Welcome to the fifth article in the series about the check Point SandBlast Agent Management Platform solution . Articuli priores inveniri possunt sequentes nexum convenientem: , , , . Hodie spectabimus facultates vigilantias in Platform Management, scilicet cum lignis, interactive dashboards (visum) et relationes. Argumentum comminationis Hunting etiam attingemus ad cognoscendas minas et eventus anomalos in machina usoris.
Acta
Fons principalis notitiarum rerum securitatis vigilantiae est sectio Logicae, quae singula notitias in singulis incidentibus ostendit, et etiam permittit ut commodas columellas utaris ad criteria quaestionis subtilia. Exempli gratia, cum modulo (blade, Actione, Severitate, etc.) de usuris sextariis recte click, hic modulus eliquari potest. Filtrum: "Parameter" aut Eliquare: "Parameter". Item pro fonte parametri IP Instrumenti optio eligi potest ubi pingere potes ad datam IP inscriptionem/nomen vel nslookup ut fons IP inscriptionis nomine.
In sectione Logiarum, ad eliquationem eventus, est ordo Statistics, quae statisticam omnibus parametris exhibet: tempus schematis cum numero lignorum, ac percentages pro singulis parametris. Ex hac subsectione facile ligna eliquare potes sine vecte investigationis et expressionibus eliquationibus scribendis - parametros usuris elige modo et novum indicem lignorum statim ostendi.
Detailed notitia de singulis lignis in tabula dextra sectionis Logicae praesto est, sed commodius est lignum duplicato-clicking aperire ad contenta analysi. Infra exemplum est tigillum (imago est clickable), quod detailed informationem ostendit in actu comminationis praeveni ensem in lima ".docx" infecta. Stipes plures habet sectiones quae singula eventus securitatis ostendunt: utitur consiliis et praesidiis, singula forensia, informationes de cliente et mercatura. Renuntiationes quae praesto sunt e stipe speciali attentione merentur - Report comminatio aemulationis et Report Forensics. Hae relationes etiam aperiri possunt ab cliente SandBlast Agente.
Report comminatio aemulationis
Cum mucrone comminationis emulationis utens, post aemulationem in nubem angularis Point, nexus ad singillatim relationem de emulatione proventuum - comminatio aemulationis - apparet in stipes respondente. Contenta talis relationis in nostro articulo de eo describuntur singillatim . Notatu dignum est hanc relationem interactivam esse ac permittere ut singula pro singulis sectionibus "in dare". Potest etiam inspicere memoriam processus aemulationis in machina virtuali, lima originali malitiosam vel Nullam vim obtinere, ac etiam contactum perscriptio percontatio Incidentis Response Team.
Forensics Report
Ad omnem fere securitatem eventum, relatio Forensica generatur, quae accuratiorem informationem de file malitioso includit: eius notas, actiones, punctum in systema et impulsum in bonis maximis societatis. Discutivimus de structura relationis in speciali in articulo de " . Renuntiatio talis notitiae fons est momenti cum eventus securitatis investigandae, et, si opus sit, contenta relationis statim ad Team Responsionis Perscriptio Incidentalis mitti potest.
Dolor View
Perscriptio Point SmartView est instrumentum opportunum ad creandum et inspiciendum dynamicas res (View) et relationes in forma PDF. Ex SmartView etiam inspicere potes usorem tigna et res pro administratoribus audit. Figura infra ostendit utilissimam auditionibus et dashboards ad operandum cum SandBlast Agente.
Renuntiationes in SmartView documenta sunt cum informationibus statisticis de eventis per certum temporis spatium. Sustinet uploading relationes in forma PDF ad machinam ubi SmartView aperta est, ac ordinarius uploading in PDF/Excel ad inscriptionem administratoris. Praeterea importat/exportum relationum templates, creationem relationum tuarum, et facultatem nomina usorum in relationibus occultandi. Figura infra exemplum demonstrati constructi-in comminatione relationis praeventionis.
Dashboards (Visum) in SmartView permittit administratorem ligna accedere ad eventum respondentem - sicut geminus-click in obiecto usurarum, esto chartula columnae vel nomen fasciculi malitiosi. Ut cum rumoribus, ashboardday tuum tuum creare et notitia usoris abscondere. Dashboards etiam subsidii import/exportationum exemplorum, regularis uploading in PDF/Excel ad inscriptionem administratoris, et latis notitias updates ut monitor eventus securitatis in tempore reali.
Additional magna sectiones
Descriptio instrumentorum vigilantium in Rostris Management incompleta esset sine mentione Overview, Computer Management, Endpoint Optiones et sectiones dis operationum. Hae sectiones singillatim descriptae sunt tamen utile erit eorum facultates ad magnas difficultates solvendas considerare. Incipiamus cum Overview, quod constat ex duobus ordinibus - Overview Operational et Overview Securitatis, quae sunt ashboardday cum informationes de statu machinis usoris tutae et eventus securitatis. Ut cum mutuo ashboardday inter se occurrunt, subsectionum Operationale Overview et Securitatis Overview, cum duplex strepitando in parametri usuris, permitte te ad sectionem Procurationis Computer cum colum delectis (exempli gratia "Desktops" vel "Pre- Tabernus Status: Enabled"), vel ad sectionem Acta pro eventu proprio. Securitas Overview ordo est "Cyber ββOppugna View - Endpoint" ashboardday, quod nativus fieri potest et ad notitias automatice renovandas.
Ex sectione administrationis Computer potes monitor status agentis in machinis user, status renovationis datorum Anti-Malware, gradus orbis encryptionis, et multo magis. Omnis notitia automatice renovatur, et ad singulas colum recipis machinis usoris adaptas ostenditur. Data in CSV forma computatoria educendi etiam confirmatur.
Magna pars vigilantiae securitatis workstationum notificationes de rebus criticis (Alerts) et de lignis exportandis (Export Events) pro repono pro servo stipes societatis. Ambae occasus fiunt in sectione Endpoint Occasus, et pro Alerts Possibile est electronicum iungi ut notificationes eventus administratori mitteret et limina configurare pro excitato/inactivare notificationes secundum recipis/numeras machinis quae criteriis eventui occurrebant. Events export permittit te configurare translationem lignorum ab Management Platform ad comitatus servers pro ulteriore processus. SYSLOGUM, CEF, LEEF, SPLUNK formas, TCP/UDP protocolla, systemata SIEM cum agente currens syslogo, usum TLS/SSL encryptionis et syslogorum clientium authenticas reddit.
Ad intimam analysin eventuum in agente vel in casu technico auxilio contingentes, cito ligna colligere potes ex cliente SandBlast agente, adhibita operatione magna in sectione ventilabis Operationum. translationem archivi generati cum lignis configurare potes ad reprimendam Point servers vel corporates, et archivum cum lignis servatum est in machina usoris in C:UsersusernameCPInfo presul. Sustinet deductis stipes collectionis processum ad tempus determinatum et facultatem operationis ab utente differendi.
Minatio Hunting
Venatio comminatio proactiveer quaerendas esse actiones malicias et mores anomalos in systemate ad ulteriorem eventum securitatis potentialem investigare. Minatio Venationis sectio in Platform Management permittit ut eventus quaeras cum parametris in usoris machinae notitia.
Comminatio Venationis instrumentum plures interrogationes praedefinitas habet, exempli gratia: malitiosas dominia vel lima inserere, postulationes raras inquirere ad quasdam IP oratio (relatas ad statisticam generalem). Rogatio structurae in tribus parametris consistit: ΠΈΠ½Π΄ΠΈΠΊΠ°ΡΠΎΡ (Protocollum network, processus identifier, fasciculi genus, etc.) operator ("est", "non est", "includit", "unum", etc. et petitio corporis. Expressionibus regularibus uti potes in corpore rogationis, et plures filtras simul in vecte quaerendi uti potes.
Post filtrum et peractam petitionem processus eligens, accessum habes ad omnia eventa pertinentia, cum facultatem singillatim explorare informationes de eventu, quarentinam objectum postulationis, seu relationem particularem Forensicam generare cum descriptione rei. In praesenti, hoc instrumentum in beta versione est et in futurum disponitur ad dilatandum facultatem facultatum, exempli gratia, informationes de eventu addito in forma Miter Att&ck matricis.
conclusio,
Summatim: in hoc articulo perspeximus facultates vigilantiae securitatis eventuum in SandBlast agentis Management rostris, et novum instrumentum studuerunt pro actuose quaerendis malevolis actionibus et anomaliis in machinis usoris - comminatio Hunting. Proximus articulus erit ultimus in hac serie et in eo videbimus frequentissimas quaestiones de solutione Management rostris et loquendum de possibilitatibus huius operis experiendi.
. Ut proximae publicationes in themate SandBlast Agent Management Platform non fallant, updates in nostris retiacula socialia sequere (, , , , ).
Source: www.habr.com