Welkom bij les 12. Vandaag zullen we het hebben over een ander heel belangrijk onderwerp, namelijk werken met logs en rapporten. Soms blijkt deze functionaliteit bijna doorslaggevend bij de keuze van een beschermingsmiddel. Beveiligingsspecialisten houden erg van een handig rapportagesysteem en functioneel zoeken naar verschillende evenementen. Het is moeilijk om hen hiervan de schuld te geven. Logboeken en rapporten zijn zelfs het belangrijkste element van de beveiligingsbeoordeling. Hoe kunt u uw huidige beveiligingsniveau begrijpen als u niet kunt zien wat er aan de hand is? Gelukkig is Check Point op dit vlak en zelfs meer prima in orde. Check Point heeft een van de beste rapportagesystemen die out-of-the-box werkt! Tegelijkertijd is er de mogelijkheid tot maatwerk en het maken van uw eigen rapporten! Dit alles wordt aangevuld door een handig en intuïtief proces voor het werken met logs. Maar laten we alles in volgorde bespreken.
Volledig nieuwe interface
Als je al eerder met Check Point hebt gewerkt, ben je waarschijnlijk verrast door de compleet nieuwe interface voor het werken met logs en rapporten in de R80. De afbeelding laat zien hoeveel verschillende hulpprogramma's zijn gecombineerd in één nieuw tabblad Logboeken en monitoren:
Sectie Logboeken en monitoren
Als u naar Logboeken en monitor gaat en een nieuw tabblad opent, zou u zoiets als dit moeten zien:
Er zijn hier standaard twee grote secties:
- Controlelogboeken bekijken — hier vindt u alle gebeurtenissen met betrekking tot het in-/uitloggen van beheerders, configuratiewijzigingen, enz. Die. klassieke audit van beheerdersacties.
- Logboeken bekijken - hier kunt u zoeken naar gebeurtenissen die worden “gegenereerd” door al onze ingeschakelde blades, of het nu een firewall, antivirus, IPS, enz. is. We hebben deze functie meer dan eens gebruikt.
Daarnaast vindt u hier links naar rapporten (Rapporten) en diverse dashboards (keer bekeken). Ze hebben een ingeschakeld mes nodig om te kunnen werken. Slimme gebeurtenis. Maar daarover later meer. Laten we eerst eens kijken naar het werken met logboeken.
Zoeken op logboeken
Naar mijn mening is het werken met boomstammen in de R80 een plezier. We hebben een zeer slimme zoekregel waarmee we kunnen “zoeken” op willekeurige tekst, op blad en op andere geïndexeerde parameters zoals bron, bestemming, actie, enz.
Tegelijkertijd kunnen we zeer complexe zoekopdrachten samenstellen met behulp van logische operatoren EN, OR, NIET. En u hoeft hiervoor niet eens iets af te drukken. Met slechts een paar muisklikken kan een filter worden aangemaakt. Even later zullen we dit allemaal in de praktijk proberen.
Logboekberichten weergeven per toegangslijst
We hebben ook al waardering voor de mogelijkheid om logs voor een specifieke toegangslijst weer te geven. Het is ongelooflijk handig en je went er heel snel aan. Dit is vooral handig bij het oplossen van problemen. Ik heb de voor u interessante “toegangslijst” geselecteerd en kijk van onderaf of het benodigde verkeer daaronder valt.
Het is niet nodig om ergens heen te gaan of een complex filter voor logboeken te maken.
Weergaven en rapporten
De blade is verantwoordelijk voor de rapportage en datavisualisatie bij Check Point. Slimme gebeurtenis, die is geactiveerd op de beheerserver. Deze functionaliteit mag gerust SIEM heten, maar dan alleen voor Check Point producten! Technisch gezien kan Smart Event logs van andere systemen bevatten (zoals Cisco, Microsoft, etc.), maar dit is niet het beste idee :) In de praktijk is dit zeer problematisch. Maar SmartEvent kan op briljante wijze omgaan met “checkpoint”-logboeken. Kan correleren, optellen, gemiddelden en meer. En het werkt allemaal out-of-the-box! Uiteraard zijn er kant-en-klare dashboards voor het weergeven van de belangrijkste informatie. Bij Check Point worden ze gebeld keer bekeken:
Je kunt zien dat er hier een behoorlijk groot aantal standaarddashboards is, die erg handig zijn bij het dagelijkse beheer en de monitoring.
Naast dashboards, waarbij informatie eenvoudig gevisualiseerd wordt, is het mogelijk om volwaardige rapporten te genereren en deze op te slaan in pdf- of Excel-formaat. U kunt ze volgens een schema genereren en naar een bepaalde mailbox sturen.
En het beste deel! Dashboards en rapporten kunt u zelf maken! Die. je bent niet beperkt tot ingebouwde apparaten. Niet elke leverancier kan hierop bogen. Tegelijkertijd kunnen sjablonen voor deze dashboards of rapporten worden geïmporteerd of geëxporteerd, waardoor gebruikers hun werk kunnen delen. Het proces voor het maken van een dashboard is heel eenvoudig en intuïtief. Ik zal proberen je dit te laten zien in het lab dat je in de onderstaande video-tutorial vindt.
Video-instructies
Blijf op de hoogte voor meer en doe mee 🙂
Bron: www.habr.com