Velkommen til den femte artikkelen i serien om Check Point SandBlast Agent Management Platform-løsningen. Tidligere artikler kan bli funnet ved å følge den aktuelle lenken: , , , . I dag skal vi se på overvåkingsmuligheter i Management Platform, nemlig arbeid med logger, interaktive dashboards (View) og rapporter. Vi vil også berøre temaet Threat Hunting for å identifisere aktuelle trusler og unormale hendelser på brukerens maskin.
Logger
Hovedkilden til informasjon for overvåking av sikkerhetshendelser er Logg-delen, som viser detaljert informasjon om hver hendelse og lar deg også bruke praktiske filtre for å avgrense søkekriteriene. For eksempel, når du høyreklikker på en parameter (Blade, Action, Severity, etc.) i loggen av interesse, kan denne parameteren filtreres som Filter: "Parameter" eller Filtrer ut: "Parameter". Også for kildeparameteren kan alternativet IP-verktøy velges der du kan kjøre en ping til en gitt IP-adresse/navn eller kjøre en nslookup for å få kildens IP-adresse etter navn.
I Logger-delen, for filtrering av hendelser, er det en Statistikk-underseksjon, som viser statistikk for alle parametere: et tidsdiagram med antall logger, samt prosenter for hver parameter. Fra denne underseksjonen kan du enkelt filtrere logger uten å bruke søkefeltet og skrive filtreringsuttrykk - bare velg parameterne av interesse og en ny liste over logger vil umiddelbart vises.
Detaljert informasjon om hver logg er tilgjengelig i høyre panel i Logger-delen, men det er mer praktisk å åpne loggen ved å dobbeltklikke for å analysere innholdet. Nedenfor er et eksempel på en logg (bildet er klikkbart), som viser detaljert informasjon om utløsningen av Forhindre-handlingen til Threat Emulation-bladet på en infisert ".docx"-fil. Loggen har flere underseksjoner som viser detaljene om sikkerhetshendelsen: utløste retningslinjer og beskyttelser, kriminaltekniske detaljer, informasjon om klienten og trafikk. Rapportene som er tilgjengelige fra loggen fortjener spesiell oppmerksomhet – Trusselemuleringsrapport og Kriminalteknisk rapport. Disse rapportene kan også åpnes fra SandBlast Agent-klienten.
Trusselemuleringsrapport
Når du bruker Threat Emulation-bladet, etter at emulering er utført i Check Point-skyen, vises en lenke til en detaljert rapport om emuleringsresultatene - Threat Emulation Report - i den tilsvarende loggen. Innholdet i en slik rapport er beskrevet i detalj i vår artikkel om . Det er verdt å merke seg at denne rapporten er interaktiv og lar deg "dykke inn" detaljene for hver seksjon. Det er også mulig å se et opptak av emuleringsprosessen i en virtuell maskin, laste ned den originale ondsinnede filen eller få hash, og også kontakte Check Point Incident Response Team.
Kriminalteknisk rapport
For nesten enhver sikkerhetshendelse genereres en etterforskningsrapport, som inkluderer detaljert informasjon om den skadelige filen: dens egenskaper, handlinger, inngangspunkt til systemet og innvirkning på viktige bedriftsressurser. Vi diskuterte strukturen til rapporten i detalj i artikkelen om . En slik rapport er en viktig informasjonskilde når man undersøker sikkerhetshendelser, og om nødvendig kan innholdet i rapporten umiddelbart sendes til Check Point Incident Response Team.
Smartview
Check Point SmartView er et praktisk verktøy for å lage og vise dynamiske dashboards (View) og rapporter i PDF-format. Fra SmartView kan du også se brukerlogger og revisjonshendelser for administratorer. Figuren nedenfor viser de mest nyttige rapportene og dashbordene for å jobbe med SandBlast Agent.
Rapporter i SmartView er dokumenter med statistisk informasjon om hendelser over en viss tidsperiode. Den støtter opplasting av rapporter i PDF-format til maskinen der SmartView er åpen, samt vanlig opplasting til PDF/Excel til administratorens e-post. I tillegg støtter den import/eksport av rapportmaler, opprettelse av egne rapporter, og muligheten til å skjule brukernavn i rapporter. Figuren nedenfor viser et eksempel på en innebygd rapport om trusselforebygging.
Dashboards (View) i SmartView lar administratoren få tilgang til logger for den tilsvarende hendelsen - bare dobbeltklikk på objektet av interesse, enten det er en diagramkolonne eller navnet på en ondsinnet fil. Som med rapporter kan du lage dine egne dashboards og skjule brukerdata. Dashboards støtter også import/eksport av maler, regelmessig opplasting til PDF/Excel til administratorens e-post, og automatiske dataoppdateringer for å overvåke sikkerhetshendelser i sanntid.
Ytterligere overvåkingsseksjoner
En beskrivelse av overvåkingsverktøyene i administrasjonsplattformen vil være ufullstendig uten å nevne seksjonene Oversikt, Databehandling, Endpoint Settings og Push Operations. Disse delene er beskrevet i detalj i , men det vil være nyttig å vurdere deres evner for å løse overvåkingsproblemer. La oss starte med Oversikt, som består av to underseksjoner – Driftsoversikt og Sikkerhetsoversikt, som er dashbord med informasjon om tilstanden til beskyttede brukermaskiner og sikkerhetshendelser. Som når du samhandler med et hvilket som helst annet dashbord, lar underseksjonene Driftsoversikt og Sikkerhetsoversikt deg, når du dobbeltklikker på parameteren av interesse, komme til Computer Management-delen med det valgte filteret (for eksempel "Desktops" eller "Pre- Boot Status: Enabled"), eller til delen Logger for en spesifikk hendelse. Sikkerhetsoversikt underseksjonen er et "Cyber Attack View - Endpoint" dashbord, som kan tilpasses og settes til å automatisk oppdatere data.
Fra Computer Management-delen kan du overvåke statusen til agenten på brukermaskiner, oppdateringsstatusen til Anti-Malware-databasen, stadiene av diskkryptering og mye mer. Alle data oppdateres automatisk, og for hvert filter vises prosentandelen av matchende brukermaskiner. Eksport av datadata i CSV-format støttes også.
Et viktig aspekt ved å overvåke sikkerheten til arbeidsstasjoner er å sette opp varsler om kritiske hendelser (varsler) og eksportere logger (eksporthendelser) for lagring på selskapets loggserver. Begge innstillingene gjøres i Endpoint Settings-delen, og for Varsler Det er mulig å koble til en e-postserver for å sende hendelsesvarsler til administratoren og konfigurere terskler for å utløse/deaktivere varsler avhengig av prosentandelen/antall enheter som oppfyller hendelseskriteriene. Eksporter hendelser lar deg konfigurere overføringen av logger fra administrasjonsplattformen til selskapets loggserver for videre behandling. Støtter SYSLOG, CEF, LEEF, SPLUNK-formater, TCP/UDP-protokoller, alle SIEM-systemer med en kjørende syslog-agent, bruk av TLS/SSL-kryptering og syslog-klientautentisering.
For en dybdeanalyse av hendelser på agenten eller i tilfelle kontakt med teknisk støtte, kan du raskt samle logger fra SandBlast Agent-klienten ved å bruke en tvungen operasjon i Push Operations-delen. Du kan konfigurere overføringen av det genererte arkivet med logger til Check Point-servere eller bedriftsservere, og arkivet med logger lagres på brukerens maskin i C:UserusernameCPInfo-katalogen. Den støtter oppstart av logginnsamlingsprosessen på et spesifisert tidspunkt og muligheten til å utsette operasjonen av brukeren.
Trusseljakt
Trusseljakt brukes til å proaktivt søke etter ondsinnede aktiviteter og unormal atferd i et system for å undersøke en potensiell sikkerhetshendelse ytterligere. Trusseljaktseksjonen i Management Platform lar deg søke etter hendelser med spesifiserte parametere i brukermaskindataene.
Threat Hunting-verktøyet har flere forhåndsdefinerte spørringer, for eksempel: for å klassifisere ondsinnede domener eller filer, spore sjeldne forespørsler til visse IP-adresser (i forhold til generell statistikk). Forespørselsstrukturen består av tre parametere: indikator (nettverksprotokoll, prosessidentifikator, filtype, etc.), operatør ("er", "er ikke", "inkluderer", "en av", etc.) og forespørselsorgan. Du kan bruke regulære uttrykk i forespørselens brødtekst, og du kan bruke flere filtre samtidig i søkefeltet.
Etter å ha valgt et filter og fullført forespørselsbehandlingen, har du tilgang til alle relevante hendelser, med muligheten til å se detaljert informasjon om hendelsen, sette forespørselsobjektet i karantene eller generere en detaljert kriminalteknisk rapport med en beskrivelse av hendelsen. For øyeblikket er dette verktøyet i betaversjon, og i fremtiden er det planlagt å utvide settet med muligheter, for eksempel å legge til informasjon om hendelsen i form av en Mitre Att&ck-matrise.
Konklusjon
La oss oppsummere: i denne artikkelen så vi på mulighetene for å overvåke sikkerhetshendelser i SandBlast Agent Management Platform, og studerte et nytt verktøy for proaktivt å søke etter ondsinnede handlinger og anomalier på brukermaskiner - Threat Hunting. Den neste artikkelen vil være den siste i denne serien, og i den vil vi se på de oftest stilte spørsmålene om Management Platform-løsningen og snakke om mulighetene for å teste dette produktet.
. For ikke å gå glipp av de neste publikasjonene om emnet SandBlast Agent Management Platform, følg oppdateringene på våre sosiale nettverk (, , , , ).
Kilde: www.habr.com