Välkommen till den femte artikeln i serien om Check Point SandBlast Agent Management Platform-lösning. Tidigare artiklar kan hittas genom att följa lämplig länk: , , , . Idag ska vi titta på övervakningsmöjligheter i Management Platform, nämligen att arbeta med loggar, interaktiva dashboards (View) och rapporter. Vi kommer också att beröra ämnet Threat Hunting för att identifiera aktuella hot och onormala händelser på användarens maskin.
Loggar
Den huvudsakliga informationskällan för att övervaka säkerhetshändelser är avsnittet Loggar, som visar detaljerad information om varje incident och även låter dig använda bekväma filter för att förfina dina sökkriterier. Till exempel, när du högerklickar på en parameter (Blade, Action, Severity, etc.) i loggen av intresse kan denna parameter filtreras som Filter: "Parameter" eller Filtrera bort: "Parameter". För parametern Källa kan alternativet IP-verktyg också väljas, där du kan köra en ping till en given IP-adress/namn eller köra en nslookup för att få källans IP-adress med namn.
I avsnittet Loggar, för filtrering av händelser, finns det ett undersektion för statistik, som visar statistik för alla parametrar: ett tidsdiagram med antalet loggar, samt procentsatser för varje parameter. Från det här underavsnittet kan du enkelt filtrera loggar utan att använda sökfältet och skriva filtreringsuttryck - välj bara parametrarna av intresse och en ny lista med loggar kommer omedelbart att visas.
Detaljerad information om varje logg finns tillgänglig i den högra panelen i avsnittet Loggar, men det är bekvämare att öppna loggen genom att dubbelklicka för att analysera innehållet. Nedan är ett exempel på en logg (bilden är klickbar), som visar detaljerad information om utlösningen av åtgärden Förhindra av hotemuleringsbladet på en infekterad ".docx"-fil. Loggen har flera underavsnitt som visar information om säkerhetshändelsen: utlösta policyer och skydd, kriminaltekniska detaljer, information om klienten och trafik. Rapporterna som är tillgängliga från loggen förtjänar särskild uppmärksamhet - Hotemuleringsrapport och Forensics Report. Dessa rapporter kan också öppnas från SandBlast Agent-klienten.
Hotemuleringsrapport
När du använder Threat Emulation-bladet, efter att emulering har utförts i Check Point-molnet, visas en länk till en detaljerad rapport om emuleringsresultaten - Threat Emulation Report - i motsvarande logg. Innehållet i en sådan rapport beskrivs i detalj i vår artikel om . Det är värt att notera att den här rapporten är interaktiv och låter dig "dyka in i" detaljerna för varje avsnitt. Det är också möjligt att se en inspelning av emuleringsprocessen i en virtuell maskin, ladda ner den ursprungliga skadliga filen eller få dess hash, och även kontakta Check Point Incident Response Team.
Kriminalteknisk rapport
För nästan alla säkerhetshändelser genereras en Forensics Report, som innehåller detaljerad information om den skadliga filen: dess egenskaper, åtgärder, ingångspunkt till systemet och inverkan på viktiga företagstillgångar. Vi diskuterade rapportens struktur i detalj i artikeln om . En sådan rapport är en viktig informationskälla vid utredning av säkerhetshändelser, och vid behov kan innehållet i rapporten omedelbart skickas till Check Point Incident Response Team.
Smartview
Check Point SmartView är ett praktiskt verktyg för att skapa och visa dynamiska instrumentpaneler (View) och rapporter i PDF-format. Från SmartView kan du också se användarloggar och granskningshändelser för administratörer. Bilden nedan visar de mest användbara rapporterna och instrumentpanelerna för att arbeta med SandBlast Agent.
Rapporter i SmartView är dokument med statistisk information om händelser under en viss tidsperiod. Den stöder uppladdning av rapporter i PDF-format till maskinen där SmartView är öppen, samt regelbunden uppladdning till PDF/Excel till administratörens e-post. Dessutom stöder den import/export av rapportmallar, skapande av egna rapporter och möjligheten att dölja användarnamn i rapporter. Bilden nedan visar ett exempel på en inbyggd rapport om hotförebyggande.
Dashboards (View) i SmartView tillåter administratören att komma åt loggar för motsvarande händelse - dubbelklicka bara på objektet av intresse, vare sig det är en diagramkolumn eller namnet på en skadlig fil. Precis som med rapporter kan du skapa dina egna instrumentpaneler och dölja användardata. Dashboards stöder även import/export av mallar, regelbunden uppladdning till PDF/Excel till administratörens e-post och automatiska datauppdateringar för att övervaka säkerhetshändelser i realtid.
Ytterligare övervakningssektioner
En beskrivning av övervakningsverktygen i Management Platform skulle vara ofullständig utan att nämna avsnitten Översikt, Datorhantering, Endpoint Settings och Push Operations. Dessa avsnitt har beskrivits i detalj i , men det kommer att vara användbart att överväga deras kapacitet för att lösa övervakningsproblem. Låt oss börja med Översikt, som består av två undersektioner - Driftöversikt och Säkerhetsöversikt, som är instrumentpaneler med information om tillståndet för skyddade användarmaskiner och säkerhetshändelser. Precis som när du interagerar med vilken annan instrumentpanel som helst, låter underavsnitten Driftöversikt och Säkerhetsöversikt dig, när du dubbelklickar på parametern av intresse, komma till avsnittet Datorhantering med det valda filtret (till exempel "Skrivbord" eller "Före- Boot Status: Enabled”), eller till avsnittet Loggar för en specifik händelse. Underavsnittet Säkerhetsöversikt är en "Cyber Attack View - Endpoint" instrumentpanel, som kan anpassas och ställas in för att automatiskt uppdatera data.
Från avsnittet Datorhantering kan du övervaka agentens status på användardatorer, uppdateringsstatusen för Anti-Malware-databasen, stadierna för diskkryptering och mycket mer. All data uppdateras automatiskt och för varje filter visas andelen matchande användarmaskiner. Export av datordata i CSV-format stöds också.
En viktig aspekt av att övervaka säkerheten på arbetsstationer är att sätta upp aviseringar om kritiska händelser (Alerts) och export av loggar (Export Events) för lagring på företagets loggserver. Båda inställningarna görs i avsnittet Endpoint Settings och för Varningar Det är möjligt att ansluta en e-postserver för att skicka händelseaviseringar till administratören och konfigurera tröskelvärden för att trigga/inaktivera aviseringar beroende på procent/antal enheter som uppfyller händelsekriterierna. Exportera händelser låter dig konfigurera överföringen av loggar från Management Platform till företagets loggserver för vidare bearbetning. Stöder SYSLOG, CEF, LEEF, SPLUNK-format, TCP/UDP-protokoll, alla SIEM-system med en körande syslog-agent, användning av TLS/SSL-kryptering och syslog-klientautentisering.
För en djupgående analys av händelser på agenten eller vid kontakt med teknisk support kan du snabbt samla in loggar från SandBlast Agent-klienten med hjälp av en påtvingad operation i avsnittet Push Operations. Du kan konfigurera överföringen av det genererade arkivet med loggar till Check Point-servrar eller företagsservrar, och arkivet med loggar sparas på användarens dator i katalogen C:UserusernameCPInfo. Det stöder start av logginsamlingsprocessen vid en angiven tidpunkt och möjligheten att skjuta upp operationen av användaren.
Hotjakt
Hotjakt används för att proaktivt söka efter skadliga aktiviteter och onormalt beteende i ett system för att ytterligare undersöka en potentiell säkerhetshändelse. Hotjaktssektionen i Management Platform låter dig söka efter händelser med specificerade parametrar i användarmaskinens data.
Hot Hunting-verktyget har flera fördefinierade frågor, till exempel: för att klassificera skadliga domäner eller filer, spåra sällsynta förfrågningar till vissa IP-adresser (i förhållande till allmän statistik). Förfrågningsstrukturen består av tre parametrar: indikator (nätverksprotokoll, processidentifierare, filtyp, etc.), operatör ("är", "är inte", "inkluderar", "en av", etc.) och begäran organ. Du kan använda reguljära uttryck i förfrågans brödtext, och du kan använda flera filter samtidigt i sökfältet.
Efter att ha valt ett filter och slutfört förfrågningsbearbetningen har du tillgång till alla relevanta händelser, med möjlighet att se detaljerad information om händelsen, sätta förfrågningsobjektet i karantän eller generera en detaljerad kriminalteknisk rapport med en beskrivning av händelsen. För närvarande är detta verktyg i betaversion och i framtiden är det planerat att utöka uppsättningen av möjligheter, till exempel lägga till information om händelsen i form av en Mitre Att&ck-matris.
Slutsats
Låt oss sammanfatta: i den här artikeln tittade vi på möjligheterna att övervaka säkerhetshändelser i SandBlast Agent Management Platform, och studerade ett nytt verktyg för att proaktivt söka efter skadliga åtgärder och anomalier på användardatorer - Threat Hunting. Nästa artikel kommer att vara den sista i den här serien och i den kommer vi att titta på de vanligaste frågorna om Management Platform-lösningen och prata om möjligheterna att testa denna produkt.
. För att inte missa nästa publikationer om ämnet SandBlast Agent Management Platform, följ uppdateringarna på våra sociala nätverk (, , , , ).
Källa: will.com