Check Point SandBlast Agent Management Platform шийдлийн тухай цувралын тав дахь нийтлэлд тавтай морилно уу. Өмнөх нийтлэлүүдийг холбогдох холбоосоор орж үзэх боломжтой. , , , . Өнөөдөр бид Удирдлагын платформ дахь лог, интерактив хяналтын самбар (Харах) болон тайлантай ажиллах хяналтын боломжуудыг авч үзэх болно. Хэрэглэгчийн машин дээрх одоогийн аюул занал, хэвийн бус үйл явдлыг тодорхойлохын тулд бид аюул заналхийллийн сэдвийг хөндөх болно.
бичиглэлээр
Аюулгүй байдлын үйл явдлыг хянах мэдээллийн гол эх сурвалж нь Бүртгэлийн хэсэг бөгөөд хэрэг явдал бүрийн талаар дэлгэрэнгүй мэдээллийг харуулдаг бөгөөд хайлтын шалгуураа сайжруулахад тохиромжтой шүүлтүүр ашиглах боломжийг олгодог. Жишээлбэл, сонирхсон логийн параметр (Blade, Action, Severity гэх мэт) дээр хулганы баруун товчийг дарахад энэ параметрийг дараах байдлаар шүүж болно. Шүүлтүүр: "Параметр" буюу Шүүлтүүр: "Параметр". Мөн Source параметрийн хувьд IP Tools сонголтыг сонгож болох бөгөөд та өгөгдсөн IP хаяг/нэр рүү ping илгээх эсвэл эх IP хаягийг нэрээр нь авахын тулд nslookup ажиллуулж болно.
Бүртгэлийн хэсэгт үйл явдлыг шүүхээр Статистикийн дэд хэсэг байдаг бөгөөд энэ нь бүх параметрийн статистикийг харуулдаг: бүртгэлийн тоо бүхий цагийн диаграмм, мөн параметр бүрийн хувь хэмжээ. Энэ дэд хэсгээс та хайлтын талбарыг ашиглахгүйгээр, шүүлтүүрийн илэрхийлэл бичихгүйгээр логуудыг хялбархан шүүж болно - сонирхсон параметрүүдийг сонгоход л логуудын шинэ жагсаалт нэн даруй гарч ирнэ.
Лог тус бүрийн дэлгэрэнгүй мэдээллийг Бүртгэлийн хэсгийн баруун талын самбараас авах боломжтой боловч агуулгыг шинжлэхийн тулд давхар товшиж бүртгэлийг нээх нь илүү тохиромжтой. Доорх нь халдвартай ".docx" файл дээр Threat Emulation blade-ийн Урьдчилан сэргийлэх үйлдлийг өдөөх тухай дэлгэрэнгүй мэдээллийг харуулсан бүртгэлийн жишээ (зураг дээр дарж болно). Бүртгэл нь аюулгүй байдлын үйл явдлын дэлгэрэнгүй мэдээллийг харуулдаг хэд хэдэн дэд хэсгүүдтэй: идэвхжүүлсэн бодлого, хамгаалалт, шүүх эмнэлгийн дэлгэрэнгүй мэдээлэл, үйлчлүүлэгчийн мэдээлэл, замын хөдөлгөөний тухай. Бүртгэлээс авах боломжтой тайлангуудад онцгой анхаарал хандуулах хэрэгтэй - Аюулын эмуляцийн тайлан ба Шүүх эмнэлгийн тайлан. Эдгээр тайланг SandBlast Agent үйлчлүүлэгчээс нээж болно.
Аюулын эмуляцийн тайлан
Аюулын эмуляцын ирийг ашиглах үед Шалгах цэгийн үүлэн дотор эмуляц хийсний дараа эмуляцийн үр дүнгийн талаархи дэлгэрэнгүй тайлангийн холбоос - Аюулын эмуляцийн тайлан харгалзах бүртгэлд гарч ирнэ. Ийм тайлангийн агуулгыг манай нийтлэлд дэлгэрэнгүй тайлбарласан болно . Энэхүү тайлан нь интерактив бөгөөд хэсэг бүрийн дэлгэрэнгүй мэдээллийг "шумбах" боломжийг олгодог гэдгийг тэмдэглэх нь зүйтэй. Мөн виртуал машин дахь эмуляцийн үйл явцын бичлэгийг үзэх, анхны хортой файлыг татаж авах эсвэл түүний хэшийг авах, мөн Check Point Incident Response Team-тай холбогдох боломжтой.
Шүүх эмнэлгийн тайлан
Аюулгүй байдлын бараг бүх үйл явдлын хувьд Шүүхийн шинжилгээний тайланг гаргадаг бөгөөд үүнд хортой файлын шинж чанар, үйлдэл, системд нэвтрэх цэг, компанийн чухал өмчид үзүүлэх нөлөө зэрэг дэлгэрэнгүй мэдээллийг багтаасан болно. Тайлангийн бүтцийг бид нийтлэлд дэлгэрэнгүй авч үзсэн . Ийм тайлан нь аюулгүй байдлын үйл явдлыг судлахад мэдээллийн чухал эх сурвалж бөгөөд шаардлагатай бол тайлангийн агуулгыг Шалгах цэгийн ослын хариу арга хэмжээний багт нэн даруй илгээж болно.
Ухаалаг харц
Check Point SmartView нь динамик хяналтын самбар (Харах) болон PDF форматаар тайланг үүсгэх, үзэхэд тохиромжтой хэрэгсэл юм. SmartView-ээс та хэрэглэгчийн бүртгэл, администраторын аудитын үйл явдлуудыг үзэх боломжтой. Доорх зураг нь SandBlast Agent-тай ажиллахад хамгийн хэрэгтэй тайлан, хяналтын самбарыг харуулж байна.
SmartView дахь тайлангууд нь тодорхой хугацааны туршид болсон үйл явдлын талаарх статистик мэдээлэл бүхий баримт бичиг юм. Энэ нь SmartView нээлттэй машинд тайланг PDF форматаар байршуулах, мөн PDF/Excel рүү администраторын имэйл рүү тогтмол байршуулахыг дэмждэг. Нэмж дурдахад энэ нь тайлангийн загваруудыг импортлох/экспортлох, өөрийн тайланг үүсгэх, тайланд хэрэглэгчийн нэрийг нуух боломжийг дэмждэг. Доорх зурагт аюулаас урьдчилан сэргийлэх тайлангийн жишээг харуулав.
SmartView дахь хяналтын самбар (Харах) нь администраторт харгалзах үйл явдлын бүртгэлд хандах боломжийг олгодог - диаграмын багана эсвэл хортой файлын нэр гэх мэт сонирхож буй объект дээр давхар товш. Тайлангийн нэгэн адил та өөрийн хяналтын самбар үүсгэж, хэрэглэгчийн өгөгдлийг нуух боломжтой. Хяналтын самбар нь загваруудыг импортлох/экспортлох, администраторын цахим шуудан руу PDF/Excel рүү тогтмол байршуулах, аюулгүй байдлын үйл явдлыг бодит цаг хугацаанд хянахын тулд өгөгдлийг автоматаар шинэчлэх боломжийг дэмждэг.
Нэмэлт хяналтын хэсгүүд
Удирдлагын платформ дахь хяналтын хэрэгслүүдийн тайлбар нь Тойм, Компьютерийн удирдлага, Төгсгөлийн тохиргоо, Түлхэх үйлдлүүдийн хэсгүүдийг дурдаагүй бол бүрэн бус байх болно. Эдгээр хэсгүүдийг нийтлэлд дэлгэрэнгүй тайлбарласан болно Гэсэн хэдий ч хяналтын асуудлыг шийдвэрлэх чадавхийг харгалзан үзэх нь ашигтай байх болно. Хамгаалагдсан хэрэглэгчийн машинуудын төлөв байдал, аюулгүй байдлын үйл явдлуудын талаарх мэдээлэл бүхий хяналтын самбарууд болох Үйл ажиллагааны тойм ба Аюулгүй байдлын тойм гэсэн хоёр дэд хэсгээс бүрдэх "Тойм"-оос эхэлцгээе. Бусад хяналтын самбартай харилцаж байх үед "Үйл ажиллагааны тойм" болон "Аюулгүй байдлын тойм" дэд хэсгүүд нь сонирхсон параметр дээр давхар товших үед сонгосон шүүлтүүрээр (жишээ нь, "Ширээний компьютер" эсвэл "Урьдчилсан") "Компьютерийн менежмент" хэсэгт очих боломжийг олгоно. Ачаалах төлөв: Идэвхжүүлсэн") эсвэл тодорхой үйл явдлын бүртгэл хэсэгт. Аюулгүй байдлын тойм дэд хэсэг нь "Кибер халдлагыг харах - Төгсгөлийн цэг" хяналтын самбар бөгөөд өгөгдлийг автоматаар шинэчлэх боломжтой.
"Компьютерийн менежмент" хэсгээс та хэрэглэгчийн машин дээрх агентийн статус, Anti-Malware мэдээллийн сангийн шинэчлэлтийн байдал, дискний шифрлэлтийн үе шат болон бусад олон зүйлийг хянах боломжтой. Бүх өгөгдөл автоматаар шинэчлэгдэж, шүүлтүүр бүрийн хувьд тохирох хэрэглэгчийн машинуудын хувийг харуулдаг. Компьютерийн өгөгдлийг CSV форматаар экспортлохыг бас дэмждэг.
Ажлын станцуудын аюулгүй байдлыг хянах нэг чухал тал бол чухал үйл явдлын тухай мэдэгдэл (Анхааруулга) тохируулах, логуудыг экспортлох (Экспортын үйл явдлууд) компанийн бүртгэлийн сервер дээр хадгалах явдал юм. Энэ хоёр тохиргоог Төгсгөлийн цэгийн тохиргоо хэсэгт хийсэн, мөн Анхааруулга Үйл явдлын мэдэгдлийг админ руу илгээхийн тулд шуудангийн серверийг холбож, үйл явдлын шалгуурыг хангасан төхөөрөмжүүдийн хувь/тооноос хамааран мэдэгдлийг идэвхжүүлэх/идэвхгүй болгох босго хэмжээг тохируулах боломжтой. Экспортлох үйл явдал нь менежментийн платформоос компанийн бүртгэлийн сервер рүү цаашдын боловсруулалт хийх бүртгэлийг шилжүүлэх тохиргоог хийх боломжийг танд олгоно. SYSLOG, CEF, LEEF, SPLUNK форматууд, TCP/UDP протоколууд, ажиллаж байгаа syslog агент бүхий аливаа SIEM систем, TLS/SSL шифрлэлт болон syslog клиентийн баталгаажуулалтыг дэмждэг.
Агент дээрх үйл явдлын гүн гүнзгий дүн шинжилгээ хийх эсвэл техникийн дэмжлэгтэй холбоо барих тохиолдолд Push Operations хэсэгт албадан үйлдлийг ашиглан SandBlast Agent клиентээс бүртгэлийг хурдан цуглуулах боломжтой. Та үүсгэсэн архивыг Check Point сервер эсвэл корпорацийн сервер рүү шилжүүлэх тохиргоог хийх боломжтой бөгөөд бүртгэлтэй архив нь C:UsersusernameCPInfo сан дахь хэрэглэгчийн машин дээр хадгалагдана. Энэ нь лог цуглуулах үйл явцыг тодорхой цагт эхлүүлэх, хэрэглэгчийн үйл ажиллагааг хойшлуулах боломжийг дэмждэг.
Агнуурын аюул
Threat Hunting нь аюулгүй байдлын болзошгүй үйл явдлыг цаашид судлахын тулд систем дэх хортой үйл ажиллагаа болон хэвийн бус зан үйлийг идэвхтэй хайхад ашиглагддаг. Удирдлагын платформ дахь Threat Hunting хэсэг нь хэрэглэгчийн машины өгөгдөлд заасан параметр бүхий үйл явдлуудыг хайх боломжийг танд олгоно.
Threat Hunting хэрэгсэл нь урьдчилан тодорхойлсон хэд хэдэн асуулгатай байдаг, жишээлбэл: хортой домэйн эсвэл файлуудыг ангилах, тодорхой IP хаяг руу орох ховор хүсэлтийг хянах (ерөнхий статистиктай холбоотой). Хүсэлтийн бүтэц нь гурван параметрээс бүрдэнэ. үзүүлэлт (сүлжээний протокол, процессын танигч, файлын төрөл гэх мэт), операторын (“байна”, “байна”, “оруулна”, “нэг нь” гэх мэт) болон хүсэлтийн байгууллага. Та хүсэлтийн үндсэн хэсэгт ердийн илэрхийлэл ашиглах боломжтой бөгөөд хайлтын талбарт олон шүүлтүүрийг нэгэн зэрэг ашиглаж болно.
Шүүлтүүрийг сонгоод хүсэлтийн боловсруулалтыг дуусгасны дараа та тухайн үйл явдлын талаарх дэлгэрэнгүй мэдээллийг үзэх, хүсэлтийн объектыг хорио цээрийн дэглэмд оруулах, үйл явдлын тайлбар бүхий Шүүх эмнэлгийн нарийвчилсан тайлан гаргах боломжтой бүхий л холбогдох үйл явдалд хандах боломжтой болно. Одоогоор энэ хэрэгсэл нь бета хувилбарт байгаа бөгөөд ирээдүйд үйл явдлын талаарх мэдээллийг Miter Att&ck матриц хэлбэрээр нэмэх зэрэг боломжуудыг өргөжүүлэхээр төлөвлөж байна.
дүгнэлт
Дүгнэж хэлье: энэ нийтлэлд бид SandBlast Agent Management Platform дахь аюулгүй байдлын үйл явдлыг хянах чадварыг судалж, хэрэглэгчийн машин дээрх хортой үйлдэл, гажигийг идэвхтэй хайх шинэ хэрэгсэл болох Threat Hunting-ийг судалсан. Дараагийн нийтлэл нь энэ цувралын сүүлчийнх байх бөгөөд бид Удирдлагын платформын шийдлийн талаар хамгийн их асуудаг асуултуудыг авч үзэх бөгөөд энэ бүтээгдэхүүнийг турших боломжуудын талаар ярих болно.
. SandBlast Agent Management Platform-ийн сэдвээр дараах нийтлэлүүдийг алдахгүйн тулд манай нийгмийн сүлжээн дэх шинэчлэлтүүдийг дагаж мөрдөөрэй (, , , , ).
Эх сурвалж: www.habr.com