Laipni lÅ«dzam piektajÄ rakstÄ sÄrijÄ par Check Point SandBlast aÄ£entu pÄrvaldÄ«bas platformas risinÄjumu. IepriekÅ”Äjos rakstus var atrast, izmantojot atbilstoÅ”o saiti:
Baļķi
Galvenais informÄcijas avots droŔības notikumu uzraudzÄ«bai ir sadaļa ŽurnÄli, kas parÄda detalizÄtu informÄciju par katru incidentu, kÄ arÄ« ļauj izmantot Ärtus filtrus, lai precizÄtu meklÄÅ”anas kritÄrijus. PiemÄram, ar peles labo pogu noklikŔķinot uz interesÄjoÅ”Ä Å¾urnÄla parametra (Blade, Action, Severity utt.), Å”o parametru var filtrÄt kÄ Filtrs: "Parametrs" vai IzfiltrÄt: "Parametrs". ArÄ« parametram Avots var atlasÄ«t opciju IP rÄ«ki, kur varat palaist ping uz noteiktu IP adresi/nosaukumu vai palaist nslookup, lai iegÅ«tu avota IP adresi pÄc nosaukuma.
SadaÄ¼Ä Å½urnÄli notikumu filtrÄÅ”anai ir apakÅ”sadaļa Statistika, kurÄ tiek parÄdÄ«ta statistika par visiem parametriem: laika diagramma ar žurnÄlu skaitu, kÄ arÄ« procenti katram parametram. Å ajÄ apakÅ”sadaÄ¼Ä varat viegli filtrÄt žurnÄlus, nepiekļūstot meklÄÅ”anas joslai un nerakstot filtrÄÅ”anas izteiksmes ā vienkÄrÅ”i atlasiet interesÄjoÅ”os parametrus, un nekavÄjoties tiks parÄdÄ«ts jauns žurnÄlu saraksts.
SÄ«kÄka informÄcija par katru žurnÄlu ir pieejama sadaļas ŽurnÄli labajÄ panelÄ«, taÄu ÄrtÄk ir atvÄrt žurnÄlu, veicot dubultklikŔķi, lai analizÄtu saturu. TÄlÄk ir parÄdÄ«ts žurnÄla piemÄrs (attÄlÄ var noklikŔķinÄt), kurÄ tiek parÄdÄ«ta detalizÄta informÄcija par apdraudÄjuma emulÄcijas elementa darbÄ«bas NovÄrst aktivizÄÅ”anu inficÄtÄ .docx failÄ. ŽurnÄlÄ ir vairÄkas apakÅ”sadaļas, kurÄs tiek parÄdÄ«ta informÄcija par droŔības notikumu: aktivizÄtÄs politikas un aizsardzÄ«bas, kriminÄlistikas informÄcija, informÄcija par klientu un trafiku. ÄŖpaÅ”u uzmanÄ«bu ir pelnÄ«juÅ”i žurnÄlÄ pieejamie ziÅojumi ā draudu emulÄcijas ziÅojums un kriminÄlistikas ziÅojums. Å os pÄrskatus var atvÄrt arÄ« no SandBlast Agent klienta.
Draudu emulÄcijas ziÅojums
Izmantojot Threat Emulation lÄpstiÅu, pÄc emulÄcijas veikÅ”anas Check Point mÄkonÄ« attiecÄ«gajÄ Å¾urnÄlÄ tiek parÄdÄ«ta saite uz detalizÄtu ziÅojumu par emulÄcijas rezultÄtiem ā draudu emulÄcijas ziÅojums. Å Äda ziÅojuma saturs ir detalizÄti aprakstÄ«ts mÅ«su rakstÄ par
KriminÄlistikas ziÅojums
GandrÄ«z jebkuram droŔības notikumam tiek Ä£enerÄts kriminÄlistikas ziÅojums, kas ietver detalizÄtu informÄciju par ļaunprÄtÄ«go failu: tÄ Ä«paŔībÄm, darbÄ«bÄm, ieejas punktu sistÄmÄ un ietekmi uz svarÄ«giem uzÅÄmuma aktÄ«viem. MÄs detalizÄti apspriedÄm ziÅojuma struktÅ«ru rakstÄ par
Viedais skats
Check Point SmartView ir Ärts rÄ«ks, lai izveidotu un skatÄ«tu dinamiskus informÄcijas paneļus (View) un pÄrskatus PDF formÄtÄ. Izmantojot SmartView, varat arÄ« skatÄ«t lietotÄju žurnÄlus un audita notikumus administratoriem. ZemÄk esoÅ”ajÄ attÄlÄ ir parÄdÄ«ti visnoderÄ«gÄkie pÄrskati un informÄcijas paneļi darbam ar SandBlast Agent.
PÄrskati programmÄ SmartView ir dokumenti ar statistikas informÄciju par notikumiem noteiktÄ laika periodÄ. TÄ atbalsta atskaiÅ”u augÅ”upielÄdi PDF formÄtÄ iekÄrtÄ, kurÄ ir atvÄrts SmartView, kÄ arÄ« regulÄru augÅ”upielÄdi PDF/Excel uz administratora e-pastu. TurklÄt tas atbalsta atskaiÅ”u veidÅu importu/eksportu, savu atskaiÅ”u izveidi un iespÄju pÄrskatos slÄpt lietotÄjvÄrdus. TÄlÄk esoÅ”ajÄ attÄlÄ ir parÄdÄ«ts iebÅ«vÄtÄ draudu novÄrÅ”anas pÄrskata piemÄrs.
InformÄcijas paneļi (skats) programmÄ SmartView ļauj administratoram piekļūt attiecÄ«gÄ notikuma žurnÄliem ā vienkÄrÅ”i veiciet dubultklikŔķi uz interesÄjoÅ”Ä objekta, neatkarÄ«gi no tÄ, vai tÄ ir diagrammas kolonna vai ļaunprÄtÄ«ga faila nosaukums. TÄpat kÄ ar pÄrskatiem, varat izveidot savus informÄcijas paneļus un paslÄpt lietotÄja datus. InformÄcijas paneļi atbalsta arÄ« veidÅu importÄÅ”anu/eksportÄÅ”anu, regulÄru augÅ”upielÄdi PDF/Excel failÄ uz administratora e-pastu un automÄtisku datu atjauninÄÅ”anu, lai pÄrraudzÄ«tu droŔības notikumus reÄllaikÄ.
Papildu uzraudzības sadaļas
PÄrraudzÄ«bas rÄ«ku apraksts pÄrvaldÄ«bas platformÄ bÅ«tu nepilnÄ«gs, neminot sadaļas PÄrskats, Datoru pÄrvaldÄ«ba, Galapunkta iestatÄ«jumi un Push Operations. Å Ä«s sadaļas ir sÄ«ki aprakstÄ«tas
SadaÄ¼Ä Datoru pÄrvaldÄ«ba varat pÄrraudzÄ«t aÄ£enta statusu lietotÄju datoros, ļaunprÄtÄ«gas programmatÅ«ras apkaroÅ”anas datu bÄzes atjauninÄÅ”anas statusu, diska Å”ifrÄÅ”anas posmus un daudz ko citu. Visi dati tiek automÄtiski atjauninÄti, un katram filtram tiek parÄdÄ«ta atbilstoÅ”o lietotÄju iekÄrtu procentuÄlÄ daļa. Tiek atbalstÄ«ta arÄ« datora datu eksportÄÅ”ana CSV formÄtÄ.
SvarÄ«gs darbstaciju droŔības uzraudzÄ«bas aspekts ir paziÅojumu iestatÄ«Å”ana par kritiskiem notikumiem (BrÄ«dinÄjumi) un žurnÄlu eksportÄÅ”ana (Eksporta notikumi) uzglabÄÅ”anai uzÅÄmuma žurnÄlu serverÄ«. Abi iestatÄ«jumi tiek veikti sadaÄ¼Ä Endpoint Settings un for BrÄ«dinÄjumi Ir iespÄjams pieslÄgt pasta serveri, lai administratoram nosÅ«tÄ«tu paziÅojumus par notikumiem un konfigurÄtu paziÅojumu aktivizÄÅ”anas/atspÄjoÅ”anas sliekÅ”Åus atkarÄ«bÄ no notikuma kritÄrijiem atbilstoÅ”o ierÄ«Äu procentuÄlÄs daļas/skaita. EksportÄt pasÄkumus ļauj konfigurÄt žurnÄlu pÄrsÅ«tÄ«Å”anu no pÄrvaldÄ«bas platformas uz uzÅÄmuma žurnÄlu serveri tÄlÄkai apstrÄdei. Atbalsta SYSLOG, CEF, LEEF, SPLUNK formÄtus, TCP/UDP protokolus, visas SIEM sistÄmas ar darbinÄmu syslog aÄ£entu, TLS/SSL Å”ifrÄÅ”anas izmantoÅ”anu un syslog klienta autentifikÄciju.
Lai veiktu padziļinÄtu aÄ£enta notikumu analÄ«zi vai sazinÄtos ar tehnisko atbalstu, varat Ätri savÄkt žurnÄlus no SandBlast Agent klienta, izmantojot piespiedu darbÄ«bu sadaÄ¼Ä Push Operations. Varat konfigurÄt Ä£enerÄtÄ arhÄ«va ar žurnÄliem pÄrsÅ«tÄ«Å”anu uz Check Point serveriem vai korporatÄ«vajiem serveriem, un arhÄ«vs ar žurnÄliem tiek saglabÄts lietotÄja datorÄ direktorijÄ C:UsersusernameCPInfo. TÄ atbalsta žurnÄlu vÄkÅ”anas procesa palaiÅ”anu noteiktÄ laikÄ un iespÄju lietotÄjam atlikt darbÄ«bu.
Draudu medības
Draudu meklÄÅ”ana tiek izmantota, lai proaktÄ«vi meklÄtu ļaunprÄtÄ«gas darbÄ«bas un anomÄlu uzvedÄ«bu sistÄmÄ, lai turpinÄtu izmeklÄt iespÄjamo droŔības notikumu. PÄrvaldÄ«bas platformas sadaļa Draudu meklÄÅ”ana ļauj meklÄt notikumus ar noteiktiem parametriem lietotÄja maŔīnas datos.
Draudu meklÄÅ”anas rÄ«kam ir vairÄki iepriekÅ” definÄti vaicÄjumi, piemÄram: lai klasificÄtu ļaunprÄtÄ«gus domÄnus vai failus, izsekotu retus pieprasÄ«jumus noteiktÄm IP adresÄm (attiecÄ«bÄ pret vispÄrÄjo statistiku). PieprasÄ«juma struktÅ«ra sastÄv no trim parametriem: indikators (tÄ«kla protokols, procesa identifikators, faila tips utt.), operators (āirā, ānavā, āietverā, āviens noā utt.) un pieprasÄ«juma iestÄde. PieprasÄ«juma pamattekstÄ varat izmantot regulÄras izteiksmes, un meklÄÅ”anas joslÄ varat vienlaikus izmantot vairÄkus filtrus.
PÄc filtra izvÄles un pieprasÄ«juma apstrÄdes pabeigÅ”anas jums ir piekļuve visiem attiecÄ«gajiem notikumiem, ar iespÄju skatÄ«t detalizÄtu informÄciju par notikumu, ievietot pieprasÄ«juma objektu karantÄ«nÄ vai Ä£enerÄt detalizÄtu kriminÄlistikas ziÅojumu ar notikuma aprakstu. Å obrÄ«d Å”is rÄ«ks ir beta versijÄ un nÄkotnÄ ir plÄnots paplaÅ”inÄt iespÄju komplektu, piemÄram, pievienojot informÄciju par notikumu Mitre Att&ck matricas veidÄ.
SecinÄjums
Apkoposim: Å”ajÄ rakstÄ mÄs apskatÄ«jÄm SandBlast aÄ£entu pÄrvaldÄ«bas platformas droŔības notikumu uzraudzÄ«bas iespÄjas un pÄtÄ«jÄm jaunu rÄ«ku ļaunprÄtÄ«gu darbÄ«bu un anomÄliju aktÄ«vai meklÄÅ”anai lietotÄju iekÄrtÄs - draudu medÄ«bas. NÄkamais raksts bÅ«s noslÄdzoÅ”ais Å”ajÄ sÄrijÄ un tajÄ apskatÄ«sim biežÄk uzdotos jautÄjumus par Management Platform risinÄjumu un runÄsim par Ŕī produkta testÄÅ”anas iespÄjÄm.
Avots: www.habr.com