Vitajte pri piatom článku zo série o riešení Check Point SandBlast Agent Management Platform. Predchádzajúce články nájdete po kliknutí na príslušný odkaz: , , , . Dnes sa pozrieme na možnosti monitorovania v Management Platform, konkrétne prácu s protokolmi, interaktívnymi dashboardmi (View) a reportmi. Dotkneme sa aj témy Hľadanie hrozieb, aby sme identifikovali aktuálne hrozby a anomálne udalosti na počítači používateľa.
Záznamy
Hlavným zdrojom informácií na sledovanie bezpečnostných udalostí je sekcia Protokoly, ktorá zobrazuje podrobné informácie o každom incidente a tiež umožňuje použiť pohodlné filtre na spresnenie kritérií vyhľadávania. Napríklad, keď kliknete pravým tlačidlom myši na parameter (Blade, Action, Severity, atď.) v zázname záujmu, tento parameter možno filtrovať ako Filter: "Parameter" alebo Filtrovať: "Parameter". Pre parameter Source je možné zvoliť aj možnosť IP Tools, kde môžete spustiť ping na danú IP adresu/meno alebo spustiť nslookup na získanie zdrojovej IP adresy podľa názvu.
V časti Protokoly je na filtrovanie udalostí podsekcia Štatistika, ktorá zobrazuje štatistiky všetkých parametrov: časový diagram s počtom protokolov, ako aj percentá pre každý parameter. Z tejto podsekcie môžete jednoducho filtrovať protokoly bez použitia vyhľadávacieho panela a písania filtrovacích výrazov - stačí vybrať parametre, ktoré vás zaujímajú a okamžite sa zobrazí nový zoznam protokolov.
Podrobné informácie o každom protokole sú dostupné na pravom paneli v sekcii Protokoly, ale pohodlnejšie je otvoriť protokol dvojitým kliknutím a analyzovať jeho obsah. Nižšie je uvedený príklad protokolu (na obrázok je možné kliknúť), ktorý zobrazuje podrobné informácie o spustení akcie Zabrániť čepeli Emulácia hrozby na infikovanom súbore „.docx“. Protokol má niekoľko podsekcií, ktoré zobrazujú podrobnosti o bezpečnostnej udalosti: spustené politiky a ochrany, forenzné podrobnosti, informácie o klientovi a premávke. Správy dostupné z denníka si zaslúžia osobitnú pozornosť – Správa o emulácii hrozieb a Správa o súdnom lekárstve. Tieto zostavy je možné otvoriť aj z klienta SandBlast Agent.
Správa o emulácii hrozieb
Pri použití čepele Threat Emulation sa po vykonaní emulácie v cloude Check Point zobrazí v príslušnom protokole odkaz na podrobnú správu o výsledkoch emulácie – Threat Emulation Report. Obsah takejto správy je podrobne popísaný v našom článku o . Stojí za zmienku, že táto správa je interaktívna a umožňuje vám „ponoriť sa“ do podrobností pre každú sekciu. Je tiež možné zobraziť záznam procesu emulácie vo virtuálnom stroji, stiahnuť pôvodný škodlivý súbor alebo získať jeho hash a tiež kontaktovať tím Check Point Incident Response Team.
Forenzná správa
Pre takmer každú bezpečnostnú udalosť sa vygeneruje Forenzná správa, ktorá obsahuje podrobné informácie o škodlivom súbore: jeho vlastnosti, akcie, vstupný bod do systému a vplyv na dôležité aktíva spoločnosti. Štruktúru správy sme podrobne rozobrali v článku o . Takáto správa je dôležitým zdrojom informácií pri vyšetrovaní bezpečnostných udalostí a v prípade potreby môže byť obsah správy okamžite odoslaný tímu Check Point Incident Response Team.
Inteligentné zobrazenie
Check Point SmartView je pohodlný nástroj na vytváranie a prezeranie dynamických dashboardov (View) a zostáv vo formáte PDF. Zo SmartView môžete tiež zobraziť denníky používateľov a udalosti auditu pre správcov. Obrázok nižšie zobrazuje najužitočnejšie zostavy a dashboardy pre prácu so SandBlast Agentom.
Správy v SmartView sú dokumenty so štatistickými informáciami o udalostiach za určité časové obdobie. Podporuje nahrávanie správ vo formáte PDF do stroja, kde je otvorený SmartView, ako aj bežné nahrávanie do PDF/Excel na e-mail správcu. Okrem toho podporuje import/export šablón reportov, vytváranie vlastných reportov a možnosť skrývať užívateľské mená v reportoch. Obrázok nižšie zobrazuje príklad vstavanej správy Prevencia hrozieb.
Dashboardy (View) v SmartView umožňujú administrátorovi prístup k protokolom pre príslušnú udalosť – stačí dvakrát kliknúť na objekt záujmu, či už je to stĺpec grafu alebo názov škodlivého súboru. Rovnako ako v prípade prehľadov si môžete vytvoriť vlastné informačné panely a skryť údaje používateľov. Dashboardy tiež podporujú import/export šablón, pravidelné nahrávanie do PDF/Excel na email administrátora a automatickú aktualizáciu dát pre sledovanie bezpečnostných udalostí v reálnom čase.
Ďalšie monitorovacie úseky
Opis monitorovacích nástrojov v platforme správy by bol neúplný bez spomenutia sekcií Overview, Computer Management, Endpoint Settings a Push Operations. Tieto časti boli podrobne popísané v bude však užitočné zvážiť ich schopnosti riešiť problémy monitorovania. Začnime Prehľadom, ktorý pozostáva z dvoch podsekcií – Prevádzkový prehľad a Prehľad zabezpečenia, čo sú dashboardy s informáciami o stave chránených užívateľských strojov a bezpečnostných udalostiach. Rovnako ako pri interakcii s akýmkoľvek iným informačným panelom vám podsekcie Prehľad prevádzky a Prehľad zabezpečenia umožňujú po dvojitom kliknutí na parameter, ktorý vás zaujíma, dostať sa do časti Správa počítača so zvoleným filtrom (napríklad „Počítače“ alebo „Pred Stav spustenia: Povolené”), alebo do časti Protokoly pre konkrétnu udalosť. Podsekcia Prehľad zabezpečenia je informačný panel „Zobrazenie kybernetického útoku – koncový bod“, ktorý je možné prispôsobiť a nastaviť na automatickú aktualizáciu údajov.
V časti Správa počítača môžete sledovať stav agenta na používateľských počítačoch, stav aktualizácie databázy Anti-Malware, fázy šifrovania disku a mnoho ďalšieho. Všetky údaje sa automaticky aktualizujú a pre každý filter sa zobrazí percento zhodných používateľských počítačov. Podporovaný je aj export počítačových údajov vo formáte CSV.
Dôležitým aspektom monitorovania bezpečnosti pracovných staníc je nastavenie notifikácií o kritických udalostiach (Alerts) a export protokolov (Export Events) na uloženie na firemný log server. Obe nastavenia sa vykonávajú v časti Nastavenia koncového bodu a pre Upozornenie Je možné pripojiť poštový server na odosielanie upozornení na udalosti správcovi a nakonfigurovať prahové hodnoty pre spúšťanie/zakázanie upozornení v závislosti od percenta/počtu zariadení, ktoré spĺňajú kritériá udalosti. Exportovať udalosti umožňuje nakonfigurovať prenos protokolov z platformy správy na server denníkov spoločnosti na ďalšie spracovanie. Podporuje formáty SYSLOG, CEF, LEEF, SPLUNK, protokoly TCP/UDP, akékoľvek systémy SIEM so spusteným agentom syslog, používanie šifrovania TLS/SSL a autentifikácie klienta syslog.
Pre hĺbkovú analýzu udalostí na agentovi alebo v prípade kontaktovania technickej podpory môžete rýchlo zhromaždiť protokoly z klienta SandBlast Agent pomocou vynútenej operácie v sekcii Push Operations. Môžete nakonfigurovať prenos vygenerovaného archívu s protokolmi na servery Check Point alebo podnikové servery a archív s protokolmi sa uloží na počítači používateľa v adresári C:UsersusernameCPInfo. Podporuje spustenie procesu zberu protokolov v určenom čase a možnosť odložiť operáciu zo strany používateľa.
Lov hrozieb
Threat Hunting sa používa na proaktívne vyhľadávanie škodlivých aktivít a anomálneho správania v systéme na ďalšie skúmanie potenciálnej bezpečnostnej udalosti. Sekcia Hľadanie hrozieb na platforme správy vám umožňuje vyhľadávať udalosti so špecifikovanými parametrami v údajoch používateľského počítača.
Nástroj Threat Hunting má niekoľko preddefinovaných dotazov, napríklad: klasifikovať škodlivé domény alebo súbory, sledovať zriedkavé požiadavky na určité IP adresy (vzhľadom na všeobecné štatistiky). Štruktúra požiadavky pozostáva z troch parametrov: indikátor (sieťový protokol, identifikátor procesu, typ súboru atď.), operátora („je“, „nie je“, „zahŕňa“, „jeden z“ atď.) a telo žiadosti. V tele žiadosti môžete použiť regulárne výrazy a vo vyhľadávacom paneli môžete súčasne použiť viacero filtrov.
Po výbere filtra a dokončení spracovania požiadavky máte prístup ku všetkým relevantným udalostiam s možnosťou zobraziť podrobné informácie o udalosti, umiestniť objekt požiadavky do karantény alebo vygenerovať podrobnú Forenznú správu s popisom udalosti. Momentálne je tento nástroj v beta verzii a v budúcnosti sa plánuje rozšírenie množiny schopností, napríklad o pridanie informácií o udalosti vo forme Mitre Att&ck matrix.
Záver
Poďme si to zhrnúť: v tomto článku sme sa pozreli na možnosti monitorovania bezpečnostných udalostí v SandBlast Agent Management Platform a študovali sme nový nástroj na proaktívne vyhľadávanie škodlivých akcií a anomálií na používateľských počítačoch – Threat Hunting. Ďalší článok bude posledným z tejto série a pozrieme sa v ňom na najčastejšie otázky o riešení Management Platform a povieme si o možnostiach testovania tohto produktu.
. Aby ste nezmeškali ďalšie publikácie na tému SandBlast Agent Management Platform, sledujte aktualizácie na našich sociálnych sieťach (, , , , ).
Zdroj: hab.com