Selamat datang ke artikel kelima dalam siri tentang penyelesaian Platform Pengurusan Agen SandBlast Check Point. Artikel sebelum ini boleh didapati dengan mengikuti pautan yang sesuai: , , , . Hari ini kita akan melihat keupayaan pemantauan dalam Platform Pengurusan, iaitu bekerja dengan log, papan pemuka interaktif (Lihat) dan laporan. Kami juga akan menyentuh topik Memburu Ancaman untuk mengenal pasti ancaman semasa dan peristiwa anomali pada mesin pengguna.
Balak
Sumber utama maklumat untuk memantau peristiwa keselamatan ialah bahagian Log, yang memaparkan maklumat terperinci tentang setiap kejadian dan juga membolehkan anda menggunakan penapis yang mudah untuk memperhalusi kriteria carian anda. Contohnya, apabila anda mengklik kanan pada parameter (Bilah, Tindakan, Keterukan, dsb.) log yang diminati, parameter ini boleh ditapis sebagai Penapis: "Parameter" atau Tapis Keluar: "Parameter". Juga untuk parameter Sumber, pilihan Alat IP boleh dipilih di mana anda boleh menjalankan ping ke alamat/nama IP yang diberikan atau menjalankan nslookup untuk mendapatkan alamat IP sumber mengikut nama.
Dalam bahagian Log, untuk menapis peristiwa, terdapat subseksyen Statistik, yang memaparkan statistik pada semua parameter: gambar rajah masa dengan bilangan log, serta peratusan untuk setiap parameter. Daripada subseksyen ini, anda boleh menapis log dengan mudah tanpa menggunakan bar carian dan menulis ungkapan penapisan - hanya pilih parameter yang diminati dan senarai log baharu akan dipaparkan dengan serta-merta.
Maklumat terperinci pada setiap log tersedia di panel kanan bahagian Log, tetapi lebih mudah untuk membuka log dengan mengklik dua kali untuk menganalisis kandungan. Di bawah ialah contoh log (gambar boleh diklik), yang memaparkan maklumat terperinci tentang pencetus tindakan Cegah bilah Emulasi Ancaman pada fail ".docx" yang dijangkiti. Log mempunyai beberapa subseksyen yang memaparkan butiran peristiwa keselamatan: dasar dan perlindungan yang dicetuskan, butiran forensik, maklumat tentang pelanggan dan trafik. Laporan yang tersedia daripada log patut diberi perhatian khusus - Laporan Emulasi Ancaman dan Laporan Forensik. Laporan ini juga boleh dibuka daripada klien SandBlast Agent.
Laporan Emulasi Ancaman
Apabila menggunakan bilah Emulasi Ancaman, selepas emulasi dijalankan dalam awan Check Point, pautan kepada laporan terperinci tentang hasil emulasi - Laporan Emulasi Ancaman - muncul dalam log yang sepadan. Kandungan laporan sedemikian diterangkan secara terperinci dalam artikel kami tentang . Perlu diingat bahawa laporan ini adalah interaktif dan membolehkan anda "menyelami" butiran untuk setiap bahagian. Anda juga boleh melihat rakaman proses emulasi dalam mesin maya, memuat turun fail berniat jahat asal atau mendapatkan cincangnya, dan juga menghubungi Pasukan Respons Insiden Check Point.
Laporan Forensik
Untuk hampir mana-mana acara keselamatan, Laporan Forensik dijana, yang merangkumi maklumat terperinci tentang fail berniat jahat: ciri-cirinya, tindakan, titik masuk ke dalam sistem dan kesan ke atas aset syarikat yang penting. Kami membincangkan struktur laporan secara terperinci dalam artikel tentang . Laporan sedemikian merupakan sumber maklumat penting semasa menyiasat peristiwa keselamatan, dan jika perlu, kandungan laporan itu boleh segera dihantar kepada Pasukan Tindak Balas Insiden Check Point.
SmartView
Check Point SmartView ialah alat mudah untuk membuat dan melihat papan pemuka dinamik (View) dan laporan dalam format PDF. Daripada SmartView anda juga boleh melihat log pengguna dan acara audit untuk pentadbir. Rajah di bawah menunjukkan laporan dan papan pemuka yang paling berguna untuk bekerja dengan Ejen SandBlast.
Laporan dalam SmartView ialah dokumen dengan maklumat statistik tentang peristiwa dalam tempoh masa tertentu. Ia menyokong memuat naik laporan dalam format PDF ke mesin tempat SmartView dibuka, serta memuat naik biasa ke PDF/Excel ke e-mel pentadbir. Selain itu, ia menyokong import/eksport templat laporan, penciptaan laporan anda sendiri dan keupayaan untuk menyembunyikan nama pengguna dalam laporan. Rajah di bawah menunjukkan contoh laporan Pencegahan Ancaman terbina dalam.
Papan pemuka (Paparan) dalam SmartView membenarkan pentadbir mengakses log untuk acara yang sepadan - cuma klik dua kali pada objek yang diminati, sama ada lajur carta atau nama fail berniat jahat. Seperti laporan, anda boleh membuat papan pemuka anda sendiri dan menyembunyikan data pengguna. Papan pemuka juga menyokong import/eksport templat, muat naik biasa ke PDF/Excel ke e-mel pentadbir, dan kemas kini data automatik untuk memantau acara keselamatan dalam masa nyata.
Bahagian pemantauan tambahan
Penerangan tentang alat pemantauan dalam Platform Pengurusan tidak akan lengkap tanpa menyebut bahagian Gambaran Keseluruhan, Pengurusan Komputer, Tetapan Titik Akhir dan Operasi Tekan. Bahagian ini telah diterangkan secara terperinci dalam , bagaimanapun, adalah berguna untuk mempertimbangkan keupayaan mereka untuk menyelesaikan masalah pemantauan. Mari kita mulakan dengan Gambaran Keseluruhan, yang terdiri daripada dua subseksyen - Gambaran Keseluruhan Operasi dan Gambaran Keseluruhan Keselamatan, iaitu papan pemuka dengan maklumat tentang keadaan mesin pengguna yang dilindungi dan peristiwa keselamatan. Seperti semasa berinteraksi dengan mana-mana papan pemuka lain, subseksyen Gambaran Keseluruhan Operasi dan Gambaran Keseluruhan Keselamatan, apabila mengklik dua kali pada parameter minat, membolehkan anda pergi ke bahagian Pengurusan Komputer dengan penapis yang dipilih (contohnya, "Desktop" atau "Pra- Status But: Didayakan”), atau ke bahagian Log untuk acara tertentu. Subseksyen Tinjauan Keseluruhan Keselamatan ialah papan pemuka “Cyber Attack View – Endpoint”, yang boleh disesuaikan dan ditetapkan untuk mengemas kini data secara automatik.
Dari bahagian Pengurusan Komputer anda boleh memantau status ejen pada mesin pengguna, status kemas kini pangkalan data Anti-Malware, peringkat penyulitan cakera dan banyak lagi. Semua data dikemas kini secara automatik dan untuk setiap penapis peratusan mesin pengguna yang sepadan dipaparkan. Mengeksport data komputer dalam format CSV juga disokong.
Aspek penting dalam memantau keselamatan stesen kerja ialah menyediakan pemberitahuan tentang peristiwa kritikal (Makluman) dan mengeksport log (Peristiwa Eksport) untuk penyimpanan pada pelayan log syarikat. Kedua-dua tetapan dibuat dalam bahagian Tetapan Titik Akhir dan untuk Alerts Adalah mungkin untuk menyambungkan pelayan mel untuk menghantar pemberitahuan acara kepada pentadbir dan mengkonfigurasi ambang untuk mencetuskan/melumpuhkan pemberitahuan bergantung pada peratusan/bilangan peranti yang memenuhi kriteria acara. Peristiwa Eksport membolehkan anda mengkonfigurasi pemindahan log daripada Platform Pengurusan kepada pelayan log syarikat untuk pemprosesan selanjutnya. Menyokong format SYSLOG, CEF, LEEF, SPLUNK, protokol TCP/UDP, sebarang sistem SIEM dengan ejen syslog yang sedang berjalan, penggunaan penyulitan TLS/SSL dan pengesahan klien syslog.
Untuk analisis mendalam tentang peristiwa pada ejen atau sekiranya menghubungi sokongan teknikal, anda boleh dengan cepat mengumpul log daripada klien SandBlast Agent menggunakan operasi paksa dalam bahagian Operasi Tekan. Anda boleh mengkonfigurasi pemindahan arkib yang dijana dengan log ke pelayan Check Point atau pelayan korporat, dan arkib dengan log disimpan pada mesin pengguna dalam direktori C:UsersusernameCPInfo. Ia menyokong pelancaran proses pengumpulan log pada masa tertentu dan keupayaan untuk menangguhkan operasi oleh pengguna.
Memburu Ancaman
Memburu Ancaman digunakan untuk mencari secara proaktif aktiviti berniat jahat dan tingkah laku anomali dalam sistem untuk menyiasat lebih lanjut kemungkinan peristiwa keselamatan. Bahagian Memburu Ancaman dalam Platform Pengurusan membolehkan anda mencari acara dengan parameter tertentu dalam data mesin pengguna.
Alat Memburu Ancaman mempunyai beberapa pertanyaan yang dipratentukan, contohnya: untuk mengklasifikasikan domain atau fail berniat jahat, menjejaki permintaan yang jarang berlaku ke alamat IP tertentu (berbanding dengan statistik umum). Struktur permintaan terdiri daripada tiga parameter: penunjuk (protokol rangkaian, pengecam proses, jenis fail, dll.), pengendali (“adalah”, “bukan”, “termasuk”, “salah satu”, dsb.) dan badan permintaan. Anda boleh menggunakan ungkapan biasa dalam kandungan permintaan dan anda boleh menggunakan berbilang penapis serentak dalam bar carian.
Selepas memilih penapis dan menyelesaikan pemprosesan permintaan, anda mempunyai akses kepada semua acara yang berkaitan, dengan keupayaan untuk melihat maklumat terperinci tentang acara itu, mengkuarantin objek permintaan atau menjana Laporan Forensik terperinci dengan penerangan tentang acara tersebut. Pada masa ini, alat ini dalam versi beta dan pada masa hadapan ia dirancang untuk mengembangkan set keupayaan, contohnya, menambah maklumat tentang acara dalam bentuk matriks Mitre Att&ck.
Kesimpulan
Mari kita ringkaskan: dalam artikel ini kami melihat keupayaan memantau peristiwa keselamatan dalam Platform Pengurusan Agen SandBlast, dan mengkaji alat baharu untuk mencari tindakan berniat jahat dan anomali secara proaktif pada mesin pengguna - Memburu Ancaman. Artikel seterusnya akan menjadi yang terakhir dalam siri ini dan di dalamnya kita akan melihat soalan yang paling kerap ditanya tentang penyelesaian Platform Pengurusan dan bercakap tentang kemungkinan menguji produk ini.
. Untuk tidak terlepas penerbitan seterusnya mengenai topik Platform Pengurusan Agen SandBlast, ikuti kemas kini pada rangkaian sosial kami (, , , , ).
Sumber: www.habr.com