Bem-vindo ao quinto artigo da série sobre a solução Check Point SandBlast Agent Management Platform. Artigos anteriores podem ser encontrados seguindo o link apropriado: , , , . Hoje iremos analisar as capacidades de monitorização na Plataforma de Gestão, nomeadamente trabalhar com logs, dashboards interativos (View) e relatórios. Também abordaremos o tópico Threat Hunting para identificar ameaças atuais e eventos anômalos na máquina do usuário.
Logs
A principal fonte de informações para monitorar eventos de segurança é a seção Logs, que exibe informações detalhadas sobre cada incidente e também permite usar filtros convenientes para refinar seus critérios de pesquisa. Por exemplo, ao clicar com o botão direito em um parâmetro (Blade, Action, Severity, etc.) do log de interesse, este parâmetro pode ser filtrado como Filtro: "Parâmetro" ou Filtrar: "Parâmetro". Também para o parâmetro Fonte, a opção Ferramentas IP pode ser selecionada, onde você pode executar um ping para um determinado endereço/nome IP ou executar um nslookup para obter o endereço IP de origem por nome.
Na seção Logs, para filtragem de eventos, existe uma subseção Estatísticas, que exibe estatísticas de todos os parâmetros: um diagrama temporal com a quantidade de logs, bem como porcentagens para cada parâmetro. A partir desta subseção você pode filtrar facilmente os logs sem usar a barra de pesquisa e escrever expressões de filtragem - basta selecionar os parâmetros de interesse e uma nova lista de logs será exibida imediatamente.
Informações detalhadas sobre cada log estão disponíveis no painel direito da seção Logs, mas é mais conveniente abrir o log clicando duas vezes para analisar o conteúdo. Abaixo está um exemplo de log (a imagem é clicável), que exibe informações detalhadas sobre o acionamento da ação Prevenir da folha Emulação de ameaças em um arquivo ".docx" infectado. O log possui diversas subseções que exibem os detalhes do evento de segurança: políticas e proteções acionadas, detalhes forenses, informações sobre o cliente e o tráfego. Merecem atenção especial os relatórios disponíveis no log – Relatório de Emulação de Ameaças e Relatório Forense. Esses relatórios também podem ser abertos no cliente SandBlast Agent.
Relatório de emulação de ameaças
Ao usar a lâmina Threat Emulation, após a emulação ser realizada na nuvem Check Point, um link para um relatório detalhado sobre os resultados da emulação - Threat Emulation Report - aparece no log correspondente. O conteúdo desse relatório é descrito detalhadamente em nosso artigo sobre . Vale ressaltar que este relatório é interativo e permite “mergulhar” nos detalhes de cada seção. Também é possível visualizar uma gravação do processo de emulação em uma máquina virtual, baixar o arquivo malicioso original ou obter seu hash, e também entrar em contato com a Equipe de Resposta a Incidentes da Check Point.
Relatório Forense
Para quase todos os eventos de segurança, é gerado um Relatório Forense, que inclui informações detalhadas sobre o arquivo malicioso: suas características, ações, ponto de entrada no sistema e impacto em ativos importantes da empresa. Discutimos a estrutura do relatório em detalhes no artigo sobre . Tal relatório é uma importante fonte de informação na investigação de eventos de segurança e, se necessário, o conteúdo do relatório pode ser enviado imediatamente para a Equipa de Resposta a Incidentes da Check Point.
SmartView
Check Point SmartView é uma ferramenta conveniente para criar e visualizar painéis dinâmicos (View) e relatórios em formato PDF. No SmartView você também pode visualizar logs de usuários e eventos de auditoria para administradores. A figura abaixo mostra os relatórios e painéis mais úteis para trabalhar com o SandBlast Agent.
Os relatórios no SmartView são documentos com informações estatísticas sobre eventos ocorridos durante um determinado período de tempo. Ele suporta o upload de relatórios em formato PDF para a máquina onde o SmartView está aberto, bem como o upload regular em PDF/Excel para o e-mail do administrador. Além disso, suporta importação/exportação de modelos de relatórios, criação de seus próprios relatórios e capacidade de ocultar nomes de usuários em relatórios. A figura abaixo mostra um exemplo de relatório integrado de Prevenção contra ameaças.
Os Dashboards (View) no SmartView permitem ao administrador acessar os logs do evento correspondente - basta clicar duas vezes no objeto de interesse, seja uma coluna do gráfico ou o nome de um arquivo malicioso. Tal como acontece com os relatórios, você pode criar seus próprios painéis e ocultar os dados do usuário. Os painéis também suportam importação/exportação de modelos, upload regular em PDF/Excel para o e-mail do administrador e atualizações automáticas de dados para monitorar eventos de segurança em tempo real.
Seções adicionais de monitoramento
Uma descrição das ferramentas de monitoramento na Plataforma de Gerenciamento ficaria incompleta sem mencionar as seções Visão Geral, Gerenciamento do Computador, Configurações de Endpoint e Operações Push. Essas seções foram descritas em detalhes em , no entanto, será útil considerar as suas capacidades para resolver problemas de monitorização. Vamos começar com Visão Geral, que consiste em duas subseções - Visão Geral Operacional e Visão Geral de Segurança, que são painéis com informações sobre o estado das máquinas protegidas dos usuários e eventos de segurança. Como ao interagir com qualquer outro dashboard, as subseções Visão Geral Operacional e Visão Geral de Segurança, ao clicar duas vezes no parâmetro de interesse, permitem chegar à seção Gerenciamento do Computador com o filtro selecionado (por exemplo, “Desktops” ou “Pré- Boot Status: Enabled”) ou para a seção Logs de um evento específico. A subseção Visão geral de segurança é um painel “Visualização de ataque cibernético – Endpoint”, que pode ser personalizado e configurado para atualizar dados automaticamente.
Na seção Gerenciamento do Computador você pode monitorar o status do agente nas máquinas dos usuários, o status de atualização do banco de dados Anti-Malware, os estágios de criptografia do disco e muito mais. Todos os dados são atualizados automaticamente e, para cada filtro, é exibida a porcentagem de máquinas de usuários correspondentes. A exportação de dados de computador em formato CSV também é suportada.
Um aspecto importante do monitoramento da segurança das estações de trabalho é a configuração de notificações sobre eventos críticos (Alertas) e a exportação de logs (Exportar Eventos) para armazenamento no servidor de logs da empresa. Ambas as configurações são feitas na seção Configurações do Endpoint e, para Alertas É possível conectar um servidor de e-mail para enviar notificações de eventos ao administrador e configurar limites para acionamento/desativação de notificações dependendo da porcentagem/número de dispositivos que atendem aos critérios do evento. Exportar Eventos permite configurar a transferência de logs da Plataforma de Gerenciamento para o servidor de logs da empresa para posterior processamento. Suporta formatos SYSLOG, CEF, LEEF, SPLUNK, protocolos TCP/UDP, qualquer sistema SIEM com um agente syslog em execução, o uso de criptografia TLS/SSL e autenticação de cliente syslog.
Para uma análise aprofundada dos eventos no agente ou no caso de entrar em contato com o suporte técnico, você pode coletar rapidamente logs do cliente SandBlast Agent usando uma operação forçada na seção Operações Push. Você pode configurar a transferência do arquivo gerado com logs para servidores Check Point ou servidores corporativos, e o arquivo com logs é salvo na máquina do usuário no diretório C:UsersusernameCPInfo. Ele suporta o lançamento do processo de coleta de log em um horário especificado e a capacidade de adiar a operação pelo usuário.
Ameaça de caça
O Threat Hunting é usado para pesquisar proativamente atividades maliciosas e comportamento anômalo em um sistema para investigar mais detalhadamente um possível evento de segurança. A seção Threat Hunting na Plataforma de Gerenciamento permite pesquisar eventos com parâmetros especificados nos dados da máquina do usuário.
A ferramenta Threat Hunting possui diversas consultas predefinidas, por exemplo: para classificar domínios ou arquivos maliciosos, rastrear solicitações raras para determinados endereços IP (em relação a estatísticas gerais). A estrutura da solicitação consiste em três parâmetros: indicador (protocolo de rede, identificador de processo, tipo de arquivo, etc.), operador (“é”, “não é”, “inclui”, “um de”, etc.) e corpo da solicitação. Você pode usar expressões regulares no corpo da solicitação e vários filtros simultaneamente na barra de pesquisa.
Após selecionar um filtro e concluir o processamento da solicitação, você terá acesso a todos os eventos relevantes, com a capacidade de visualizar informações detalhadas sobre o evento, colocar o objeto da solicitação em quarentena ou gerar um Relatório Forense detalhado com uma descrição do evento. Atualmente esta ferramenta está em versão beta e no futuro está prevista a ampliação do conjunto de funcionalidades, por exemplo, agregando informações sobre o evento na forma de uma matriz Mitre Att&ck.
Conclusão
Vamos resumir: neste artigo examinamos os recursos de monitoramento de eventos de segurança na plataforma de gerenciamento de agentes SandBlast e estudamos uma nova ferramenta para busca proativa de ações maliciosas e anomalias nas máquinas dos usuários - Threat Hunting. O próximo artigo será o último desta série e nele veremos as dúvidas mais frequentes sobre a solução Plataforma de Gestão e falaremos sobre as possibilidades de testar este produto.
. Para não perder as próximas publicações sobre o tema SandBlast Agent Management Platform, acompanhe as atualizações em nossas redes sociais (, , , , ).
Fonte: habr.com