ยินดีต้อนรับสู่บทความที่ห้าในชุดเกี่ยวกับโซลูชัน Check Point SandBlast Agent Management Platform บทความก่อนหน้านี้สามารถพบได้ตามลิงค์ที่เหมาะสม: , , , . วันนี้เราจะดูความสามารถในการตรวจสอบในแพลตฟอร์มการจัดการ ได้แก่ การทำงานกับบันทึก แดชบอร์ดแบบโต้ตอบ (มุมมอง) และรายงาน นอกจากนี้เรายังจะพูดถึงหัวข้อการตามล่าภัยคุกคามเพื่อระบุภัยคุกคามปัจจุบันและเหตุการณ์ผิดปกติบนเครื่องของผู้ใช้
ท่อน
แหล่งข้อมูลหลักสำหรับการตรวจสอบเหตุการณ์ด้านความปลอดภัยคือส่วนบันทึก ซึ่งแสดงข้อมูลโดยละเอียดเกี่ยวกับแต่ละเหตุการณ์ และยังช่วยให้คุณใช้ตัวกรองที่สะดวกเพื่อปรับแต่งเกณฑ์การค้นหาของคุณ ตัวอย่างเช่น เมื่อคุณคลิกขวาที่พารามิเตอร์ (Blade, Action, Severity ฯลฯ) ของบันทึกที่สนใจ พารามิเตอร์นี้สามารถกรองได้เป็น ตัวกรอง: "พารามิเตอร์" หรือ กรองออก: "พารามิเตอร์". นอกจากนี้ สำหรับพารามิเตอร์แหล่งที่มา คุณสามารถเลือกตัวเลือกเครื่องมือ IP โดยที่คุณสามารถเรียกใช้การ ping ไปยังที่อยู่/ชื่อ IP ที่กำหนด หรือเรียกใช้ nslookup เพื่อรับที่อยู่ IP ต้นทางตามชื่อ
ในส่วนบันทึก สำหรับการกรองเหตุการณ์ มีส่วนย่อยสถิติ ซึ่งแสดงสถิติของพารามิเตอร์ทั้งหมด: แผนภาพเวลาพร้อมจำนวนบันทึก รวมถึงเปอร์เซ็นต์สำหรับแต่ละพารามิเตอร์ จากส่วนย่อยนี้ คุณสามารถกรองบันทึกได้อย่างง่ายดายโดยไม่ต้องใช้แถบค้นหาและเขียนนิพจน์การกรอง - เพียงเลือกพารามิเตอร์ที่สนใจ จากนั้นรายการบันทึกใหม่จะปรากฏขึ้นทันที
ข้อมูลโดยละเอียดเกี่ยวกับบันทึกแต่ละรายการมีอยู่ในแผงด้านขวาของส่วนบันทึก แต่จะสะดวกกว่าในการเปิดบันทึกโดยดับเบิลคลิกเพื่อวิเคราะห์เนื้อหา ด้านล่างนี้เป็นตัวอย่างของบันทึก (คลิกรูปภาพได้) ซึ่งจะแสดงข้อมูลโดยละเอียดเกี่ยวกับการทริกเกอร์การดำเนินการป้องกันของเบลดการจำลองภัยคุกคามในไฟล์ ".docx" ที่ติดไวรัส บันทึกมีส่วนย่อยหลายส่วนที่แสดงรายละเอียดของเหตุการณ์ด้านความปลอดภัย: นโยบายและการป้องกันที่เรียกใช้ รายละเอียดทางนิติเวช ข้อมูลเกี่ยวกับไคลเอนต์และการรับส่งข้อมูล รายงานที่มีอยู่ในบันทึกสมควรได้รับความสนใจเป็นพิเศษ - รายงานการจำลองภัยคุกคามและรายงานนิติเวช รายงานเหล่านี้สามารถเปิดได้จากไคลเอนต์ SandBlast Agent
รายงานการจำลองภัยคุกคาม
เมื่อใช้เบลดการจำลองภัยคุกคาม หลังจากดำเนินการจำลองในระบบคลาวด์ Check Point แล้ว ลิงก์ไปยังรายงานโดยละเอียดเกี่ยวกับผลการจำลอง - รายงานการจำลองภัยคุกคาม - จะปรากฏในบันทึกที่เกี่ยวข้อง เนื้อหาของรายงานดังกล่าวมีการอธิบายโดยละเอียดในบทความของเราเกี่ยวกับ . เป็นที่น่าสังเกตว่ารายงานนี้เป็นแบบโต้ตอบและช่วยให้คุณสามารถ "เจาะลึก" รายละเอียดสำหรับแต่ละส่วนได้ นอกจากนี้ยังสามารถดูการบันทึกกระบวนการจำลองในเครื่องเสมือน ดาวน์โหลดไฟล์ต้นฉบับที่เป็นอันตราย หรือรับแฮชของไฟล์ และยังติดต่อทีมตอบสนองเหตุการณ์ Check Point ได้อีกด้วย
รายงานนิติเวช
สำหรับเหตุการณ์ด้านความปลอดภัยเกือบทุกเหตุการณ์ จะมีการสร้างรายงาน Forensics ซึ่งประกอบด้วยข้อมูลโดยละเอียดเกี่ยวกับไฟล์ที่เป็นอันตราย: ลักษณะเฉพาะ การดำเนินการ จุดเริ่มต้นเข้าสู่ระบบ และผลกระทบต่อทรัพย์สินที่สำคัญของบริษัท เราได้พูดคุยถึงโครงสร้างของรายงานโดยละเอียดในบทความเกี่ยวกับ . รายงานดังกล่าวเป็นแหล่งข้อมูลที่สำคัญในการตรวจสอบเหตุการณ์ด้านความปลอดภัย และหากจำเป็น เนื้อหาของรายงานสามารถส่งไปยังทีมตอบสนองเหตุการณ์ Check Point ได้ทันที
SmartView
Check Point SmartView เป็นเครื่องมือที่สะดวกสำหรับการสร้างและการดูแดชบอร์ดแบบไดนามิก (มุมมอง) และรายงานในรูปแบบ PDF จาก SmartView คุณยังสามารถดูบันทึกผู้ใช้และกิจกรรมการตรวจสอบสำหรับผู้ดูแลระบบได้ รูปด้านล่างแสดงรายงานและแดชบอร์ดที่มีประโยชน์ที่สุดสำหรับการทำงานกับ SandBlast Agent
รายงานใน SmartView คือเอกสารที่มีข้อมูลทางสถิติเกี่ยวกับเหตุการณ์ในช่วงระยะเวลาหนึ่ง รองรับการอัพโหลดรายงานในรูปแบบ PDF ไปยังเครื่องที่เปิด SmartView รวมถึงการอัพโหลดเป็น PDF/Excel ไปยังอีเมลของผู้ดูแลระบบเป็นประจำ นอกจากนี้ยังรองรับการนำเข้า/ส่งออกเทมเพลตรายงาน การสร้างรายงานของคุณเอง และความสามารถในการซ่อนชื่อผู้ใช้ในรายงาน รูปด้านล่างแสดงตัวอย่างรายงานการป้องกันภัยคุกคามในตัว
แดชบอร์ด (มุมมอง) ใน SmartView ช่วยให้ผู้ดูแลระบบสามารถเข้าถึงบันทึกสำหรับเหตุการณ์ที่เกี่ยวข้องได้ เพียงดับเบิลคลิกที่วัตถุที่สนใจ ไม่ว่าจะเป็นคอลัมน์แผนภูมิหรือชื่อของไฟล์ที่เป็นอันตราย เช่นเดียวกับรายงาน คุณสามารถสร้างแดชบอร์ดของคุณเองและซ่อนข้อมูลผู้ใช้ได้ แดชบอร์ดยังรองรับการนำเข้า/ส่งออกเทมเพลต การอัปโหลดเป็น PDF/Excel ไปยังอีเมลของผู้ดูแลระบบเป็นประจำ และการอัปเดตข้อมูลอัตโนมัติเพื่อตรวจสอบเหตุการณ์ด้านความปลอดภัยแบบเรียลไทม์
ส่วนการตรวจสอบเพิ่มเติม
คำอธิบายของเครื่องมือตรวจสอบในแพลตฟอร์มการจัดการจะไม่สมบูรณ์หากไม่ได้กล่าวถึงส่วนภาพรวม การจัดการคอมพิวเตอร์ การตั้งค่าปลายทาง และการดำเนินการแบบพุช ส่วนเหล่านี้ได้รับการอธิบายโดยละเอียดใน อย่างไรก็ตามการพิจารณาความสามารถในการแก้ไขปัญหาการติดตามจะเป็นประโยชน์ เริ่มจากภาพรวมซึ่งประกอบด้วยสองส่วนย่อย - ภาพรวมการปฏิบัติงานและภาพรวมความปลอดภัย ซึ่งเป็นแดชบอร์ดที่มีข้อมูลเกี่ยวกับสถานะของเครื่องผู้ใช้ที่ได้รับการป้องกันและเหตุการณ์ด้านความปลอดภัย เช่นเดียวกับเมื่อโต้ตอบกับแดชบอร์ดอื่นๆ ส่วนย่อยภาพรวมการปฏิบัติงานและภาพรวมความปลอดภัย เมื่อดับเบิลคลิกที่พารามิเตอร์ที่สนใจ จะทำให้คุณไปที่ส่วนการจัดการคอมพิวเตอร์ด้วยตัวกรองที่เลือก (เช่น "เดสก์ท็อป" หรือ "Pre- สถานะการบูต: เปิดใช้งาน") หรือไปที่ส่วนบันทึกสำหรับเหตุการณ์เฉพาะ ส่วนย่อยภาพรวมความปลอดภัยคือแดชบอร์ด “Cyber Attack View – Endpoint” ซึ่งสามารถปรับแต่งและตั้งค่าให้อัปเดตข้อมูลอัตโนมัติได้
จากส่วนการจัดการคอมพิวเตอร์ คุณสามารถตรวจสอบสถานะของตัวแทนบนเครื่องของผู้ใช้ สถานะการอัปเดตของฐานข้อมูลต่อต้านมัลแวร์ ขั้นตอนของการเข้ารหัสดิสก์ และอื่นๆ อีกมากมาย ข้อมูลทั้งหมดได้รับการอัปเดตโดยอัตโนมัติ และสำหรับแต่ละตัวกรอง เปอร์เซ็นต์ของเครื่องของผู้ใช้ที่ตรงกันจะปรากฏขึ้น รองรับการส่งออกข้อมูลคอมพิวเตอร์ในรูปแบบ CSV
สิ่งสำคัญในการตรวจสอบความปลอดภัยของเวิร์กสเตชันคือการตั้งค่าการแจ้งเตือนเกี่ยวกับเหตุการณ์สำคัญ (การแจ้งเตือน) และการส่งออกบันทึก (เหตุการณ์การส่งออก) เพื่อจัดเก็บบนเซิร์ฟเวอร์บันทึกของบริษัท การตั้งค่าทั้งสองทำในส่วนการตั้งค่าปลายทางและสำหรับ การแจ้งเตือน คุณสามารถเชื่อมต่อเมลเซิร์ฟเวอร์เพื่อส่งการแจ้งเตือนเหตุการณ์ไปยังผู้ดูแลระบบ และกำหนดค่าขีดจำกัดสำหรับการทริกเกอร์/ปิดใช้งานการแจ้งเตือน ขึ้นอยู่กับเปอร์เซ็นต์/จำนวนอุปกรณ์ที่ตรงตามเกณฑ์เหตุการณ์ ส่งออกกิจกรรม ช่วยให้คุณสามารถกำหนดค่าการถ่ายโอนบันทึกจากแพลตฟอร์มการจัดการไปยังเซิร์ฟเวอร์บันทึกของบริษัทเพื่อการประมวลผลต่อไป รองรับรูปแบบ SYSLOG, CEF, LEEF, SPLUNK, โปรโตคอล TCP/UDP, ระบบ SIEM ใดๆ ที่มีเอเจนต์ syslog ที่ทำงานอยู่, การใช้การเข้ารหัส TLS/SSL และการตรวจสอบสิทธิ์ไคลเอ็นต์ syslog
สำหรับการวิเคราะห์เชิงลึกของเหตุการณ์บนตัวแทนหรือในกรณีที่ติดต่อฝ่ายสนับสนุนทางเทคนิค คุณสามารถรวบรวมบันทึกจากไคลเอนต์ SandBlast Agent ได้อย่างรวดเร็วโดยใช้การดำเนินการบังคับในส่วนการดำเนินการแบบพุช คุณสามารถกำหนดค่าการถ่ายโอนไฟล์เก็บถาวรที่สร้างขึ้นพร้อมบันทึกไปยังเซิร์ฟเวอร์ Check Point หรือเซิร์ฟเวอร์องค์กรได้ และไฟล์เก็บถาวรพร้อมบันทึกจะถูกบันทึกไว้ในเครื่องของผู้ใช้ในไดเร็กทอรี C:UsersusernameCPInfo รองรับการเปิดตัวกระบวนการรวบรวมบันทึกตามเวลาที่กำหนดและผู้ใช้สามารถเลื่อนการดำเนินการได้
การล่าสัตว์คุกคาม
Threat Hunting ใช้เพื่อค้นหากิจกรรมที่เป็นอันตรายและพฤติกรรมผิดปกติในระบบเชิงรุกเพื่อตรวจสอบเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้นเพิ่มเติม ส่วนการตามล่าภัยคุกคามในแพลตฟอร์มการจัดการช่วยให้คุณค้นหาเหตุการณ์ด้วยพารามิเตอร์ที่ระบุในข้อมูลเครื่องของผู้ใช้
เครื่องมือ Threat Hunting มีการสืบค้นที่กำหนดไว้ล่วงหน้าหลายรายการ เช่น เพื่อจำแนกโดเมนหรือไฟล์ที่เป็นอันตราย ติดตามคำขอที่ไม่ค่อยพบบ่อยไปยังที่อยู่ IP บางแห่ง (สัมพันธ์กับสถิติทั่วไป) โครงสร้างคำขอประกอบด้วยสามพารามิเตอร์: ข้อบ่งชี้ (โปรโตคอลเครือข่าย ตัวระบุกระบวนการ ประเภทไฟล์ ฯลฯ) ผู้ประกอบการ (“เป็น”, “ไม่ใช่”, “รวม”, “หนึ่งใน” ฯลฯ) และ ร้องขอร่างกาย. คุณสามารถใช้นิพจน์ทั่วไปในเนื้อหาของคำขอ และคุณสามารถใช้ตัวกรองหลายตัวพร้อมกันในแถบค้นหาได้
หลังจากเลือกตัวกรองและดำเนินการตามคำขอแล้ว คุณจะสามารถเข้าถึงเหตุการณ์ที่เกี่ยวข้องทั้งหมด โดยสามารถดูข้อมูลโดยละเอียดเกี่ยวกับเหตุการณ์ กักกันออบเจ็กต์คำขอ หรือสร้างรายงานนิติวิทยาศาสตร์โดยละเอียดพร้อมคำอธิบายของเหตุการณ์ ปัจจุบัน เครื่องมือนี้อยู่ในเวอร์ชันเบต้า และในอนาคตมีการวางแผนที่จะขยายชุดความสามารถ เช่น การเพิ่มข้อมูลเกี่ยวกับเหตุการณ์ในรูปแบบของเมทริกซ์ Mitre Att&ck
ข้อสรุป
สรุป: ในบทความนี้ เราได้ดูความสามารถในการติดตามเหตุการณ์ด้านความปลอดภัยในแพลตฟอร์มการจัดการตัวแทน SandBlast และศึกษาเครื่องมือใหม่สำหรับการค้นหาการกระทำที่เป็นอันตรายและความผิดปกติในเครื่องของผู้ใช้ในเชิงรุก - การตามล่าภัยคุกคาม บทความถัดไปจะเป็นบทความสุดท้ายในชุดนี้ และในบทความนี้เราจะดูคำถามที่พบบ่อยที่สุดเกี่ยวกับโซลูชันแพลตฟอร์มการจัดการ และพูดคุยเกี่ยวกับความเป็นไปได้ในการทดสอบผลิตภัณฑ์นี้
. เพื่อไม่ให้พลาดสิ่งพิมพ์ถัดไปในหัวข้อ SandBlast Agent Management Platform ติดตามการอัพเดตบนโซเชียลเน็ตเวิร์กของเรา (, , , , ).
ที่มา: will.com