Mirë se vini në artikullin e pestë të serisë në lidhje me zgjidhjen e Platformës së Menaxhimit të Agjentit të Menaxhimit të Check Point SandBlast. Artikujt e mëparshëm mund të gjenden duke ndjekur lidhjen përkatëse: , , , . Sot do të shikojmë aftësitë e monitorimit në Platformën e Menaxhimit, përkatësisht punën me regjistrat, tabelat interaktive (Pamje) dhe raportet. Ne gjithashtu do të prekim temën e Gjuetisë së Kërcënimeve për të identifikuar kërcënimet aktuale dhe ngjarjet anormale në makinën e përdoruesit.
Shkrime
Burimi kryesor i informacionit për monitorimin e ngjarjeve të sigurisë është seksioni Regjistrat, i cili shfaq informacion të detajuar për çdo incident dhe gjithashtu ju lejon të përdorni filtra të përshtatshëm për të përmirësuar kriteret tuaja të kërkimit. Për shembull, kur klikoni me të djathtën mbi një parametër (Blade, Action, Severity, etj.) të regjistrit të interesit, ky parametër mund të filtrohet si Filtri: "Parametri" ose Filtro jashtë: "Parametër". Gjithashtu për parametrin Source mund të zgjidhet opsioni IP Tools ku mund të ekzekutoni një ping në një adresë/emër IP të caktuar ose të ekzekutoni një nslookup për të marrë adresën IP të burimit me emër.
Në seksionin Logs, për filtrimin e ngjarjeve, ekziston një nënseksion Statistika, i cili shfaq statistikat për të gjithë parametrat: një diagram kohor me numrin e regjistrave, si dhe përqindjet për çdo parametër. Nga ky nënseksion ju mund të filtroni lehtësisht regjistrat pa përdorur shiritin e kërkimit dhe duke shkruar shprehje filtrimi - thjesht zgjidhni parametrat e interesit dhe menjëherë do të shfaqet një listë e re e regjistrave.
Informacioni i detajuar për çdo regjistër është i disponueshëm në panelin e djathtë të seksionit Regjistrat, por është më i përshtatshëm për të hapur regjistrin duke klikuar dy herë për të analizuar përmbajtjen. Më poshtë është një shembull i një regjistri (fotografia mund të klikohet), i cili shfaq informacion të detajuar mbi aktivizimin e veprimit Parandalimi i tehut Emulation Threat në një skedar ".docx" të infektuar. Regjistri ka disa nënseksione që shfaqin detajet e ngjarjes së sigurisë: politikat dhe mbrojtjet e aktivizuara, detajet e mjekësisë ligjore, informacione rreth klientit dhe trafikut. Raportet e disponueshme nga regjistri meritojnë vëmendje të veçantë - Raporti i Emulimit të Kërcënimeve dhe Raporti i Mjekësisë Ligjore. Këto raporte mund të hapen edhe nga klienti SandBlast Agent.
Raporti i Emulimit të Kërcënimit
Kur përdorni tehun e Emulimit të Kërcënimit, pasi të kryhet emulimi në renë e pikës së kontrollit, një lidhje me një raport të detajuar mbi rezultatet e emulimit - Raporti i Emulimit të Kërcënimit - shfaqet në regjistrin përkatës. Përmbajtja e një raporti të tillë përshkruhet në detaje në artikullin tonë rreth . Vlen të përmendet se ky raport është interaktiv dhe ju lejon të "zhyteni në" detajet për çdo seksion. Është gjithashtu e mundur të shikoni një regjistrim të procesit të emulimit në një makinë virtuale, të shkarkoni skedarin origjinal me qëllim të keq ose të merrni hash-in e tij dhe gjithashtu të kontaktoni Ekipin e Reagimit të Incidentit të Kontrollit të Point.
Raporti i Mjekësisë Ligjore
Pothuajse për çdo ngjarje sigurie, gjenerohet një raport i mjekësisë ligjore, i cili përfshin informacion të detajuar në lidhje me skedarin keqdashës: karakteristikat e tij, veprimet, pikën e hyrjes në sistem dhe ndikimin në asetet e rëndësishme të kompanisë. Ne diskutuam strukturën e raportit në detaje në artikullin rreth . Një raport i tillë është një burim i rëndësishëm informacioni gjatë hetimit të ngjarjeve të sigurisë, dhe nëse është e nevojshme, përmbajtja e raportit mund t'i dërgohet menjëherë Ekipit të Reagimit të Incidentit në pikën e kontrollit.
Pamje e zgjuar
Check Point SmartView është një mjet i përshtatshëm për krijimin dhe shikimin e paneleve dinamike (View) dhe raporteve në formatin PDF. Nga SmartView mund të shikoni gjithashtu regjistrat e përdoruesve dhe ngjarjet e auditimit për administratorët. Figura më poshtë tregon raportet dhe panelet më të dobishme për të punuar me SandBlast Agent.
Raportet në SmartView janë dokumente me informacion statistikor rreth ngjarjeve gjatë një periudhe të caktuar kohore. Ai mbështet ngarkimin e raporteve në format PDF në pajisjen ku SmartView është i hapur, si dhe ngarkimin e rregullt në PDF/Excel në emailin e administratorit. Përveç kësaj, ai mbështet import/eksportin e modeleve të raporteve, krijimin e raporteve tuaja dhe aftësinë për të fshehur emrat e përdoruesve në raporte. Figura më poshtë tregon një shembull të një raporti të integruar të Parandalimit të Kërcënimeve.
Paneli i kontrollit (View) në SmartView i lejojnë administratorit të aksesojë regjistrat për ngjarjen përkatëse - thjesht klikoni dy herë mbi objektin e interesit, qoftë kjo një kolonë grafiku ose emri i një skedari me qëllim të keq. Ashtu si me raportet, ju mund të krijoni panelet tuaja dhe të fshehni të dhënat e përdoruesit. Paneli mbështet gjithashtu import/eksportin e shablloneve, ngarkimin e rregullt në PDF/Excel në emailin e administratorit dhe përditësimet automatike të të dhënave për të monitoruar ngjarjet e sigurisë në kohë reale.
Seksione shtesë të monitorimit
Një përshkrim i mjeteve të monitorimit në Platformën e Menaxhimit do të ishte i paplotë pa përmendur seksionet "Përmbledhja", "Menaxhimi i kompjuterit", "Cilësimet e pikës fundore" dhe "Operacionet shtytëse". Këto seksione janë përshkruar në detaje në , megjithatë, do të jetë e dobishme të merren parasysh aftësitë e tyre për zgjidhjen e problemeve të monitorimit. Le të fillojmë me Përmbledhjen, e cila përbëhet nga dy nënseksione - Përmbledhja Operacionale dhe Përmbledhja e Sigurisë, të cilat janë tabela me informacione për gjendjen e makinave të mbrojtura të përdoruesve dhe ngjarjet e sigurisë. Ashtu si kur ndërveproni me çdo pult tjetër, nënseksionet "Përmbledhja Operacionale" dhe "Përmbledhja e Sigurisë", kur klikoni dy herë mbi parametrin e interesit, ju lejojnë të shkoni te seksioni "Menaxhimi i kompjuterit" me filtrin e zgjedhur (për shembull, "Desktop" ose "Para- Statusi i nisjes: Enabled"), ose në seksionin Regjistrat për një ngjarje specifike. Nënseksioni "Përmbledhja e sigurisë" është një panel kontrolli "Pamje e sulmit kibernetik - pikë fundi", i cili mund të personalizohet dhe të vendoset që të përditësojë automatikisht të dhënat.
Nga seksioni i Menaxhimit të Kompjuterit mund të monitoroni statusin e agjentit në makinat e përdoruesve, statusin e përditësimit të bazës së të dhënave Anti-Malware, fazat e kriptimit të diskut dhe shumë më tepër. Të gjitha të dhënat përditësohen automatikisht dhe për çdo filtër shfaqet përqindja e makinave të përdoruesve që përputhen. Mbështetet gjithashtu eksportimi i të dhënave kompjuterike në formatin CSV.
Një aspekt i rëndësishëm i monitorimit të sigurisë së stacioneve të punës është vendosja e njoftimeve për ngjarjet kritike (Alerts) dhe eksportimi i regjistrave (Export Events) për ruajtje në serverin e regjistrave të kompanisë. Të dy cilësimet bëhen në seksionin Cilësimet e pikës së fundit dhe për Alarme Është e mundur të lidhni një server poste për të dërguar njoftime për ngjarjet te administratori dhe të konfiguroni pragjet për aktivizimin/çaktivizimin e njoftimeve në varësi të përqindjes/numrit të pajisjeve që plotësojnë kriteret e ngjarjes. Ngjarjet e eksportit ju lejon të konfiguroni transferimin e regjistrave nga Platforma e Menaxhimit në serverin e regjistrave të kompanisë për përpunim të mëtejshëm. Mbështet formatet SYSLOG, CEF, LEEF, SPLUNK, protokollet TCP/UDP, çdo sistem SIEM me një agjent syslog që funksionon, përdorimin e kriptimit TLS/SSL dhe vërtetimin e klientit syslog.
Për një analizë të thellë të ngjarjeve në agjent ose në rast të kontaktit me mbështetjen teknike, mund të mbledhni shpejt regjistrat nga klienti SandBlast Agent duke përdorur një operacion të detyruar në seksionin "Push Operations". Mund të konfiguroni transferimin e arkivit të krijuar me regjistra në serverët e Check Point ose serverët e korporatës dhe arkivi me regjistrat ruhet në makinën e përdoruesit në direktorinë C:UsersusernameCPInfo. Ai mbështet nisjen e procesit të mbledhjes së regjistrave në një kohë të caktuar dhe aftësinë për të shtyrë operacionin nga përdoruesi.
Gjuetia e kërcënimeve
Threat Hunting përdoret për të kërkuar në mënyrë proaktive për aktivitete me qëllim të keq dhe sjellje anormale në një sistem për të hetuar më tej një ngjarje të mundshme sigurie. Seksioni Threat Hunting në Platformën e Menaxhimit ju lejon të kërkoni për ngjarje me parametra të specifikuar në të dhënat e makinës së përdoruesit.
Mjeti Threat Hunting ka disa pyetje të paracaktuara, për shembull: për të klasifikuar domenet ose skedarët me qëllim të keq, gjurmoni kërkesa të rralla për adresa të caktuara IP (në lidhje me statistikat e përgjithshme). Struktura e kërkesës përbëhet nga tre parametra: tregues (protokolli i rrjetit, identifikuesi i procesit, lloji i skedarit, etj.), operatori ("është", "nuk është", "përfshin", "një nga", etj.) dhe organi i kërkesës. Mund të përdorni shprehje të rregullta në trupin e kërkesës dhe mund të përdorni disa filtra njëkohësisht në shiritin e kërkimit.
Pas zgjedhjes së një filtri dhe përfundimit të përpunimit të kërkesës, ju keni akses në të gjitha ngjarjet përkatëse, me mundësinë për të parë informacion të detajuar rreth ngjarjes, për të karantinuar objektin e kërkesës ose për të gjeneruar një raport të detajuar të mjekësisë ligjore me një përshkrim të ngjarjes. Aktualisht, ky mjet është në versionin beta dhe në të ardhmen është planifikuar të zgjerohet grupi i aftësive, për shembull, duke shtuar informacione rreth ngjarjes në formën e një matrice Mitre Att&ck.
Përfundim
Le të përmbledhim: në këtë artikull ne shikuam aftësitë e monitorimit të ngjarjeve të sigurisë në Platformën e Menaxhimit të Agjentit SandBlast dhe studiuam një mjet të ri për kërkimin në mënyrë proaktive për veprime me qëllim të keq dhe anomali në makinat e përdoruesve - Gjuetia e Kërcënimeve. Artikulli tjetër do të jetë i fundit në këtë seri dhe në të do të shikojmë pyetjet më të shpeshta në lidhje me zgjidhjen e Platformës së Menaxhimit dhe do të flasim për mundësitë e testimit të këtij produkti.
. Për të mos humbur publikimet e radhës mbi temën Platforma e Menaxhimit të Agjentit SandBlast, ndiqni përditësimet në rrjetet tona sociale (, , , , ).
Burimi: www.habr.com