د چیک پوائنټ سینډ بلاسټ اجنټ مدیریت پلیټ فارم حل په اړه لړۍ کې پنځمې مقالې ته ښه راغلاست. پخوانۍ مقالې د مناسب لینک په تعقیب موندلی شئ: , , , . نن ورځ به موږ د مدیریت په پلیټ فارم کې د څارنې وړتیاوو ته وګورو، د بیلګې په توګه د لاګونو، متقابل ډشبورډونو (لید) او راپورونو سره کار کول. موږ به د ګواښ ښکار موضوع باندې هم اړیکه ونیسو ترڅو د کارونکي ماشین کې اوسني ګواښونه او غیر معمولي پیښې وپیژنو.
ننوتونونه
د امنیتي پیښو د څارنې لپاره د معلوماتو اصلي سرچینه د Logs برخه ده، کوم چې د هرې پیښې په اړه مفصل معلومات ښیې او تاسو ته اجازه درکوي چې ستاسو د لټون معیارونو اصلاح کولو لپاره مناسب فلټرونه وکاروئ. د مثال په توګه، کله چې تاسو د ګټو د ننوتلو پیرامیټر (بلیډ، عمل، شدت، او نور) باندې ښي کلیک وکړئ، دا پیرامیټر فلټر کیدی شي لکه څنګه چې فلټر: "پیرامیټ" او یا فلټر کول: "پیرامیټ". همچنان ، د سرچینې پیرامیټر لپاره ، د IP اوزار اختیار غوره کیدی شي ، په کوم کې چې تاسو کولی شئ ورکړل شوي IP پتې/نوم ته پینګ چل کړئ یا د نوم په واسطه د سرچینې IP پتې ترلاسه کولو لپاره nslookup چل کړئ.
د لوګو برخه کې، د پیښو د فلټر کولو لپاره، د احصایې فرعي برخه شتون لري، کوم چې په ټولو پیرامیټونو کې احصایې ښیي: د لاګونو شمیر سره د وخت ډیاګرام، او همدارنګه د هر پیرامیټر لپاره سلنه. د دې فرعي برخې څخه تاسو کولی شئ د لټون بار کارولو او د فلټر کولو توضیحاتو لیکلو پرته لاګونه په اسانۍ سره فلټر کړئ - یوازې د ګټو پیرامیټونه غوره کړئ او د لاګونو نوی لیست به سمدلاسه ښکاره شي.
د هر لاګ په اړه تفصيلي معلومات د لاګ برخې په ښي پینل کې شتون لري، مګر دا د مینځپانګې تحلیل لپاره دوه ځله کلیک کولو سره د ننوتلو خلاصول خورا اسانه دي. لاندې د لاګ یوه بیلګه ده (عکس د کلیک کولو وړ دی)، کوم چې په اخته شوي ".docx" فایل کې د ګواښ ایمولیشن بلیډ د مخنیوي عمل د محرک کولو په اړه مفصل معلومات ښیې. لاګ ډیری فرعي برخې لري چې د امنیت پیښې توضیحات ښیې: پیل شوي پالیسي او محافظتونه ، د عدلي توضیحاتو ، د پیرودونکي او ترافیک په اړه معلومات. د لاګ څخه موجود راپورونه د ځانګړي پاملرنې مستحق دي - د ګواښ ایمولیشن راپور او د عدلي راپور. دا راپورونه د SandBlast اجنټ پیرودونکي څخه هم خلاص کیدی شي.
د ګواښ ایمولیشن راپور
کله چې د ګواښ ایمولیشن بلیډ وکاروئ ، وروسته له دې چې ایمولیشن په چیک پوائنټ کلاوډ کې ترسره کیږي ، د ایمولیشن پایلو په اړه مفصل راپور ته لینک - د ګواښ ایمولیشن راپور - په ورته لاګ کې څرګندیږي. د دې ډول راپور محتويات زموږ په مقاله کې په تفصیل سره تشریح شوي . دا د یادونې وړ ده چې دا راپور متقابل دی او تاسو ته اجازه درکوي د هرې برخې لپاره توضیحات "ډبۍ" کړئ. دا هم امکان لري چې په مجازی ماشین کې د ایمولیشن پروسې ریکارډ وګورئ ، اصلي ناوړه فایل ډاونلوډ کړئ یا د هغې هش ترلاسه کړئ ، او د چیک پوائنټ پیښې غبرګون ټیم سره هم اړیکه ونیسئ.
د عدلي طب راپور
د نږدې هرې امنیتي پیښې لپاره ، د فارنزیک راپور رامینځته کیږي ، کوم چې د ناوړه فایل په اړه مفصل معلومات پکې شامل دي: د هغې ځانګړتیاوې ، کړنې ، سیسټم ته د ننوتلو نقطه او د مهم شرکت شتمنیو اغیزه. موږ د راپور جوړښت په اړه په مقاله کې په تفصیل سره بحث وکړ . دا ډول راپور د امنیتي پیښو د څیړلو په وخت کې د معلوماتو یوه مهمه سرچینه ده، او که اړتیا وي، د راپور مینځپانګه سمدستي د چیک پوائنټ پیښې غبرګون ټیم ته لیږل کیدی شي.
سمارټ ویو
د چیک پوائنټ سمارټ ویو د متحرک ډشبورډونو رامینځته کولو او لیدو لپاره اسانه وسیله ده (لید) او راپورونه په PDF بڼه. د سمارټ ویو څخه تاسو کولی شئ د مدیرانو لپاره د کارونکي لاګونه او د پلټنې پیښې هم وګورئ. لاندې انځور د سانډ بلاسټ اجنټ سره کار کولو لپاره خورا ګټور راپورونه او ډشبورډونه ښیې.
په سمارټ ویو کې راپورونه د یوې ټاکلې مودې په اوږدو کې د پیښو په اړه احصایوي معلوماتو سره اسناد دي. دا ماشین ته د پی ډی ایف فارمیټ کې د راپورونو اپلوډ کولو ملاتړ کوي چیرې چې سمارټ ویو خلاص وي ، په بیله بیا د مدیر بریښنالیک ته پی ډی ایف / ایکسل ته منظم اپلوډ کول. برسېره پردې، دا د راپور ټیمپلیټونو واردول / صادرات، ستاسو د خپلو راپورونو جوړول، او په راپورونو کې د کارن نومونو پټولو وړتیا ملاتړ کوي. لاندې انځور د ګواښ مخنیوي راپور جوړ شوی مثال ښیي.
په سمارټ ویو کې ډشبورډونه ( لید) مدیر ته اجازه ورکوي چې د اړوندې پیښې لپاره لاګونو ته لاسرسی ومومي - یوازې د علاقې وړ شی باندې دوه ځله کلیک وکړئ ، دا د چارټ کالم یا د ناوړه فایل نوم وي. لکه څنګه چې د راپورونو سره، تاسو کولی شئ خپل ډشبورډونه جوړ کړئ او د کاروونکي ډاټا پټ کړئ. ډشبورډونه د ټیمپلیټونو واردات/صادرات هم ملاتړ کوي ، د مدیر بریښنالیک ته PDF/Excel ته منظم اپلوډ کول ، او په ریښتیني وخت کې د امنیت پیښو نظارت کولو لپاره د اتوماتیک ډیټا تازه معلومات.
د څارنې اضافي برخې
د مدیریت په پلیټ فارم کې د څارنې وسیلو توضیحات به د عمومي لید ، کمپیوټر مدیریت ، پای ټکي تنظیماتو او د فشار عملیاتو برخو له ذکر کولو پرته بشپړ نه وي. دا برخې په تفصیل سره تشریح شوي په هرصورت، دا به ګټور وي چې د څارنې د ستونزو د حل لپاره د دوی وړتیاوې په پام کې ونیول شي. راځئ چې د عمومي لید سره پیل وکړو، کوم چې دوه فرعي برخې لري - عملیاتي کتنه او امنیت کتنه، کوم چې د خوندي کاروونکي ماشینونو او امنیتي پیښو په اړه د معلوماتو سره ډشبورډونه دي. لکه څنګه چې د کوم بل ډشبورډ سره متقابل عمل کول ، عملیاتي کتنه او د امنیت عمومي لید فرعي برخې ، کله چې د ګټو پیرامیټر باندې دوه ځله کلیک وکړئ ، تاسو ته اجازه درکوي د ټاکل شوي فلټر سره د کمپیوټر مدیریت برخې ته ورشئ (د مثال په توګه ، "ډېسکټاپ" یا "پری- د بوټ حالت: فعال شوی")، یا د یوې ځانګړې پیښې لپاره د ننوتلو برخې ته. د امنیت لید فرعي برخه د "سایبر برید لید - پای ټکی" ډشبورډ دی ، کوم چې تنظیم کیدی شي او په اتوماتيک ډول ډیټا تازه کولو لپاره تنظیم کیدی شي.
د کمپیوټر مدیریت برخې څخه تاسو کولی شئ د کارونکي ماشینونو کې د اجنټ حالت وڅارئ، د مالویر ضد ډیټابیس تازه حالت، د ډیسک کوډ کولو مرحلې، او نور ډیر څه. ټول معلومات په اوتومات ډول تازه کیږي ، او د هر فلټر لپاره د ورته کارونکي ماشینونو سلنه ښودل کیږي. په CSV بڼه کې د کمپیوټر ډیټا صادرول هم ملاتړ کیږي.
د کار سټیشنونو امنیت څارنې یو مهم اړخ د شرکت په لاګ سرور کې د ذخیره کولو لپاره د مهمو پیښو (الارټس) او صادرولو لاګونو (صادراتو پیښو) په اړه خبرتیاوې ترتیب کول دي. دواړه تنظیمات د پای ټکي تنظیماتو برخه کې رامینځته شوي ، او د دې لپاره خبرتیاوې دا ممکنه ده چې د بریښنالیک سرور سره وصل کړئ ترڅو مدیر ته د پیښې خبرتیاوې واستوي او د خبرتیاو رامینځته کولو / غیر فعال کولو لپاره حدونه تنظیم کړي د وسیلو سلنه / شمیر پورې اړه لري چې د پیښې معیارونه پوره کوي. د پیښو صادرول تاسو ته اجازه درکوي د لاګونو لیږد تنظیم کړئ د مدیریت پلیټ فارم څخه د شرکت لاګ سرور ته د نورو پروسس کولو لپاره. د SYSLOG، CEF، LEEF، SPLUNK فارمیټونو، TCP/UDP پروتوکولونو، هر ډول SIEM سیسټمونو سره د چلونکي syslog اجنټ، د TLS/SSL کوډ کولو او د syslog مراجعینو تصدیق کولو ملاتړ کوي.
د اجنټ په اړه د پیښو د ژورې تحلیل لپاره یا د تخنیکي ملاتړ سره د تماس په صورت کې، تاسو کولی شئ په چټکۍ سره د سانډ بلاسټ اجنټ پیرودونکي څخه لاګونه راټول کړئ د فشار عملیاتو برخه کې د جبري عملیاتو په کارولو سره. تاسو کولی شئ د چیک پوائنټ سرورونو یا کارپوریټ سرورونو ته د لاګونو سره د رامینځته شوي آرشیف لیږد تنظیم کړئ ، او د لاګونو سره آرشیف د کارونکي ماشین کې په C:UsersusernameCPInfo لارښود کې خوندي شوی. دا په ټاکلي وخت کې د لاګ راټولولو پروسې پیل کولو او د کارونکي لخوا د عملیاتو ځنډولو وړتیا ملاتړ کوي.
د ګواښ ښکار
د ګواښ ښکار په سیسټم کې د ناوړه فعالیتونو او غیرعادلانه چلند لټون لپاره په فعاله توګه کارول کیږي ترڅو د احتمالي امنیتي پیښې نور تحقیق وکړي. د مدیریت پلیټ فارم کې د ګواښ ښکار برخه تاسو ته اجازه درکوي د کاروونکو ماشین ډیټا کې د مشخصو پیرامیټونو سره د پیښو لټون وکړئ.
د ګواښ ښکار وسیلې ډیری تعریف شوي پوښتنې لري، د بیلګې په توګه: د ناوړه ډومینونو یا فایلونو طبقه بندي کولو لپاره، ځینې IP پتې ته نادر غوښتنې تعقیب کړئ (د عمومي احصایو سره تړاو لري). د غوښتنې جوړښت له دریو پیرامیټونو څخه جوړ دی: شاخص (د شبکې پروتوکول، د پروسې پیژندونکی، د فایل ډول، او نور) چلونکی او د بدن غوښتنه. تاسو کولی شئ د غوښتنې په بدن کې منظم څرګندونې وکاروئ، او تاسو کولی شئ د لټون بار کې په ورته وخت کې ډیری فلټرونه وکاروئ.
د فلټر غوره کولو او د غوښتنې پروسس بشپړولو وروسته ، تاسو ټولو اړونده پیښو ته لاسرسی لرئ ، د پیښې په اړه د مفصل معلوماتو لیدو وړتیا سره ، د غوښتنې اعتراض قرنطین کړئ ، یا د پیښې توضیح سره تفصيلي فارنزیک راپور رامینځته کړئ. اوس مهال، دا وسیله په بیټا نسخه کې ده او په راتلونکي کې پالن شوی چې د وړتیاوو سیټ پراخ کړي، د بیلګې په توګه، د Miter Att&ck matrix په بڼه د پیښې په اړه معلومات اضافه کول.
پایلې
راځئ چې لنډیز وکړو: پدې مقاله کې موږ د سانډ بلاسټ اجنټ مدیریت پلیټ فارم کې د امنیتي پیښو نظارت کولو وړتیاو ته کتنه وکړه ، او د کارونکي ماشینونو کې د ناوړه عملونو او ګډوډیو لپاره په فعاله توګه د لټون لپاره یوه نوې وسیله مطالعه کړه - د ګواښ ښکار. راتلونکی مقاله به پدې لړۍ کې وروستۍ وي او پدې کې به موږ د مدیریت پلیټ فارم حل په اړه ډیری پوښتل شوي پوښتنې وګورو او د دې محصول ازموینې امکاناتو په اړه وغږیږو.
. د دې لپاره چې د سینډ بلاسټ اجنټ مدیریت پلیټ فارم موضوع باندې راتلونکي خپرونې له لاسه ورنکړو ، زموږ په ټولنیزو شبکو کې تازه معلومات تعقیب کړئ (, , , , ).
سرچینه: www.habr.com