bi du-klîk veke da ku naverokê analîz bike. Li jêr mînakek têketinek heye (wêne tê klîk kirin), ku agahdariya berfireh li ser destpêkirina çalakiya Pêşîlêgirtinê ya blade Emulation Threat li ser pelek ".docx" a vegirtî nîşan dide. Têketin çend binbeş hene ku hûrguliyên bûyera ewlehiyê destnîşan dikin: Polîtîkayên vekêşandî û parastin, hûrguliyên dadrêsî, agahdariya li ser xerîdar û trafîkê. Raporên ku ji têketinê têne peyda kirin bala taybetî digirin - Rapora Emûlasyona Tehdîdê û Rapora Edlî. Ev rapor dikarin ji xerîdar SandBlast Agent jî werin vekirin.
Rapora Emûlasyona Tehdîdê
Dema ku blade Emulation Threat bikar tînin, piştî ku emûlasyon di ewrê Check Point de tê kirin, lînka raporek hûrgulî ya li ser encamên emûlasyonê - Rapora Emulation Threat - di têketina têkildar de xuya dibe. Naveroka raporek bi vî rengî di gotara me de bi berfirehî tête diyar kirin . Hêjayî gotinê ye ku ev rapor înteraktîf e û destûrê dide te ku hûn hûrguliyên her beşê "navê" bikin. Di heman demê de gengaz e ku meriv tomarek pêvajoya emûlasyonê di makîneyek virtual de temaşe bike, pelê xerab a orîjînal dakêşîne an hashê wê bistîne, û her weha bi Tîma Bersiva Bûyerê ya Check Point re têkilî daynin.
Rapora Tipa Edlî
Hema hema ji bo her bûyerek ewlehiyê, Raporek Dadwerî tê hilberandin, ku tê de agahdariya hûrgulî di derbarê pelê xirab de vedihewîne: taybetmendiyên wê, tevger, xala têketina pergalê û bandora li ser hebûnên pargîdaniya girîng. Me di gotara li ser strukturên raporê de bi berfirehî nîqaş kir . Raporek weha çavkaniyek girîng a agahdarî ye dema lêkolîna bûyerên ewlehiyê dike, û heke hewce bike, naveroka raporê dikare tavilê ji Tîma Bersivdana Bûyerê ya Xala Check Point re were şandin.
Smart View
Check Point SmartView amûrek hêsan e ku ji bo çêkirin û dîtina dashboardên dînamîkî (Nêrîn) û raporên di formata PDF de ye. Ji SmartView hûn dikarin têketinên bikarhêneran û bûyerên kontrolê yên ji bo rêvebiran jî bibînin. Nîgara jêrîn rapor û tabloyên herî bikêr ji bo xebata bi SandBlast Agent nîşan dide.
Raporên di SmartView de belgeyên bi agahdariya statîstîkî li ser bûyerên di heyamek diyarkirî de ne. Ew barkirina raporên bi formata PDF-ê li makîneya ku SmartView vekirî ye, û her weha barkirina birêkûpêk li PDF/Excel ji e-nameya rêveber re piştgirî dike. Wekî din, ew piştgirî / hinartina şablonên raporê, afirandina raporên xwe, û şiyana veşartina navên bikarhêneran di raporan de piştgirî dike. Nîgara jêrîn mînakek raporek Pêşîlêgirtina Tehdîdê ya çêkirî nîşan dide.
Dashboards (View) di SmartView de rê dide rêvebir ku bigihîje têketinên ji bo bûyera têkildar - tenê du caran li ser tiştê balkêş bikirtînin, ew stûnek nexşeyê be an navê pelek xirab be. Wekî raporan, hûn dikarin dashboardên xwe biafirînin û daneyên bikarhêner veşêrin. Dashboard di heman demê de piştgirî / hinardekirina şablonan, barkirina birêkûpêk li PDF/Excel-ê ji e-nameya rêveber re, û nûvekirinên daneya otomatîkî piştgirî dike da ku bûyerên ewlehiyê di wextê rast de bişopîne.
beşên çavdêriya Additional
Danasînek amûrên çavdêriyê yên di Platforma Rêvebiriyê de bêyî ku behsa beşên Pêşveçûn, Rêvebiriya Computer, Mîhengên Endpoint û Operasyonên Push bike dê ne temam be. Di van beşan de bi berfirehî hatine vegotin , Lêbelê, dê kêrhatî be ku meriv kapasîteyên wan ji bo çareserkirina pirsgirêkên çavdêriyê binirxîne. Werin em bi Pêşniyarê dest pê bikin, ku ji du beşan pêk tê - Pêşveçûna Operasyonê û Pêşveçûna Ewlekariyê, ku tabloyên bi agahdariya li ser rewşa makîneyên bikarhêner ên parastî û bûyerên ewlehiyê ne. Mîna ku dema ku bi dashboardek din re têkilî daynin, jêrbeşên Pêşniyara Operasyonê û Pêşniyara Ewlekariyê, dema ku du caran li ser pîvana berjewendiyê bikirtînin, dihêlin ku hûn bi parzûna hilbijartî re biçin beşa Rêvebiriya Komputerê (mînak, "Desktop" an "Pêş- Rewşa Boot: Çalakkirî"), an jî ji bo bûyerek taybetî li beşa Têketin. Binbeşa Pêşniyara Ewlekariyê tabloyek "Nêrîna Êrîşa Sîber - Nîqaşa Dawî" ye, ku dikare were xweş kirin û destnîşan kirin ku daneyan bixweber nûve bike.
Ji beşa Rêvebiriya Komputerê hûn dikarin rewşa ajansê li ser makîneyên bikarhêner, rewşa nûvekirina databasa Anti-Malware, qonaxên şîfrekirina dîskê, û hêj bêtir bişopînin. Hemî dane bixweber têne nûve kirin, û ji bo her parzûnê rêjeya makîneyên bikarhêner ên lihevhatî têne xuyang kirin. Hinardekirina daneyên komputerê di formata CSV de jî piştgirî ye.
Aliyek girîng a şopandina ewlehiya qereqolan sazkirina agahdariyên derbarê bûyerên krîtîk (Alerts) û hinardekirina têketin (Export Events) ji bo hilanîna li ser servera têketinê ya pargîdaniyê ye. Her du mîheng di beşa Mîhengên Endpoint de, û ji bo têne çêkirin Alerts Mimkun e ku serverek e-nameyê were girêdan da ku agahdariya bûyeran ji rêveberê re bişîne û li gorî sedî/hejmara cîhazên ku pîvanên bûyerê bicîh tînin, tixûbên ji bo destpêkirina/neçalakkirina agahdariyan mîheng bikin. Bûyerên Hinarde bikin destûrê dide te ku veguheztina têketinên ji Platforma Rêvebiriyê ji servera têketinê ya pargîdanî re ji bo pêvajoyek din mîheng bikin. Formatên SYSLOG, CEF, LEEF, SPLUNK, protokolên TCP/UDP, her pergalên SIEM-ê yên bi kargêrek syslog-ê xebitîn, karanîna şîfrekirina TLS/SSL û pejirandina muwekîlê syslog piştgirî dike.
Ji bo vekolînek kûr a bûyerên li ser ajansê an jî di rewşa ku hûn bi piştgiriya teknîkî re têkilî daynin, hûn dikarin zû têketinên ji muwekîlê SandBlast Agent bi karanîna operasyonek zorê ya di beşa Operasyonên Push de berhev bikin. Hûn dikarin veguheztina arşîva çêkirî ya bi têketinê veguhezînin serverên Check Point an pêşkêşkerên pargîdanî, û arşîva bi têketin li ser makîneya bikarhêner di pelrêça C:UsersusernameCPInfo de tê hilanîn. Ew piştgirî dide destpêkirina pêvajoya berhevkirina têketinê di demek diyarkirî de û şiyana paşxistina operasyonê ji hêla bikarhêner ve.
Tehdîd Nêçîra
The Threat Hunting ji bo lêgerîna proaktîv li çalakiyên xerab û behreyên neasayî di pergalek de tê bikar anîn da ku bûyerek ewlehiyê ya potansiyel bêtir lêkolîn bike. Di Platforma Rêvebiriyê de beşa Nêçîra Gefê dihêle hûn di daneyên makîneya bikarhêner de li bûyerên bi pîvanên diyarkirî bigerin.
Amûra The Threat Hunting xwedan çend lêpirsînên pêşwextkirî hene, mînakî: ji bo dabeşkirina doman an pelên xirab, şopandina daxwazên kêmderbasî hin navnîşanên IP-yê (bi statîstîkên gelemperî re têkildar). Struktura daxwazê ji sê parameteran pêk tê: nîşana (protokola torê, nasnameya pêvajoyê, cureyê pelê, hwd.), operator ("e", "ne", "têde", "yek ji" hwd.) û laşê daxwaza. Hûn dikarin di laşê daxwazê de bêjeyên birêkûpêk bikar bînin, û hûn dikarin di barika lêgerînê de bi hevdemî çend fîlteran bikar bînin.
Piştî hilbijartina parzûnek û qedandina pêvajoyek daxwazê, hûn gihîştina hemî bûyerên têkildar hene, bi şiyana ku hûn agahdariya hûrgulî di derheqê bûyerê de bibînin, tiştê daxwaznameyê karantîn bikin, an bi ravekirina bûyerê raporek dadrêsî ya berfireh biafirînin. Heya nuha, ev amûr di guhertoya betayê de ye û di pêşerojê de tê plan kirin ku komek kapasîteyan berfireh bike, mînakî, agahdariya li ser bûyerê di forma matrixek Mitre Att&ck de zêde bike.
encamê
Ka em kurt bikin: di vê gotarê de me li kapasîteyên şopandina bûyerên ewlehiyê yên di Platforma Rêvebiriya SandBlast Agent de mêze kir, û amûrek nû ji bo lêgerîna bi proaktîv li kiryarên xerab û anomalî li ser makîneyên bikarhêner lêkolîn kir - Nêçîra gefan. Gotara paşîn dê di vê rêzê de ya dawî be û di wê de em ê li pirsên herî pir têne pirsîn di derbarê çareseriya Platforma Rêvebiriyê de binêrin û li ser îmkanên ceribandina vê hilberê biaxivin.
. Ji bo ku hûn weşanên din ên li ser mijara Platforma Rêvebiriya Agent SandBlast ji bîr nekin, nûvekirinên li ser torên me yên civakî bişopînin (, , , , ).
Source: www.habr.com