Wilujeng sumping di artikel kalima dina séri ngeunaan Check Point SandBlast Agen Manajemén Platform solusi. Tulisan sateuacana tiasa dipendakan ku nuturkeun tautan anu cocog: , , , . Dinten ieu kami bakal ningali kamampuan ngawaskeun dina Platform Manajemén, nyaéta damel sareng log, dasbor interaktif (Témbongkeun) sareng laporan. Kami ogé bakal nyabak topik Ancaman Hunting pikeun ngaidentipikasi ancaman ayeuna sareng kajadian anomali dina mesin pangguna.
log
Sumber utama inpormasi pikeun ngawaskeun acara kaamanan nyaéta bagian Log, anu nunjukkeun inpormasi lengkep ngeunaan unggal kajadian sareng ogé ngamungkinkeun anjeun ngagunakeun saringan anu merenah pikeun nyaring kriteria pamilarian anjeun. Contona, nalika anjeun klik katuhu dina parameter (Agul, Aksi, Severity, jsb) tina log dipikaresep, parameter ieu bisa disaring salaku Saringan: "Parameter" atawa Nyaring kaluar: "Parameter". Ogé, pikeun parameter Sumber, pilihan IP Pakakas bisa dipilih, nu bisa ngajalankeun ping ka alamat IP dibikeun / ngaran atawa ngajalankeun hiji nslookup pikeun ménta alamat IP sumber ku ngaran.
Dina bagian Log, pikeun nyaring acara, aya subsection Statistik, nu mintonkeun statistik dina sakabéh parameter: diagram waktu kalawan jumlah log, kitu ogé persentase pikeun tiap parameter. Ti subsection ieu anjeun bisa kalayan gampang nyaring log tanpa ngagunakeun bar teang jeung nulis nyaring ungkapan - ngan pilih parameter dipikaresep tur daptar log anyar bakal langsung dipintonkeun.
Inpormasi anu lengkep dina unggal log sayogi dina panel katuhu tina bagian Log, tapi langkung gampang pikeun muka log ku ngaklik dua kali pikeun nganalisis eusi. Di handap ieu conto log a (gambar téh clickable), nu mintonkeun inpo wincik tentang pemicu tina aksi Nyegah tina Ancaman Emulation sabeulah dina file ".docx" kainféksi. Log boga sababaraha subsections nu mintonkeun wincik acara kaamanan: dipicu kawijakan jeung protections, forensik rinci, informasi ngeunaan klien tur lalulintas. Laporan anu sayogi tina log pantes perhatian khusus - Laporan Emulation Ancaman sareng Laporan Forensik. Laporan ieu ogé tiasa dibuka tina klien SandBlast Agent.
Ancaman Emulation Laporan
Nalika ngagunakeun sabeulah Anceman Emulation, sanggeus emulation dilumangsungkeun dina awan Check Point, link ka laporan lengkep ngeunaan hasil emulation - Ancaman Emulation Laporan - nembongan dina log pakait. Eusi laporan sapertos dijelaskeun sacara rinci dina tulisan kami ngeunaan . Eta sia noting yén laporan ieu interaktif tur ngidinan Anjeun pikeun "meuleum kana" rinci pikeun tiap bagian. Ieu oge mungkin pikeun nempo rékaman tina prosés emulation dina mesin virtual, ngundeur file jahat aslina atawa ménta Hash na, sarta ogé ngahubungan Tim Tanggapan Kajadian Check Point.
Laporan Forensik
Pikeun ampir sagala acara kaamanan, a Laporan Forensics dihasilkeun, nu ngawengku inpo wincik tentang file jahat: ciri na, lampah, titik asupna kana sistem jeung dampak dina aset parusahaan penting. Urang bahas struktur laporan di jéntré dina artikel ngeunaan . Laporan sapertos kitu mangrupikeun sumber inpormasi anu penting nalika nalungtik acara kaamanan, sareng upami diperyogikeun, eusi laporan tiasa langsung dikirim ka Tim Tanggapan Kajadian Check Point.
Smart Témbongkeun
Check Point SmartView mangrupikeun alat anu cocog pikeun nyiptakeun sareng ningali dasbor dinamis (View) sareng laporan dina format PDF. Tina SmartView anjeun ogé tiasa ningali log pangguna sareng acara audit pikeun pangurus. Angka di handap ieu nunjukkeun laporan sareng dasbor anu paling kapaké pikeun damel sareng Agen SandBlast.
Laporan dina SmartView nyaéta dokumén anu ngandung inpormasi statistik ngeunaan kajadian dina jangka waktu anu tangtu. Éta ngadukung unggah laporan dina format PDF ka mesin dimana SmartView dibuka, kitu ogé unggah rutin kana PDF/Excel kana email administrator. Salaku tambahan, éta ngadukung impor / ékspor témplat laporan, nyiptakeun laporan anjeun nyalira, sareng kamampuan pikeun nyumputkeun nami pangguna dina laporan. Gambar di handap ieu nunjukkeun conto laporan Pencegahan Ancaman anu diwangun.
Dashboards (Témbongkeun) dina SmartView ngidinan administrator pikeun ngakses log pikeun acara pakait - ngan ganda-klik dina objék dipikaresep, naha éta kolom bagan atawa nami file jahat. Sapertos laporan, anjeun tiasa nyiptakeun dasbor anjeun nyalira sareng nyumputkeun data pangguna. Dasbor ogé ngadukung impor/ékspor témplat, unggah rutin ka PDF/Excel kana email administrator, sareng apdet data otomatis pikeun ngawas acara kaamanan sacara real waktos.
Bagian ngawaskeun tambahan
Katerangan ngeunaan alat ngawaskeun dina Platform Manajemén bakal lengkep tanpa disebatkeun Tinjauan, Manajemén Komputer, Setélan Titik Akhir sareng bagian Operasi Push. Bagian ieu dijelaskeun sacara rinci dina , kumaha oge, eta bakal mangpaat mertimbangkeun kamampuhan maranéhna pikeun ngarengsekeun masalah monitoring. Hayu urang mimitian ku Tinjauan, anu diwangun ku dua subseksi - Tinjauan Operasional sareng Tinjauan Kaamanan, nyaéta dasbor kalayan inpormasi ngeunaan kaayaan mesin pangguna anu dilindungi sareng acara kaamanan. Sapertos nalika berinteraksi sareng dasbor anu sanés, subseksi Tinjauan Operasional sareng Tinjauan Kaamanan, nalika ngaklik dua kali dina parameter anu dipikaresep, ngamungkinkeun anjeun angkat ka bagian Manajemén Komputer sareng saringan anu dipilih (contona, "Desktop" atanapi "Pra- Status Boot: Diaktipkeun"), atawa ka bagian Log pikeun acara husus. Bagian Tinjauan Kaamanan mangrupikeun dasbor "Cyber Attack View - Endpoint", anu tiasa disaluyukeun sareng disetel pikeun ngapdet data sacara otomatis.
Tina bagian Manajemén Komputer anjeun tiasa ngawas status agén dina mesin pangguna, status update database Anti-Malware, tahapan énkripsi disk, sareng seueur deui. Sadaya data diropéa sacara otomatis, sareng unggal saringan ditampilkeun persentase mesin pangguna anu cocog. Ékspor data komputer dina format CSV ogé dirojong.
Aspék penting pikeun ngawaskeun kaamanan workstation nyaéta nyetél béwara ngeunaan kajadian kritis (Siaga) sareng ékspor log (Ekspor Kajadian) pikeun neundeun dina server log perusahaan. Kadua setélan dilakukeun dina bagian Setélan Titik Akhir, sareng pikeun ngabejaan Kasebut nyaéta dimungkinkeun pikeun nyambungkeun server mail pikeun ngirim bewara acara ka administrator jeung ngonpigurasikeun ambang pikeun pemicu / nganonaktipkeun bewara gumantung kana persentase / Jumlah alat nu minuhan kriteria acara. Kajadian Ékspor ngidinan Anjeun pikeun ngonpigurasikeun mindahkeun log ti Platform Manajemén ka server log parusahaan pikeun ngolah salajengna. Ngarojong format SYSLOG, CEF, LEEF, SPLUNK, protokol TCP / UDP, sistem SIEM naon waé anu nganggo agén syslog anu ngajalankeun, panggunaan enkripsi TLS / SSL sareng auténtikasi klien syslog.
Pikeun analisa jero kajadian dina agén atanapi upami ngahubungi dukungan téknis, anjeun tiasa gancang ngumpulkeun log ti klien Agen SandBlast nganggo operasi paksa dina bagian Operasi Push. Anjeun tiasa ngonpigurasikeun mindahkeun tina arsip dihasilkeun kalawan log ka Check Point server atawa server perusahaan, sarta arsip kalawan log disimpen dina mesin pamaké dina C: UsersusernameCPInfo diréktori. Éta ngadukung ngaluncurkeun prosés pangumpulan log dina waktos anu ditangtukeun sareng kamampuan pikeun nunda operasi ku pangguna.
Moro Anceman
Moro Ancaman digunakeun pikeun sacara proaktif milarian kagiatan jahat sareng paripolah anomali dina sistem pikeun nalungtik langkung seueur kajadian kaamanan poténsial. Bagian Ancaman Moro dina Platform Manajemén ngamungkinkeun anjeun milarian acara kalayan parameter anu ditangtukeun dina data mesin pangguna.
Alat Hunting Ancaman gaduh sababaraha patarosan anu tos siap, contona: pikeun ngagolongkeun domain atanapi file anu jahat, lacak pamundut anu jarang ka alamat IP anu tangtu (relatif ka statistik umum). Struktur pamundut diwangun ku tilu parameter: indikator (protokol jaringan, idéntifikasi prosés, jinis file, jsb.), operator ("nyaeta", "henteu", "kaasup", "salah sahiji", jeung sajabana) jeung awak pamundut. Anjeun tiasa make ungkapan biasa dina awak pamundut, sarta anjeun bisa make sababaraha saringan sakaligus dina bar teang.
Saatos milih saringan sareng ngarengsekeun pamrosésan pamundut, anjeun gaduh aksés ka sadaya acara anu aya hubunganana, kalayan kamampuan ningali inpormasi lengkep ngeunaan acara éta, karantina objék anu dipénta, atanapi ngahasilkeun Laporan Forensik anu lengkep sareng pedaran ngeunaan kagiatan éta. Ayeuna, alat ieu dina versi béta sarta di mangsa nu bakal datang rencanana rék dilegakeun susunan kamampuhan, contona, nambahan informasi ngeunaan acara dina bentuk matrix Mitre Att&ck.
kacindekan
Hayu urang nyimpulkeun: dina tulisan ieu kami ningali kamampuan ngawaskeun acara kaamanan dina Platform Manajemén Agen SandBlast, sareng diajar alat anyar pikeun proaktif milarian tindakan jahat sareng anomali dina mesin pangguna - Hunting Ancaman. Tulisan salajengna bakal janten anu terakhir dina séri ieu sareng di jerona urang bakal ningali patarosan anu paling sering ditaroskeun ngeunaan solusi Platform Manajemén sareng ngobrol ngeunaan kamungkinan nguji produk ieu.
. Supados teu kantun publikasi salajengna ngeunaan topik SandBlast Agent Management Platform, turutan apdet dina jaringan sosial kami (, , , , ).
sumber: www.habr.com