Ku soo dhawoow maqaalka shanaad ee taxanaha ah ee ku saabsan Check Point SandBlast Agent Maaraynta Platform. Maqaalladii hore waxaa laga heli karaa adigoo raacaya xiriirka ku habboon: , , , . Maanta waxaan eegi doonaa awoodaha la socodka ee Platform-ka Maareynta, oo ah ka shaqaynta logs, dashboards interactive (View) iyo warbixinada. Waxaan sidoo kale taaban doonaa mawduuca Ugaarsiga Hanjabaadda si aan u aqoonsanno hanjabaadaha hadda jira iyo dhacdooyinka aan caadiga ahayn ee mashiinka isticmaalaha.
Log
Isha ugu weyn ee macluumaadka la socodka dhacdooyinka amniga waa qaybta Logs, kaas oo soo bandhigaya macluumaad faahfaahsan oo ku saabsan dhacdo kasta iyo sidoo kale kuu ogolaanaya inaad isticmaasho filtarrada ku habboon si aad u nadiifiso shuruudaha raadintaada. Tusaale ahaan, marka aad midig-gujiso halbeegyada (Blade, Action, Severity, iwm.) ee log of interest, cabbirkan waxa loo sifayn karaa sida Filter: "Parameter" ama Sifee: "Parameter". Sido kale halbeegyada isha isha IP Tools-ka waxa lagu dooran karaa meesha aad ku maamuli karto ping ilaa cinwaan IP/magac la bixiyay ama aad ku ordi karto nslookup si aad u hesho ciwaanka IP-ga magac ahaan.
Qaybta Logs, shaandhaynta dhacdooyinka, waxaa jira qayb-hoosaadka Tirakoobka, kaas oo soo bandhigaya tirakoobyada dhammaan cabbirada: jaantuska waqtiga oo leh tirada diiwaannada, iyo sidoo kale boqolleyda cabbir kasta. Laga soo bilaabo qaybtan waxaad si fudud u shaandheyn kartaa logyada adigoon isticmaalin bar raadinta iyo qorista tibaaxaha shaandhaynta - kaliya dooro xuduudaha xiisaha iyo liis cusub oo qoraallo ah ayaa isla markiiba la soo bandhigi doonaa.
Macluumaad faahfaahsan oo ku saabsan log kasta ayaa laga heli karaa qaybta saxda ah ee qaybta Logs, laakiin way ku habboon tahay in la furo log adigoo laba jeer gujinaya si loo falanqeeyo waxa ku jira. Hoos waxaa ku yaal tusaale log ah (sawirku waa la gujin karaa), kaas oo soo bandhigaya macluumaad faahfaahsan oo ku saabsan kicinta ka hortagga ficilka Halista Halista ee feylka ".docx". Logu waxa uu leeyahay dhawr qaybood oo hoose oo muujinaya faahfaahinta dhacdada amniga: siyaasadaha kiciyay iyo ilaalinta, faahfaahinta baadhista, macluumaadka macmiilka iyo taraafikada. Warbixinada laga heli karo loggu waxay mudan yihiin fiiro gaar ah - Warbixinta ku daydaynta Hanjabaadda iyo Warbixinta Forensics-ka. Warbixinnadan waxa kale oo laga furi karaa macmiilka SandBlast Agent.
Warbixinta Ku dayashada Hanjabaadda
Markaad isticmaalayso daabka ku dayda Hanjabaadda, ka dib ku dayashada ayaa lagu fuliyaa daruurta Hubinta, xidhiidhinta warbixin faahfaahsan oo ku saabsan natiijooyinka ku dayashada - Warbixinta ku dayda khatarta - waxay ka muuqataa log u dhiganta. Nuxurka warbixintan oo kale ayaa si faahfaahsan loogu sharaxay maqaalkeena ku saabsan . Waxaa xusid mudan in warbixintani ay tahay mid is dhexgal ah oo kuu ogolaanaysa inaad "muquurto" faahfaahinta qayb kasta. Waxa kale oo suurtogal ah in lagu daawado duubista habka ku dayashada ee mishiinka farsamada, la soo dejiyo faylka xaasidnimada ah ee asalka ah ama la helo xashiishkiisa, iyo sidoo kale la xidhiidh Kooxda Jawaabta Dhacdada Hubinta.
Warbixinta Forensics
Ku dhawaad ββdhacdo kasta oo amniga ah, Warbixinta Forensics ayaa la soo saaray, oo ay ku jiraan macluumaad faahfaahsan oo ku saabsan faylka xaasidnimada leh: sifooyinkeeda, ficilladooda, barta gelitaanka nidaamka iyo saamaynta hantida shirkadda muhiimka ah. Waxaan si faahfaahsan uga hadalnay qaab dhismeedka warbixinta maqaalka ku saabsan . Warbixintan oo kale waa il muhiim ah oo macluumaad ah marka la baarayo dhacdooyinka amniga, iyo haddii loo baahdo, waxa ku jira warbixinta waxaa isla markiiba loo diri karaa kooxda ka jawaabista dhacdada goobta hubinta.
SmartView
Check Point SmartView waa qalab ku haboon abuurista iyo daawashada dashboards firfircoon (View) iyo warbixino qaab PDF ah. Laga bilaabo SmartView waxa kale oo aad ka arki kartaa diiwaanka isticmaalaha iyo dhacdooyinka xisaabinta ee maamulayaasha. Jaantuska hoose wuxuu muujinayaa warbixinada ugu faa'iidada badan iyo dashboard-yada la shaqaynta Wakiilka SandBlast.
Warbixinnada ku jira SmartView waa dukumeenti wata macluumaad tirakoob oo ku saabsan dhacdooyinka muddo cayiman. Waxa ay taageertaa u rida warbixinada qaab PDF ah mishiinka uu SmartView ka furan yahay, iyo sidoo kale u rida joogtada ah ee PDF/Excel iimaylka maamulaha. Intaa waxaa dheer, waxay taageertaa soo dejinta/dhoofinta qaab-dhismeedka warbixinta, abuurista warbixinnadaada, iyo awoodda lagu qariyo magacyada isticmaaleyaasha ee warbixinnada. Jaantuska hoose wuxuu muujinayaa tusaale ku dhisan warbixinta ka hortagga khatarta
Dashboards (View) ee SmartView waxay u ogolaataa maamulaha inuu galo diiwaannada dhacdada u dhiganta - kaliya laba jeer ku dhufo shayga xiisaha leh, ha ahaato tiir jaantus ama magaca faylka xaasidnimada ah. Sida warbixinnada, waxaad samayn kartaa dashboards adiga kuu gaar ah oo aad qarin kartaa xogta isticmaalaha. Dashboard-yadu waxa kale oo ay taageeraan soo dejinta/dhoofinta qaab-dhismeedka, raritaanka joogtada ah ee PDF/Excel ee iimaylka maamulaha, iyo cusboonaysiinta xogta tooska ah si loola socdo dhacdooyinka amniga wakhtiga dhabta ah.
Qaybaha la socodka dheeraadka ah
Sharaxaadda qalabka la socodka ee Platform-ka Maareynta waxay noqon doontaa mid aan dhammaystirnayn iyada oo aan la xusin dulmarka, Maareynta Kombiyuutarka, Dejinta Dhamaadka iyo Qaybaha Hawlgallada riix. Qaybahan ayaa si faahfaahsan loogu sharraxay , si kastaba ha ahaatee, waxa ay noqon doontaa mid waxtar leh in la tixgeliyo awoodahooda si ay u xaliyaan dhibaatooyinka la socodka. Aan ku bilowno dulmar, oo ka kooban laba qaybood - Dulmarka Hawleed iyo Dulmarka Amniga, kuwaas oo ah dashboards ay ku jiraan macluumaadka ku saabsan xaaladda mashiinnada isticmaalaha iyo dhacdooyinka amniga. Sida markaad la falgalayso dashboard-ka kale, Qaybaha Dulmarka Hawleed iyo Guudmarka Amniga, markaad laba-gujisto cabbirka xiisaha, waxay kuu oggolaanaysaa inaad tagto qaybta Maareynta Kumbuyuutarka oo leh shaandhada la doortay (tusaale, "Miisaanka" ama "Hore- Boot Status: Enabled"), ama qaybta Logs ee dhacdo gaar ah. Qeybta hoose ee Dulmarka Amniga waa "Aragti Weerar Cyber ββββ - Endpoint" dashboard, kaas oo la habeyn karo oo loo dejin karo in si toos ah loo cusbooneysiiyo xogta.
Qeybta Maareynta Kumbuyuutarka waxaad kala socon kartaa heerka wakiilka ee mishiinnada isticmaalaha, heerka cusboonaysiinta xogta Anti-Malware, marxaladaha sirta diskooga, iyo wax ka badan. Dhammaan xogta si toos ah ayaa loo cusboonaysiiyaa, iyo shaandhayn kasta boqolkiiba mashiinnada isticmaale ee ku habboon ayaa la soo bandhigayaa. Dhoofinta xogta kumbuyuutarka ee qaabka CSV sidoo kale waa la taageeray
Arrin muhiim ah oo ka mid ah la socodka amniga goobaha shaqada ayaa ah dejinta ogeysiisyada ku saabsan dhacdooyinka muhiimka ah (Alerts) iyo dhoofinta diiwaannada (Dhacdooyinka Dhoofinta) ee kaydinta server-ka shirkadda. Labada habaynba waxa lagu sameeyay qaybta Settings Endpoint, iyo qaylodhaan Waxaa suurtagal ah in lagu xiro server-ka boostada si loogu diro ogeysiisyada dhacdada maamulaha oo loo habeeyo heerarka kicinta/daminta ogeysiisyada iyadoo ku xiran boqolleyda / tirada qalabka ee buuxiya shuruudaha dhacdada. Dhacdooyinka Dhoofinta waxay kuu ogolaanaysaa inaad habayso wareejinta diiwaannada ee Platform-ka Maareynta una gudbiso server-ka log ee shirkadda si loo sii wado. Waxay taageertaa SYSLOG, CEF, LEEF, qaababka SPLUNK, borotokoolka TCP/UDP, nidaam kasta oo SIEM ah oo wata wakiilka syslog, adeegsiga TLS/SSL sirta iyo aqoonsiga macmiilka syslog.
Si aad si qoto dheer u falanqeyso dhacdooyinka wakiilka ama haddii aad la xiriirto taageerada farsamada, waxaad si deg deg ah uga soo ururin kartaa diiwaannada SandBlast Agent macmiilka adoo isticmaalaya hawlgal qasab ah oo ku yaal qaybta Hawlgallada Riix. Waxaad ku habeyn kartaa wareejinta kaydka la soo saaray oo leh diiwaanno si aad u hubiso server-yada ama server-yada shirkadaha, iyo kaydka diiwaanka leh waxaa lagu keydiyaa mashiinka isticmaalaha ee C: UsersusernameCPInfo tusaha. Waxay taageertaa bilaabida habka ururinta log-ga wakhti go'an iyo awoodda dib u dhigista hawlgalka isticmaaluhu.
Ugaarsiga Hanjabaadda
Ugaarsiga Hanjabaadda waxa loo isticmaalaa in si firfircoon loogu raadiyo hawlaha xaasidnimada ah iyo hab-dhaqanka aan wanaagsanayn ee nidaamka si loo sii baaro dhacdo amni oo iman karta. Qaybta ugaarsiga Hanjabaadda ee Platform-ka Maareynta waxay kuu oggolaaneysaa inaad raadiso dhacdooyinka leh cabbirro cayiman oo ku jira xogta mashiinka isticmaalaha.
Qalabka ugaarsiga Hanjabaadda waxa uu leeyahay dhawr su'aalood oo horay loo sii qeexay, tusaale ahaan: si loo kala saaro xayndaabka ama faylasha, la soco codsiyada dhifka ah ee ciwaanada IP-ga qaarkood (marka loo eego tirakoobyada guud). Qaab dhismeedka codsigu wuxuu ka kooban yahay saddex cabbir: tilmaame (Brotokoolka shabakada, aqoonsiga habka, nooca faylka, iwm.), hawl wadeen ("waa", "ma aha", "waxaa ku jira", "mid ka mid ah", iwm.) iyo codsiga hay'ad. Waxaad isticmaali kartaa tibaaxo joogto ah oo ku jira jidhka codsiga, oo waxaad isticmaali kartaa shaandhooyin badan isla mar ahaantaana bar raadinta.
Ka dib markaad doorato shaandhaynta oo aad dhammaystirto habaynta codsiga, waxaad marin u yeelan kartaa dhammaan dhacdooyinka khuseeya, adigoo awood u leh inaad aragto macluumaad faahfaahsan oo ku saabsan dhacdada, karantiilka shayga codsiga, ama abuurto Warbixin Forensics faahfaahsan oo sharraxaysa dhacdada. Waqtigan xaadirka ah, qalabkani wuxuu ku jiraa nooca beta mustaqbalkana waxaa la qorsheeyay in la ballaariyo awoodda awoodda, tusaale ahaan, lagu daro macluumaadka ku saabsan dhacdada qaabka Miter Att & ck matrix.
gunaanad
Aan soo koobno: maqaalkan waxaan ku eegnay awoodaha la socodka dhacdooyinka amniga ee SandBlast Agent Management Platform, oo aanu baranay qalab cusub oo si firfircooni leh loogu raadinayo ficillada xaasidnimada ah iyo cilladaha mashiinnada isticmaaleyaasha - Khatarta ugaarsiga. Maqaalka soo socda ayaa noqon doona kan ugu dambeeya ee taxanahan waxaanan ku eegi doonaa su'aalaha ugu badan ee la isweydiiyo ee ku saabsan xalka Maareynta Maareynta waxaanan ka hadalnaa suurtagalnimada tijaabinta alaabtan.
. Si aanad u dhaafin daabacaadyada soo socda ee mawduuca SandBlast Agent Management Platform, la soco wararka cusub ee shabakadaha bulshada, , , , ).
Source: www.habr.com