చెక్ పాయింట్ శాండ్బ్లాస్ట్ ఏజెంట్ మేనేజ్మెంట్ ప్లాట్ఫారమ్ సొల్యూషన్ గురించి సిరీస్లోని ఐదవ కథనానికి స్వాగతం. తగిన లింక్ను అనుసరించడం ద్వారా మునుపటి కథనాలను కనుగొనవచ్చు: , , , . ఈ రోజు మనం మేనేజ్మెంట్ ప్లాట్ఫారమ్లో పర్యవేక్షణ సామర్థ్యాలను పరిశీలిస్తాము, అవి లాగ్లు, ఇంటరాక్టివ్ డాష్బోర్డ్లు (వీక్షణ) మరియు నివేదికలతో పని చేస్తాయి. వినియోగదారు మెషీన్లో ప్రస్తుత బెదిరింపులు మరియు క్రమరహిత సంఘటనలను గుర్తించడానికి మేము థ్రెట్ హంటింగ్ అంశాన్ని కూడా తాకుతాము.
చిట్టాలు
భద్రతా ఈవెంట్లను పర్యవేక్షించడానికి ప్రధాన సమాచార వనరు లాగ్ల విభాగం, ఇది ప్రతి సంఘటనపై వివరణాత్మక సమాచారాన్ని ప్రదర్శిస్తుంది మరియు మీ శోధన ప్రమాణాలను మెరుగుపరచడానికి అనుకూలమైన ఫిల్టర్లను ఉపయోగించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఉదాహరణకు, మీరు ఆసక్తి లాగ్ యొక్క పారామీటర్ (బ్లేడ్, యాక్షన్, తీవ్రత, మొదలైనవి)పై కుడి-క్లిక్ చేసినప్పుడు, ఈ పరామితిని ఇలా ఫిల్టర్ చేయవచ్చు వడపోత: "పరామితి" లేదా ఫిల్టర్ అవుట్: "పరామితి". అలాగే, మూలాధార పరామితి కోసం, IP సాధనాల ఎంపికను ఎంచుకోవచ్చు, దీనిలో మీరు ఇచ్చిన IP చిరునామా/పేరుకు పింగ్ను అమలు చేయవచ్చు లేదా పేరు ద్వారా మూలం IP చిరునామాను పొందేందుకు nslookupని అమలు చేయవచ్చు.
లాగ్ల విభాగంలో, ఫిల్టరింగ్ ఈవెంట్ల కోసం, స్టాటిస్టిక్స్ సబ్సెక్షన్ ఉంది, ఇది అన్ని పారామితులపై గణాంకాలను ప్రదర్శిస్తుంది: లాగ్ల సంఖ్యతో పాటు ప్రతి పారామీటర్కు శాతాలు ఉన్న సమయ రేఖాచిత్రం. ఈ ఉపవిభాగం నుండి మీరు శోధన పట్టీని ఉపయోగించకుండా మరియు వడపోత వ్యక్తీకరణలను వ్రాయకుండా లాగ్లను సులభంగా ఫిల్టర్ చేయవచ్చు - ఆసక్తి గల పారామితులను ఎంచుకోండి మరియు లాగ్ల యొక్క కొత్త జాబితా వెంటనే ప్రదర్శించబడుతుంది.
ప్రతి లాగ్పై వివరణాత్మక సమాచారం లాగ్ల విభాగం యొక్క కుడి ప్యానెల్లో అందుబాటులో ఉంది, అయితే కంటెంట్లను విశ్లేషించడానికి డబుల్ క్లిక్ చేయడం ద్వారా లాగ్ను తెరవడం మరింత సౌకర్యవంతంగా ఉంటుంది. సోకిన ".docx" ఫైల్పై థ్రెట్ ఎమ్యులేషన్ బ్లేడ్ని నిరోధించే చర్య యొక్క ట్రిగ్గరింగ్పై వివరణాత్మక సమాచారాన్ని ప్రదర్శించే లాగ్కి (చిత్రం క్లిక్ చేయదగినది) ఉదాహరణ క్రింద ఉంది. లాగ్ భద్రతా ఈవెంట్ యొక్క వివరాలను ప్రదర్శించే అనేక ఉపవిభాగాలను కలిగి ఉంది: ప్రేరేపించబడిన విధానాలు మరియు రక్షణలు, ఫోరెన్సిక్స్ వివరాలు, క్లయింట్ మరియు ట్రాఫిక్ గురించిన సమాచారం. లాగ్ నుండి లభించే నివేదికలు ప్రత్యేక శ్రద్ధకు అర్హమైనవి - థ్రెట్ ఎమ్యులేషన్ రిపోర్ట్ మరియు ఫోరెన్సిక్స్ రిపోర్ట్. ఈ నివేదికలను SandBlast ఏజెంట్ క్లయింట్ నుండి కూడా తెరవవచ్చు.
థ్రెట్ ఎమ్యులేషన్ రిపోర్ట్
థ్రెట్ ఎమ్యులేషన్ బ్లేడ్ను ఉపయోగిస్తున్నప్పుడు, చెక్ పాయింట్ క్లౌడ్లో ఎమ్యులేషన్ నిర్వహించిన తర్వాత, ఎమ్యులేషన్ ఫలితాలపై వివరణాత్మక నివేదికకు లింక్ - థ్రెట్ ఎమ్యులేషన్ రిపోర్ట్ - సంబంధిత లాగ్లో కనిపిస్తుంది. అటువంటి నివేదికలోని విషయాలు గురించి మా కథనంలో వివరంగా వివరించబడ్డాయి . ఈ నివేదిక ఇంటరాక్టివ్గా ఉందని మరియు ప్రతి విభాగానికి సంబంధించిన వివరాలను "డైవ్" చేయడానికి మిమ్మల్ని అనుమతిస్తుంది అని గమనించాలి. వర్చువల్ మెషీన్లో ఎమ్యులేషన్ ప్రక్రియ యొక్క రికార్డింగ్ను వీక్షించడం, అసలు హానికరమైన ఫైల్ను డౌన్లోడ్ చేయడం లేదా దాని హాష్ను పొందడం మరియు చెక్ పాయింట్ ఇన్సిడెంట్ రెస్పాన్స్ టీమ్ను కూడా సంప్రదించడం కూడా సాధ్యమే.
ఫోరెన్సిక్స్ నివేదిక
దాదాపు ఏదైనా భద్రతా ఈవెంట్ కోసం, ఫోరెన్సిక్స్ నివేదిక రూపొందించబడింది, ఇందులో హానికరమైన ఫైల్ గురించిన వివరణాత్మక సమాచారం ఉంటుంది: దాని లక్షణాలు, చర్యలు, సిస్టమ్లోకి ప్రవేశించే స్థానం మరియు ముఖ్యమైన కంపెనీ ఆస్తులపై ప్రభావం. గురించి వ్యాసంలో మేము నివేదిక యొక్క నిర్మాణాన్ని వివరంగా చర్చించాము . భద్రతా సంఘటనలను పరిశోధిస్తున్నప్పుడు అటువంటి నివేదిక సమాచారం యొక్క ముఖ్యమైన మూలం, మరియు అవసరమైతే, నివేదికలోని విషయాలను వెంటనే చెక్ పాయింట్ సంఘటన ప్రతిస్పందన బృందానికి పంపవచ్చు.
SmartView
చెక్ పాయింట్ స్మార్ట్వ్యూ అనేది డైనమిక్ డ్యాష్బోర్డ్లు (వ్యూ) మరియు నివేదికలను PDF ఫార్మాట్లో సృష్టించడానికి మరియు వీక్షించడానికి అనుకూలమైన సాధనం. SmartView నుండి మీరు నిర్వాహకుల కోసం వినియోగదారు లాగ్లు మరియు ఆడిట్ ఈవెంట్లను కూడా చూడవచ్చు. క్రింద ఉన్న బొమ్మ SandBlast ఏజెంట్తో పని చేయడానికి అత్యంత ఉపయోగకరమైన నివేదికలు మరియు డ్యాష్బోర్డ్లను చూపుతుంది.
SmartViewలోని నివేదికలు నిర్దిష్ట కాల వ్యవధిలో ఈవెంట్ల గురించి గణాంక సమాచారంతో కూడిన పత్రాలు. ఇది SmartView తెరిచి ఉన్న మెషీన్కు PDF ఫార్మాట్లో నివేదికలను అప్లోడ్ చేయడానికి మద్దతు ఇస్తుంది, అలాగే నిర్వాహకుని ఇమెయిల్కు PDF/Excelకు క్రమం తప్పకుండా అప్లోడ్ చేస్తుంది. అదనంగా, ఇది నివేదిక టెంప్లేట్ల దిగుమతి/ఎగుమతి, మీ స్వంత నివేదికల సృష్టి మరియు నివేదికలలో వినియోగదారు పేర్లను దాచగల సామర్థ్యాన్ని మద్దతిస్తుంది. దిగువన ఉన్న బొమ్మ అంతర్నిర్మిత ముప్పు నివారణ నివేదిక యొక్క ఉదాహరణను చూపుతుంది.
SmartViewలోని డ్యాష్బోర్డ్లు (వీక్షణ) సంబంధిత ఈవెంట్ కోసం లాగ్లను యాక్సెస్ చేయడానికి నిర్వాహకుడిని అనుమతిస్తాయి - ఆసక్తి ఉన్న వస్తువుపై డబుల్ క్లిక్ చేయండి, అది చార్ట్ కాలమ్ లేదా హానికరమైన ఫైల్ పేరు కావచ్చు. నివేదికల మాదిరిగానే, మీరు మీ స్వంత డాష్బోర్డ్లను సృష్టించవచ్చు మరియు వినియోగదారు డేటాను దాచవచ్చు. డ్యాష్బోర్డ్లు టెంప్లేట్ల దిగుమతి/ఎగుమతి, అడ్మినిస్ట్రేటర్ ఇమెయిల్కు PDF/Excelకు క్రమం తప్పకుండా అప్లోడ్ చేయడం మరియు నిజ సమయంలో భద్రతా ఈవెంట్లను పర్యవేక్షించడానికి ఆటోమేటిక్ డేటా అప్డేట్లకు కూడా మద్దతు ఇస్తాయి.
అదనపు పర్యవేక్షణ విభాగాలు
ఓవర్వ్యూ, కంప్యూటర్ మేనేజ్మెంట్, ఎండ్పాయింట్ సెట్టింగ్లు మరియు పుష్ ఆపరేషన్స్ విభాగాలను పేర్కొనకుండా నిర్వహణ ప్లాట్ఫారమ్లోని పర్యవేక్షణ సాధనాల వివరణ అసంపూర్ణంగా ఉంటుంది. ఈ విభాగాలు లో వివరంగా వివరించబడ్డాయి అయితే, పర్యవేక్షణ సమస్యలను పరిష్కరించడానికి వారి సామర్థ్యాలను పరిగణనలోకి తీసుకోవడం ఉపయోగకరంగా ఉంటుంది. స్థూలదృష్టితో ప్రారంభిద్దాం, ఇందులో రెండు ఉపవిభాగాలు ఉంటాయి - ఆపరేషనల్ ఓవర్వ్యూ మరియు సెక్యూరిటీ ఓవర్వ్యూ, ఇవి రక్షిత వినియోగదారు మెషీన్ల స్థితి మరియు భద్రతా ఈవెంట్ల గురించిన సమాచారంతో కూడిన డాష్బోర్డ్లు. ఏదైనా ఇతర డాష్బోర్డ్తో పరస్పర చర్య చేస్తున్నప్పుడు, కార్యాచరణ అవలోకనం మరియు భద్రతా స్థూలదృష్టి ఉపవిభాగాలు, ఆసక్తి పారామీటర్పై డబుల్-క్లిక్ చేసినప్పుడు, ఎంచుకున్న ఫిల్టర్తో కంప్యూటర్ మేనేజ్మెంట్ విభాగానికి వెళ్లడానికి మిమ్మల్ని అనుమతిస్తాయి (ఉదాహరణకు, “డెస్క్టాప్లు” లేదా “ప్రీ- బూట్ స్థితి: ప్రారంభించబడింది”), లేదా నిర్దిష్ట ఈవెంట్ కోసం లాగ్ల విభాగానికి. భద్రతా స్థూలదృష్టి ఉపవిభాగం "సైబర్ అటాక్ వ్యూ - ఎండ్పాయింట్" డాష్బోర్డ్, దీనిని అనుకూలీకరించవచ్చు మరియు స్వయంచాలకంగా డేటాను నవీకరించడానికి సెట్ చేయవచ్చు.
కంప్యూటర్ మేనేజ్మెంట్ విభాగం నుండి మీరు వినియోగదారు మెషీన్లలో ఏజెంట్ యొక్క స్థితి, యాంటీ-మాల్వేర్ డేటాబేస్ యొక్క నవీకరణ స్థితి, డిస్క్ ఎన్క్రిప్షన్ దశలు మరియు మరిన్నింటిని పర్యవేక్షించవచ్చు. మొత్తం డేటా స్వయంచాలకంగా నవీకరించబడుతుంది మరియు ప్రతి ఫిల్టర్కు సరిపోలే వినియోగదారు మెషీన్ల శాతం ప్రదర్శించబడుతుంది. CSV ఆకృతిలో కంప్యూటర్ డేటాను ఎగుమతి చేయడానికి కూడా మద్దతు ఉంది.
వర్క్స్టేషన్ల భద్రతను పర్యవేక్షించడంలో ముఖ్యమైన అంశం ఏమిటంటే, కంపెనీ లాగ్ సర్వర్లో స్టోరేజ్ కోసం క్లిష్టమైన ఈవెంట్లు (అలర్ట్లు) మరియు లాగ్లను ఎగుమతి చేయడం (ఎగుమతి ఈవెంట్లు) గురించి నోటిఫికేషన్లను సెటప్ చేయడం. రెండు సెట్టింగ్లు ఎండ్పాయింట్ సెట్టింగ్ల విభాగంలో మరియు వాటి కోసం రూపొందించబడ్డాయి హెచ్చరికలు నిర్వాహకుడికి ఈవెంట్ నోటిఫికేషన్లను పంపడానికి మెయిల్ సర్వర్ని కనెక్ట్ చేయడం మరియు ఈవెంట్ ప్రమాణాలకు అనుగుణంగా ఉండే పరికరాల శాతం/సంఖ్య ఆధారంగా నోటిఫికేషన్లను ట్రిగ్గర్ చేయడం/నిలిపివేయడం కోసం థ్రెషోల్డ్లను కాన్ఫిగర్ చేయడం సాధ్యపడుతుంది. ఈవెంట్లను ఎగుమతి చేయండి తదుపరి ప్రాసెసింగ్ కోసం మేనేజ్మెంట్ ప్లాట్ఫారమ్ నుండి కంపెనీ లాగ్ సర్వర్కు లాగ్ల బదిలీని కాన్ఫిగర్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. SYSLOG, CEF, LEEF, SPLUNK ఫార్మాట్లు, TCP/UDP ప్రోటోకాల్లు, నడుస్తున్న syslog ఏజెంట్తో ఏదైనా SIEM సిస్టమ్లు, TLS/SSL ఎన్క్రిప్షన్ మరియు syslog క్లయింట్ ప్రమాణీకరణను సపోర్ట్ చేస్తుంది.
ఏజెంట్పై ఈవెంట్ల లోతైన విశ్లేషణ కోసం లేదా సాంకేతిక మద్దతును సంప్రదించే సందర్భంలో, మీరు పుష్ ఆపరేషన్స్ విభాగంలో బలవంతంగా ఆపరేషన్ని ఉపయోగించి శాండ్బ్లాస్ట్ ఏజెంట్ క్లయింట్ నుండి లాగ్లను త్వరగా సేకరించవచ్చు. మీరు చెక్ పాయింట్ సర్వర్లు లేదా కార్పొరేట్ సర్వర్లకు లాగ్లతో రూపొందించబడిన ఆర్కైవ్ బదిలీని కాన్ఫిగర్ చేయవచ్చు మరియు లాగ్లతో కూడిన ఆర్కైవ్ వినియోగదారు మెషీన్లో C:UserusernameCPInfo డైరెక్టరీలో సేవ్ చేయబడుతుంది. ఇది నిర్దిష్ట సమయంలో లాగ్ సేకరణ ప్రక్రియను ప్రారంభించడం మరియు వినియోగదారు ఆపరేషన్ను వాయిదా వేసే సామర్థ్యానికి మద్దతు ఇస్తుంది.
బెదిరింపు వేట
సంభావ్య భద్రతా సంఘటనను మరింత పరిశోధించడానికి సిస్టమ్లో హానికరమైన కార్యకలాపాలు మరియు క్రమరహిత ప్రవర్తన కోసం ముందస్తుగా శోధించడానికి థ్రెట్ హంటింగ్ ఉపయోగించబడుతుంది. నిర్వహణ ప్లాట్ఫారమ్లోని థ్రెట్ హంటింగ్ విభాగం వినియోగదారు మెషిన్ డేటాలో పేర్కొన్న పారామితులతో ఈవెంట్ల కోసం శోధించడానికి మిమ్మల్ని అనుమతిస్తుంది.
థ్రెట్ హంటింగ్ సాధనం అనేక ముందే నిర్వచించబడిన ప్రశ్నలను కలిగి ఉంది, ఉదాహరణకు: హానికరమైన డొమైన్లు లేదా ఫైల్లను వర్గీకరించడానికి, కొన్ని IP చిరునామాలకు (సాధారణ గణాంకాలకు సంబంధించి) అరుదైన అభ్యర్థనలను ట్రాక్ చేయడానికి. అభ్యర్థన నిర్మాణం మూడు పారామితులను కలిగి ఉంటుంది: సూచిక (నెట్వర్క్ ప్రోటోకాల్, ప్రాసెస్ ఐడెంటిఫైయర్, ఫైల్ రకం మొదలైనవి) ఆపరేటర్లు ("ఉంది", "కాదు", "చేర్చబడింది", "ఒకటి" మొదలైనవి) మరియు అభ్యర్థన శరీరం. మీరు అభ్యర్థన యొక్క బాడీలో సాధారణ వ్యక్తీకరణలను ఉపయోగించవచ్చు మరియు మీరు శోధన పట్టీలో ఏకకాలంలో బహుళ ఫిల్టర్లను ఉపయోగించవచ్చు.
ఫిల్టర్ని ఎంచుకుని, అభ్యర్థన ప్రాసెసింగ్ను పూర్తి చేసిన తర్వాత, ఈవెంట్ గురించి సవివరమైన సమాచారాన్ని వీక్షించడం, అభ్యర్థన వస్తువును నిర్బంధించడం లేదా ఈవెంట్ యొక్క వివరణతో వివరణాత్మక ఫోరెన్సిక్స్ నివేదికను రూపొందించడం వంటి సామర్థ్యంతో మీరు అన్ని సంబంధిత ఈవెంట్లకు యాక్సెస్ను కలిగి ఉంటారు. ప్రస్తుతం, ఈ సాధనం బీటా వెర్షన్లో ఉంది మరియు భవిష్యత్తులో ఇది సామర్థ్యాల సెట్ను విస్తరించడానికి ప్రణాళిక చేయబడింది, ఉదాహరణకు, మిటెర్ అట్&క్ మ్యాట్రిక్స్ రూపంలో ఈవెంట్ గురించి సమాచారాన్ని జోడించడం.
తీర్మానం
సంగ్రహంగా చెప్పండి: ఈ కథనంలో మేము SandBlast ఏజెంట్ మేనేజ్మెంట్ ప్లాట్ఫారమ్లోని భద్రతా ఈవెంట్లను పర్యవేక్షించే సామర్థ్యాలను చూశాము మరియు వినియోగదారు మెషీన్లలో హానికరమైన చర్యలు మరియు క్రమరాహిత్యాల కోసం ముందస్తుగా శోధించడానికి కొత్త సాధనాన్ని అధ్యయనం చేసాము - థ్రెట్ హంటింగ్. తదుపరి కథనం ఈ సిరీస్లో చివరిది మరియు దానిలో మేము మేనేజ్మెంట్ ప్లాట్ఫారమ్ పరిష్కారం గురించి తరచుగా అడిగే ప్రశ్నలను పరిశీలిస్తాము మరియు ఈ ఉత్పత్తిని పరీక్షించే అవకాశాల గురించి మాట్లాడుతాము.
. శాండ్బ్లాస్ట్ ఏజెంట్ మేనేజ్మెంట్ ప్లాట్ఫారమ్ అంశంపై తదుపరి ప్రచురణలను కోల్పోకుండా ఉండటానికి, మా సోషల్ నెట్వర్క్లలో నవీకరణలను అనుసరించండి (, , , , ).
మూలం: www.habr.com