Welkom bij het vijfde artikel in de serie over de Check Point SandBlast Agent Management Platform-oplossing. Eerdere artikelen kunt u vinden door de betreffende link te volgen: , , , . Vandaag gaan we kijken naar de monitoringmogelijkheden in het Management Platform, namelijk het werken met logs, interactieve dashboards (View) en rapporten. We zullen ook ingaan op het onderwerp Threat Hunting om huidige bedreigingen en afwijkende gebeurtenissen op de computer van de gebruiker te identificeren.
Logs
De belangrijkste informatiebron voor het monitoren van beveiligingsgebeurtenissen is de sectie Logboeken, waarin gedetailleerde informatie over elk incident wordt weergegeven en waarmee u ook handige filters kunt gebruiken om uw zoekcriteria te verfijnen. Wanneer u bijvoorbeeld met de rechtermuisknop op een parameter (Blade, Action, Severity, enz.) van het betreffende logboek klikt, kan deze parameter worden gefilterd als Filteren: "Parameter" of Uitfilteren: "Parameter". Ook voor de bronparameter kan de optie IP Tools worden geselecteerd, waar u een ping naar een bepaald IP-adres/naam kunt uitvoeren of een nslookup kunt uitvoeren om het bron-IP-adres op naam te krijgen.
In de sectie Logboeken is er voor het filteren van gebeurtenissen een subsectie Statistieken, die statistieken over alle parameters weergeeft: een tijddiagram met het aantal logs, evenals percentages voor elke parameter. Vanuit deze subsectie kunt u eenvoudig logbestanden filteren zonder de zoekbalk te gebruiken en filterexpressies te schrijven. Selecteer gewoon de gewenste parameters en er wordt onmiddellijk een nieuwe lijst met logbestanden weergegeven.
Gedetailleerde informatie over elk logboek is beschikbaar in het rechterpaneel van de sectie Logboeken, maar het is handiger om het logboek te openen door te dubbelklikken om de inhoud te analyseren. Hieronder ziet u een voorbeeld van een logboek (de afbeelding is klikbaar), waarin gedetailleerde informatie wordt weergegeven over het activeren van de actie Prevent van de Blade Threat Emulation op een geïnfecteerd ".docx"-bestand. Het logboek bevat verschillende subsecties waarin de details van de beveiligingsgebeurtenis worden weergegeven: geactiveerd beleid en beveiliging, forensische details, informatie over de client en verkeer. De rapporten die beschikbaar zijn in het logboek verdienen speciale aandacht: het bedreigingsemulatierapport en het forensisch rapport. Deze rapporten kunnen ook worden geopend vanuit de SandBlast Agent-client.
Rapport over bedreigingsemulatie
Wanneer u de Blade Threat Emulation gebruikt, verschijnt er, nadat de emulatie is uitgevoerd in de Check Point-cloud, een link naar een gedetailleerd rapport over de emulatieresultaten - Threat Emulation Report - in het bijbehorende logboek. De inhoud van zo’n rapport wordt uitgebreid beschreven in ons artikel over . Het is vermeldenswaard dat dit rapport interactief is en u in staat stelt om in de details van elke sectie te duiken. Het is ook mogelijk om een opname van het emulatieproces op een virtuele machine te bekijken, het originele kwaadaardige bestand te downloaden of de hash ervan te verkrijgen, en ook contact op te nemen met het Check Point Incident Response Team.
Forensisch rapport
Voor vrijwel elke beveiligingsgebeurtenis wordt een forensisch rapport gegenereerd, met gedetailleerde informatie over het kwaadaardige bestand: de kenmerken, acties, toegangspunt tot het systeem en de impact op belangrijke bedrijfsmiddelen. De structuur van het rapport hebben we uitgebreid besproken in het artikel over . Een dergelijk rapport is een belangrijke informatiebron bij het onderzoeken van beveiligingsgebeurtenissen en indien nodig kan de inhoud van het rapport onmiddellijk naar het Check Point Incident Response Team worden gestuurd.
SmartView
Check Point SmartView is een handig hulpmiddel voor het maken en bekijken van dynamische dashboards (View) en rapporten in PDF-formaat. Vanuit SmartView kunt u ook gebruikerslogboeken en auditgebeurtenissen voor beheerders bekijken. In onderstaande figuur zijn de handigste rapporten en dashboards weergegeven voor het werken met SandBlast Agent.
Rapporten in SmartView zijn documenten met statistische informatie over gebeurtenissen over een bepaalde periode. Het ondersteunt het uploaden van rapporten in PDF-formaat naar de machine waarop SmartView geopend is, evenals het regelmatig uploaden naar PDF/Excel naar de e-mail van de beheerder. Bovendien ondersteunt het de import/export van rapportsjablonen, het maken van uw eigen rapporten en de mogelijkheid om gebruikersnamen in rapporten te verbergen. De onderstaande afbeelding toont een voorbeeld van een ingebouwd Bedreigingspreventierapport.
Met Dashboards (View) in SmartView heeft de beheerder toegang tot logboeken voor de overeenkomstige gebeurtenis. Dubbelklik eenvoudigweg op het object van interesse, of dit nu een grafiekkolom is of de naam van een kwaadaardig bestand. Net als bij rapporten kunt u uw eigen dashboards maken en gebruikersgegevens verbergen. Dashboards ondersteunen ook het importeren/exporteren van sjablonen, het regelmatig uploaden naar PDF/Excel naar de e-mail van de beheerder en automatische gegevensupdates om beveiligingsgebeurtenissen in realtime te monitoren.
Extra monitoringsecties
Een beschrijving van de monitoringtools in het Management Platform zou onvolledig zijn zonder de secties Overzicht, Computerbeheer, Eindpuntinstellingen en Push-bewerkingen te vermelden. Deze secties zijn gedetailleerd beschreven in Het zal echter nuttig zijn om hun mogelijkheden voor het oplossen van monitoringproblemen te overwegen. Laten we beginnen met Overzicht, dat uit twee subsecties bestaat: Operationeel overzicht en Beveiligingsoverzicht, dit zijn dashboards met informatie over de status van beschermde gebruikersmachines en beveiligingsgebeurtenissen. Net als bij interactie met elk ander dashboard kunt u in de subsecties Operationeel overzicht en Beveiligingsoverzicht, wanneer u dubbelklikt op de betreffende parameter, naar de sectie Computerbeheer gaan met het geselecteerde filter (bijvoorbeeld 'Desktops' of 'Pre- Boot Status: Enabled”), of naar de sectie Logboeken voor een specifieke gebeurtenis. De subsectie Beveiligingsoverzicht is een ‘Cyber Attack View – Endpoint’-dashboard, dat kan worden aangepast en ingesteld om gegevens automatisch bij te werken.
Vanuit het gedeelte Computerbeheer kunt u de status van de agent op gebruikersmachines, de updatestatus van de Anti-Malware-database, de fasen van schijfversleuteling en nog veel meer volgen. Alle gegevens worden automatisch bijgewerkt en voor elk filter wordt het percentage overeenkomende gebruikersmachines weergegeven. Het exporteren van computergegevens in CSV-formaat wordt ook ondersteund.
Een belangrijk aspect van het monitoren van de veiligheid van werkstations is het instellen van meldingen over kritieke gebeurtenissen (Alerts) en het exporteren van logs (Export Events) voor opslag op de logserver van het bedrijf. Beide instellingen worden gemaakt in de sectie Eindpuntinstellingen en voor Alerts Het is mogelijk om een mailserver aan te sluiten om gebeurtenismeldingen naar de beheerder te sturen en drempels te configureren voor het activeren/uitschakelen van meldingen, afhankelijk van het percentage/aantal apparaten dat aan de gebeurteniscriteria voldoet. Evenementen exporteren Hiermee kunt u de overdracht van logbestanden van het Management Platform naar de logserver van het bedrijf configureren voor verdere verwerking. Ondersteunt SYSLOG-, CEF-, LEEF-, SPLUNK-formaten, TCP/UDP-protocollen, alle SIEM-systemen met een actieve syslog-agent, het gebruik van TLS/SSL-codering en syslog-clientauthenticatie.
Voor een diepgaande analyse van gebeurtenissen op de agent of als u contact wilt opnemen met de technische ondersteuning, kunt u snel logboeken verzamelen van de SandBlast Agent-client met behulp van een geforceerde bewerking in de sectie Push-bewerkingen. U kunt de overdracht van het gegenereerde archief met logbestanden naar Check Point-servers of bedrijfsservers configureren, en het archief met logbestanden wordt opgeslagen op de computer van de gebruiker in de directory C:UsersusernameCPInfo. Het ondersteunt het starten van het logboekverzamelingsproces op een bepaald tijdstip en de mogelijkheid om de bewerking door de gebruiker uit te stellen.
Bedreiging op jacht
Threat Hunting wordt gebruikt om proactief te zoeken naar kwaadaardige activiteiten en afwijkend gedrag in een systeem om een potentiële beveiligingsgebeurtenis verder te onderzoeken. Met de sectie Threat Hunting in het Management Platform kunt u zoeken naar gebeurtenissen met gespecificeerde parameters in de computergegevens van de gebruiker.
De Threat Hunting-tool heeft verschillende vooraf gedefinieerde zoekopdrachten, bijvoorbeeld: om kwaadaardige domeinen of bestanden te classificeren, zeldzame verzoeken naar bepaalde IP-adressen te volgen (ten opzichte van algemene statistieken). De verzoekstructuur bestaat uit drie parameters: indicator (netwerkprotocol, procesidentificatie, bestandstype, enz.), operator (“is”, “is niet”, “omvat”, “een van”, enz.) en lichaam aanvragen. U kunt reguliere expressies gebruiken in de hoofdtekst van het verzoek en u kunt meerdere filters tegelijk gebruiken in de zoekbalk.
Nadat u een filter heeft geselecteerd en de aanvraagverwerking heeft voltooid, heeft u toegang tot alle relevante gebeurtenissen, met de mogelijkheid om gedetailleerde informatie over de gebeurtenis te bekijken, het aanvraagobject in quarantaine te plaatsen of een gedetailleerd forensisch rapport te genereren met een beschrijving van de gebeurtenis. Momenteel bevindt deze tool zich in de bètaversie en in de toekomst is het de bedoeling om de reeks mogelijkheden uit te breiden, bijvoorbeeld door informatie over de gebeurtenis toe te voegen in de vorm van een Mitre Att&ck-matrix.
Conclusie
Laten we het samenvatten: in dit artikel hebben we gekeken naar de mogelijkheden van het monitoren van beveiligingsgebeurtenissen in het SandBlast Agent Management Platform, en hebben we een nieuwe tool bestudeerd voor het proactief zoeken naar kwaadaardige acties en afwijkingen op gebruikersmachines: Threat Hunting. Het volgende artikel zal het laatste zijn in deze serie en daarin zullen we de meest gestelde vragen over de Management Platform-oplossing bekijken en praten over de mogelijkheden om dit product te testen.
. Om de volgende publicaties over het onderwerp SandBlast Agent Management Platform niet te missen, volgt u de updates op onze sociale netwerken (, , , , ).
Bron: www.habr.com