Zapraszamy na lekcję 12. Dzisiaj porozmawiamy o innym bardzo ważnym temacie, a mianowicie praca z dziennikami i raportami. Czasami ta funkcjonalność jest niemal decydująca przy wyborze środka ochrony. „Zabezpieczeni” bardzo upodobali sobie wygodny system raportowania i funkcjonalną wyszukiwarkę różnych zdarzeń. Trudno ich winić. W rzeczywistości logi i raporty są najważniejszym elementem oceny bezpieczeństwa. Jak zrozumieć obecny poziom bezpieczeństwa, jeśli nie widać, co się dzieje? Na szczęście Check Point jest w idealnym porządku pod tym względem, a nawet więcej. Check Point ma jeden z najlepszych gotowych systemów raportowania! Jednocześnie możliwe jest dostosowywanie i tworzenie własnych raportów! Całość dopełnia wygodny i intuicyjny proces pracy z logami. Ale porozmawiajmy o wszystkim w porządku.
Całkowicie nowy interfejs
Jeśli wcześniej pracowałeś z Check Point, musiałeś być zaskoczony zupełnie nowym interfejsem do pracy z logami i raportami w R80. Obrazek pokazuje, jak wiele różnych narzędzi zostało połączonych w ramach jednej nowej karty Dzienniki i monitorowanie:
Sekcja dzienników i monitorowania
Jeśli przejdziesz do Logs & Monitor i otworzysz nową kartę, powinieneś zobaczyć coś takiego:
Domyślnie są tutaj dwie duże sekcje:
- Widok dziennika audytu - tutaj znajdziesz wszystkie zdarzenia związane z wejściem/wyjściem administratorów, zmianami w konfiguracji itp. Te. klasyczny audyt działań administratora.
- widok dziennika - tutaj możesz wyszukać zdarzenia, które „generują” wszystkie nasze włączone moduły, czy to firewall, program antywirusowy, IPS itp. Korzystaliśmy już z tej funkcji nie raz.
Ponadto tutaj znajdują się linki do raportów (Raporty) i różne pulpity nawigacyjne (odwiedzajacy). Do działania wymagają włączonego ostrza. Inteligentne wydarzenie. Ale o tym później. Najpierw zajmijmy się pracą z dziennikami.
Wyszukiwanie dziennika
Moim zdaniem praca z kłodami w R80 to przyjemność. Mamy bardzo inteligentny ciąg wyszukiwania, który pozwala nam „wycinać” zarówno dowolny tekst, jak i ostrze, a także dowolne inne indeksowane parametry, takie jak źródło, miejsce docelowe, akcja itp.
Jednocześnie możemy komponować bardzo złożone zapytania wyszukiwania za pomocą operatorów logicznych ROLNICZE, OR, NIE. I wcale nie trzeba tego drukować. Filtr można utworzyć za pomocą zaledwie kilku kliknięć myszką. Nieco później spróbujemy wszystkiego w praktyce.
Wyświetlanie komunikatów dziennika według listy dostępu
Ponadto oceniliśmy już możliwość wyświetlania dzienników dla określonej listy dostępu. Jest niesamowicie wygodny i bardzo szybko można się do niego przyzwyczaić. Jest to szczególnie pomocne podczas rozwiązywania problemów. Zaznaczyłem interesującą Cię „listę dostępu” i spójrz od dołu, aby zobaczyć, czy pod nią mieści się niezbędny ruch.
Nie musisz nigdzie iść ani tworzyć złożonego filtra dziennika.
Widoki i raporty
Blade odpowiada za raportowanie i wizualizację danych w Check Point Inteligentne wydarzenie, który jest aktywowany na serwerze zarządzania. Tę funkcjonalność można śmiało nazwać SIEM, ale tylko dla produktów Check Point! Technicznie rzecz biorąc, na Smart Event można zawinąć logi z innych systemów (takich jak cisco, microsoft itp.), ale nie jest to najlepszy pomysł 🙂 W praktyce jest to bardzo problematyczne. Ale SmartEvent radzi sobie z dziennikami „punktów kontrolnych” po prostu wspaniale. Może korelować, sumować, średnią i więcej. I wszystko działa od razu po wyjęciu z pudełka! Oczywiście są gotowe dashboardy do wyświetlania najważniejszych informacji. W Check Point są nazywane odwiedzajacy:
Jak widać, istnieje tutaj całkiem spora liczba domyślnych dashboardów, które są bardzo przydatne w codziennej administracji i monitoringu.
Oprócz kokpitów, gdzie informacje są po prostu wizualizowane, istnieje możliwość generowania pełnowartościowych raportów i zapisywania ich w formacie pdf lub excel. Możesz generować je zgodnie z harmonogramem i wysyłać na dowolną skrzynkę pocztową.
I najprzyjemniejszy! Możesz samodzielnie tworzyć dashboardy i raporty! Te. nie jesteś ograniczony do wbudowanych. Nie każdy sprzedawca może się tym pochwalić. Jednocześnie szablony tych kokpitów lub raportów można importować lub eksportować, co pozwala użytkownikom dzielić się najlepszymi praktykami. Proces tworzenia dashboardu jest bardzo prosty i intuicyjny. Postaram się to pokazać w ramach laboratorium, które znajdziesz w poniższym samouczku wideo.
Film instruktażowy
Czekajcie na więcej i dołączcie do nas 🙂
Źródło: www.habr.com