ProHoster > බ්ලොග් > පරිපාලනය > 1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

නව ලිපි මාලාවකට සාදරයෙන් පිළිගනිමු, මෙවර සිදුවීම් විමර්ශනය යන මාතෘකාව මත, එනම් Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය. අපි කලින් පළ කළා වීඩියෝ පාඩම් කිහිපයක් Smart Event හි වැඩ කිරීමේදී, නමුත් මෙවර අපි විවිධ චෙක් පොයින්ට් නිෂ්පාදනවල විශේෂිත සිදුවීම් පිළිබඳ අධිකරණ වෛද්‍ය වාර්තා දෙස බලමු:

සිදුවීම් වැළැක්වීමේ අධිකරණ වෛද්‍ය විද්‍යාව වැදගත් වන්නේ ඇයි? ඔබ වෛරසය අල්ලාගෙන ඇති බව පෙනේ, එය දැනටමත් හොඳයි, එය සමඟ කටයුතු කරන්නේ ඇයි? ප්‍රායෝගිකව පෙන්නුම් කරන පරිදි, ප්‍රහාරයක් අවහිර කිරීම පමණක් නොව, එය ක්‍රියාත්මක වන ආකාරය හරියටම තේරුම් ගැනීම ද සුදුසු ය: ඇතුල්වීමේ ස්ථානය කුමක්ද, කුමන අවදානමක් භාවිතා කළේද, කුමන ක්‍රියාවලීන් සම්බන්ධද, රෙජිස්ට්‍රි සහ ගොනු පද්ධතියට බලපාන්නේද, කුමන පවුලද? වෛරස්, කුමන විය හැකි හානිය, ආදිය. මෙය සහ අනෙකුත් ප්‍රයෝජනවත් දත්ත චෙක් පොයින්ට් හි විස්තීර්ණ අධිකරණ වෛද්‍ය වාර්තා (පෙළ සහ චිත්‍රක යන දෙකම) ලබා ගත හැක. එවැනි වාර්තාවක් අතින් ලබා ගැනීම ඉතා අපහසුය. මෙම දත්තවලට පසුව සුදුසු ක්‍රියාමාර්ග ගැනීමට සහ අනාගතයේදී එවැනි ප්‍රහාර සාර්ථක වීම වැළැක්විය හැක. අද අපි Check Point SandBlast Network forensics වාර්තාව දෙස බලමු.

SandBlast ජාලය

ජාල පරිමිතිය ආරක්ෂා කිරීම ශක්තිමත් කිරීම සඳහා වැලි පෙට්ටි භාවිතා කිරීම දිගු කලක් තිස්සේ සාමාන්ය දෙයක් වී ඇති අතර IPS වැනි අනිවාර්ය අංගයකි. Check Point හි, SandBlast තාක්ෂණයේ කොටසක් වන Threat Emulation තලය (තර්ජන නිස්සාරණය ද ඇත), වැලිපිල්ල ක්‍රියාකාරීත්වය සඳහා වගකිව යුතුය. අපි මීට පෙර පළ කර ඇත Check Point SandBlast පිළිබඳ කුඩා පාඨමාලාව Gaia 77.30 අනුවාදය සඳහාද (අපි දැන් කතා කරන්නේ කුමක් දැයි ඔබට නොතේරෙන්නේ නම් එය නැරඹීමට මම තරයේ නිර්දේශ කරමි). වාස්තුවිද්යාත්මක දෘෂ්ටි කෝණයකින්, එතැන් සිට කිසිවක් මූලික වශයෙන් වෙනස් වී නැත. ඔබට ඔබේ ජාලයේ පරිමිතියෙහි Check Point Gateway එකක් තිබේ නම්, ඔබට වැලිපිල්ල සමඟ ඒකාබද්ධ වීමට විකල්ප දෙකක් භාවිතා කළ හැක:

  1. SandBlast දේශීය උපකරණ — ඔබේ ජාලයේ අතිරේක SandBlast උපකරණයක් ස්ථාපනය කර ඇති අතර, විශ්ලේෂණය සඳහා ගොනු යවනු ලැබේ.
  2. SandBlast Cloud — ගොනු විශ්ලේෂණය සඳහා Check Point cloud වෙත යවනු ලැබේ.

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

වැලිපිල්ල ජාල පරිමිතියෙහි අවසාන ආරක්ෂක රේඛාව ලෙස සැලකිය හැකිය. එය සම්බන්ධ වන්නේ සම්භාව්‍ය ක්‍රම මගින් විශ්ලේෂණය කිරීමෙන් පසුව පමණි - ප්‍රති-වයිරස, IPS. එවැනි සාම්ප්‍රදායික අත්සන මෙවලම් ප්‍රායෝගිකව කිසිදු විශ්ලේෂණයක් ලබා නොදෙන්නේ නම්, ගොනුව අවහිර කළේ මන්දැයි සහ එය හරියටම අනිෂ්ට කරන්නේ කුමක්ද යන්න වැලිපිල්ලට විස්තරාත්මකව “කියන්න” හැකිය. මෙම අධිකරණ වෛද්‍ය වාර්තාව දේශීය සහ වලාකුළු වැලි පෙට්ටියකින් ලබා ගත හැක.

Point Forensics වාර්තාව පරීක්ෂා කරන්න

ඔබ තොරතුරු ආරක්ෂණ විශේෂඥයෙකු ලෙස වැඩට පැමිණ SmartConsole හි උපකරණ පුවරුවක් විවෘත කළ බව කියමු. වහාම ඔබ පසුගිය පැය 24 තුළ සිදුවීම් දකින අතර ඔබේ අවධානය තර්ජන අනුකරණ සිදුවීම් වෙත යොමු කෙරේ - අත්සන විශ්ලේෂණය මගින් අවහිර නොකළ වඩාත් භයානක ප්‍රහාර.

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

ඔබට මෙම සිදුවීම් වලට "පහළට සරඹ" කළ හැකි අතර Threat Emulation තලය සඳහා සියලුම ලොග් බලන්න.

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

මෙයින් පසු, ඔබට තර්ජන විවේචනාත්මක මට්ටම (තීව්‍රතාවය) මෙන්ම විශ්වාස මට්ටම (ප්‍රතිචාරයේ විශ්වසනීයත්වය) මගින් ද ලඝු පෙරහන් කළ හැකිය:

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

අප උනන්දුවක් දක්වන සිදුවීම පුළුල් කිරීමෙන්, අපට සාමාන්‍ය තොරතුරු (src, dst, බරපතලකම, යවන්නා, ආදිය) සමඟ දැන හඳුනා ගත හැකිය:

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

තවද එහි ඔබට කොටස දැකිය හැකිය අධිකරණ වෛද්‍ය විද්‍යාව ලබා ගත හැකි සමග සාරාංශය වාර්තාව. එය මත ක්ලික් කිරීමෙන් අනිෂ්ට මෘදුකාංග පිළිබඳ සවිස්තරාත්මක විශ්ලේෂණයක් අන්තර්ක්‍රියාකාරී HTML පිටුවක ආකාරයෙන් විවෘත වනු ඇත:

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය
(මෙය පිටුවේ කොටසකි. මෙහි මුල් පිටපත නැරඹිය හැකිය)

එම වාර්තාවෙන්, අපට මුල් අනිෂ්ට මෘදුකාංග (මුරපද ආරක්ෂිත ලේඛනාගාරයක) බාගත කළ හැකිය, නැතහොත් වහාම චෙක් පොයින්ට් ප්‍රතිචාර කණ්ඩායම අමතන්න.

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

මඳක් පහළින් ඔබට අපගේ නිදසුනෙහි පොදුවේ ඇති (කේතය සහ මැක්‍රෝ ඇතුළුව) දැනටමත් දන්නා අනිෂ්ට කේතය ප්‍රතිශත අනුව පෙන්වන ලස්සන සජීවිකරණයක් දැකිය හැක. මෙම විශ්ලේෂණ ලබා දෙන්නේ Check Point Threat Cloud තුළ යන්ත්‍ර ඉගෙනීම භාවිතා කරමිනි.

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

එවිට ඔබට මෙම ගොනුව අනිෂ්ට බව නිගමනය කිරීමට සෑන්ඩ්බොක්ස් හි ඇති ක්‍රියාකාරකම් හරියටම දැක ගත හැකිය. මෙම අවස්ථාවේදී, අපි බයිපාස් ක්‍රම භාවිතා කිරීම සහ ransomware බාගත කිරීමේ උත්සාහයක් දකිමු:

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

මෙම අවස්ථාවෙහිදී, අනුකරණය පද්ධති දෙකකින් (Win 7, Win XP) සහ විවිධ මෘදුකාංග අනුවාදයන් (Office, Adobe) සිදු කරන ලද බව සටහන් කළ හැකිය. වැලිපිල්ල තුළ මෙම ගොනුව විවෘත කිරීමේ ක්‍රියාවලිය සමඟ වීඩියෝවක් (විනිවිදක දර්ශනය) පහත ඇත:

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

උදාහරණ වීඩියෝව:

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

අවසානයේ දී ප්රහාරය වර්ධනය වූ ආකාරය විස්තරාත්මකව අපට දැක ගත හැකිය. වගු ආකාරයෙන් හෝ චිත්‍රක ආකාරයෙන්:

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

එහිදී අපට මෙම තොරතුරු RAW ආකෘතියෙන් සහ Wireshark හි ජනනය කරන ලද ගමනාගමනය පිළිබඳ සවිස්තරාත්මක විශ්ලේෂණ සඳහා pcap ගොනුවක් බාගත කළ හැකිය:

1. Check Point forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කිරීම. SandBlast ජාලය

නිගමනය

මෙම තොරතුරු භාවිතා කිරීමෙන්, ඔබේ ජාලයේ ආරක්ෂාව සැලකිය යුතු ලෙස ශක්තිමත් කළ හැකිය. වෛරස් බෙදා හැරීමේ ධාරක අවහිර කිරීම, සූරාකෑමට ලක් වූ දුර්වලතා වසා දැමීම, C&C වෙතින් විය හැකි ප්‍රතිපෝෂණ අවහිර කිරීම සහ තවත් බොහෝ දේ. මෙම විශ්ලේෂණය නොසලකා හැරිය යුතු නොවේ.

පහත ලිපිවලදී, අපි ඒ හා සමානව SandBlast Agent, SnadBlast Mobile, මෙන්ම CloudGiard SaaS හි වාර්තා දෙස බලමු. එබැවින් රැඳී සිටින්න (විදුලි පණිවුඩ, ෆේස්බුක්, VK, TS විසඳුම් බ්ලොගය)!

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න