Добредојдовте во петтата статија од серијата за решението на Check Point SandBlast Agent Management Platform. Претходните написи може да се најдат со следење на соодветната врска: , , , . Денес ќе ги разгледаме можностите за следење во платформата за управување, имено работа со дневници, интерактивни контролни табли (Преглед) и извештаи. Ќе ја допреме и темата Лов на закани за да ги идентификуваме тековните закани и аномалните настани на машината на корисникот.
Дневници
Главниот извор на информации за следење на безбедносните настани е делот Дневници, кој прикажува детални информации за секој инцидент и исто така ви овозможува да користите пригодни филтри за да ги усовршите критериумите за пребарување. На пример, кога ќе кликнете со десното копче на параметар (Blade, Action, Severity, итн.) од дневникот на интерес, овој параметар може да се филтрира како Филтер: „Параметар“ или Филтрирај: „Параметар“. Исто така, за параметарот Source може да се избере опцијата IP Tools каде што можете да извршите пинг до дадена IP адреса/име или да извршите nslookup за да ја добиете изворната IP адреса по име.
Во делот Дневници, за филтрирање на настани, постои потсекција Статистика, која прикажува статистика за сите параметри: временски дијаграм со бројот на дневници, како и проценти за секој параметар. Од оваа потсекција можете лесно да ги филтрирате дневниците без да ја користите лентата за пребарување и да пишувате изрази за филтрирање - само изберете ги параметрите од интерес и веднаш ќе се прикаже нова листа на дневници.
Детални информации за секој дневник се достапни во десниот панел од делот Дневници, но попогодно е да се отвори дневникот со двоен клик за да се анализира содржината. Подолу е пример за дневник (на сликата може да се клика), кој прикажува детални информации за активирањето на дејството Спречи на сечилото за емулација на закани на заразена датотека „.docx“. Дневникот има неколку подсекции кои ги прикажуваат деталите за безбедносниот настан: активирани политики и заштита, детали за форензика, информации за клиентот и сообраќајот. Извештаите достапни од дневникот заслужуваат посебно внимание - Извештај за емулација на закани и извештај од форензика. Овие извештаи може да се отворат и од клиентот SandBlast Agent.
Извештај за емулација на закани
Кога го користите сечилото за емулација на закани, откако ќе се изврши емулација во облакот Check Point, во соодветниот дневник се појавува врска до детален извештај за резултатите од емулацијата - Извештај за емулација на закани. Содржината на таков извештај е детално опишана во нашата статија за . Вреди да се напомене дека овој извештај е интерактивен и ви овозможува да „нурнете“ во деталите за секој дел. Исто така, можно е да видите снимка од процесот на емулација во виртуелна машина, да ја преземете оригиналната злонамерна датотека или да ја добиете нејзината хаш, а исто така да контактирате со тимот за одговор на инциденти во Check Point.
Извештај за форензика
Речиси за секој безбедносен настан, се генерира Форензички извештај, кој вклучува детални информации за злонамерната датотека: неговите карактеристики, дејства, влезна точка во системот и влијание врз важните средства на компанијата. Ние детално разговаравме за структурата на извештајот во написот за . Ваквиот извештај е важен извор на информации кога се истражуваат безбедносни настани, а доколку е потребно, содржината на извештајот може веднаш да се испрати до тимот за одговор на инциденти во Check Point.
Паметен поглед
Check Point SmartView е удобна алатка за креирање и прегледување динамични контролни табли (View) и извештаи во PDF формат. Од SmartView можете исто така да ги прегледувате дневниците на корисниците и ревизорските настани за администраторите. Сликата подолу ги прикажува најкорисните извештаи и контролни табли за работа со SandBlast Agent.
Извештаите во SmartView се документи со статистички информации за настани во одреден временски период. Поддржува поставување извештаи во PDF формат на машината каде што е отворен SmartView, како и редовно поставување во PDF/Excel на е-поштата на администраторот. Дополнително, поддржува увоз/извоз на шаблони за извештаи, креирање на сопствени извештаи и можност за криење на корисничките имиња во извештаите. Сликата подолу покажува пример на вграден извештај за превенција од закани.
Контролните табли (Преглед) во SmartView му дозволуваат на администраторот да пристапи до дневниците за соодветниот настан - само кликнете двапати на предметот на интерес, било да е тоа колона од графикон или име на злонамерна датотека. Како и со извештаите, можете да креирате свои контролни табли и да ги скриете корисничките податоци. Контролните табли поддржуваат и увоз/извоз на шаблони, редовно поставување во PDF/Excel на е-поштата на администраторот и автоматско ажурирање на податоците за следење на безбедносните настани во реално време.
Дополнителни делови за следење
Описот на алатките за мониторинг во Платформата за управување би бил нецелосен без да се споменат секциите Преглед, Управување со компјутери, Поставки за крајна точка и Операции со туркање. Овие делови се детално опишани во , сепак, ќе биде корисно да се разгледаат нивните способности за решавање на проблемите со следењето. Да почнеме со Преглед, кој се состои од два подсекции - Оперативен преглед и Преглед на безбедноста, кои се контролни табли со информации за состојбата на заштитените кориснички машини и безбедносни настани. Како и при интеракција со која било друга контролна табла, подсекциите Оперативен преглед и Преглед на безбедноста, при двоен клик на параметарот од интерес, ви дозволуваат да стигнете до делот Управување со компјутери со избраниот филтер (на пример, „Дектопи“ или „Пред- Статус на подигање: Овозможено“), или во делот Дневници за одреден настан. Подсекцијата „Преглед на безбедноста“ е контролна табла „Преглед на сајбер напад – крајна точка“, која може да се приспособи и да се постави за автоматско ажурирање на податоците.
Од делот Управување со компјутери можете да го следите статусот на агентот на корисничките машини, статусот на ажурирање на базата на податоци Anti-Malware, фазите на шифрирање на дискот и многу повеќе. Сите податоци се ажурираат автоматски и за секој филтер се прикажува процентот на соодветни кориснички машини. Поддржано е и извоз на компјутерски податоци во CSV формат.
Важен аспект на следењето на безбедноста на работните станици е поставувањето известувања за критичните настани (Предупредувања) и извозот на дневници (Извозни настани) за складирање на серверот за дневници на компанијата. Двете поставки се направени во делот Поставки за крајна точка и за Сигнали Можно е да се поврзе сервер за пошта за да се испраќаат известувања за настани до администраторот и да се конфигурираат прагови за активирање/оневозможување известувања во зависност од процентот/бројот на уреди кои ги исполнуваат критериумите за настанот. Експорт настани ви овозможува да го конфигурирате преносот на дневниците од платформата за управување до серверот за дневници на компанијата за понатамошна обработка. Поддржува формати SYSLOG, CEF, LEEF, SPLUNK, протоколи TCP/UDP, кој било SIEM систем со вклучен агент за логирање, употреба на TLS/SSL шифрирање и автентикација на клиентот syslog.
За длабинска анализа на настаните на агентот или во случај да контактирате со техничка поддршка, можете брзо да собирате дневници од клиентот SandBlast Agent користејќи принудна операција во делот Push Operations. Можете да го конфигурирате преносот на генерираната архива со дневници на сервери за Check Point или корпоративни сервери, а архивата со дневници се зачувува на машината на корисникот во директориумот C:UsersusernameCPInfo. Поддржува започнување на процесот на собирање дневници во одредено време и способност да се одложи операцијата од страна на корисникот.
Лов на закани
Threat Hunting се користи за проактивно пребарување на малициозни активности и аномално однесување во системот за понатамошно истражување на потенцијален безбедносен настан. Секцијата Лов на закани во Платформата за управување ви овозможува да пребарувате настани со наведени параметри во податоците на корисничката машина.
Алатката Threat Hunting има неколку претходно дефинирани прашања, на пример: за класификација на малициозни домени или датотеки, следење на ретките барања до одредени IP адреси (во однос на општата статистика). Структурата на барање се состои од три параметри: индикатор (мрежен протокол, идентификатор на процес, тип на датотека, итн.), операторот („е“, „не е“, „вклучува“, „едно од“ итн.) и тело за барање. Можете да користите регуларни изрази во телото на барањето и можете да користите повеќе филтри истовремено во лентата за пребарување.
Откако ќе изберете филтер и ќе ја завршите обработката на барањата, имате пристап до сите релевантни настани, со можност за прегледување на детални информации за настанот, карантин на објектот на барањето или генерирање детален извештај за судска медицина со опис на настанот. Во моментов, оваа алатка е во бета верзија и во иднина се планира да се прошири сетот на можности, на пример, додавање информации за настанот во форма на матрица Mitre Att&ck.
Заклучок
Да резимираме: во оваа статија ги разгледавме можностите за следење безбедносни настани во платформата за управување со агенти SandBlast и проучувавме нова алатка за проактивно пребарување на малициозни дејства и аномалии на корисничките машини - Threat Hunting. Следната статија ќе биде последната од оваа серија и во неа ќе ги разгледаме најчесто поставуваните прашања за решението на Платформата за управување и ќе зборуваме за можностите за тестирање на овој производ.
. За да не ги пропуштите следните публикации на тема Платформа за управување со агенти SandBlast, следете ги ажурирањата на нашите социјални мрежи (, , , , ).
Извор: www.habr.com