Dobrodošli v petem članku v seriji o rešitvi platforme za upravljanje agenta Check Point SandBlast. Prejšnje članke najdete na ustrezni povezavi: , , , . Danes si bomo ogledali zmožnosti spremljanja v platformi za upravljanje, in sicer delo z dnevniki, interaktivnimi nadzornimi ploščami (Pogled) in poročili. Dotaknili se bomo tudi teme Lov na grožnje za prepoznavanje trenutnih groženj in nenormalnih dogodkov na uporabnikovem računalniku.
Dnevniki
Glavni vir informacij za spremljanje varnostnih dogodkov je razdelek Dnevniki, ki prikazuje podrobne informacije o vsakem incidentu in omogoča tudi uporabo priročnih filtrov za izboljšanje iskalnih kriterijev. Na primer, ko z desno miškino tipko kliknete parameter (rezilo, dejanje, resnost itd.) dnevnika, ki vas zanima, lahko ta parameter filtrirate kot Filter: "Parameter" ali Filtriraj: "Parameter". Tudi za parameter Izvor lahko izberete možnost Orodja za IP, kjer lahko zaženete ping za dani naslov/ime IP ali zaženete nslookup, da pridobite izvorni naslov IP po imenu.
V razdelku Dnevniki je za filtriranje dogodkov pododdelek Statistika, ki prikazuje statistiko vseh parametrov: časovni diagram s številom dnevnikov ter odstotke za vsak parameter. V tem podrazdelku lahko preprosto filtrirate dnevnike brez uporabe iskalne vrstice in pisanja izrazov za filtriranje - samo izberite parametre, ki vas zanimajo, in takoj se bo prikazal nov seznam dnevnikov.
Podrobne informacije o vsakem dnevniku so na voljo na desni plošči razdelka Dnevniki, vendar je bolj priročno odpreti dnevnik z dvoklikom za analizo vsebine. Spodaj je primer dnevnika (sliko je možno klikniti), ki prikazuje podrobne informacije o sprožitvi dejanja Preprečevanje rezine Threat Emulation na okuženi datoteki ».docx«. Dnevnik ima več podrazdelkov, ki prikazujejo podrobnosti varnostnega dogodka: sprožene politike in zaščite, podrobnosti forenzike, informacije o odjemalcu in prometu. Posebno pozornost si zaslužijo poročila, ki so na voljo v dnevniku – poročilo o emulaciji groženj in poročilo o forenziki. Ta poročila je mogoče odpreti tudi iz odjemalca SandBlast Agent.
Poročilo o emulaciji groženj
Ko uporabljate rezilo Threat Emulation, se po izvedbi emulacije v oblaku Check Point v ustreznem dnevniku prikaže povezava do podrobnega poročila o rezultatih emulacije - Threat Emulation Report. Vsebina takega poročila je podrobno opisana v našem članku o . Omeniti velja, da je to poročilo interaktivno in vam omogoča, da se "potopite" v podrobnosti za vsak razdelek. Prav tako si je mogoče ogledati posnetek procesa emulacije v virtualnem računalniku, prenesti izvirno zlonamerno datoteko ali pridobiti njeno zgoščeno vrednost ter stopiti v stik s skupino za odzivanje na incidente Check Point.
Forenzično poročilo
Za skoraj vsak varnostni dogodek se ustvari forenzično poročilo, ki vsebuje podrobne informacije o zlonamerni datoteki: njenih značilnostih, dejanjih, vstopni točki v sistem in vplivu na pomembna sredstva podjetja. O strukturi poročila smo podrobno razpravljali v članku o . Tako poročilo je pomemben vir informacij pri preiskovanju varnostnih dogodkov, po potrebi pa lahko vsebino poročila nemudoma pošljemo ekipi za odzivanje na incidente Check Point.
SmartView
Check Point SmartView je priročno orodje za ustvarjanje in ogled dinamičnih nadzornih plošč (View) in poročil v formatu PDF. V SmartView si lahko ogledate tudi uporabniške dnevnike in revizijske dogodke za skrbnike. Spodnja slika prikazuje najbolj uporabna poročila in nadzorne plošče za delo s SandBlast Agentom.
Poročila v SmartViewu so dokumenti s statističnimi podatki o dogodkih v določenem časovnem obdobju. Podpira nalaganje poročil v formatu PDF na stroj, kjer je odprt SmartView, kot tudi redno nalaganje v PDF/Excel na e-pošto skrbnika. Poleg tega podpira uvoz/izvoz predlog poročil, ustvarjanje lastnih poročil in možnost skrivanja uporabniških imen v poročilih. Spodnja slika prikazuje primer vgrajenega poročila o preprečevanju groženj.
Nadzorne plošče (Pogled) v SmartViewu omogočajo skrbniku dostop do dnevnikov za ustrezen dogodek - samo dvokliknite na predmet zanimanja, naj bo to stolpec grafikona ali ime zlonamerne datoteke. Tako kot pri poročilih lahko ustvarite lastne nadzorne plošče in skrijete uporabniške podatke. Nadzorne plošče podpirajo tudi uvoz/izvoz predlog, redno nalaganje v PDF/Excel na administratorjevo e-pošto in samodejno posodabljanje podatkov za spremljanje varnostnih dogodkov v realnem času.
Dodatni razdelki za spremljanje
Opis orodij za spremljanje v platformi za upravljanje bi bil nepopoln, če ne bi omenili razdelkov Pregled, Upravljanje računalnika, Nastavitve končne točke in Potisne operacije. Ti deli so bili podrobno opisani v , vendar bo koristno razmisliti o njihovih zmožnostih za reševanje problemov spremljanja. Začnimo s Pregledom, ki je sestavljen iz dveh podrazdelkov – Pregled delovanja in Pregled varnosti, ki sta nadzorni plošči z informacijami o stanju zaščitenih uporabniških strojev in varnostnih dogodkih. Kot pri interakciji s katero koli drugo nadzorno ploščo, pododdelka Pregled delovanja in Pregled varnosti, ko dvokliknete parameter, ki vas zanima, omogočata dostop do razdelka Upravljanje računalnika z izbranim filtrom (na primer »Namizni računalniki« ali »Pre- Boot Status: Enabled”) ali v razdelek Dnevniki za določen dogodek. Pododdelek Pregled varnosti je nadzorna plošča »Pogled kibernetskega napada – končna točka«, ki jo je mogoče prilagoditi in nastaviti za samodejno posodabljanje podatkov.
V razdelku Upravljanje računalnika lahko spremljate status agenta na uporabniških računalnikih, status posodobitve baze podatkov Anti-Malware, stopnje šifriranja diska in še veliko več. Vsi podatki se samodejno posodabljajo in za vsak filter je prikazan odstotek ujemajočih se uporabniških strojev. Podprt je tudi izvoz računalniških podatkov v formatu CSV.
Pomemben vidik spremljanja varnosti delovnih postaj je nastavitev obvestil o kritičnih dogodkih (Alerts) in izvoz dnevnikov (Export Events) za shranjevanje na dnevniški strežnik podjetja. Obe nastavitvi se izvedeta v razdelku Nastavitve končne točke in za Opozorila Možno je povezati poštni strežnik za pošiljanje obvestil o dogodkih skrbniku in konfiguracijo pragov za sprožitev/onemogočanje obvestil glede na odstotek/število naprav, ki izpolnjujejo merila za dogodek. Izvoz dogodkov vam omogoča, da konfigurirate prenos dnevnikov iz platforme za upravljanje na strežnik dnevnikov podjetja za nadaljnjo obdelavo. Podpira formate SYSLOG, CEF, LEEF, SPLUNK, protokole TCP/UDP, vse sisteme SIEM z aktivnim agentom syslog, uporabo šifriranja TLS/SSL in avtentikacijo odjemalca syslog.
Za poglobljeno analizo dogodkov na agentu ali v primeru kontaktiranja tehnične podpore lahko hitro zberete dnevnike iz odjemalca SandBlast Agent s prisilno operacijo v razdelku Push Operations. Konfigurirate lahko prenos ustvarjenega arhiva z dnevniki na strežnike Check Point ali korporativne strežnike, arhiv z dnevniki pa se shrani na uporabnikovem računalniku v imeniku C:UsersusernameCPInfo. Podpira zagon postopka zbiranja dnevnikov ob določenem času in možnost, da uporabnik odloži operacijo.
Lov na grožnje
Lov na grožnje se uporablja za proaktivno iskanje zlonamernih dejavnosti in neobičajnega vedenja v sistemu za nadaljnjo preiskavo potencialnega varnostnega dogodka. Razdelek Lov na grožnje v platformi za upravljanje vam omogoča iskanje dogodkov z določenimi parametri v podatkih uporabniškega računalnika.
Orodje za lov na grožnje ima več vnaprej določenih poizvedb, na primer: za razvrščanje zlonamernih domen ali datotek, sledenje redkim zahtevam na določene naslove IP (glede na splošno statistiko). Struktura zahteve je sestavljena iz treh parametrov: Kazalnik (omrežni protokol, identifikator procesa, vrsta datoteke itd.), operaterja (»je«, »ni«, »vključuje«, »eden od« itd.) in telo zahteve. V telesu zahteve lahko uporabite regularne izraze, v iskalni vrstici pa lahko uporabite več filtrov hkrati.
Po izbiri filtra in zaključku obdelave zahteve imate dostop do vseh relevantnih dogodkov, z možnostjo ogleda podrobnih informacij o dogodku, karantene predmeta zahteve ali generiranja podrobnega forenzičnega poročila z opisom dogodka. Trenutno je to orodje v različici beta in v prihodnosti je načrtovana razširitev nabora zmogljivosti, na primer dodajanje informacij o dogodku v obliki matrike Mitre Att&ck.
Zaključek
Naj povzamemo: v tem članku smo si ogledali zmožnosti spremljanja varnostnih dogodkov v SandBlast Agent Management Platform in proučili novo orodje za proaktivno iskanje zlonamernih dejanj in anomalij na uporabniških strojih – Threat Hunting. Naslednji članek bo zadnji v tej seriji in v njem si bomo ogledali najpogostejša vprašanja o rešitvi Management Platform in govorili o možnostih testiranja tega izdelka.
. Da ne bi zamudili naslednjih publikacij na temo SandBlast Agent Management Platform, spremljajte posodobitve na naših družbenih omrežjih (, , , , ).
Vir: www.habr.com