چيڪ پوائنٽ SandBlast ايجنٽ مئنيجمينٽ پليٽ فارم حل بابت سيريز جي پنجين مضمون ۾ ڀليڪار. اڳيون مضمون ڳولهي سگهجن ٿا مناسب لنڪ جي پيروي ڪندي: , , , . اڄ اسان مئنيجمينٽ پليٽ فارم ۾ مانيٽرنگ جي صلاحيتن کي ڏسنداسين، يعني لاگز، انٽرايڪٽو ڊيش بورڊز (ڏسو) ۽ رپورٽن سان ڪم ڪرڻ. اسان موجوده خطرن ۽ صارف جي مشين تي غير معمولي واقعن جي نشاندهي ڪرڻ لاءِ Threat Hunting جي موضوع تي پڻ رابطو ڪنداسين.
بوٽن
سيڪيورٽي واقعن جي نگراني لاءِ معلومات جو مکيه ذريعو لاگز سيڪشن آهي، جيڪو هر واقعي تي تفصيلي معلومات ڏيکاري ٿو ۽ توهان کي توهان جي ڳولا جي معيار کي بهتر ڪرڻ لاءِ آسان فلٽر استعمال ڪرڻ جي اجازت ڏئي ٿو. مثال طور، جڏهن توهان دلچسپي جي لاگ جي هڪ پيرا ميٽر (بليڊ، عمل، شدت، وغيره) تي ساڄي ڪلڪ ڪريو، اهو پيٽرولر کي فلٽر ڪري سگهجي ٿو جيئن فلٽر: "پيراميٽر" يا فلٽر آئوٽ: "پيراميٽر". انهي سان گڏ ماخذ پيٽرولر لاءِ IP ٽولز آپشن چونڊيو وڃي ٿو جتي توهان هڪ ڏنل IP پتي/نالو تي پنگ هلائي سگهو ٿا يا نالي سان ماخذ IP پتو حاصل ڪرڻ لاءِ nslookup هلائي سگهو ٿا.
لاگز سيڪشن ۾، واقعن کي فلٽر ڪرڻ لاءِ، ھڪڙو شماريات جو سب سيڪشن آھي، جيڪو سڀني پيرا ميٽرن تي انگ اکر ڏيکاري ٿو: لاگن جي تعداد سان گڏ ھڪ ٽائيم ڊراگرام، ۽ گڏوگڏ ھر پيٽرولر لاءِ فيصد. ھن سب سيڪشن مان توھان آساني سان لاگز کي فلٽر ڪري سگھو ٿا بغير سرچ بار استعمال ڪرڻ ۽ فلٽرنگ ايڪسپريشنز لکڻ جي - صرف دلچسپي جا پيرا ميٽر چونڊيو ۽ لاگز جي نئين لسٽ فوري طور تي ڏيکاري ويندي.
هر لاگ تي تفصيلي معلومات لاگس سيڪشن جي ساڄي پينل ۾ موجود آهي، پر مواد جي تجزيو ڪرڻ لاءِ ڊبل ڪلڪ ڪري لاگ کولڻ وڌيڪ آسان آهي. هيٺ ڏنل هڪ لاگ جو هڪ مثال آهي (تصوير ڪلڪ ڪرڻ جي قابل آهي)، جيڪو هڪ متاثر ٿيل ".docx" فائل تي خطري جي ايموليشن بليڊ جي روڪڻ واري عمل جي شروعات تي تفصيلي معلومات ڏيکاري ٿو. لاگ ۾ ڪيترائي ذيلي حصا آھن جيڪي سيڪيورٽي واقعي جا تفصيل ڏيکاريندا آھن: ٽارگيٽ ڪيل پاليسيون ۽ تحفظات، فرانزڪ تفصيل، ڪلائنٽ بابت معلومات ۽ ٽرئفڪ. لاگ مان موجود رپورٽون خاص توجه جي مستحق آهن - Threat Emulation Report ۽ Forensics Report. اهي رپورٽون پڻ کوليون سگھجن ٿيون SandBlast ايجنٽ ڪلائنٽ کان.
خطري ايموليشن رپورٽ
جڏهن Threat Emulation بليڊ استعمال ڪيو وڃي، چيڪ پوائنٽ ڪلائوڊ ۾ ايموليشن ٿيڻ کان پوءِ، ايموليشن جي نتيجن تي تفصيلي رپورٽ جي لنڪ - Threat Emulation Report - لاڳاپيل لاگ ۾ ظاهر ٿئي ٿي. اهڙي رپورٽ جي مواد جي باري ۾ اسان جي مضمون ۾ تفصيل سان بيان ڪيو ويو آهي . اها ڳالهه نوٽ ڪرڻ جي قابل آهي ته هي رپورٽ انٽرويو آهي ۽ توهان کي اجازت ڏئي ٿي ته هر حصي لاء تفصيل "اندر" ۾. اهو پڻ ممڪن آهي ته هڪ مجازي مشين ۾ ايموليشن جي عمل جي رڪارڊنگ کي ڏسڻ، اصل خراب فائل کي ڊائون لوڊ ڪريو يا ان جي هيش حاصل ڪريو، ۽ پڻ رابطو ڪريو چيڪ پوائنٽ واقعا جوابي ٽيم سان.
فرانزڪ رپورٽ
تقريبن ڪنهن به سيڪيورٽي واقعي لاءِ، هڪ فارنڪس رپورٽ تيار ڪئي ويندي آهي، جنهن ۾ بدسلوڪي فائل بابت تفصيلي معلومات شامل هوندي آهي: ان جون خاصيتون، ڪارناما، سسٽم ۾ داخلا پوائنٽ ۽ ڪمپني جي اهم اثاثن تي اثر. اسان جي مضمون ۾ تفصيل سان رپورٽ جي جوڙجڪ تي بحث ڪيو . اهڙي رپورٽ معلومات جو هڪ اهم ذريعو آهي جڏهن سيڪيورٽي واقعن جي جاچ ڪري ٿي، ۽ جيڪڏهن ضروري هجي ته، رپورٽ جي مواد کي فوري طور تي چيڪ پوائنٽ واقعن جي جوابي ٽيم ڏانهن موڪلي سگهجي ٿو.
SmartView
Check Point SmartView ھڪڙو آسان اوزار آھي ٺاھيو ۽ ڏسڻ لاءِ متحرڪ ڊيش بورڊ (ڏسو) ۽ رپورٽون PDF فارميٽ ۾. SmartView کان توهان منتظمين لاءِ صارف لاگ ۽ آڊٽ واقعا پڻ ڏسي سگهو ٿا. هيٺ ڏنل انگ اکر ڏيکاري ٿو سڀ کان وڌيڪ مفيد رپورٽون ۽ ڊيش بورڊ سان ڪم ڪرڻ لاءِ SandBlast ايجنٽ.
SmartView ۾ رپورٽون دستاويز آھن جيڪي ھڪ خاص عرصي دوران واقعن بابت شمارياتي معلومات سان گڏ آھن. اهو پي ڊي ايف فارميٽ ۾ رپورٽون اپلوڊ ڪرڻ جي سپورٽ ڪري ٿو مشين تي جتي SmartView کليل آهي، انهي سان گڏ منتظم جي اي ميل تي PDF/Excel تي باقاعده اپ لوڊ ڪرڻ. اضافي طور تي، اها رپورٽ ٽيمپليٽس جي درآمد / برآمد، توهان جي پنهنجي رپورٽن جي تخليق، ۽ رپورٽن ۾ صارف جا نالا لڪائڻ جي صلاحيت جي حمايت ڪري ٿي. هيٺ ڏنل انگ اکر ڏيکاري ٿو هڪ تعمير ٿيل خطري جي روڪٿام جي رپورٽ جو مثال.
SmartView ۾ ڊيش بورڊز (ڏسو) منتظم کي لاڳاپيل واقعي جي لاگ تائين رسائي جي اجازت ڏين ٿا - صرف دلچسپي جي اعتراض تي ڊبل ڪلڪ ڪريو، اهو هڪ چارٽ ڪالم هجي يا خراب فائل جو نالو. جيئن رپورٽن سان، توهان پنهنجو ڊيش بورڊ ٺاهي سگهو ٿا ۽ صارف ڊيٽا لڪائي سگهو ٿا. ڊيش بورڊ ٽيمپليٽس جي درآمد/برآمد، ايڊمنسٽريٽر جي اي ميل تي PDF/Excel تي باقاعده اپلوڊ ڪرڻ، ۽ حقيقي وقت ۾ سيڪيورٽي واقعن جي نگراني ڪرڻ لاءِ خودڪار ڊيٽا اپڊيٽ جي پڻ مدد ڪن ٿا.
اضافي نگراني سيڪشن
مئنيجمينٽ پليٽ فارم ۾ مانيٽرنگ ٽولز جي وضاحت اوورويو، ڪمپيوٽر مينيجمينٽ، اينڊ پوائنٽ سيٽنگز ۽ پش آپريشنز سيڪشن جي ذڪر کان سواءِ نامڪمل هوندو. انهن حصن ۾ تفصيل سان بيان ڪيو ويو آهي جڏهن ته، نگراني جي مسئلن کي حل ڪرڻ لاء انهن جي صلاحيتن تي غور ڪرڻ لاء مفيد ٿيندو. اچو ته جائزو سان شروع ڪريون، جيڪو ٻن ذيلي حصن تي مشتمل آهي - آپريشنل اوورويو ۽ سيڪيورٽي اووريو، جيڪي ڊيش بورڊ آهن جيڪي محفوظ صارف مشينن جي حالت ۽ سيڪيورٽي واقعن بابت معلومات سان گڏ آهن. جيئن ڪنهن ٻئي ڊيش بورڊ سان لهه وچڙ ۾، آپريشنل اوورويو ۽ سيڪيورٽي اوورويو سب سيڪشنز، جڏهن دلچسپي جي پيراميٽر تي ڊبل ڪلڪ ڪري، توهان کي ڪمپيوٽر مينيجمينٽ سيڪشن ۾ وڃڻ جي اجازت ڏين ٿا چونڊيل فلٽر سان (مثال طور، ”ڊيسڪ ٽاپ“ يا ”پري- بوٽ اسٽيٽس: فعال ٿيل")، يا سيڪشن ڏانهن لاگز هڪ مخصوص واقعي لاء. سيڪيورٽي اوورويو سبسيڪشن هڪ آهي ”سائبر حملي جو ڏيک - آخر پوائنٽ“ ڊيش بورڊ، جيڪو ترتيب ڏئي سگهجي ٿو ۽ سيٽ ڪري سگهجي ٿو خودڪار طور تي ڊيٽا کي اپڊيٽ ڪرڻ لاءِ.
ڪمپيوٽر مئنيجمينٽ سيڪشن مان توهان مانيٽر ڪري سگهو ٿا ايجنٽ جي اسٽيٽس کي يوزر مشينن تي، اينٽي مالويئر ڊيٽابيس جي اپڊيٽ اسٽيٽس، ڊسڪ انڪرپشن جا مرحلا، ۽ گهڻو ڪجهه. سڀ ڊيٽا خودڪار طريقي سان اپڊيٽ ڪئي ويندي آهي، ۽ هر فلٽر لاءِ ملندڙ صارف مشينن جو سيڪڙو ڏيکاريل آهي. CSV فارميٽ ۾ ڪمپيوٽر ڊيٽا برآمد ڪرڻ پڻ سپورٽ ڪئي وئي آهي.
ڪم اسٽيشنن جي سيڪيورٽي جي نگراني جو هڪ اهم پاسو ڪمپني جي لاگ سرور تي اسٽوريج لاءِ نازڪ واقعن (الرٽس) ۽ ايڪسپورٽ لاگز (ايڪسپورٽ ايونٽس) بابت اطلاعن کي ترتيب ڏيڻ آهي. ٻئي سيٽنگون Endpoint Settings سيڪشن ۾ ڪيون ويون آهن، ۽ لاءِ Alerts اهو ممڪن آهي ته ميل سرور سان ڳنڍڻ لاءِ ايونٽ نوٽيفڪيشنون موڪلڻ لاءِ ايڊمنسٽريٽر ۽ حدن کي ترتيب ڏيڻ لاءِ نوٽيفڪيشن کي ٽارگيٽ ڪرڻ/بند ڪرڻ جي بنياد تي ڊوائيسز جي فيصد/نمبر جي بنياد تي جيڪي واقعي جي معيار کي پورا ڪن ٿيون. برآمدات وارداتون توهان کي وڌيڪ پروسيسنگ لاءِ مئنيجمينٽ پليٽ فارم کان ڪمپني جي لاگ سرور ڏانهن لاگز جي منتقلي کي ترتيب ڏيڻ جي اجازت ڏئي ٿي. سپورٽ ڪري ٿو SYSLOG، CEF، LEEF، SPLUNK فارميٽ، TCP/UDP پروٽوڪول، ڪنهن به SIEM سسٽم کي هلندڙ syslog ايجنٽ سان، TLS/SSL انڪريشن جو استعمال ۽ syslog ڪلائنٽ جي تصديق.
ايجنٽ تي واقعن جي تفصيلي تجزيي لاءِ يا ٽيڪنيڪل سپورٽ سان رابطو ڪرڻ جي صورت ۾، توهان پش آپريشنز سيڪشن ۾ زبردستي آپريشن استعمال ڪندي SandBlast ايجنٽ ڪلائنٽ کان لاگ گڏ ڪري سگهو ٿا. توهان ٺاهيل آرڪائيو جي منتقلي کي لاگز سان ترتيب ڏئي سگھو ٿا چيڪ پوائنٽ سرورز يا ڪارپوريٽ سرورز، ۽ لاگز سان گڏ آرڪائيو صارف جي مشين تي C:UsersusernameCPInfo ڊاريڪٽري ۾ محفوظ ٿيل آهي. اهو هڪ مخصوص وقت تي لاگ گڏ ڪرڻ جي عمل کي شروع ڪرڻ ۽ صارف پاران آپريشن کي ملتوي ڪرڻ جي صلاحيت جي حمايت ڪري ٿو.
خطري جو شڪار
خطري جو شڪار استعمال ڪيو ويندو آهي فعال طور تي بدسلوڪي سرگرمين ۽ سسٽم ۾ غير معمولي رويي کي ڳولڻ لاءِ هڪ امڪاني سيڪيورٽي واقعي جي وڌيڪ تحقيق ڪرڻ لاءِ. مينيجمينٽ پليٽ فارم ۾ خطري جو شڪار سيڪشن توهان کي صارف مشين ڊيٽا ۾ مخصوص پيٽرولن سان واقعن کي ڳولڻ جي اجازت ڏئي ٿو.
The Threat Hunting Tool ۾ ڪيترائي اڳواٽ بيان ڪيل سوال آهن، مثال طور: بدسلوڪي ڊومينز يا فائلن کي درجه بندي ڪرڻ لاءِ، مخصوص IP پتي تي نادر درخواستن کي ٽريڪ ڪريو (عام انگن اکرن سان واسطو رکندڙ). درخواست جي جوڙجڪ ٽن پيٽرولن تي مشتمل آهي: اشارو (نيٽ ورڪ پروٽوڪول، پروسيس جي سڃاڻپ ڪندڙ، فائل جو قسم، وغيره) آپريٽر ("آهي"، "نه آهي"، "شامل آهي"، "هڪ مان"، وغيره) ۽ جسم جي درخواست. توهان درخواست جي جسم ۾ باقاعده اظهار استعمال ڪري سگهو ٿا، ۽ توهان سرچ بار ۾ هڪ ئي وقت ۾ ڪيترائي فلٽر استعمال ڪري سگهو ٿا.
فلٽر چونڊڻ ۽ درخواست جي پروسيسنگ کي مڪمل ڪرڻ کان پوء، توهان سڀني لاڳاپيل واقعن تائين رسائي حاصل ڪري سگهو ٿا، واقعي بابت تفصيلي معلومات ڏسڻ جي صلاحيت سان، درخواست اعتراض کي قرنطين ڪرڻ، يا واقعي جي تفصيل سان تفصيلي فارنڪس رپورٽ ٺاهي. في الحال، هي اوزار بيٽا ورزن ۾ آهي ۽ مستقبل ۾ ان جي صلاحيتن جي سيٽ کي وڌائڻ جي منصوبابندي ڪئي وئي آهي، مثال طور، هڪ Miter Att&ck matrix جي صورت ۾ واقعي بابت معلومات شامل ڪرڻ.
ٿڪل
اچو ته اختصار ڪريون: هن آرٽيڪل ۾ اسان سينڊ بلاسٽ ايجنٽ مئنيجمينٽ پليٽ فارم ۾ سيڪيورٽي واقعن جي نگراني ڪرڻ جي صلاحيتن کي ڏٺو، ۽ استعمال ڪندڙ مشينن تي بدسلوڪي عملن ۽ انموليز کي فعال طور تي ڳولڻ لاءِ هڪ نئين اوزار جو مطالعو ڪيو - خطري جو شڪار. ايندڙ مضمون هن سلسلي ۾ آخري هوندو ۽ ان ۾ اسين ڏسنداسين اڪثر پڇيا ويندڙ سوالن بابت مئنيجمينٽ پليٽ فارم حل ۽ هن پراڊڪٽ کي جانچڻ جي امڪانن بابت.
. سينڊ بلسٽ ايجنٽ مئنيجمينٽ پليٽ فارم تي ايندڙ اشاعتن کي نه وڃائڻ لاءِ، اسان جي سماجي نيٽ ورڪن تي تازه ڪارين تي عمل ڪريو (, , , , ).
جو ذريعو: www.habr.com