Witamy w piątym artykule z serii poświęconej rozwiązaniu Check Point SandBlast Agent Management Platform. Poprzednie artykuły można znaleźć klikając w odpowiedni link: , , , . Dzisiaj przyjrzymy się możliwościom monitorowania w Platformie Zarządzania, a mianowicie pracy z logami, interaktywnymi dashboardami (Widok) i raportami. Poruszymy także temat Threat Hunting w celu identyfikacji aktualnych zagrożeń i nietypowych zdarzeń na komputerze użytkownika.
Dzienniki
Głównym źródłem informacji do monitorowania zdarzeń bezpieczeństwa jest sekcja Logi, która wyświetla szczegółowe informacje o każdym zdarzeniu, a także umożliwia skorzystanie z wygodnych filtrów w celu zawężenia kryteriów wyszukiwania. Na przykład po kliknięciu prawym przyciskiem myszy parametru (Blade, Action, Istotność itp.) interesującego dziennika parametr ten można przefiltrować jako Filtr: „Parametr” lub Odfiltruj: „Parametr”. Również dla parametru Źródło można wybrać opcję Narzędzia IP, dzięki której można uruchomić polecenie ping do danego adresu IP/nazwy lub uruchomić nslookup, aby uzyskać źródłowy adres IP według nazwy.
W sekcji Logi do filtrowania zdarzeń znajduje się podsekcja Statystyki, która wyświetla statystyki dotyczące wszystkich parametrów: wykres czasowy z liczbą logów oraz wartości procentowe dla każdego parametru. Z tej podsekcji możesz łatwo filtrować logi bez konieczności korzystania z paska wyszukiwania i wpisywania wyrażeń filtrujących - wystarczy wybrać interesujące Cię parametry, a od razu wyświetli się nowa lista logów.
Szczegółowe informacje o każdym logu dostępne są w prawym panelu sekcji Logi, jednak wygodniej jest otworzyć log poprzez dwukrotne kliknięcie w celu analizy jego zawartości. Poniżej znajduje się przykład dziennika (obrazek można kliknąć), który wyświetla szczegółowe informacje na temat uruchomienia akcji Zapobiegaj bloku Emulacja zagrożeń w stosunku do zainfekowanego pliku „.docx”. Dziennik składa się z kilku podsekcji, które wyświetlają szczegóły zdarzenia związanego z bezpieczeństwem: uruchomione zasady i zabezpieczenia, szczegóły kryminalistyczne, informacje o kliencie i ruchu. Na szczególną uwagę zasługują raporty dostępne z dziennika - Raport o emulacji zagrożeń i Raport kryminalistyczny. Raporty te można również otworzyć z poziomu klienta SandBlast Agent.
Raport o emulacji zagrożeń
W przypadku korzystania z modułu Threat Emulation, po przeprowadzeniu emulacji w chmurze Check Point, w odpowiednim dzienniku pojawia się łącze do szczegółowego raportu na temat wyników emulacji - Threat Emulation Report. Treść takiego raportu szczegółowo opisaliśmy w naszym artykule nt . Warto zaznaczyć, że raport ten ma charakter interaktywny i pozwala „zagłębić się” w szczegóły poszczególnych sekcji. Możliwe jest także obejrzenie nagrania procesu emulacji na maszynie wirtualnej, pobranie oryginalnego szkodliwego pliku lub uzyskanie jego hasha, a także skontaktowanie się z Zespołem Reagowania na Incydenty Check Point.
Raport kryminalistyki
W przypadku niemal każdego zdarzenia związanego z bezpieczeństwem generowany jest raport kryminalistyczny, który zawiera szczegółowe informacje o złośliwym pliku: jego charakterystyce, działaniach, punkcie wejścia do systemu i wpływie na ważne zasoby firmy. Strukturę raportu szczegółowo omówiliśmy w artykule o . Raport taki jest ważnym źródłem informacji przy badaniu zdarzeń związanych z bezpieczeństwem, a w razie potrzeby treść raportu może zostać natychmiast przesłana do Zespołu Reagowania na Incydenty Check Point.
SmartView
Check Point SmartView to wygodne narzędzie do tworzenia i przeglądania dynamicznych dashboardów (View) oraz raportów w formacie PDF. Z poziomu SmartView możesz także przeglądać dzienniki użytkowników i zdarzenia inspekcji dla administratorów. Poniższy rysunek przedstawia najbardziej przydatne raporty i dashboardy do pracy z SandBlast Agent.
Raporty w SmartView to dokumenty zawierające informacje statystyczne dotyczące zdarzeń w określonym przedziale czasu. Obsługuje przesyłanie raportów w formacie PDF do komputera, na którym jest otwarty SmartView, a także regularne przesyłanie do formatu PDF/Excel na adres e-mail administratora. Dodatkowo obsługuje import/eksport szablonów raportów, tworzenie własnych raportów oraz możliwość ukrywania nazw użytkowników w raportach. Poniższy rysunek przedstawia przykład wbudowanego raportu modułu Zapobieganie zagrożeniom.
Pulpity nawigacyjne (Widok) w SmartView umożliwiają administratorowi dostęp do dzienników odpowiednich zdarzeń - wystarczy dwukrotnie kliknąć obiekt zainteresowania, niezależnie od tego, czy jest to kolumna wykresu, czy nazwa złośliwego pliku. Podobnie jak w przypadku raportów, możesz tworzyć własne dashboardy i ukrywać dane użytkowników. Panele obsługują także import/eksport szablonów, regularne przesyłanie do formatu PDF/Excel na pocztę e-mail administratora oraz automatyczną aktualizację danych w celu monitorowania zdarzeń związanych z bezpieczeństwem w czasie rzeczywistym.
Dodatkowe sekcje monitorujące
Opis narzędzi monitorujących w Platformie Zarządzania byłby niekompletny bez wzmianki o sekcjach Przegląd, Zarządzanie komputerem, Ustawienia punktów końcowych i Operacje push. Sekcje te zostały szczegółowo opisane w Jednakże przydatne będzie rozważenie ich możliwości w zakresie rozwiązywania problemów związanych z monitorowaniem. Zacznijmy od Przeglądu, który składa się z dwóch podsekcji – Przeglądu Operacyjnego i Przeglądu Bezpieczeństwa, które stanowią dashboardy zawierające informacje o stanie chronionych komputerów użytkowników i zdarzeniach związanych z bezpieczeństwem. Podobnie jak podczas interakcji z dowolnym innym pulpitem nawigacyjnym, podsekcje Przegląd operacyjny i Przegląd zabezpieczeń, po dwukrotnym kliknięciu interesującego parametru, umożliwiają przejście do sekcji Zarządzanie komputerem z wybranym filtrem (na przykład „Desktopy” lub „Pre- Boot Status: Enabled”) lub do sekcji Dzienniki dla konkretnego zdarzenia. Podsekcja Przegląd zabezpieczeń to pulpit nawigacyjny „Widok cyberataku – Punkt końcowy”, który można dostosować i ustawić tak, aby automatycznie aktualizował dane.
W sekcji Zarządzanie komputerem możesz monitorować status agenta na komputerach użytkowników, status aktualizacji bazy danych Anti-Malware, etapy szyfrowania dysku i wiele więcej. Wszystkie dane są aktualizowane automatycznie, a dla każdego filtra wyświetlany jest procent pasujących komputerów użytkowników. Obsługiwany jest także eksport danych komputerowych w formacie CSV.
Ważnym aspektem monitorowania bezpieczeństwa stacji roboczych jest ustawienie powiadomień o zdarzeniach krytycznych (Alerty) oraz eksport logów (Eksport zdarzeń) w celu przechowywania na firmowym serwerze logów. Obydwa ustawienia dokonuje się w sekcji Ustawienia punktu końcowego i dla Alarmy Istnieje możliwość podłączenia serwera pocztowego w celu wysyłania powiadomień o zdarzeniach do administratora oraz skonfigurowania progów wyzwalania/wyłączania powiadomień w zależności od procentu/liczby urządzeń spełniających kryteria zdarzenia. Eksportuj wydarzenia umożliwia skonfigurowanie przesyłania logów z Platformy Zarządzającej na firmowy serwer logów w celu dalszego przetwarzania. Obsługuje formaty SYSLOG, CEF, LEEF, SPLUNK, protokoły TCP/UDP, dowolne systemy SIEM z działającym agentem syslog, wykorzystanie szyfrowania TLS/SSL i uwierzytelnianie klienta syslog.
W celu dogłębnej analizy zdarzeń na agencie lub w przypadku kontaktu z pomocą techniczną możesz szybko zebrać logi z klienta SandBlast Agent za pomocą wymuszonej operacji w sekcji Operacje Push. Możesz skonfigurować przesyłanie wygenerowanego archiwum z logami na serwery Check Point lub serwery korporacyjne, a archiwum z logami jest zapisywane na komputerze użytkownika w katalogu C:UsersusernameCPInfo. Obsługuje uruchomienie procesu zbierania logów o określonej godzinie i możliwość przełożenia tej operacji przez użytkownika.
Polowanie na zagrożenia
Wyszukiwanie zagrożeń służy do proaktywnego wyszukiwania złośliwych działań i nietypowych zachowań w systemie w celu dokładniejszego zbadania potencjalnego zdarzenia związanego z bezpieczeństwem. Sekcja Threat Hunting w Platformie Zarządzania umożliwia wyszukiwanie zdarzeń o określonych parametrach w danych komputera użytkownika.
Narzędzie Threat Hunting posiada kilka predefiniowanych zapytań, na przykład: w celu klasyfikowania złośliwych domen lub plików, śledzenia rzadkich żądań kierowanych do określonych adresów IP (w odniesieniu do ogólnych statystyk). Struktura żądania składa się z trzech parametrów: wskaźnik (protokół sieciowy, identyfikator procesu, typ pliku itp.), operator („jest”, „nie jest”, „zawiera”, „jeden z” itp.) i treść żądania. W treści żądania możesz używać wyrażeń regularnych, a na pasku wyszukiwania możesz używać wielu filtrów jednocześnie.
Po wybraniu filtra i zakończeniu przetwarzania żądania masz dostęp do wszystkich istotnych zdarzeń, z możliwością przeglądania szczegółowych informacji o zdarzeniu, poddania obiektu żądania kwarantannie lub wygenerowania szczegółowego Raportu kryminalistycznego z opisem zdarzenia. Obecnie narzędzie to jest w wersji beta i w przyszłości planowane jest rozszerzenie zestawu możliwości, np. o dodanie informacji o zdarzeniu w postaci macierzy Mitre Att&ck.
wniosek
Podsumujmy: w tym artykule przyjrzeliśmy się możliwościom monitorowania zdarzeń związanych z bezpieczeństwem w platformie SandBlast Agent Management Platform oraz przestudiowaliśmy nowe narzędzie do proaktywnego wyszukiwania złośliwych działań i anomalii na komputerach użytkowników - Threat Hunting. Następny artykuł będzie ostatnim z tego cyklu i w nim przyjrzymy się najczęściej zadawanym pytaniom dotyczącym rozwiązania Management Platform oraz porozmawiamy o możliwościach testowania tego produktu.
. Aby nie przegapić kolejnych publikacji na temat SandBlast Agent Management Platform, śledź aktualizacje na naszych portalach społecznościowych (, , , , ).
Źródło: www.habr.com