Velkommen til den femte artikkelen i serien om Check Point SandBlast Agent Management Platform-løsningen. Tidligere artikler kan bli funnet ved å følge den aktuelle lenken:
Logger
Hovedkilden til informasjon for overvåking av sikkerhetshendelser er Logg-delen, som viser detaljert informasjon om hver hendelse og lar deg også bruke praktiske filtre for å avgrense søkekriteriene. For eksempel, når du høyreklikker på en parameter (Blade, Action, Severity, etc.) i loggen av interesse, kan denne parameteren filtreres som Filter: "Parameter" eller Filtrer ut: "Parameter". Også for kildeparameteren kan alternativet IP-verktøy velges der du kan kjøre en ping til en gitt IP-adresse/navn eller kjøre en nslookup for å få kildens IP-adresse etter navn.
I Logger-delen, for filtrering av hendelser, er det en Statistikk-underseksjon, som viser statistikk for alle parametere: et tidsdiagram med antall logger, samt prosenter for hver parameter. Fra denne underseksjonen kan du enkelt filtrere logger uten å bruke søkefeltet og skrive filtreringsuttrykk - bare velg parameterne av interesse og en ny liste over logger vil umiddelbart vises.
Detaljert informasjon om hver logg er tilgjengelig i høyre panel i Logger-delen, men det er mer praktisk å åpne loggen ved å dobbeltklikke for å analysere innholdet. Nedenfor er et eksempel på en logg (bildet er klikkbart), som viser detaljert informasjon om utløsningen av Forhindre-handlingen til Threat Emulation-bladet på en infisert ".docx"-fil. Loggen har flere underseksjoner som viser detaljene om sikkerhetshendelsen: utløste retningslinjer og beskyttelser, kriminaltekniske detaljer, informasjon om klienten og trafikk. Rapportene som er tilgjengelige fra loggen fortjener spesiell oppmerksomhet – Trusselemuleringsrapport og Kriminalteknisk rapport. Disse rapportene kan også åpnes fra SandBlast Agent-klienten.
Trusselemuleringsrapport
Når du bruker Threat Emulation-bladet, etter at emulering er utført i Check Point-skyen, vises en lenke til en detaljert rapport om emuleringsresultatene - Threat Emulation Report - i den tilsvarende loggen. Innholdet i en slik rapport er beskrevet i detalj i vår artikkel om
Kriminalteknisk rapport
For nesten enhver sikkerhetshendelse genereres en etterforskningsrapport, som inkluderer detaljert informasjon om den skadelige filen: dens egenskaper, handlinger, inngangspunkt til systemet og innvirkning på viktige bedriftsressurser. Vi diskuterte strukturen til rapporten i detalj i artikkelen om
Smartview
Check Point SmartView er et praktisk verktøy for å lage og vise dynamiske dashboards (View) og rapporter i PDF-format. Fra SmartView kan du også se brukerlogger og revisjonshendelser for administratorer. Figuren nedenfor viser de mest nyttige rapportene og dashbordene for å jobbe med SandBlast Agent.
Rapporter i SmartView er dokumenter med statistisk informasjon om hendelser over en viss tidsperiode. Den støtter opplasting av rapporter i PDF-format til maskinen der SmartView er åpen, samt vanlig opplasting til PDF/Excel til administratorens e-post. I tillegg støtter den import/eksport av rapportmaler, opprettelse av egne rapporter, og muligheten til å skjule brukernavn i rapporter. Figuren nedenfor viser et eksempel på en innebygd rapport om trusselforebygging.
Dashboards (View) i SmartView lar administratoren få tilgang til logger for den tilsvarende hendelsen - bare dobbeltklikk på objektet av interesse, enten det er en diagramkolonne eller navnet på en ondsinnet fil. Som med rapporter kan du lage dine egne dashboards og skjule brukerdata. Dashboards støtter også import/eksport av maler, regelmessig opplasting til PDF/Excel til administratorens e-post, og automatiske dataoppdateringer for å overvåke sikkerhetshendelser i sanntid.
Ytterligere overvåkingsseksjoner
En beskrivelse av overvåkingsverktøyene i administrasjonsplattformen vil være ufullstendig uten å nevne seksjonene Oversikt, Databehandling, Endpoint Settings og Push Operations. Disse delene er beskrevet i detalj i
Fra Computer Management-delen kan du overvåke statusen til agenten på brukermaskiner, oppdateringsstatusen til Anti-Malware-databasen, stadiene av diskkryptering og mye mer. Alle data oppdateres automatisk, og for hvert filter vises prosentandelen av matchende brukermaskiner. Eksport av datadata i CSV-format støttes også.
Et viktig aspekt ved å overvåke sikkerheten til arbeidsstasjoner er å sette opp varsler om kritiske hendelser (varsler) og eksportere logger (eksporthendelser) for lagring på selskapets loggserver. Begge innstillingene gjøres i Endpoint Settings-delen, og for Varsler Det er mulig å koble til en e-postserver for å sende hendelsesvarsler til administratoren og konfigurere terskler for å utløse/deaktivere varsler avhengig av prosentandelen/antall enheter som oppfyller hendelseskriteriene. Eksporter hendelser lar deg konfigurere overføringen av logger fra administrasjonsplattformen til selskapets loggserver for videre behandling. Støtter SYSLOG, CEF, LEEF, SPLUNK-formater, TCP/UDP-protokoller, alle SIEM-systemer med en kjørende syslog-agent, bruk av TLS/SSL-kryptering og syslog-klientautentisering.
For en dybdeanalyse av hendelser på agenten eller i tilfelle kontakt med teknisk støtte, kan du raskt samle logger fra SandBlast Agent-klienten ved å bruke en tvungen operasjon i Push Operations-delen. Du kan konfigurere overføringen av det genererte arkivet med logger til Check Point-servere eller bedriftsservere, og arkivet med logger lagres på brukerens maskin i C:UserusernameCPInfo-katalogen. Den støtter oppstart av logginnsamlingsprosessen på et spesifisert tidspunkt og muligheten til å utsette operasjonen av brukeren.
Trusseljakt
Trusseljakt brukes til å proaktivt søke etter ondsinnede aktiviteter og unormal atferd i et system for å undersøke en potensiell sikkerhetshendelse ytterligere. Trusseljaktseksjonen i Management Platform lar deg søke etter hendelser med spesifiserte parametere i brukermaskindataene.
Threat Hunting-verktøyet har flere forhåndsdefinerte spørringer, for eksempel: for å klassifisere ondsinnede domener eller filer, spore sjeldne forespørsler til visse IP-adresser (i forhold til generell statistikk). Forespørselsstrukturen består av tre parametere: indikator (nettverksprotokoll, prosessidentifikator, filtype, etc.), operatør ("er", "er ikke", "inkluderer", "en av", etc.) og forespørselsorgan. Du kan bruke regulære uttrykk i forespørselens brødtekst, og du kan bruke flere filtre samtidig i søkefeltet.
Etter å ha valgt et filter og fullført forespørselsbehandlingen, har du tilgang til alle relevante hendelser, med muligheten til å se detaljert informasjon om hendelsen, sette forespørselsobjektet i karantene eller generere en detaljert kriminalteknisk rapport med en beskrivelse av hendelsen. For øyeblikket er dette verktøyet i betaversjon, og i fremtiden er det planlagt å utvide settet med muligheter, for eksempel å legge til informasjon om hendelsen i form av en Mitre Att&ck-matrise.
Konklusjon
La oss oppsummere: i denne artikkelen så vi på mulighetene for å overvåke sikkerhetshendelser i SandBlast Agent Management Platform, og studerte et nytt verktøy for proaktivt å søke etter ondsinnede handlinger og anomalier på brukermaskiner - Threat Hunting. Den neste artikkelen vil være den siste i denne serien, og i den vil vi se på de oftest stilte spørsmålene om Management Platform-løsningen og snakke om mulighetene for å teste dette produktet.
Kilde: www.habr.com