Maligayang pagdating sa aralin 12. Ngayon ay pag-uusapan natin ang tungkol sa isa pang napakahalagang paksa, ibig sabihin, nagtatrabaho sa mga log at ulat. Minsan ang pag-andar na ito ay halos mapagpasyahan kapag pumipili ng isang paraan ng proteksyon. Ang "safeguards" ay napakahilig sa isang maginhawang sistema ng pag-uulat at isang functional na paghahanap para sa iba't ibang mga kaganapan. Mahirap silang sisihin. Sa katunayan, ang mga log at ulat ay ang pinakamahalagang elemento ng pagtatasa ng seguridad. Paano mauunawaan ang kasalukuyang antas ng seguridad kung hindi mo makita kung ano ang nangyayari? Sa kabutihang palad, ang Check Point ay nasa perpektong pagkakasunud-sunod sa bagay na ito at higit pa. Ang Check Point ay may isa sa mga pinakamahusay na sistema ng pag-uulat out of the box! Kasabay nito, posibleng i-customize at lumikha ng sarili mong mga ulat! Ang lahat ng ito ay kinumpleto ng isang maginhawa at intuitive na proseso ng pagtatrabaho sa mga log. Ngunit pag-usapan natin ang lahat sa pagkakasunud-sunod.
Ganap na bagong interface
Kung nagtrabaho ka na sa Check Point dati, malamang na nagulat ka sa ganap na bagong interface para sa pagtatrabaho sa mga log at ulat sa R80. Ipinapakita ng larawan kung gaano karaming iba't ibang mga utility ang pinagsama sa loob ng isang bagong tab Mga Log at Monitor:
Seksyon ng Mga Log at Monitor
Kung pupunta ka sa Logs & Monitor at magbukas ng bagong tab, dapat ay may makita kang ganito:
Bilang default, mayroong dalawang malalaking seksyon dito:
- Pagtingin sa Log ng Audit - dito mahahanap mo ang lahat ng mga kaganapan na nauugnay sa pagpasok / paglabas ng mga administrator, mga pagbabago sa pagsasaayos, atbp. Yung. klasikong pag-audit ng mga aksyon ng administrator.
- view ng log - dito ka makakahanap ng mga kaganapan na "bumubuo" ng lahat ng aming pinaganang blades, maging ito ay firewall, antivirus, IPS, atbp. Nagamit na namin ang feature na ito nang higit sa isang beses.
Bilang karagdagan, narito ang mga link sa mga ulat (Ulat) at iba't ibang dashboard (views). Nangangailangan sila ng isang pinaganang talim upang gumana. Matalinong Kaganapan. Ngunit higit pa sa na mamaya. Una, harapin natin ang pagtatrabaho sa mga log.
Paghahanap ng Log
Sa aking opinyon, ang pagtatrabaho sa mga log sa R80 ay isang kasiyahan. Mayroon kaming napakatalino na string sa paghahanap na nagbibigay-daan sa amin na "i-cut" pareho sa pamamagitan ng arbitrary na text, at sa pamamagitan ng blade, at sa pamamagitan ng anumang iba pang mga naka-index na parameter tulad ng pinagmulan, patutunguhan, pagkilos, atbp.
Kasabay nito, maaari tayong bumuo ng napakakumplikadong mga query sa paghahanap gamit ang mga lohikal na operator AT, OR, HINDI. At hindi na ito kailangang i-print. Magagawa ang isang filter sa loob lamang ng ilang pag-click ng mouse. Maya-maya, susubukan natin ang lahat sa pagsasanay.
Pagpapakita ng mga mensahe ng Log sa pamamagitan ng Access-List
Gayundin, nasuri na namin ang posibilidad ng pagpapakita ng mga log para sa isang partikular na listahan ng pag-access. Ito ay hindi kapani-paniwalang kumportable at mabilis kang masanay dito. Ito ay partikular na nakakatulong kapag nag-troubleshoot. Na-highlight ko ang "listahan ng access" na kawili-wili sa iyo at tumingin mula sa ibaba upang makita kung nasa ilalim nito ang kinakailangang trapiko.
Hindi na kailangang pumunta kahit saan o lumikha ng isang kumplikadong filter ng log.
Mga Pagtingin at Ulat
Responsable si Blade para sa pag-uulat at visualization ng data sa Check Point Matalinong Kaganapan, na naka-activate sa server ng pamamahala. Ang functionality na ito ay maaaring ligtas na tawaging SIEM, ngunit para lamang sa mga produkto ng Check Point! Sa teknikal, maaari mong i-wrap ang mga log mula sa ibang mga system (tulad ng cisco, microsoft, atbp.) sa isang Smart Event, ngunit hindi ito ang pinakamagandang ideya π Sa pagsasagawa, ito ay napakaproblema. Ngunit ang SmartEvent ay nakayanan ang mga log ng "checkpoint" na napakaganda. Maaaring mag-ugnay, sumama, karaniwan at higit pa. At lahat ng ito ay gumagana sa labas ng kahon! Siyempre, may mga nakahanda nang dashboard upang ipakita ang pinakamahalagang impormasyon. Sa Check Point sila tinatawag views:
Makikita mo na mayroong napakaraming bilang ng mga default na dashboard dito, na lubhang kapaki-pakinabang sa pang-araw-araw na pangangasiwa at pagsubaybay.
Bilang karagdagan sa mga dashboard, kung saan ang impormasyon ay nakikita lamang, posible na bumuo ng mga ganap na ulat at i-save ang mga ito sa pdf o excel na format. Maaari kang bumuo ng ayon sa iskedyul at ipadala ang mga ito sa anumang mailbox.
At ang pinaka-kaaya-aya! Maaari kang gumawa ng mga dashboard at ulat nang mag-isa! Yung. hindi ka limitado sa mga built-in. Hindi lahat ng vendor ay maaaring ipagmalaki ito. Kasabay nito, maaaring i-import o i-export ang mga template ng mga dashboard o ulat na ito, na nagbibigay-daan sa mga user na ibahagi ang kanilang pinakamahuhusay na kagawian. Ang proseso ng paglikha ng isang dashboard ay napaka-simple at intuitive. Susubukan kong ipakita sa iyo ito bilang bahagi ng lab, na makikita mo sa video tutorial sa ibaba.
Video tutorial
Manatiling nakatutok para sa higit pa at sumali sa amin π
Pinagmulan: www.habr.com