Хуш омадед ба мақолаи панҷуми силсила дар бораи ҳалли Platform Management Agent Check Point SandBlast. Мақолаҳои қаблиро тавассути истиноди мувофиқ пайдо кардан мумкин аст: , , , . Имрӯз мо имкониятҳои мониторингро дар Платформаи идоракунӣ дида мебароем, яъне кор бо гузоришҳо, панелҳои интерактивӣ (Намоиш) ва ҳисоботҳо. Мо инчунин ба мавзӯи шикори таҳдидҳо барои муайян кардани таҳдидҳои ҷорӣ ва рӯйдодҳои ғайриоддӣ дар мошини корбар дахл хоҳем кард.
Гузоришҳо
Сарчашмаи асосии иттилоот барои мониторинги рӯйдодҳои амниятӣ бахши Гузоришҳо мебошад, ки дар он маълумоти муфассал дар бораи ҳар як ҳодиса нишон дода мешавад ва инчунин ба шумо имкон медиҳад, ки филтрҳои мувофиқро барои дақиқ кардани меъёрҳои ҷустуҷӯ истифода баред. Масалан, вақте ки шумо ба параметри (Blade, Action, Severity, ва ғ.) рости муш клик кунед, ин параметр метавонад ҳамчун филтр карда шавад. Филтр: "Параметр" ё Филтр берун: "Параметр". Инчунин барои параметри Сарчашма имконоти IP Tools-ро интихоб кардан мумкин аст, ки дар он шумо метавонед пингро ба суроғаи IP/номи додашуда иҷро кунед ё nslookup-ро иҷро кунед, то суроғаи IP-и манбаъро бо ном гиред.
Дар бахши Гузоришҳо барои филтркунии рӯйдодҳо зербахши Омор мавҷуд аст, ки дар он омор оид ба ҳамаи параметрҳо нишон дода мешавад: диаграммаи вақт бо шумораи гузоришҳо, инчунин фоизҳо барои ҳар як параметр. Аз ин зербахш шумо метавонед бе истифодаи сатри ҷустуҷӯ ва навиштани ифодаҳои филтрӣ гузоришҳоро ба осонӣ филтр кунед - танҳо параметрҳои мавриди таваҷҷӯҳро интихоб кунед ва рӯйхати нави гузоришҳо фавран намоиш дода мешавад.
Маълумоти муфассал дар бораи ҳар як гузориш дар панели рости бахши Гузоришҳо мавҷуд аст, аммо кушодани гузориш бо пахши дукарата барои таҳлили мундариҷа қулайтар аст. Дар зер намунаи гузориш мавҷуд аст (тасвирро клик кардан мумкин аст), ки маълумоти муфассалро дар бораи триггери амали Пешгирии майсаи Emulation Threat дар файли сироятшудаи ".docx" намоиш медиҳад. Журнал дорои якчанд зерфаслҳо мебошад, ки тафсилоти ҳодисаи амниятро нишон медиҳанд: сиёсатҳо ва муҳофизатҳои фаъолшуда, тафсилоти криминалистӣ, маълумот дар бораи муштарӣ ва трафик. Ҳисоботҳое, ки аз гузориш дастрасанд, сазовори таваҷҷӯҳи махсус мебошанд - Ҳисобот оид ба эмуляцияи таҳдид ва Гузориши криминалистӣ. Ин гузоришҳоро инчунин аз муштарии SandBlast Agent кушодан мумкин аст.
Ҳисоботи тақлид дар бораи таҳдид
Ҳангоми истифодаи майсаи Emulation Threat, пас аз анҷом додани тақлид дар абри Check Point, истинод ба гузориши муфассал дар бораи натиҷаҳои эмуляция - Ҳисоботи Emulation Threat - дар гузориши мувофиқ пайдо мешавад. Мундариҷаи чунин гузориш дар мақолаи мо дар бораи муфассал тавсиф карда мешавад . Қобили зикр аст, ки гузориши мазкур интерактивӣ буда, ба шумо имкон медиҳад, ки тафсилоти ҳар як бахшро «ба ғарқ» кунед. Инчунин мумкин аст, ки сабти раванди эмуляцияро дар мошини виртуалӣ тамошо кунед, файли аслии зарароварро зеркашӣ кунед ё хэши онро дарёфт кунед ва инчунин бо Гурӯҳи вокуниш ба ҳодисаҳои Check Point тамос гиред.
Ҳисоботи криминалистӣ
Қариб барои ҳама гуна ҳодисаҳои амниятӣ Ҳисоботи криминалистӣ таҳия карда мешавад, ки маълумоти муфассалро дар бораи файли зараровар дар бар мегирад: хусусиятҳо, амалҳо, нуқтаи воридшавӣ ба система ва таъсир ба дороиҳои муҳими ширкат. Мо сохтори гузоришро дар мақолаи муфассал баррасӣ кардем . Чунин гузориш манбаи муҳими иттилоот ҳангоми таҳқиқи ҳодисаҳои амниятӣ мебошад ва дар ҳолати зарурӣ мундариҷаи гузориш метавонад фавран ба Гурӯҳи вокуниш ба ҳодисаҳои Санҷиш фиристода шавад.
View Smart
Check Point SmartView воситаи қулай барои эҷод ва дидани панелҳои динамикӣ (Намоиш) ва ҳисоботҳо дар формати PDF мебошад. Аз SmartView шумо инчунин метавонед сабтҳои корбарон ва рӯйдодҳои аудити маъмуронро бинед. Дар расми зер гузоришҳо ва панелҳои муфидтарин барои кор бо SandBlast Agent нишон дода шудаанд.
Ҳисоботҳо дар SmartView ҳуҷҷатҳое мебошанд, ки маълумоти оморӣ дар бораи рӯйдодҳо дар давраи муайян доранд. Он боркунии гузоришҳоро дар формати PDF ба мошине, ки SmartView кушода аст, инчунин боркунии мунтазам ба PDF/Excel ба почтаи электронии администратор дастгирӣ мекунад. Илова бар ин, он воридот/содироти қолибҳои ҳисобот, эҷоди гузоришҳои шахсии шумо ва қобилияти пинҳон кардани номҳои корбаронро дар гузоришҳо дастгирӣ мекунад. Дар расми зер намунаи гузориши дарунсохт оид ба пешгирии таҳдидҳо нишон дода шудааст.
Панелҳои назоратӣ (Намоиш) дар SmartView ба маъмур имкон медиҳанд, ки ба гузоришҳо барои рӯйдоди мувофиқ дастрасӣ пайдо кунанд - танҳо объекти мавриди таваҷҷӯҳро ду маротиба клик кунед, хоҳ он сутуни диаграмма ё номи файли зараровар. Мисли гузоришҳо, шумо метавонед панелҳои шахсии худро эҷод кунед ва маълумоти корбарро пинҳон кунед. Панелҳои идоракунӣ инчунин воридот/содироти қолибҳо, боркунии мунтазам ба PDF/Excel ба почтаи электронии администратор ва навсозии автоматии маълумотро барои назорат кардани рӯйдодҳои амниятӣ дар вақти воқеӣ дастгирӣ мекунанд.
Бахшҳои иловагии мониторинг
Тавсифи абзорҳои мониторинг дар Платформаи идоракунӣ бидуни зикри бахшҳои Шарҳ, Идоракунии компютер, Танзимоти нуқтаи ниҳоӣ ва Амалиётҳои Push нопурра хоҳад буд. Ин бахшҳо дар муфассал тавсиф шудаанд , аммо ба назар гирифтани имкониятҳои онҳо барои ҳалли мушкилоти мониторинг муфид хоҳад буд. Биёед бо Шарҳи умумӣ оғоз кунем, ки аз ду зербахш иборат аст - Шарҳи амалиётӣ ва Шарҳи амният, ки панелҳои идоракунӣ бо маълумот дар бораи ҳолати мошинҳои корбари ҳифзшуда ва рӯйдодҳои амниятӣ мебошанд. Тавре ки ҳангоми ҳамкорӣ бо ягон панели дигар, зербахшҳои Шарҳи амалиётӣ ва Шарҳи амният, ҳангоми ду маротиба пахш кардани параметри таваҷҷӯҳ ба шумо имкон медиҳанд, ки бо филтри интихобшуда ба бахши Идоракунии компютер ворид шавед (масалан, "Мизи корӣ" ё "Пеш- Ҳолати пурборшаванда: Фаъол") ё ба бахши Гузоришҳо барои ҳодисаи мушаххас. Зерфасли Баррасии Амният як панели "Намоиши ҳамлаи киберӣ - Нуқтаи ниҳоӣ" мебошад, ки мумкин аст фармоишӣ ва ба таври худкор навсозии додаҳо муқаррар карда шавад.
Аз бахши Идоракунии компютер шумо метавонед ҳолати агентро дар мошинҳои корбар, ҳолати навсозии пойгоҳи додаҳои Анти-зараровар, марҳилаҳои рамзгузории диск ва ғайраро назорат кунед. Ҳама маълумот ба таври худкор нав карда мешавад ва барои ҳар як филтр фоизи мошинҳои мувофиқи корбар нишон дода мешавад. Содироти маълумоти компютерӣ дар формати CSV низ дастгирӣ карда мешавад.
Ҷанбаи муҳими мониторинги бехатарии истгоҳҳои корӣ таъсис додани огоҳиномаҳо дар бораи рӯйдодҳои муҳим (Огоҳҳо) ва содироти гузоришҳо (Содирот Ҳодисаҳо) барои нигоҳдорӣ дар сервери журнали ширкат мебошад. Ҳарду танзимот дар қисмати Endpoint Settings ва барои Огоҳ Барои фиристодани огоҳиномаҳо дар бораи рӯйдод ба администратор сервери почтаро пайваст кардан мумкин аст ва вобаста ба фоиз/шумораи дастгоҳҳое, ки ба меъёрҳои рӯйдод мувофиқат мекунанд, ҳадди барои ангеза/хомӯш кардани огоҳиномаҳоро танзим кардан мумкин аст. Чорабиниҳо содиротӣ ба шумо имкон медиҳад, ки интиқоли гузоришҳоро аз Платформаи идоракунӣ ба сервери гузоришҳои ширкат барои коркарди минбаъда танзим кунед. Форматҳои SYSLOG, CEF, LEEF, SPLUNK, протоколҳои TCP/UDP, ҳама гуна системаҳои SIEM бо агенти syslog, истифодаи рамзгузории TLS/SSL ва аутентификатсияи муштарии syslog -ро дастгирӣ мекунад.
Барои таҳлили амиқи рӯйдодҳои агент ё дар сурати тамос бо дастгирии техникӣ, шумо метавонед бо истифода аз амалиёти маҷбурӣ дар бахши Амалиёти Push аз муштарии SandBlast Agent гузоришҳоро зуд ҷамъ кунед. Шумо метавонед интиқоли бойгонии тавлидшударо бо гузоришҳо ба серверҳои Check Point ё серверҳои корпоративӣ танзим кунед ва бойгонӣ бо гузоришҳо дар мошини корбар дар директорияи C:UsersusernameCPInfo захира карда мешавад. Он оғоз кардани раванди ҷамъоварии гузоришҳоро дар вақти муайян ва қобилияти ба таъхир андохтани амалиёт аз ҷониби корбар дастгирӣ мекунад.
Шикори таҳдид
Threat Hunting барои ҷустуҷӯи фаъолонаи фаъолиятҳои зараровар ва рафтори ғайриоддӣ дар система барои таҳқиқи минбаъдаи ҳодисаи эҳтимолии амният истифода мешавад. Бахши шикори таҳдид дар Платформаи идоракунӣ ба шумо имкон медиҳад, ки рӯйдодҳоро бо параметрҳои муайяншуда дар маълумоти мошини корбар ҷустуҷӯ кунед.
Асбоби шикори таҳдид дорои якчанд дархостҳои пешакӣ муайяншуда мебошад, масалан: барои тасниф кардани доменҳо ё файлҳои зараровар, пайгирии дархостҳои нодир ба суроғаҳои муайяни IP (нисбат ба омори умумӣ). Сохтори дархост аз се параметр иборат аст: нишондод (протоколи шабака, идентификатори раванд, навъи файл ва ғ.), оператор («аст», «не», «дарбар мегирад», «яке аз» ва ғ.) ва мақомоти дархост. Шумо метавонед ибораҳои муқаррариро дар матни дархост истифода баред ва шумо метавонед дар сатри ҷустуҷӯ ҳамзамон якчанд филтрҳоро истифода баред.
Пас аз интихоби филтр ва анҷом додани коркарди дархост, шумо ба ҳама рӯйдодҳои дахлдор дастрасӣ доред, ки имкони дидани маълумоти муфассал дар бораи ҳодиса, карантини объекти дархост ё эҷоди Ҳисоботи муфассали Криминалистика бо тавсифи ҳодисаро доред. Дар айни замон, ин асбоб дар версияи бета қарор дорад ва дар оянда васеъ кардани маҷмӯи қобилиятҳо ба нақша гирифта шудааст, масалан, илова кардани маълумот дар бораи ҳодиса дар шакли матритсаи Miter Att&ck.
хулоса
Биёед ҷамъбаст кунем: дар ин мақола мо имкониятҳои мониторинги рӯйдодҳои бехатариро дар Платформаи идоракунии агенти SandBlast дида бароем ва як воситаи навро барои ҷустуҷӯи фаъолонаи амалҳои зараровар ва аномалияҳо дар мошинҳои корбар омӯхтаем - Threat Hunting. Мақолаи навбатӣ мақолаи ниҳоии ин силсила хоҳад буд ва дар он мо саволҳои бештар додашударо дар бораи ҳалли Платформаи идоракунӣ дида мебароем ва дар бораи имкониятҳои санҷиши ин маҳсулот сӯҳбат мекунем.
. Барои аз даст надодани нашрияҳои навбатӣ дар мавзӯи Платформаи идоракунии агенти SandBlast, навсозиҳои шабакаҳои иҷтимоии моро пайгирӣ кунед (, , , , ).
Манбаъ: will.com