2. Check Point SandBlast Agent Management Platform. Webbhanteringskonsolgränssnitt och agentinstallation

Vi fortsätter att utforska den nya molnplattformen Check Point Management Platform för att hantera SandBlast Agent, ett verktyg för att skydda användarnas datorer. I en tidigare artikel Vi beskrev huvudkomponenterna i SandBlast Agent, bekanta oss med arkitekturen i Check Point Infinity och registrerade SandBlast Agent Management Platform-applikationen på Infinity Portal. Idag ska vi studera agenthanteringssystemets webbgränssnitt i detalj – den här artikeln kommer att bli en praktisk guide till alla funktioner och möjligheter i molnkonsolen. Och som förberedelse inför nästa artikel kommer vi att installera SandBlast Agent och bekanta oss med dess gränssnitt.

Struktur för molnhanteringskonsolen Management Platform

SandBlast Agent Management Platform-gränssnittet kan delas in i tre komponenter:

• Kontrollpanelen — finns högst upp i gränssnittet och låter dig utföra grundläggande administrationsuppgifter: hantera konton, kontakta Check Points tekniska support och konfigurera en administratörsprofil;

• Navigeringsfält — finns till vänster och låter dig navigera mellan kontrollpanelens huvudkomponenter, till exempel avsnittet för policyinställningar, visning av loggar etc.;

• Arbetsyta — upptar större delen av kontrollkonsolen och inkluderar möjligheten att anpassa delar av navigeringspanelen, visa grafisk information (loggar, rapporter) och konfigurera globala systemparametrar.

Låt oss titta närmare på varje element i SandBlast Agent Management Platform. Arbetsytorna kommer att beskrivas i detalj för alla komponenter i navigeringspanelen, men för tillfället börjar vi med kontrollpanelens funktioner.

Kontrollpanelen

Kontrollpanelen innehåller 6 komponenter, låt oss titta på dem från vänster till höger. Den första är knappen "Meny", som när du klickar på den visar dina nuvarande portaltjänster och låter dig lägga till nya tjänster från kategorierna Molnskydd, Nätverksskydd och Endpoint Protection till ditt konto. Därefter kommer namnet på den aktuella applikationen du arbetar i - i det här fallet är det SandBlast Agent Management Platform. Genom att klicka på applikationsikonen kan du alltid komma till avsnittet "ÖVERSIKT" i ​​navigeringspanelen. Det tredje elementet är ikonen för kontohantering, som låter dig snabbt växla mellan kontona för företag där du är administratör.

Den fjärde komponenten i kontrollpanelen är hjälpknappen, som låter dig kontakta Check Points tekniska support direkt från konsolen, gå till сайт för att övervaka statusen för Check Point-molnet och webbresurser, samt få åtkomst till "Administratörsguiderna" för SandBlast Agent Management Platform och Infinity Portal. Nästa element är din profil på Infinity Portal, genom att klicka på den kan du "falla" in i profilinställningarna eller avsluta den aktuella profilen. Och slutligen är det sista elementet i kontrollpanelen knappen för att gå till webbplatsen. Infinity Portal.

Infinity Portal Profilinställningar
När du klickar på ditt Infinity Portal-profilnamn öppnas en arbetsyta för att konfigurera din profil: du kan ändra det visade användarnamnet och telefonnumret, samt ändra gränssnittsspråket (engelska och japanska är för närvarande tillgängliga) och välja det konto som profilen är länkad till. Dessutom kan du ändra det aktuella profillösenordet och aktivera tvåfaktorsautentisering med Google Authenticator eller Twilio Authy för att komma åt portalen. Processen för att konfigurera tvåfaktorsautentisering är extremt enkel - en QR-kod skannas med hjälp av applikationen, varefter den genererade åtkomsttoken anges och aktiveringen av 2FA bekräftas.

Navigeringsfält

SandBlast Agent Management Platforms hanteringskonsol har 9 sektioner i navigeringspanelen, som visas i bilden nedan, vilket gör att du kan utföra många uppgifter för att distribuera och administrera agenter, samt hantera webbkonsolinställningar. Låt oss ta en kort titt på varje sektion, och för detaljerad information, klicka på spoilern med namnet på den sektion du är intresserad av. Låt oss komma igång:

• ÖVERSIKT — en sektion bestående av flera instrumentpaneler som visar klientmaskinernas och agenternas aktuella tillstånd ur ett prestandaperspektiv (antal skyddade maskiner, deras operativsystemversioner, agentstatus, felmeddelanden etc.) och ur ett säkerhetsperspektiv (data om attackerade och infekterade maskiner, aktiva och blockerade attacker, tidslinje för attacker etc.);

ÖVERSIKT-avsnitt: detaljer
Detta avsnitt består av två underavsnitt: Operativ översikt и SäkerhetsöversiktDen första, Driftsöversikt, visar information om status för användarmaskiner och agenter: antalet skyddade maskiner, användardatorernas egenskaper (enhetstyp - persondator/bärbar dator, operativsystemtyp - Windows/MacOS), statistik för agentdistribution, maskinens hälsostatus, information om antivirusdatabasuppdateringar på datorer, samt installerade SandBlast Agent-versioner och operativsystemversioner, och ett område med aktiva händelser (aviseringar). SandBlast Agent-klienten kan laddas ner från detta underavsnitt.

Det andra underavsnittet, Säkerhetsöversikt, visar information om skyddsnivån för användarmaskiner och attacker (aktiva och blockerade). I detta underavsnitt kan du filtrera utdatainformationen efter tid, samt ställa in sökparametrar för specifika objekt. Varje block i avsnittet Säkerhetsöversikt kan konfigureras individuellt - du kan lägga till diagram av olika typer som matar ut information i enlighet med det angivna filtret. Underavsnittet kan laddas ner som en Excel/PDF-rapport. Från detta underavsnitt kan du också ladda ner SandBlast Agent-klienten.

• POLITIK — en del av navigeringspanelen där parametrarna för den enhetliga säkerhetspolicyn (den så kallade Unified Policy) konfigureras och reglerna för distribution av agenter och globala policyinställningar definieras;

POLICY-avsnitt: detaljer
Första underavsnittet, Hotförebyggande, låter dig konfigurera säkerhetspolicyregler som anger de objekt som policyn ska tillämpas på, samt finjustera bladens funktion. Varje regel kan innehålla inställningar för tre logiska komponenter i hotdetekteringspolicyn: Webb- och filskydd, beteendeskydd, analys och åtgärd. Komponenten Webb- och filskydd inkluderar inställningarna URL-filtrering, nedladdningsskydd, autentiseringsuppgifter och filskydd. Komponenten beteendeskydd består av bladen Anti-bot, Beteendeskydd och anti-ransomware samt anti-exploit. Komponenten analys och åtgärd inkluderar automatiserad attackanalys (forensik), åtgärd och respons.
Det finns tre förinställda profiler som reglerar inställningarna för säkerhetskomponenter: Justering (alla blad är inställda på identifieringsläge), Rekommenderad (vissa blad är inställda på identifieringsläge) och Standard (endast URL-filtrering är inställt på identifieringsläge). I avsnittet Hotdetektering kan du också lägga till undantag (i undantagscentret) för att kringgå policyregler.

Det andra underavsnittet är Dataskydd, inkluderar inställningar för fullständig diskkryptering. Check Point-kryptering och BitLocker-kryptering stöds för WindowsFile Vault för MacOS. Dessutom kan du anpassa krypteringsinställningar, autentisering före start och avancerade inställningar. Windows Autentisering.

Nästa underavsnitt är - konfiguration, där parametrarna för installation av SandBlast Agent-komponenter på användarmaskiner konfigureras. I det här underavsnittet är det möjligt att separera installationen av olika blad för olika maskiner och agentversioner med hjälp av policyregler.

Det sista underavsnittet, Globala policyinställningar, låter dig konfigurera ett lösenord för att ta bort SandBlast Agent från användarens maskin, ändra parametrarna för data för överföring till Check Point och ställa in lösenordsegenskaper för Full Disk Encryption.

• DATORHANTERING — ett navigeringspanelområde som visar detaljerad information om alla klientmaskiner, och som även låter dig hantera logiska grupper av datorer, utföra tvångsåtgärder (Push-åtgärd) och konfigurera diskkryptering (Fullständiga diskkrypteringsåtgärder);

Avsnitt om datorhantering: detaljer

Det finns tre huvudkomponenter i avsnittet DATORHANTERING: inställningsikoner, ett fält för att visa information om användarmaskiner och filter för att konfigurera visningsparametrar. Låt oss titta på inställningsikonerna i ordning från vänster till höger: uppdatera information; ladda ner en rapport om en vald maskin i CSV-format; skapa en Directory Scanner för att hämta information om användare, maskiner och grupper från Active Directory; hantera grupper (skapa/redigera/ta bort); skapa en ny virtuell grupp; lägga till en användarmaskin i en befintlig virtuell grupp; lägga till en tvångsåtgärd från kategorin Push-åtgärd (diskuteras i detalj i motsvarande avsnitt); skapa uppgifter för att återställa data från en krypterad disk om åtkomstproblem uppstår (Fullständiga diskkrypteringsåtgärder).
Virtuella grupper låter dig kombinera användarmaskiner i logiska grupper för flexibel hantering. Dessa grupper kan användas som ett alternativ till Active Directory, eller tillsammans med AD. Det finns flera virtuella grupper som automatiskt tilldelas användarmaskiner, till exempel stationära datorer, bärbara datorer, servrar och andra.

Visningsfältet för den anpassade maskinen kan anpassas enligt filtren som visas i bilden ovan. Det första filtret (av datorernas egendom) har många inbyggda kriterier och låter dig visa användardatorer baserat på deras egenskaper, maskinstatus eller SandBlast Agent-komponenter. Det andra filtret (av virtuell grupp) ger möjlighet att göra ett urval via virtuella grupper, och den tredje (efter organisationsenhet) - enligt Active Directory-parametrar.

• LOGGAR — en loggvisningspanel som visar statistik om en mängd olika parametrar (blad, händelsekritikalitet, användardatorer etc.) och ger detaljerad information om varje logg;

LOGG-avsnitt: detaljer
Det här avsnittet erbjuder ett bekvämt gränssnitt för att studera loggar med en mängd olika filtreringsverktyg. Vanligtvis kan fyra komponenter urskiljas i arbetsområdet för LOGG-sektionen: den övre raden för sökning efter förfrågningar och val av tidsperiod; den vänstra panelen med statistik enligt olika kriterier; det centrala området som visar alla loggar och grundläggande information om dem; den högra panelen med utdata av detaljerad information om den valda loggen. Möjligheten att mata ut loggar utan information om användare och maskin (Dölj identiteter) och exportera till en Excel-fil stöds.

• TRYCKNINGSOPERATIONER — en sektion där uppgifter som utförs på klientdatorn på ett forcerat sätt skapas och övervakas (insamling av loggar, omstart eller avstängning av maskinen, skanning efter skadlig programvara/filer etc.);

Avsnittet PUSH-OPERATIONER: detaljer
Det här avsnittet har två huvudsakliga arbetsområden: det övre är där tvingande uppgifter för klientdatorer konfigureras och visas, och det nedre visar detaljerad information om den valda uppgiften.

Det finns tre kategorier av tvångsoperationer, som var och en har flera uppgifter: i kategorin Anti-Malware detta är Skanna efter skadlig kod, Uppdatera databasen med signaturer för skadlig kod, Återställ filer från karantän; i kategori Rättsmedicin och sanering detta är Analysera efter indikator, Filreparation; i kategori Agentinställningar Dessa är Samla in klientloggar, Reparera klient, Stäng av datorn och Starta om datorn. Dessutom kan varje tvångsuppgift tilldelas en exakt starttid och en kommentar med en beskrivning kan läggas till.

• SLUTPUNKTSINSTÄLLNINGAR — en del av navigeringspanelen där integration med Active Directory, systemmeddelandeparametrar (aviseringar) konfigureras, logggexport med Syslog aktiveras och det även finns möjlighet att spåra status för licenser och välja typ av aktuell policy (användarbaserad eller datorbaserad);

Avsnittet SLUTPUNKTSINSTÄLLNINGAR: detaljer
Första underavsnittet, AD-skannrar, låter dig konfigurera fullständig synkronisering av portalen med din organisations Active Directory för att hämta information om alla användare och maskiner. Som standard är läget Organisationsdistribuerad skanning aktiverat, där maskiner med SandBlast Agent installerat skickar data om sin sökväg till hanteringskonsolen för vidare visning i avsnittet DATORHANTERING. Du kan också ändra läget till Fullständig Active Directory-synkronisering, där all data från Active Directory hämtas till hanteringskonsolen. För lyckad skanning krävs ett konto med fullständiga läsrättigheter för: Active Directory-rot, alla underordnade containrar och objekt, behållaren för borttagna objekt.

Det andra underavsnittet är Varningar, där du kan konfigurera inställningarna för aviseringar om kritiska situationer, till exempel maskininfektion eller problem med agentdistribution. I den högra delen av arbetsytan kan du konfigurera inställningarna för 12 förinställda kritiska situationer, inklusive tröskelvärden för att aktivera och inaktivera aviseringar. I det här underavsnittet kan du också konfigurera e-postserverinställningarna för att skicka aviseringar till din e-post.

Följande underavsnitt följer Exportera händelser, vilket låter dig konfigurera överföringen av loggar i olika format (Syslog, CEF, LEEF, Generic) till din loggserver. Det här alternativet låter dig också konfigurera överföringen av loggar till ditt SIEM-system, där Syslog-agenten kan startas.

Nästa underavsnitt är - Licenser, som visar information om licenser: unik nyckel, licensstatus, antal aktiva agenter och kvotstorlek. Licenser hanteras i inställningarna för GLOBALA INSTÄLLNINGAR.

Det sista underavsnittet är Policydriftsläge, där den aktiva policytypen är vald: Användarbaserad policy eller Datorbaserad policy. Som framgår av beskrivningen av policyerna i figuren nedan skiljer sig de åt i tillämpningen av policyer antingen uteslutande på maskiner, eller så tillämpas policyn på ett blandat sätt på användare och maskiner.

• SERVICEHANTERING — ett navigeringspanelområde som låter dig hantera Endpoint Management Platform-tjänsten och använda SmartView för att visa detaljerade rapporter om säkerhetshändelser, och från det här avsnittet kan du ladda ner installationsfiler för SmartConsole-konsolapplikationen och SandBlast Agent-klienten;

Avsnitt om SERVICEHANTERING: detaljer

Arbetsytan i avsnittet SERVICE MANAGEMENT består av tre komponenter: servicehantering och visning av servicedata, samt åtkomst till SmartView (gränssnittet visas på bilden nedan) för att analysera loggar och rapporter; en panel för nedladdning av SmartConsole R80.40, ett program för att hantera Check Point-produkter, inklusive SandBlast Agent; och en panel för nedladdning av SandBlast Agent-klienten.

• HOTJAKT — ett avsnitt där reglerna för proaktiv hotdetektering konfigureras (för närvarande en betaversion);

HOTJAKT-avsnitt: i detalj
Threat Hunting-metoden möjliggör proaktiva sökningar efter avvikande eller skadlig aktivitet på användarmaskiner med SandBlast Agent installerat – till exempel åtkomst till domäner som Check Point anser vara skadliga, processer som startas med WMI, etc. Det är möjligt att använda förinställda filter för sökning eller skapa egna. Denna teknik använder Check Point ThreatCloud – en ständigt uppdaterad tjänst som är ett globalt nätverk av sensorer för hotdetektering och företag som skickar hotinformation till Check Point. För närvarande håller Threat Hunting på att färdigställas och åtkomst till betaversionen ges på begäran till Check Point. Vi kommer definitivt att diskutera detta verktyg i detalj i en av följande artiklar i serien.

• GLOBALA INSTÄLLNINGAR — en global inställningssektion för alla dina applikationer på Infinity Portal, som låter dig ändra företagskontoinställningarna på portalen, hantera administratörskonton och spåra deras åtgärder, se status för kontrakt för olika applikationer i kontot, samt hantera API-nycklar och exportera loggar från CloudGuard SaaS till din lokala loggserver.

Avsnittet GLOBALA INSTÄLLNINGAR: detaljer
Första underavsnittet, Kontoinställningar, visar ditt kontonamn och konto-ID och låter dig konfigurera parametrar för tvångsautentisering och timeout vid inaktivitet. Dessutom kan du i det här underavsnittet ange parametrar för SSO-auktorisering och ändra kontotyp (klient, distributörs-/återförsäljarpartner eller MSSP-partner).

Nästa underavsnitt, användare, visar information om dina portaladministratörer - kontaktuppgifter, samt datum och tid för registrering och senaste inloggning till portalen. I det här avsnittet kan du lägga till två typer av användare - administratör och skrivskyddad användare.

Följande underavsnitt följer Löpande revision, vilket gör att du kan spåra portaladministratörernas handlingar. Som visas i figuren nedan innehåller administratörernas aktivitetsloggar användarnamn, datum och tid för händelsen, tjänsten, kategori och typ av händelse samt en kort beskrivning av loggen. Loggarna nedan registrerar till exempel händelser för inloggning på portalen (Inloggning), ändring av kontotyp (Konto uppdaterad) till "Distributör" och tillägg av tvåfaktorsautentisering för åtkomst till portalen för en specifik användare (Användare uppdaterad).

Det fjärde underavsnittet är Kontrakt, som visar kontraktsinformation för dina applikationer på portalen - kontraktets utgångsdatum, antal kontrakt och kvotanvändning (om sådan finns). I det här underavsnittet kan du även hantera länkade Check Point-konton från objektet ASSOCIERADE KONTON.

Nästa underavsnitt är - API-Keys, som hanterar API-nycklar för alla tillgängliga Infinity Portal-applikationer. När en nyckel genereras skapas ett klient-ID och en hemlig nyckel, som sedan kan användas för att komma åt portalen av tredjepartsapplikationer.

De två sista underavsnitten är - Exportera händelser и Partnerinställningar, varav den första beskriver processen för att exportera loggar från CloudGuard SaaS till din lokala loggserver, och den andra låter dig visa information om konton och lägga till nya (endast för konton i partnerkategorin).

SandBlast Agent: Installation och gränssnittsintroduktion

Alternativ för agentdistribution
Check Point beskriver två metoder för att distribuera agenter till användarnas datorer: automatisk och manuell. Automatisk distribution — utförs genom att installera den initiala klienten (Initial Client) med hjälp av tredjepartslösningar (till exempel Active Directory-grupprinciper) och sedan ladda principer automatiskt till agenten. Manuell driftsättning — en klient med inbyggda principer för hotförebyggande åtgärder och/eller dataskydd laddas ner, vilka sedan distribueras till användarnas maskiner med hjälp av tredjepartslösningar. Den första metoden är mer praktisk eftersom den initiala klientversionen väger dussintals gånger mindre än en fullfjädrad version med alla principer, vilket gör att du kan distribuera agenten, till exempel via e-post som en bilaga. Å andra sidan kräver manuell distribution inte tid för processen att ladda principer och blad i agenten efter installationen — alla komponenter ingår redan i SandBlast Agent-paketet.

Nu använder vi automatisk agentdistribution. Den initiala klientversionen kan laddas ner från två konsolavsnitt: Tjänsthantering och Översikt. I avsnittet Tjänsthantering, när du väljer alternativet Ladda ner initial klient, laddas den initiala klienten ner. När du laddar ner från avsnittet Översikt finns det tre SandBlast Agent-byggalternativ: Snabbinstallation (initial), Agent för hotförebyggande åtgärder och Dataskydd och hotförebyggande åtgärder. Det andra och tredje alternativet är lämpliga för manuell distribution, och det första är den initiala klientversionen.

Den nedladdade EPS.msi-filen överförs till användarens dator, varefter installationsprocessen måste startas. Efter att installationen har lyckats visas Check Point Endpoint Security-ikonen i aktivitetsfältet, vilket indikerar att agenten är frånkopplad från hanteringsservern.

Vid den här tidpunkten försöker klienten automatiskt ansluta till molnhanteringsservern via den inbyggda adressen. Detta är en ganska snabb process, och efter ett par minuter indikerar ett nytt meddelande den schemalagda installationen av agenten. Detta meddelande indikerar en lyckad anslutning mellan agenten och molnhanteringsservern.

Om du högerklickar på ikonen Endpoint Security får du mer detaljerad information om anslutningen som upprättats till hanteringsservern, till exempel namnet på hanteringsservern som klienten är ansluten till och aktuell anslutningsstatus.

Efter en lyckad anslutning till hanteringsservern börjar processen att ladda ner nödvändiga komponenter (i enlighet med säkerhetspolicyn) till användardatorn. Administratören kan övervaka statusen för agentinstallationsprocessen i avsnittet Datorhantering i webbhanteringskonsolen - efter en lyckad anslutning av användardatorn till molnhanteringsservern ändras dess status i avsnittet Datorhantering från Schemalagd till Nedladdning. Efter nedladdning och kontroll av alla komponenter erbjuds användaren att installera agenten omedelbart eller skjuta upp installationsprocessen. Om agenten inte installeras av användaren inom 2 dagar från processens start kommer agenten att installeras med tvång, vilket rapporteras i fönstret som erbjuder att starta installationen.

När agentinstallationen har börjat ändras användardatorn i avsnittet Datorhantering i hanteringskonsolen till statusen Distribueras. När agentinstallationen är klar kan du öppna dess gränssnitt genom att högerklicka på ikonen Endpoint Security och välja Visa översikt.

Efter installationen rekommenderas det att klicka på "Uppdatera nu" för att starta processen med att uppdatera policyer och databaser på agenten. Den första uppdateringen av Anti-Malware-databasen kan ta lite tid. Så snart alla databaser är uppdaterade startar den automatiska första skanningen av systemet. Vid denna tidpunkt bör klientdatorn i hanteringskonsolen visas med statusen Slutförd, vilket indikerar att agentinstallationen har lyckats.

Låt oss börja studera agentgränssnittet. Det nedre vänstra hörnet visar agentens status (Online/Frånkopplad) och namnet på din molnhanteringsserver – i vårt fall är detta statusen "Online" och namnet på hanteringsservern "matssolution". Det nedre högra hörnet visar agentens aktuella version – vi har version E83.11 (83.11.2702). Agentens navigeringspanel består av flera avsnitt:

• Översikt — huvudavsnittet, som visar information om statusen för alla blad och användarens dators efterlevnad av säkerhetspolicyn. Från det här avsnittet kan du också "falla" in i varje blad för att få mer detaljerad information om status och säkerhetshändelser;

• Uppdatera nu — låter dig starta processen med att kontrollera relevansen av de säkerhetspolicyer och databaser som gäller för agenten;

• Skanna systemet nu - initierar processen att skanna systemet efter skadlig programvara eller filer;

• Advanced Open water — avancerade agentinställningar som låter dig visa den installerade policyn, visa eller samla in loggar och använda användarens dator som en distributionsagent.

Eftersom inga ändringar gjordes i den ursprungliga policyn innehåller agenten för närvarande endast policyblad för hotskydd med standardvärden. Innehållet i den ursprungliga hotskyddspolicyn kommer att diskuteras mer i detalj i vår nästa artikel i serien.

Slutsats

Det är dags att sammanfatta det utförda arbetet: i den här artikeln har vi tittat närmare på gränssnittet för SandBlast Agent Management Platforms webbkonsol, installerat agenten på användarmaskinen och studerat dess gränssnitt.

I vår nästa artikel i serien kommer vi att studera standardpolicyn för hotförebyggande åtgärder och testa den mot de vanligaste attackerna. Vi kommer också att skapa våra egna policyregler för att öka skyddsnivån för användarens maskin.

Stort urval av material på Check Point från TS Solution. För att inte missa nästa publikationer om ämnet SandBlast Agent Management Platform, följ uppdateringarna på våra sociala nätverk (Telegram, Facebook, VK, TS Lösningsblogg, Yandex.Zen).

Källa: will.com