செக் பாயிண்ட் சாண்ட் பிளாஸ்ட் ஏஜென்ட் மேனேஜ்மென்ட் பிளாட்ஃபார்ம் தீர்வு பற்றிய தொடரின் ஐந்தாவது கட்டுரைக்கு வரவேற்கிறோம். பொருத்தமான இணைப்பைப் பின்தொடர்வதன் மூலம் முந்தைய கட்டுரைகளைக் காணலாம்:
பதிவுகள்
பாதுகாப்பு நிகழ்வுகளைக் கண்காணிப்பதற்கான முக்கிய தகவல் ஆதாரம் பதிவுகள் பிரிவு ஆகும், இது ஒவ்வொரு சம்பவத்தின் விரிவான தகவலைக் காண்பிக்கும் மற்றும் உங்கள் தேடல் அளவுகோல்களைச் செம்மைப்படுத்த வசதியான வடிப்பான்களைப் பயன்படுத்தவும் உங்களை அனுமதிக்கிறது. எடுத்துக்காட்டாக, ஆர்வமுள்ள பதிவின் அளவுருவில் (பிளேடு, செயல், தீவிரம், முதலியன) வலது கிளிக் செய்யும் போது, இந்த அளவுருவை இவ்வாறு வடிகட்டலாம் வடிகட்டி: "அளவுரு" அல்லது வடிகட்டவும்: "அளவுரு". மேலும் மூல அளவுருவிற்கு IP கருவிகள் விருப்பத்தைத் தேர்ந்தெடுக்கலாம், அங்கு நீங்கள் கொடுக்கப்பட்ட IP முகவரி/பெயருக்கு ஒரு பிங்கை இயக்கலாம் அல்லது மூல IP முகவரியை பெயரின் அடிப்படையில் பெற nslookup ஐ இயக்கலாம்.
பதிவுகள் பிரிவில், நிகழ்வுகளை வடிகட்ட, ஒரு புள்ளியியல் துணைப்பிரிவு உள்ளது, இது அனைத்து அளவுருக்கள் பற்றிய புள்ளிவிவரங்களைக் காட்டுகிறது: பதிவுகளின் எண்ணிக்கையுடன் ஒரு நேர வரைபடம், அத்துடன் ஒவ்வொரு அளவுருவிற்கும் சதவீதங்கள். இந்த துணைப்பிரிவிலிருந்து நீங்கள் தேடல் பட்டியைப் பயன்படுத்தாமல் பதிவுகளை எளிதாக வடிகட்டலாம் மற்றும் வடிகட்டுதல் வெளிப்பாடுகளை எழுதலாம் - ஆர்வத்தின் அளவுருக்களைத் தேர்ந்தெடுக்கவும், பதிவுகளின் புதிய பட்டியல் உடனடியாகக் காண்பிக்கப்படும்.
ஒவ்வொரு பதிவையும் பற்றிய விரிவான தகவல்கள் பதிவுகள் பிரிவின் வலது பேனலில் கிடைக்கின்றன, ஆனால் உள்ளடக்கங்களை பகுப்பாய்வு செய்ய இருமுறை கிளிக் செய்வதன் மூலம் பதிவைத் திறப்பது மிகவும் வசதியானது. கீழே ஒரு பதிவின் உதாரணம் (படம் கிளிக் செய்யக்கூடியது), இது பாதிக்கப்பட்ட ".docx" கோப்பில் த்ரெட் எமுலேஷன் பிளேட்டின் தடுப்பு நடவடிக்கையின் தூண்டுதலின் விரிவான தகவலைக் காட்டுகிறது. பதிவில் பாதுகாப்பு நிகழ்வின் விவரங்களைக் காண்பிக்கும் பல உட்பிரிவுகள் உள்ளன: தூண்டப்பட்ட கொள்கைகள் மற்றும் பாதுகாப்புகள், தடயவியல் விவரங்கள், கிளையன்ட் மற்றும் போக்குவரத்து பற்றிய தகவல்கள். பதிவிலிருந்து கிடைக்கும் அறிக்கைகள் சிறப்பு கவனம் தேவை - அச்சுறுத்தல் எமுலேஷன் அறிக்கை மற்றும் தடயவியல் அறிக்கை. இந்த அறிக்கைகள் SandBlast Agent கிளையண்டிலிருந்தும் திறக்கப்படலாம்.
அச்சுறுத்தல் எமுலேஷன் அறிக்கை
த்ரெட் எமுலேஷன் பிளேடைப் பயன்படுத்தும் போது, செக் பாயிண்ட் கிளவுட்டில் எமுலேஷன் செய்யப்பட்ட பிறகு, எமுலேஷன் முடிவுகள் பற்றிய விரிவான அறிக்கைக்கான இணைப்பு - அச்சுறுத்தல் எமுலேஷன் ரிப்போர்ட் - தொடர்புடைய பதிவில் தோன்றும். அத்தகைய அறிக்கையின் உள்ளடக்கங்கள் பற்றி எங்கள் கட்டுரையில் விரிவாக விவரிக்கப்பட்டுள்ளது
தடயவியல் அறிக்கை
எந்தவொரு பாதுகாப்பு நிகழ்வுக்கும், ஒரு தடயவியல் அறிக்கை உருவாக்கப்படுகிறது, இதில் தீங்கிழைக்கும் கோப்பைப் பற்றிய விரிவான தகவல்கள் அடங்கும்: அதன் பண்புகள், செயல்கள், கணினியில் நுழையும் புள்ளி மற்றும் முக்கியமான நிறுவனத்தின் சொத்துகளில் தாக்கம். பற்றிய கட்டுரையில் அறிக்கையின் கட்டமைப்பை விரிவாக விவாதித்தோம்
SmartView
Check Point SmartView என்பது டைனமிக் டாஷ்போர்டுகள் (பார்வை) மற்றும் PDF வடிவத்தில் அறிக்கைகளை உருவாக்குவதற்கும் பார்ப்பதற்கும் ஒரு வசதியான கருவியாகும். SmartView இலிருந்து நீங்கள் பயனர் பதிவுகள் மற்றும் நிர்வாகிகளுக்கான தணிக்கை நிகழ்வுகளையும் பார்க்கலாம். கீழே உள்ள படம் SandBlast Agent உடன் பணிபுரிவதற்கான மிகவும் பயனுள்ள அறிக்கைகள் மற்றும் டாஷ்போர்டுகளைக் காட்டுகிறது.
SmartView இல் உள்ள அறிக்கைகள் ஒரு குறிப்பிட்ட காலப்பகுதியில் நிகழ்வுகள் பற்றிய புள்ளிவிவரத் தகவலைக் கொண்ட ஆவணங்களாகும். SmartView திறந்திருக்கும் கணினியில் PDF வடிவத்தில் அறிக்கைகளைப் பதிவேற்றுவதையும், நிர்வாகியின் மின்னஞ்சலுக்கு PDF/Excel இல் தொடர்ந்து பதிவேற்றுவதையும் இது ஆதரிக்கிறது. கூடுதலாக, இது அறிக்கை வார்ப்புருக்களின் இறக்குமதி/ஏற்றுமதி, உங்கள் சொந்த அறிக்கைகளை உருவாக்குதல் மற்றும் அறிக்கைகளில் பயனர் பெயர்களை மறைக்கும் திறன் ஆகியவற்றை ஆதரிக்கிறது. கீழே உள்ள படம், உள்ளமைக்கப்பட்ட அச்சுறுத்தல் தடுப்பு அறிக்கையின் உதாரணத்தைக் காட்டுகிறது.
SmartView இல் உள்ள டாஷ்போர்டுகள் (பார்வை) தொடர்புடைய நிகழ்வுக்கான பதிவுகளை அணுக நிர்வாகியை அனுமதிக்கின்றன - ஆர்வமுள்ள பொருளின் மீது இருமுறை கிளிக் செய்யவும், அது விளக்கப்பட நெடுவரிசையாக இருக்கலாம் அல்லது தீங்கிழைக்கும் கோப்பின் பெயராக இருக்கலாம். அறிக்கைகளைப் போலவே, நீங்கள் உங்கள் சொந்த டாஷ்போர்டுகளை உருவாக்கலாம் மற்றும் பயனர் தரவை மறைக்கலாம். டெம்ப்ளேட்டுகளின் இறக்குமதி/ஏற்றுமதி, நிர்வாகியின் மின்னஞ்சலுக்கு PDF/Excel க்கு வழக்கமான பதிவேற்றம் மற்றும் நிகழ்நேரத்தில் பாதுகாப்பு நிகழ்வுகளைக் கண்காணிக்க தானியங்கி தரவு புதுப்பிப்புகளை டாஷ்போர்டுகள் ஆதரிக்கின்றன.
கூடுதல் கண்காணிப்பு பிரிவுகள்
மேலோட்டம், கணினி மேலாண்மை, எண்ட்பாயிண்ட் அமைப்புகள் மற்றும் புஷ் ஆபரேஷன்ஸ் பிரிவுகளைக் குறிப்பிடாமல் மேலாண்மை தளத்தில் கண்காணிப்பு கருவிகளின் விளக்கம் முழுமையடையாது. இந்த பிரிவுகள் விரிவாக விவரிக்கப்பட்டுள்ளன
கம்ப்யூட்டர் மேனேஜ்மென்ட் பிரிவில் இருந்து நீங்கள் பயனர் கணினிகளில் உள்ள முகவரின் நிலை, மால்வேர் எதிர்ப்பு தரவுத்தளத்தின் புதுப்பிப்பு நிலை, வட்டு குறியாக்கத்தின் நிலைகள் மற்றும் பலவற்றைக் கண்காணிக்கலாம். எல்லா தரவும் தானாகவே புதுப்பிக்கப்படும், மேலும் ஒவ்வொரு வடிகட்டிக்கும் பொருந்தும் பயனர் இயந்திரங்களின் சதவீதம் காட்டப்படும். CSV வடிவத்தில் கணினி தரவை ஏற்றுமதி செய்வதும் ஆதரிக்கப்படுகிறது.
பணிநிலையங்களின் பாதுகாப்பைக் கண்காணிப்பதில் முக்கியமான அம்சம் முக்கியமான நிகழ்வுகள் (எச்சரிக்கைகள்) பற்றிய அறிவிப்புகளை அமைப்பது மற்றும் நிறுவனத்தின் பதிவு சேவையகத்தில் சேமிப்பதற்காக பதிவுகளை ஏற்றுமதி செய்வது (ஏற்றுமதி நிகழ்வுகள்) ஆகும். இரண்டு அமைப்புகளும் எண்ட்பாயிண்ட் அமைப்புகள் பிரிவில் செய்யப்பட்டுள்ளன எச்சரிக்கைகள் நிர்வாகிக்கு நிகழ்வு அறிவிப்புகளை அனுப்ப அஞ்சல் சேவையகத்தை இணைக்க முடியும் மற்றும் நிகழ்வு அளவுகோல்களை சந்திக்கும் சாதனங்களின் சதவீதம்/எண்ணிக்கையைப் பொறுத்து அறிவிப்புகளைத் தூண்டுவதற்கு/முடக்குவதற்கான வரம்புகளை உள்ளமைக்க முடியும். ஏற்றுமதி நிகழ்வுகள் மேலும் செயலாக்கத்திற்காக மேலாண்மை தளத்திலிருந்து நிறுவனத்தின் பதிவு சேவையகத்திற்கு பதிவுகளை மாற்றுவதை உள்ளமைக்க உங்களை அனுமதிக்கிறது. SYSLOG, CEF, LEEF, SPLUNK வடிவங்கள், TCP/UDP நெறிமுறைகள், இயங்கும் syslog முகவருடன் கூடிய SIEM அமைப்புகள், TLS/SSL குறியாக்கம் மற்றும் syslog கிளையன்ட் அங்கீகாரம் ஆகியவற்றை ஆதரிக்கிறது.
முகவர் தொடர்பான நிகழ்வுகளின் ஆழமான பகுப்பாய்வுக்காக அல்லது தொழில்நுட்ப ஆதரவைத் தொடர்புகொள்ளும் பட்சத்தில், புஷ் ஆபரேஷன்ஸ் பிரிவில் கட்டாயச் செயல்பாட்டைப் பயன்படுத்தி SandBlast Agent கிளையண்டிலிருந்து பதிவுகளை விரைவாகச் சேகரிக்கலாம். செக் பாயிண்ட் சர்வர்கள் அல்லது கார்ப்பரேட் சர்வர்களுக்கு பதிவுகள் மூலம் உருவாக்கப்பட்ட காப்பகத்தை மாற்றுவதை நீங்கள் கட்டமைக்கலாம், மேலும் பதிவுகள் கொண்ட காப்பகம் பயனரின் கணினியில் C:UsersusernameCPInfo கோப்பகத்தில் சேமிக்கப்படும். இது ஒரு குறிப்பிட்ட நேரத்தில் பதிவு சேகரிப்பு செயல்முறையைத் தொடங்குவதையும், பயனரின் செயல்பாட்டை ஒத்திவைக்கும் திறனையும் ஆதரிக்கிறது.
அச்சுறுத்தல் வேட்டை
சாத்தியமான பாதுகாப்பு நிகழ்வை மேலும் விசாரிக்க, ஒரு அமைப்பில் தீங்கிழைக்கும் செயல்பாடுகள் மற்றும் முரண்பாடான நடத்தைகளை முன்கூட்டியே தேடுவதற்கு அச்சுறுத்தல் வேட்டை பயன்படுத்தப்படுகிறது. மேலாண்மை பிளாட்ஃபார்மில் உள்ள அச்சுறுத்தல் வேட்டைப் பிரிவு, பயனர் இயந்திரத் தரவில் குறிப்பிட்ட அளவுருக்கள் கொண்ட நிகழ்வுகளைத் தேட உங்களை அனுமதிக்கிறது.
அச்சுறுத்தல் வேட்டைக் கருவி பல முன் வரையறுக்கப்பட்ட வினவல்களைக் கொண்டுள்ளது, எடுத்துக்காட்டாக: தீங்கிழைக்கும் டொமைன்கள் அல்லது கோப்புகளை வகைப்படுத்த, சில ஐபி முகவரிகளுக்கு (பொது புள்ளிவிவரங்களுடன் தொடர்புடைய) அரிய கோரிக்கைகளைக் கண்காணிக்கும். கோரிக்கை அமைப்பு மூன்று அளவுருக்களைக் கொண்டுள்ளது: காட்டி (நெட்வொர்க் புரோட்டோகால், செயல்முறை அடையாளங்காட்டி, கோப்பு வகை போன்றவை) ஆபரேட்டர் ("ஆகும்", "இல்லை", "அடங்கும்", "ஒன்று" போன்றவை) மற்றும் கோரிக்கை உடல். கோரிக்கையின் உடலில் வழக்கமான வெளிப்பாடுகளைப் பயன்படுத்தலாம், மேலும் தேடல் பட்டியில் ஒரே நேரத்தில் பல வடிப்பான்களைப் பயன்படுத்தலாம்.
வடிப்பானைத் தேர்ந்தெடுத்து, கோரிக்கை செயலாக்கத்தை முடித்த பிறகு, நிகழ்வைப் பற்றிய விரிவான தகவல்களைப் பார்க்கும் திறன், கோரிக்கைப் பொருளைத் தனிமைப்படுத்துதல் அல்லது நிகழ்வின் விளக்கத்துடன் விரிவான தடயவியல் அறிக்கையை உருவாக்கும் திறன் ஆகியவற்றுடன் தொடர்புடைய அனைத்து நிகழ்வுகளுக்கும் நீங்கள் அணுகலாம். தற்போது, இந்த கருவி பீட்டா பதிப்பில் உள்ளது மற்றும் எதிர்காலத்தில் இது திறன்களின் தொகுப்பை விரிவுபடுத்த திட்டமிடப்பட்டுள்ளது, எடுத்துக்காட்டாக, நிகழ்வைப் பற்றிய தகவலை Miter Att&ck மேட்ரிக்ஸ் வடிவத்தில் சேர்ப்பது.
முடிவுக்கு
சுருக்கமாக: இந்த கட்டுரையில், SandBlast முகவர் மேலாண்மை தளத்தில் பாதுகாப்பு நிகழ்வுகளை கண்காணிக்கும் திறன்களைப் பார்த்தோம், மேலும் பயனர் கணினிகளில் தீங்கிழைக்கும் செயல்கள் மற்றும் முரண்பாடுகளை முன்கூட்டியே தேடுவதற்கான புதிய கருவியைப் படித்தோம் - அச்சுறுத்தல் வேட்டை. அடுத்த கட்டுரை இந்தத் தொடரின் இறுதிக் கட்டுரையாக இருக்கும், மேலும் அதில் மேலாண்மை பிளாட்ஃபார்ம் தீர்வைப் பற்றி அடிக்கடி கேட்கப்படும் கேள்விகளைப் பார்ப்போம் மற்றும் இந்த தயாரிப்பைச் சோதிப்பதற்கான சாத்தியக்கூறுகளைப் பற்றி பேசுவோம்.
ஆதாரம்: www.habr.com