Rea u amohela sehloohong sa bohlano letotong le mabapi le tharollo ea Sethala sa Tsamaiso ea Moemeli oa Check Point SandBlast. Lingoliloeng tse fetileng li ka fumanoa ka ho latela sehokelo se nepahetseng: , , , . Kajeno re tla sheba bokhoni ba ho beha leihlo Sebakeng sa Tsamaiso, e leng ho sebetsa ka li-log, li-dashboards tse sebetsanang (Sheba) le litlaleho. Hape re tla bua ka sehlooho sa Ts'ebetso ea Ts'okelo ho supa litšokelo tsa hajoale le liketsahalo tse makatsang mochining oa mosebelisi.
notlelela
Mohloli o ka sehloohong oa tlhahisoleseling bakeng sa ho lekola liketsahalo tsa ts'ireletso ke karolo ea Logs, e bonts'ang lintlha tse qaqileng mabapi le ketsahalo ka 'ngoe hape e u lumella ho sebelisa li-filters tse bonolo ho ntlafatsa mekhoa ea hau ea ho batla. Ka mohlala, ha u tobetse ka ho le letona paramenteng (Letlapa, Ketso, Severity, joalo-joalo) ea log of interest, parameter ena e ka sefshoa e le Sefa: "Parameter" kapa Sefa: "Parameter". Hape bakeng sa paramethara ea Mohloli khetho ea IP Tools e ka khethoa moo o ka tsamaisang ping ho aterese / lebitso la IP kapa o tsamaise nslookup ho fumana aterese ea IP ea mohloli ka lebitso.
Karolong ea Li-Logs, bakeng sa liketsahalo tsa ho sefa, ho na le karoloana ea Lipalo-palo, e bontšang lipalo-palo ho mekhahlelo eohle: setšoantšo sa nako se nang le palo ea li-log, hammoho le liphesente tsa parameter ka 'ngoe. Ho tsoa karolwaneng ena o ka sefa mapolanka ha bonolo ntle le ho sebedisa patlo ya ho batla le ho ngola mantswe a sefang - kgetha feela mekgahlelo ya kgahleho mme lenane le lecha la logong le tla hlaha hanghang.
Tlhahisoleseding e qaqileng ho log e 'ngoe le e' ngoe e fumaneha ka har'a phanele e nepahetseng ea karolo ea Logs, empa ho bonolo haholoanyane ho bula logi ka ho tobetsa habeli ho sekaseka litaba. Ka tlase ke mohlala oa logi (setšoantšo se ka tobeha), se bonts'ang lintlha tse qaqileng mabapi le ho qaleha ha Thibelo ea ketso ea Threat Emulation blade faeleng e tšoaelitsoeng ea ".docx". Log e na le likaroloana tse 'maloa tse bonts'ang lintlha tsa ketsahalo ea ts'ireletso: maano le ts'ireletso e hlahisitsoeng, lintlha tsa forensics, tlhahisoleseling mabapi le moreki le sephethephethe. Litlaleho tse fumanehang ho tsoa ho log li hloka tlhokomelo e khethehileng - Tlaleho ea Ketsiso ea Litšokelo le Tlaleho ea Forensics. Litlaleho tsena le tsona li ka buloa ho tsoa ho moreki oa SandBlast Agent.
Tlaleho ea Emulation ea Kotsi
Ha u sebelisa Lehare la Emulation ea Tšokelo, ka mor'a hore ho etsisoa ho etsoe ka leru la Check Point, sehokelo sa tlaleho e qaqileng mabapi le liphetho tsa ho etsisa - Tlaleho ea Emulation ea Tšokelo - e hlaha ho log e tsamaisanang. Likahare tsa tlaleho e joalo li hlalositsoe ka ho qaqileng sehloohong sa rona mabapi le . Ke habohlokoa ho hlokomela hore tlaleho ena ea sebelisana 'me e u lumella ho "theolela" lintlha tsa karolo ka 'ngoe. Hape hoa khonahala ho sheba rekoto ea ts'ebetso ea ho etsisa mochini o fumanehang, ho khoasolla faele e mpe ea mantlha kapa ho fumana hash ea eona, hape o ikopanye le Sehlopha sa Karabelo ea Ketsahalo ea Check Point.
Tlaleho ea Forensics
Hoo e ka bang ketsahalo efe kapa efe ea ts'ireletso, ho hlahisoa Tlaleho ea Forensics, e kenyelletsang lintlha tse qaqileng mabapi le faele e mpe: litšobotsi tsa eona, liketso tsa eona, sebaka sa ho kena tsamaisong le phello ea thepa ea bohlokoa ea k'hamphani. Re buisane ka sebopeho sa tlaleho ka botlalo sehloohong se buang ka . Tlaleho e joalo ke mohloli oa bohlokoa oa tlhahisoleseding ha ho batlisisoa liketsahalo tsa ts'ireletso, 'me haeba ho hlokahala, likahare tsa tlaleho li ka romeloa hang-hang ho Sehlopha sa Karabelo ea Ketsahalo ea Check Point.
Smart View
Check Point SmartView ke sesebelisoa se bonolo sa ho theha le ho shebella li-dashboard tse matla (Sheba) le litlaleho ka sebopeho sa PDF. Ho tsoa ho SmartView u ka boela ua sheba litlaleho tsa basebelisi le liketsahalo tsa tlhahlobo ea batsamaisi. Setšoantšo se ka tlase se bonts'a litlaleho tsa bohlokoa haholo le li-dashboard bakeng sa ho sebetsa le Moemeli oa SandBlast.
Litlaleho ho SmartView ke litokomane tse nang le lintlha tsa lipalo-palo mabapi le liketsahalo ka nako e itseng. E ts'ehetsa ho kenya litlaleho ka sebopeho sa PDF mochining moo SmartView e butsoeng, hammoho le ho kenya khafetsa ho PDF/Excel ho lengolo-tsoibila la motsamaisi. Ntle le moo, e ts'ehetsa ho kenya / ho romelloa kantle ha litempele tsa tlaleho, ho theha litlaleho tsa hau, le bokhoni ba ho pata mabitso a basebelisi litlalehong. Setšoantšo se ka tlase se bontša mohlala oa tlaleho e hahelletsoeng ea Thibelo ea Tšokelo.
Li-dashboards (Sheba) ho SmartView li lumella mookameli ho fumana li-log bakeng sa ketsahalo e lumellanang - tobetsa habeli feela nthong eo u e ratang, e ka ba kholomo ea chate kapa lebitso la faele e mpe. Joalo ka litlaleho, u ka iketsetsa li-dashboards 'me ua pata lintlha tsa mosebelisi. Li-dashboards li boetse li ts'ehetsa ho kenya / ho romelloa kantle ha litempele, ho kenya khafetsa ho PDF/Excel ho lengolo-tsoibila la motsamaisi, le liapdeite tsa data tsa othomathike ho lekola liketsahalo tsa ts'ireletso ka nako ea nnete.
Likarolo tse ling tsa ho beha leihlo
Tlhaloso ea lisebelisoa tsa ho beha leihlo Sebakeng sa Tsamaiso e tla be e sa fella ntle le ho bua ka karolo ea Overview, Computer Management, Endpoint Settings le Push Operations. Likarolo tsena li hlalositsoe ka botlalo ho , leha ho le joalo, ho tla ba molemo ho nahana ka bokhoni ba bona ba ho rarolla mathata a ho beha leihlo. Ha re qaleng ka Overview, e nang le likaroloana tse peli - Operational Overview and Security Overview, e leng li-dashboard tse nang le tlhahisoleseding e mabapi le boemo ba mechine e sirelelitsoeng ea basebelisi le liketsahalo tsa tšireletso. Joalo ka ha o sebelisana le dashboard efe kapa efe, likaroloana tsa Operational Overview le Security Overview, ha o tobetsa habeli paramethareng ea thahasello, e u lumella ho fihla karolong ea Tsamaiso ea Khomphutha ka filthara e khethiloeng (mohlala, "Desktops" kapa "Pre- Boemo ba Boot: E nolofalitsoe"), kapa ho karolo ea Logs bakeng sa ketsahalo e itseng. Karoloana ea Ts'ireletso ea Ts'ireletso ke "Cyber Attack View - Endpoint" dashboard, e ka etsoang ka mokhoa o ikhethileng le ho hlophisoa ho ntlafatsa data ka bo eona.
Ho tsoa karolong ea Taolo ea Khomphutha u ka beha leihlo boemo ba moemeli mecheng ea basebelisi, boemo ba ntlafatso ea database ea Anti-Malware, methati ea encryption ea disk, le tse ling tse ngata. Lintlha tsohle li nchafatsoa ka botsona, 'me bakeng sa sefe ka seng ho bontšoa peresente ea mechini e ts'oanang ea basebelisi. Ho romela data ea khomphutha ka sebopeho sa CSV le hona hoa tšehetsoa.
Karolo ea bohlokoa ea ho shebella ts'ireletso ea libaka tsa mosebetsi ke ho theha litsebiso mabapi le liketsahalo tsa bohlokoa (Litlhokomeliso) le li-logs tsa ho romela thepa (Liketsahalo tsa Export) bakeng sa polokelo ho seva sa log sa k'hamphani. Litlhophiso ka bobeli li entsoe karolong ea Litlhophiso tsa Endpoint, le bakeng sa Litlhokomeliso Hoa khoneha ho hokahanya seva sa poso ho romela litsebiso tsa ketsahalo ho mookameli le ho lokisa litemoso bakeng sa ho qala / ho thibela litsebiso ho itšetlehile ka peresente / palo ea lisebelisoa tse finyellang litekanyetso tsa ketsahalo. Liketsahalo tsa Export e u lumella ho hlophisa phetisetso ea lits'oants'o ho tloha Setsing sa Tsamaiso ho ea ho seva sa log sa k'hamphani bakeng sa ts'ebetso e tsoelang pele. E ts'ehetsa liforomo tsa SYSLOG, CEF, LEEF, SPLUNK, liprothokholo tsa TCP/UDP, sistimi efe kapa efe ea SIEM e nang le moemeli oa syslog, ts'ebeliso ea encryption ea TLS/SSL le netefatso ea bareki ba syslog.
Bakeng sa tlhahlobo e tebileng ea liketsahalo ho moemeli kapa tabeng ea ho ikopanya le ts'ehetso ea tekheniki, u ka potlakela ho bokella li-logs ho tsoa ho moreki oa SandBlast Agent u sebelisa ts'ebetso e qobelloang karolong ea Push Operations. U ka lokisa phetisetso ea polokelo e hlahisitsoeng ka li-log ho li-server tsa Check Point kapa li-server tsa khoebo, 'me polokelo e nang le li-log e bolokoa mochining oa mosebelisi bukeng ea C: UserussernameCPInfo. E ts'ehetsa ho qala ts'ebetso ea pokello ea li-log ka nako e behiloeng le bokhoni ba ho chechisa ts'ebetso ke mosebelisi.
Ho Tsoma Kotsi
Threat Hunting e sebelisetsoa ho batla lintho tse lonya le boits'oaro bo makatsang ka har'a sistimi ho etsa lipatlisiso tsa ketsahalo e ka bang teng ea ts'ireletso. Karolo ea Threat Hunting Sebakeng sa Tsamaiso e u lumella ho batla liketsahalo tse nang le lintlha tse boletsoeng ho data ea mochini oa mosebelisi.
Sesebelisoa sa Threat Hunting se na le lipotso tse 'maloa tse boletsoeng esale pele, mohlala: ho hlophisa libaka kapa lifaele tse lonya, ho latela likopo tse sa tloaelehang ho liaterese tse ling tsa IP (tse amanang le lipalo-palo tse akaretsang). Sebopeho sa kopo se na le mekhahlelo e meraro: pontshi (protocol ea marang-rang, sekhetho sa tšebetso, mofuta oa faele, jj.), opareitara (“ke”, “ha se”, “kenyeletsa”, “enngwe ya”, jj.) le kopa mmele. U ka sebelisa lipolelo tse tloaelehileng 'meleng oa kopo,' me u ka sebelisa li-filters tse ngata ka nako e le 'ngoe bareng ea ho batla.
Kamora ho khetha sefahla le ho phethela ts'ebetso ea kopo, o khona ho fihlella liketsahalo tsohle tse amehang, ka bokhoni ba ho bona lintlha tse qaqileng mabapi le ketsahalo, ho behella ka thoko ntho eo u e batlang, kapa ho hlahisa Tlaleho e qaqileng ea Forensics e nang le tlhaloso ea ketsahalo eo. Hajoale, sesebelisoa sena se ka har'a mofuta oa beta mme nakong e tlang ho reriloe ho holisa sete ea bokhoni, mohlala, ho eketsa tlhahisoleseling mabapi le ketsahalo ka mokhoa oa Miter Att&ck matrix.
fihlela qeto e
Ha re akaretseng: sengoliloeng sena re shebile bokhoni ba ho beha leihlo liketsahalo tsa ts'ireletso Sebakeng sa Tsamaiso ea Moemeli oa SandBlast, mme ra ithuta sesebelisoa se secha sa ho batla liketso tse lonya le liphoso mochining oa basebelisi - Ho Tsoma Litšokelo. Sehlooho se latelang e tla ba sa ho qetela letotong lena 'me ho eona re tla sheba lipotso tse atisang ho botsoa mabapi le tharollo ea Sethala sa Tsamaiso le ho bua ka menyetla ea ho hlahloba sehlahisoa sena.
. E le hore u se ke ua fetoa ke lingoliloeng tse latelang tse mabapi le Sethala sa Tsamaiso ea Moemeli oa SandBlast, latela lintlafatso ho marang-rang a rona a sechaba (, , , , ).
Source: www.habr.com