Selamat datang ke pelajaran 12. Hari ini kita akan bercakap tentang satu lagi topik yang sangat penting, iaitu, bekerja dengan log dan laporan. Kadang-kadang fungsi ini hampir menentukan apabila memilih cara perlindungan. "Perlindungan" sangat menyukai sistem pelaporan yang mudah dan carian berfungsi untuk pelbagai acara. Sukar untuk menyalahkan mereka. Malah, log dan laporan adalah elemen terpenting dalam penilaian keselamatan. Bagaimana untuk memahami tahap keselamatan semasa jika anda tidak dapat melihat apa yang berlaku? Nasib baik, Check Point berada dalam susunan yang sempurna dalam hal ini dan lebih banyak lagi. Check Point mempunyai salah satu sistem pelaporan terbaik di luar kotak! Pada masa yang sama, adalah mungkin untuk menyesuaikan dan membuat laporan anda sendiri! Semua ini dilengkapi dengan proses yang mudah dan intuitif bekerja dengan log. Tetapi mari kita bercakap tentang segala-galanya dengan teratur.
Antara muka yang benar-benar baharu
Jika anda pernah bekerja dengan Check Point sebelum ini, anda pasti terkejut dengan antara muka yang benar-benar baharu untuk bekerja dengan log dan laporan dalam R80. Gambar menunjukkan berapa banyak utiliti berbeza telah digabungkan dalam satu tab baharu Log & Monitor:
Bahagian Log & Monitor
Jika anda pergi ke Log & Monitor dan membuka tab baharu, anda sepatutnya melihat sesuatu seperti ini:
Secara lalai, terdapat dua bahagian besar di sini:
- Paparan Log Audit - di sini anda boleh menemui semua acara yang berkaitan dengan kemasukan / keluar pentadbir, perubahan dalam konfigurasi, dll. Itu. audit klasik tindakan pentadbir.
- paparan log - di sinilah anda boleh mencari acara yang "menjana" semua bilah kami yang didayakan, sama ada tembok api, antivirus, IPS, dsb. Kami telah menggunakan ciri ini lebih daripada sekali.
Selain itu, berikut adalah pautan kepada laporan (Laporan) dan pelbagai papan pemuka (Views). Mereka memerlukan bilah yang didayakan untuk berfungsi. Acara Pintar. Tetapi lebih lanjut mengenai itu kemudian. Pertama, mari kita berurusan dengan bekerja dengan log.
Carian Log
Pada pendapat saya, bekerja dengan log dalam R80 adalah satu keseronokan. Kami mempunyai rentetan carian yang sangat pintar yang membolehkan kami "memotong" kedua-duanya dengan teks sewenang-wenangnya, dan dengan bilah, dan oleh mana-mana parameter diindeks lain seperti sumber, destinasi, tindakan, dll.
Pada masa yang sama, kami boleh menyusun pertanyaan carian yang sangat kompleks menggunakan pengendali logik DAN, OR, TIDAK. Dan ia tidak perlu dicetak. Penapis boleh dibuat dalam hanya beberapa klik tetikus. Tidak lama kemudian, kami akan mencuba semuanya dalam amalan.
Paparan mesej Log oleh Access-List
Selain itu, kami telah pun menilai kemungkinan memaparkan log untuk senarai akses tertentu. Ia sangat selesa dan anda terbiasa dengannya dengan cepat. Ini amat membantu semasa menyelesaikan masalah. Saya telah menyerlahkan "senarai akses" yang menarik untuk anda dan lihat dari bawah untuk melihat sama ada trafik yang diperlukan berada di bawahnya.
Tidak perlu ke mana-mana atau membuat penapis log yang kompleks.
Pandangan & Laporan
Blade bertanggungjawab untuk pelaporan dan visualisasi data dalam Check Point Acara Pintar, yang diaktifkan pada pelayan pengurusan. Fungsi ini boleh dipanggil SIEM dengan selamat, tetapi hanya untuk produk Check Point! Secara teknikal, anda boleh membungkus log daripada sistem lain (seperti cisco, microsoft, dll.) pada Acara Pintar, tetapi ini bukan idea terbaik π Dalam praktiknya, ini sangat bermasalah. Tetapi SmartEvent mengatasi log "titik pemeriksaan" sangat cantik. Boleh mengaitkan, menjumlahkan, purata dan banyak lagi. Dan semuanya berfungsi di luar kotak! Sudah tentu, terdapat papan pemuka sedia untuk memaparkan maklumat yang paling penting. Di Check Point mereka dipanggil Views:
Anda dapat melihat bahawa terdapat sejumlah besar papan pemuka lalai di sini, yang sangat berguna dalam pentadbiran dan pemantauan harian.
Sebagai tambahan kepada papan pemuka, di mana maklumat hanya digambarkan, adalah mungkin untuk menjana laporan lengkap dan menyimpannya dalam format pdf atau excel. Anda boleh menjana mengikut jadual dan menghantarnya ke mana-mana peti mel.
Dan yang paling menyenangkan! Anda boleh membuat papan pemuka dan laporan sendiri! Itu. anda tidak terhad kepada terbina dalam. Tidak semua vendor boleh berbangga dengan ini. Pada masa yang sama, templat papan pemuka atau laporan ini boleh diimport atau dieksport, yang membolehkan pengguna berkongsi amalan terbaik mereka. Proses mencipta papan pemuka adalah sangat mudah dan intuitif. Saya akan cuba menunjukkan kepada anda ini sebagai sebahagian daripada makmal, yang anda akan dapati dalam tutorial video di bawah.
Tutorial video
Nantikan lebih lanjut dan sertai kami (I.e.
Sumber: www.habr.com