🥇5. Check Point SandBlast aģentu pārvaldības platforma. Žurnāli, ziņojumi un kriminālistika. Draudu medības

Laipni lūdzam piektajā rakstā sērijā par Check Point SandBlast aģentu pārvaldības platformas risinājumu. Iepriekšējos rakstus var atrast, izmantojot atbilstošo saiti: vispirms, otrais, trešais, ceturtais. Šodien mēs apskatīsim pārvaldības platformas uzraudzības iespējas, proti, darbu ar žurnāliem, interaktīviem informācijas paneļiem (View) un atskaitēm. Mēs pieskarsimies arī tēmai par draudu meklēšanu, lai identificētu pašreizējos draudus un anomālos notikumus lietotāja datorā.

Baļķi

Galvenais informācijas avots drošības notikumu uzraudzībai ir sadaļa Žurnāli, kas parāda detalizētu informāciju par katru incidentu, kā arī ļauj izmantot ērtus filtrus, lai precizētu meklēšanas kritērijus. Piemēram, ar peles labo pogu noklikšķinot uz interesējošā žurnāla parametra (Blade, Action, Severity utt.), šo parametru var filtrēt kā Filtrs: "Parametrs" vai Izfiltrēt: "Parametrs". Arī parametram Avots var atlasīt opciju IP rīki, kur varat palaist ping uz noteiktu IP adresi/nosaukumu vai palaist nslookup, lai iegūtu avota IP adresi pēc nosaukuma.

Sadaļā Žurnāli notikumu filtrēšanai ir apakšsadaļa Statistika, kurā tiek parādīta statistika par visiem parametriem: laika diagramma ar žurnālu skaitu, kā arī procenti katram parametram. Šajā apakšsadaļā varat viegli filtrēt žurnālus, nepiekļūstot meklēšanas joslai un nerakstot filtrēšanas izteiksmes — vienkārši atlasiet interesējošos parametrus, un nekavējoties tiks parādīts jauns žurnālu saraksts.

Sīkāka informācija par katru žurnālu ir pieejama sadaļas Žurnāli labajā panelī, taču ērtāk ir atvērt žurnālu, veicot dubultklikšķi, lai analizētu saturu. Tālāk ir parādīts žurnāla piemērs (attēlā var noklikšķināt), kurā tiek parādīta detalizēta informācija par apdraudējuma emulācijas elementa darbības Novērst aktivizēšanu inficētā .docx failā. Žurnālā ir vairākas apakšsadaļas, kurās tiek parādīta informācija par drošības notikumu: aktivizētās politikas un aizsardzības, kriminālistikas informācija, informācija par klientu un trafiku. Īpašu uzmanību ir pelnījuši žurnālā pieejamie ziņojumi — draudu emulācijas ziņojums un kriminālistikas ziņojums. Šos pārskatus var atvērt arī no SandBlast Agent klienta.

Draudu emulācijas ziņojums

Izmantojot Threat Emulation lāpstiņu, pēc emulācijas veikšanas Check Point mākonī attiecīgajā žurnālā tiek parādīta saite uz detalizētu ziņojumu par emulācijas rezultātiem — draudu emulācijas ziņojums. Šāda ziņojuma saturs ir detalizēti aprakstīts mūsu rakstā par ļaunprātīgas programmatūras analīze, izmantojot Check Point SandBlast Network kriminālistikas. Ir vērts atzīmēt, ka šis pārskats ir interaktīvs un ļauj “ienirt” katras sadaļas detaļās. Tāpat ir iespējams skatīt emulācijas procesa ierakstu virtuālajā mašīnā, lejupielādēt oriģinālo kaitīgo failu vai iegūt tā jaucējfunkciju, kā arī sazināties ar Check Point Incident Response Team.

Kriminālistikas ziņojums

Gandrīz jebkuram drošības notikumam tiek ģenerēts kriminālistikas ziņojums, kas ietver detalizētu informāciju par ļaunprātīgo failu: tā īpašībām, darbībām, ieejas punktu sistēmā un ietekmi uz svarīgiem uzņēmuma aktīviem. Mēs detalizēti apspriedām ziņojuma struktūru rakstā par ļaunprātīgas programmatūras analīze, izmantojot Check Point SandBlast Agent kriminālistikas. Šāds ziņojums ir svarīgs informācijas avots, izmeklējot drošības notikumus, un nepieciešamības gadījumā ziņojuma saturu var nekavējoties nosūtīt Check Point Incident Response Team.

Viedais skats

Check Point SmartView ir ērts rīks, lai izveidotu un skatītu dinamiskus informācijas paneļus (View) un pārskatus PDF formātā. Izmantojot SmartView, varat arī skatīt lietotāju žurnālus un audita notikumus administratoriem. Zemāk esošajā attēlā ir parādīti visnoderīgākie pārskati un informācijas paneļi darbam ar SandBlast Agent.

Pārskati programmā SmartView ir dokumenti ar statistikas informāciju par notikumiem noteiktā laika periodā. Tā atbalsta atskaišu augšupielādi PDF formātā iekārtā, kurā ir atvērts SmartView, kā arī regulāru augšupielādi PDF/Excel uz administratora e-pastu. Turklāt tas atbalsta atskaišu veidņu importu/eksportu, savu atskaišu izveidi un iespēju pārskatos slēpt lietotājvārdus. Tālāk esošajā attēlā ir parādīts iebūvētā draudu novēršanas pārskata piemērs.

Informācijas paneļi (skats) programmā SmartView ļauj administratoram piekļūt attiecīgā notikuma žurnāliem — vienkārši veiciet dubultklikšķi uz interesējošā objekta, neatkarīgi no tā, vai tā ir diagrammas kolonna vai ļaunprātīga faila nosaukums. Tāpat kā ar pārskatiem, varat izveidot savus informācijas paneļus un paslēpt lietotāja datus. Informācijas paneļi atbalsta arī veidņu importēšanu/eksportēšanu, regulāru augšupielādi PDF/Excel failā uz administratora e-pastu un automātisku datu atjaunināšanu, lai pārraudzītu drošības notikumus reāllaikā.

Papildu uzraudzības sadaļas

Pārraudzības rīku apraksts pārvaldības platformā būtu nepilnīgs, neminot sadaļas Pārskats, Datoru pārvaldība, Galapunkta iestatījumi un Push Operations. Šīs sadaļas ir sīki aprakstītas otrais rakststomēr būs lietderīgi apsvērt viņu iespējas uzraudzības problēmu risināšanā. Sāksim ar kopsavilkumu, kas sastāv no divām apakšsadaļām — Darbības pārskats un Drošības pārskats, kas ir informācijas paneļi ar informāciju par aizsargāto lietotāju iekārtu stāvokli un drošības notikumiem. Tāpat kā mijiedarbojoties ar jebkuru citu informācijas paneli, arī apakšsadaļās Darbības pārskats un Drošības pārskats, veicot dubultklikšķi uz interesējošā parametra, varat nokļūt sadaļā Datora pārvaldība ar atlasīto filtru (piemēram, “Datoriem” vai “Pirms- Sāknēšanas statuss: iespējots”) vai konkrēta notikuma sadaļu Žurnāli. Apakšsadaļa Drošības pārskats ir informācijas panelis “Kiberuzbrukuma skats — galapunkts”, kuru var pielāgot un iestatīt tā, lai tie automātiski atjauninātu datus.

Sadaļā Datoru pārvaldība varat pārraudzīt aģenta statusu lietotāju datoros, ļaunprātīgas programmatūras apkarošanas datu bāzes atjaunināšanas statusu, diska šifrēšanas posmus un daudz ko citu. Visi dati tiek automātiski atjaunināti, un katram filtram tiek parādīta atbilstošo lietotāju iekārtu procentuālā daļa. Tiek atbalstīta arī datora datu eksportēšana CSV formātā.

Svarīgs darbstaciju drošības uzraudzības aspekts ir paziņojumu iestatīšana par kritiskiem notikumiem (Brīdinājumi) un žurnālu eksportēšana (Eksporta notikumi) uzglabāšanai uzņēmuma žurnālu serverī. Abi iestatījumi tiek veikti sadaļā Endpoint Settings un for Brīdinājumi Ir iespējams pieslēgt pasta serveri, lai administratoram nosūtītu paziņojumus par notikumiem un konfigurētu paziņojumu aktivizēšanas/atspējošanas sliekšņus atkarībā no notikuma kritērijiem atbilstošo ierīču procentuālās daļas/skaita. Eksportēt pasākumus ļauj konfigurēt žurnālu pārsūtīšanu no pārvaldības platformas uz uzņēmuma žurnālu serveri tālākai apstrādei. Atbalsta SYSLOG, CEF, LEEF, SPLUNK formātus, TCP/UDP protokolus, visas SIEM sistēmas ar darbināmu syslog aģentu, TLS/SSL šifrēšanas izmantošanu un syslog klienta autentifikāciju.

Lai veiktu padziļinātu aģenta notikumu analīzi vai sazinātos ar tehnisko atbalstu, varat ātri savākt žurnālus no SandBlast Agent klienta, izmantojot piespiedu darbību sadaļā Push Operations. Varat konfigurēt ģenerētā arhīva ar žurnāliem pārsūtīšanu uz Check Point serveriem vai korporatīvajiem serveriem, un arhīvs ar žurnāliem tiek saglabāts lietotāja datorā direktorijā C:UsersusernameCPInfo. Tā atbalsta žurnālu vākšanas procesa palaišanu noteiktā laikā un iespēju lietotājam atlikt darbību.

Draudu medības

Draudu meklēšana tiek izmantota, lai proaktīvi meklētu ļaunprātīgas darbības un anomālu uzvedību sistēmā, lai turpinātu izmeklēt iespējamo drošības notikumu. Pārvaldības platformas sadaļa Draudu meklēšana ļauj meklēt notikumus ar noteiktiem parametriem lietotāja mašīnas datos.

Draudu meklēšanas rīkam ir vairāki iepriekš definēti vaicājumi, piemēram: lai klasificētu ļaunprātīgus domēnus vai failus, izsekotu retus pieprasījumus noteiktām IP adresēm (attiecībā pret vispārējo statistiku). Pieprasījuma struktūra sastāv no trim parametriem: indikators (tīkla protokols, procesa identifikators, faila tips utt.), operators (“ir”, “nav”, “ietver”, “viens no” utt.) un pieprasījuma iestāde. Pieprasījuma pamattekstā varat izmantot regulāras izteiksmes, un meklēšanas joslā varat vienlaikus izmantot vairākus filtrus.

Pēc filtra izvēles un pieprasījuma apstrādes pabeigšanas jums ir piekļuve visiem attiecīgajiem notikumiem, ar iespēju skatīt detalizētu informāciju par notikumu, ievietot pieprasījuma objektu karantīnā vai ģenerēt detalizētu kriminālistikas ziņojumu ar notikuma aprakstu. Šobrīd šis rīks ir beta versijā un nākotnē ir plānots paplašināt iespēju komplektu, piemēram, pievienojot informāciju par notikumu Mitre Att&ck matricas veidā.

Secinājums

Apkoposim: šajā rakstā mēs apskatījām SandBlast aģentu pārvaldības platformas drošības notikumu uzraudzības iespējas un pētījām jaunu rīku ļaunprātīgu darbību un anomāliju aktīvai meklēšanai lietotāju iekārtās - draudu medības. Nākamais raksts būs noslēdzošais šajā sērijā un tajā apskatīsim biežāk uzdotos jautājumus par Management Platform risinājumu un runāsim par šī produkta testēšanas iespējām.

Liela materiālu izvēle vietnē Check Point no TS Solution. Lai nepalaistu garām nākamās publikācijas par tēmu SandBlast Agent Management Platform, sekojiet līdzi jaunumiem mūsu sociālajos tīklos (Telegram, Facebook, VK, TS risinājumu emuārs, Yandex Zen).

Avots: www.habr.com

5. Pārbaudiet Point SandBlast aģentu pārvaldības platformu. Žurnāli, ziņojumi un kriminālistika. Draudu medības