5. Point SandBlast නියෝජිත කළමනාකරණ වේදිකාව පරීක්ෂා කරන්න. ලඝු-සටහන්, වාර්තා සහ අධිකරණ වෛද්ය විද්යාව. තර්ජනය දඩයම් කිරීම

Check Point SandBlast Agent Management Platform විසඳුම පිළිබඳ ලිපි මාලාවේ පස්වන ලිපිය වෙත සාදරයෙන් පිළිගනිමු. සුදුසු සබැඳිය අනුගමනය කිරීමෙන් පෙර ලිපි සොයාගත හැකිය: පළමුව, දෙවැන්න, තෙවැන්න, හතරවන. අද අපි කළමනාකරණ වේදිකාවේ අධීක්ෂණ හැකියාවන් දෙස බලමු, එනම් ලඝු-සටහන්, අන්තර්ක්‍රියාකාරී උපකරණ පුවරු (දර්ශනය) සහ වාර්තා සමඟ වැඩ කිරීම. පරිශීලකයාගේ යන්ත්‍රයේ වත්මන් තර්ජන සහ විෂම සිදුවීම් හඳුනා ගැනීමට අපි තර්ජන දඩයම් කිරීමේ මාතෘකාව ස්පර්ශ කරන්නෙමු.

සටහන්

ආරක්ෂක සිදුවීම් නිරීක්ෂණය කිරීම සඳහා ප්‍රධාන තොරතුරු මූලාශ්‍රය වන්නේ ලොග් කොටසයි, එය එක් එක් සිද්ධිය පිළිබඳ සවිස්තරාත්මක තොරතුරු ප්‍රදර්ශනය කරන අතර ඔබේ සෙවුම් නිර්ණායක පිරිපහදු කිරීමට පහසු පෙරහන් භාවිතා කිරීමටද ඔබට ඉඩ සලසයි. උදාහරණයක් ලෙස, ඔබ උනන්දුවක් දක්වන ලඝු-සටහනේ පරාමිතියක් (තලය, ක්‍රියාව, බරපතලකම, ආදිය) මත දකුණු-ක්ලික් කළ විට, මෙම පරාමිතිය පෙරහන් කළ හැක පෙරහන: "පරාමිතිය" හෝ පෙරහන: "පරාමිතිය". මූලාශ්‍ර පරාමිතිය සඳහා IP මෙවලම් විකල්පය තෝරා ගත හැකි අතර එහිදී ඔබට ලබා දී ඇති IP ලිපිනයකට/නමකට පිං එකක් ධාවනය කළ හැකි හෝ මූලාශ්‍ර IP ලිපිනය නමින් ලබා ගැනීමට nslookup ධාවනය කළ හැක.

ලඝු-සටහන් කොටසේ, සිදුවීම් පෙරීම සඳහා, සංඛ්‍යාලේඛන උපවගන්තියක් ඇත, එය සියලු පරාමිතිවල සංඛ්‍යාලේඛන පෙන්වයි: ලඝු-සටහන් ගණන සහිත කාල සටහනක් මෙන්ම එක් එක් පරාමිතිය සඳහා ප්‍රතිශත. මෙම උපවගන්තියෙන් ඔබට සෙවුම් තීරුව සහ පෙරහන් ප්‍රකාශන ලිවීමෙන් තොරව පහසුවෙන් ලඝු-සටහන් පෙරීමට හැකිය - උනන්දුවක් දක්වන පරාමිති තෝරන්න, එවිට නව ලඝු ලැයිස්තුවක් වහාම දර්ශනය වේ.

එක් එක් ලොගය පිළිබඳ සවිස්තරාත්මක තොරතුරු ලොග් කොටසේ දකුණු පුවරුවේ ඇත, නමුත් අන්තර්ගතය විශ්ලේෂණය කිරීමට දෙවරක් ක්ලික් කිරීමෙන් ලොගය විවෘත කිරීම වඩාත් පහසු වේ. පහත දැක්වෙන්නේ ආසාදිත ".docx" ගොනුවක් මත Threat Emulation තලයේ වැළැක්වීමේ ක්‍රියාව අවුලුවාලීම පිළිබඳ සවිස්තරාත්මක තොරතුරු පෙන්වන ලොගයක (පින්තූරය ක්ලික් කළ හැකි) උදාහරණයකි. ලොගයේ ආරක්ෂක සිදුවීමේ විස්තර පෙන්වන උප කොටස් කිහිපයක් ඇත: ප්‍රේරක ප්‍රතිපත්ති සහ ආරක්ෂණ, අධිකරණ වෛද්‍ය තොරතුරු, සේවාලාභියා සහ ගමනාගමනය පිළිබඳ තොරතුරු. ලොගයෙන් ලබා ගත හැකි වාර්තා විශේෂ අවධානයක් ලැබිය යුතුය - තර්ජන අනුකරණ වාර්තාව සහ අධිකරණ වෛද්‍ය වාර්තාව. මෙම වාර්තා SandBlast නියෝජිත සේවාලාභියාගෙන් ද විවෘත කළ හැක.

තර්ජන අනුකරණ වාර්තාව

තර්ජන අනුකරණ තලය භාවිතා කරන විට, චෙක් පොයින්ට් වලාකුළෙහි අනුකරණය සිදු කිරීමෙන් පසු, අනුකරණ ප්‍රතිඵල පිළිබඳ සවිස්තර වාර්තාවකට සබැඳියක් - තර්ජන අනුකරණ වාර්තාව - අදාළ ලොගයේ දිස්වේ. එවැනි වාර්තාවක අන්තර්ගතය අපගේ ලිපියේ විස්තරාත්මකව විස්තර කර ඇත Check Point SandBlast Network forensics භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය. මෙම වාර්තාව අන්තර් ක්රියාකාරී වන අතර එක් එක් කොටස සඳහා විස්තර "කිමිදීමට" ඉඩ ලබා දෙන බව සඳහන් කිරීම වටී. අථත්‍ය යන්ත්‍රයක අනුකරණ ක්‍රියාවලියේ පටිගත කිරීමක් බැලීමට, මුල් අනිෂ්ට ගොනුව බාගත කිරීමට හෝ එහි හැෂ් ලබා ගැනීමට ද, චෙක් පොයින්ට් සිද්ධි ප්‍රතිචාර කණ්ඩායම හා සම්බන්ධ වීමට ද හැකිය.

අධිකරණ වෛද්ය වාර්තාව

ඕනෑම ආරක්ෂක සිදුවීමක් සඳහා, අධිකරණ වෛද්‍ය වාර්තාවක් ජනනය කරනු ලැබේ, එහි අනිෂ්ට ගොනුව පිළිබඳ සවිස්තරාත්මක තොරතුරු ඇතුළත් වේ: එහි ලක්ෂණ, ක්‍රියා, පද්ධතියට ඇතුළු වීමේ ස්ථානය සහ වැදගත් සමාගම් වත්කම් කෙරෙහි ඇති බලපෑම. පිළිබඳ ලිපියේ වාර්තාවේ ව්‍යුහය අපි විස්තරාත්මකව සාකච්ඡා කළෙමු Check Point SandBlast Agent අධිකරණ වෛද්‍ය විද්‍යාව භාවිතයෙන් අනිෂ්ට මෘදුකාංග විශ්ලේෂණය. එවැනි වාර්තාවක් ආරක්ෂක සිදුවීම් විමර්ශනය කිරීමේදී වැදගත් තොරතුරු මූලාශ්‍රයක් වන අතර, අවශ්‍ය නම්, වාර්තාවේ අන්තර්ගතය වහාම චෙක් පොයින්ට් සිද්ධි ප්‍රතිචාර කණ්ඩායමට යැවිය හැක.

ස්මාර්ට් දසුන

Check Point SmartView යනු ගතික උපකරණ පුවරු (View) සහ PDF ආකෘතියෙන් වාර්තා නිර්මාණය කිරීම සහ බැලීම සඳහා පහසු මෙවලමකි. SmartView වෙතින් ඔබට පරිපාලකයින් සඳහා පරිශීලක ලොග සහ විගණන සිදුවීම් ද බැලිය හැක. පහත රූපයේ දැක්වෙන්නේ SandBlast Agent සමඟ වැඩ කිරීම සඳහා වඩාත් ප්‍රයෝජනවත් වාර්තා සහ උපකරණ පුවරු ය.

SmartView හි වාර්තා යනු යම් කාල සීමාවක් තුළ සිදුවීම් පිළිබඳ සංඛ්‍යානමය තොරතුරු සහිත ලේඛන වේ. එය SmartView විවෘතව ඇති යන්ත්‍රයට PDF ආකෘතියෙන් වාර්තා උඩුගත කිරීමට මෙන්ම PDF/Excel වෙත පරිපාලකගේ විද්‍යුත් තැපෑල වෙත නිතිපතා උඩුගත කිරීමට සහය දක්වයි. ඊට අමතරව, එය වාර්තා සැකිලි ආනයනය/අපනයනය කිරීම, ඔබේම වාර්තා නිර්මාණය කිරීම සහ වාර්තා තුළ පරිශීලක නාමයන් සැඟවීමට ඇති හැකියාව සඳහා සහය දක්වයි. පහත රූපයේ දැක්වෙන්නේ තර්ජන වැළැක්වීමේ වාර්තාවක උදාහරණයකි.

SmartView හි ඇති Dashboards (View) පරිපාලකයාට අනුරූප සිදුවීම සඳහා ලොග් වෙත ප්‍රවේශ වීමට ඉඩ සලසයි - එය ප්‍රස්ථාර තීරුවක් හෝ අනිෂ්ට ගොනුවක නමක් වේවා, උනන්දුවක් දක්වන වස්තුව මත දෙවරක් ක්ලික් කරන්න. වාර්තා සමඟින්, ඔබට ඔබේම උපකරණ පුවරු සාදා පරිශීලක දත්ත සැඟවිය හැක. සැකිලි ආනයනය/අපනයනය කිරීම, පරිපාලකගේ විද්‍යුත් තැපෑල වෙත PDF/Excel වෙත නිතිපතා උඩුගත කිරීම සහ තථ්‍ය කාලීන ආරක්ෂක සිදුවීම් නිරීක්ෂණය කිරීම සඳහා ස්වයංක්‍රීය දත්ත යාවත්කාලීන කිරීම් සඳහා උපකරණ පුවරු ද සහාය වේ.

අතිරේක අධීක්ෂණ අංශ

දළ විශ්ලේෂණය, පරිගණක කළමනාකරණය, අන්ත ලක්ෂ්‍ය සැකසුම් සහ තල්ලු මෙහෙයුම් අංශ සඳහන් නොකර කළමනාකරණ වේදිකාවේ අධීක්ෂණ මෙවලම් පිළිබඳ විස්තරයක් අසම්පූර්ණ වනු ඇත. මෙම කොටස් වල විස්තරාත්මකව විස්තර කර ඇත දෙවන ලිපිය, කෙසේ වෙතත්, අධීක්ෂණ ගැටළු විසඳීම සඳහා ඔවුන්ගේ හැකියාවන් සලකා බැලීම ප්රයෝජනවත් වනු ඇත. ආරක්ෂිත පරිශීලක යන්ත්‍රවල තත්ත්වය සහ ආරක්ෂක සිදුවීම් පිළිබඳ තොරතුරු සහිත උපකරණ පුවරු වන මෙහෙයුම් දළ විශ්ලේෂණය සහ ආරක්ෂක දළ විශ්ලේෂණය - උප කොටස් දෙකකින් සමන්විත දළ විශ්ලේෂණයෙන් ආරම්භ කරමු. වෙනත් ඕනෑම උපකරණ පුවරුවක් සමඟ අන්තර් ක්‍රියා කරන විට මෙන්, ක්‍රියාකාරී දළ විශ්ලේෂණය සහ ආරක්‍ෂක දළ විශ්ලේෂණය උපවගන්ති, උනන්දුවක් දක්වන පරාමිතිය මත දෙවරක් ක්ලික් කරන විට, තෝරාගත් පෙරහන සමඟ පරිගණක කළමනාකරණ අංශයට යාමට ඔබට ඉඩ සලසයි (උදාහරණයක් ලෙස, “ඩෙස්ක්ටොප්” හෝ “පෙර- ඇරඹුම් තත්ත්‍වය: සක්‍රීය කර ඇත”), හෝ විශේෂිත සිදුවීමක් සඳහා ලොග කොටස වෙත. ආරක්‍ෂක දළ විශ්ලේෂණය උපවගන්තිය යනු “සයිබර් ප්‍රහාර දර්ශනය - අන්ත ලක්ෂ්‍යය” උපකරණ පුවරුවකි, එය අභිරුචිකරණය කර ස්වයංක්‍රීයව දත්ත යාවත්කාලීන කිරීමට සැකසිය හැක.

පරිගණක කළමනාකරණ අංශයෙන් ඔබට පරිශීලක යන්ත්‍රවල නියෝජිතයාගේ තත්ත්වය, ප්‍රති-අනිෂ්ට මෘදුකාංග දත්ත ගබඩාවේ යාවත්කාලීන තත්ත්වය, තැටි සංකේතනය කිරීමේ අදියර සහ තවත් බොහෝ දේ නිරීක්ෂණය කළ හැකිය. සියලුම දත්ත ස්වයංක්‍රීයව යාවත්කාලීන වන අතර, එක් එක් පෙරහන සඳහා ගැළපෙන පරිශීලක යන්ත්‍රවල ප්‍රතිශතය පෙන්වනු ලැබේ. CSV ආකෘතියෙන් පරිගණක දත්ත අපනයනය කිරීමට ද සහය දක්වයි.

වැඩපොළවල ආරක්ෂාව නිරීක්ෂණය කිරීමේ වැදගත් අංගයක් වන්නේ සමාගමේ ලොග් සේවාදායකයේ ගබඩා කිරීම සඳහා තීරණාත්මක සිදුවීම් (ඇඟවීම්) සහ අපනයන ලොග් (අපනයන සිදුවීම්) පිළිබඳ දැනුම්දීම් සැකසීමයි. මෙම සිටුවම් දෙකම අවසන් ස්ථානය සිටුවම් කොටසේ සාදා ඇත, සහ සඳහා ඇලර්ට්ස් පරිපාලක වෙත සිදුවීම් දැනුම්දීම් යැවීමට තැපැල් සේවාදායකයක් සම්බන්ධ කිරීමට සහ සිදුවීම් නිර්ණායක සපුරාලන උපාංගවල ප්‍රතිශතය/සංඛ්‍යාව අනුව දැනුම්දීම් අවුලුවාලීම/අබල කිරීම සඳහා සීමාවන් වින්‍යාස කිරීම කළ හැකිය. සිදුවීම් අපනයනය කරන්න තවදුරටත් සැකසීම සඳහා කළමනාකරණ වේදිකාවේ සිට සමාගමේ ලොග් සේවාදායකය වෙත ලඝු-සටහන් මාරු කිරීම වින්‍යාස කිරීමට ඔබට ඉඩ සලසයි. SYSLOG, CEF, LEEF, SPLUNK ආකෘති, TCP/UDP ප්‍රොටෝකෝල, ක්‍රියාත්මක වන syslog නියෝජිතයෙකු සහිත ඕනෑම SIEM පද්ධති, TLS/SSL සංකේතනය සහ syslog සේවාදායක සත්‍යාපනය සඳහා සහය දක්වයි.

නියෝජිතයා පිළිබඳ සිදුවීම් පිළිබඳ ගැඹුරු විශ්ලේෂණයක් සඳහා හෝ තාක්ෂණික සහාය සම්බන්ධ කර ගැනීමේදී, Push Operations කොටසේ බලහත්කාර මෙහෙයුමක් භාවිතා කරමින් ඔබට ඉක්මනින් SandBlast නියෝජිත සේවාදායකයාගෙන් ලඝු-සටහන් එකතු කළ හැකිය. ඔබට ජනනය කරන ලද සංරක්ෂිතය චෙක් පොයින්ට් සේවාදායකයන් හෝ ආයතනික සේවාදායකයන් වෙත ලඝු-සටහන් සමඟ මාරු කිරීම වින්‍යාසගත කළ හැකි අතර, ලඝු-සටහන් සහිත සංරක්ෂිතය C:UserusernameCPInfo නාමාවලියෙහි පරිශීලක යන්ත්‍රය මත සුරැකේ. එය නිශ්චිත වේලාවක ලොග් එකතු කිරීමේ ක්‍රියාවලිය දියත් කිරීමට සහ පරිශීලකයා විසින් මෙහෙයුම කල් දැමීමේ හැකියාව සඳහා සහාය වේ.

තර්ජනය දඩයම් කිරීම

විය හැකි ආරක්ෂක සිදුවීමක් තවදුරටත් විමර්ශනය කිරීම සඳහා පද්ධතියක් තුළ ද්වේෂසහගත ක්‍රියාකාරකම් සහ විෂම හැසිරීම් කල්තියා සෙවීමට තර්ජන දඩයම භාවිතා කරයි. කළමනාකරණ වේදිකාවේ ඇති Threat Hunting කොටස මඟින් පරිශීලක යන්ත්‍ර දත්තවල නිශ්චිත පරාමිති සහිත සිදුවීම් සෙවීමට ඔබට ඉඩ සලසයි.

Threat Hunting මෙවලමෙහි පූර්ව නිශ්චිත විමසුම් කිහිපයක් ඇත, උදාහරණයක් ලෙස: අනිෂ්ට වසම් හෝ ගොනු වර්ගීකරණය කිරීමට, ඇතැම් IP ලිපින වෙත දුර්ලභ ඉල්ලීම් නිරීක්ෂණය කරන්න (සාමාන්‍ය සංඛ්‍යාලේඛනවලට සාපේක්ෂව). ඉල්ලීම් ව්යුහය පරාමිති තුනකින් සමන්විත වේ: දර්ශකය (ජාල ප්‍රොටෝකෝලය, ක්‍රියාවලි හඳුනාගැනීම, ගොනු වර්ගය, ආදිය) ක්රියාකරු ("යි", "නොවේ", "ඇතුළත්", "එකක්", ආදිය) සහ ඉල්ලීම ශරීරය. ඔබට ඉල්ලීමේ අන්තර්ගතයේ සාමාන්‍ය ප්‍රකාශන භාවිතා කළ හැකි අතර, ඔබට සෙවුම් තීරුව තුළ එකවර පෙරහන් කිහිපයක් භාවිතා කළ හැක.

පෙරහනක් තෝරාගෙන ඉල්ලීම් සැකසීම සම්පූර්ණ කිරීමෙන් පසු, ඔබට සිද්ධිය පිළිබඳ සවිස්තරාත්මක තොරතුරු බැලීම, ඉල්ලීම් වස්තුව නිරෝධායනය කිරීම හෝ සිද්ධිය පිළිබඳ විස්තරයක් සහිත සවිස්තරාත්මක අධිකරණ වෛද්‍ය වාර්තාවක් උත්පාදනය කිරීමේ හැකියාව සමඟින් අදාළ සියලුම සිදුවීම් වෙත ප්‍රවේශය ඇත. දැනට, මෙම මෙවලම බීටා අනුවාදයේ පවතින අතර අනාගතයේදී එය හැකියාවන් සමූහය පුළුල් කිරීමට සැලසුම් කර ඇත, උදාහරණයක් ලෙස, Miter Att&ck matrix ආකාරයෙන් සිදුවීම පිළිබඳ තොරතුරු එකතු කිරීම.

නිගමනය

අපි සාරාංශ කරමු: මෙම ලිපියෙන් අපි SandBlast නියෝජිත කළමනාකරණ වේදිකාවේ ආරක්ෂක සිදුවීම් නිරීක්ෂණය කිරීමේ හැකියාවන් දෙස බැලූ අතර, පරිශීලක යන්ත්‍රවල අනිෂ්ට ක්‍රියා සහ විෂමතා කල්තියා සෙවීම සඳහා නව මෙවලමක් අධ්‍යයනය කළෙමු - තර්ජනය දඩයම් කිරීම. ඊළඟ ලිපිය මෙම ලිපි මාලාවේ අවසාන ලිපිය වන අතර එහි අපි කළමනාකරණ වේදිකාවේ විසඳුම පිළිබඳ නිතර අසනු ලබන ප්‍රශ්න දෙස බලා මෙම නිෂ්පාදනය පරීක්ෂා කිරීමේ හැකියාව ගැන කතා කරමු.

TS Solution වෙතින් චෙක් පොයින්ට් හි විශාල ද්‍රව්‍ය තෝරා ගැනීම. වැලි පිපිරුම් නියෝජිත කළමනාකරණ වේදිකාව යන මාතෘකාව පිළිබඳ ඊළඟ ප්‍රකාශන අතපසු නොකිරීමට, අපගේ සමාජ ජාල වල යාවත්කාලීන අනුගමනය කරන්න (විදුලි පණිවුඩ, ෆේස්බුක්, VK, TS විසඳුම් බ්ලොගය, Yandex Zen).

මූලාශ්රය: www.habr.com