Maligayang pagdating sa ikalimang artikulo sa serye tungkol sa solusyon sa Check Point SandBlast Agent Management Platform. Ang mga nakaraang artikulo ay matatagpuan sa pamamagitan ng pagsunod sa naaangkop na link: , , , . Ngayon ay titingnan natin ang mga kakayahan sa pagsubaybay sa Management Platform, katulad ng pagtatrabaho sa mga log, interactive na dashboard (View) at mga ulat. Tatalakayin din namin ang paksa ng Threat Hunting upang matukoy ang mga kasalukuyang banta at maanomalyang kaganapan sa makina ng user.
Mga tala
Ang pangunahing pinagmumulan ng impormasyon para sa pagsubaybay sa mga kaganapan sa seguridad ay ang seksyong Mga Log, na nagpapakita ng detalyadong impormasyon sa bawat insidente at nagbibigay-daan din sa iyong gumamit ng mga maginhawang filter upang pinuhin ang iyong pamantayan sa paghahanap. Halimbawa, kapag nag-right click ka sa isang parameter (Blade, Action, Severity, atbp.) ng log ng interes, maaaring i-filter ang parameter na ito bilang Filter: "Parameter" o I-filter Out: "Parameter". Gayundin, para sa Source parameter, ang pagpipiliang IP Tools ay maaaring piliin, kung saan maaari kang magpatakbo ng isang ping sa isang ibinigay na IP address/pangalan o magpatakbo ng isang nslookup upang makuha ang pinagmulang IP address ayon sa pangalan.
Sa seksyong Mga Log, para sa pag-filter ng mga kaganapan, mayroong subsection ng Statistics, na nagpapakita ng mga istatistika sa lahat ng mga parameter: isang time diagram na may bilang ng mga log, pati na rin ang mga porsyento para sa bawat parameter. Mula sa subsection na ito, madali mong mai-filter ang mga log nang hindi gumagamit ng search bar at sumusulat ng mga expression ng pag-filter - piliin lamang ang mga parameter ng interes at isang bagong listahan ng mga log ay agad na ipapakita.
Ang detalyadong impormasyon sa bawat log ay makukuha sa kanang panel ng seksyong Mga Log, ngunit mas maginhawang buksan ang log sa pamamagitan ng pag-double click upang pag-aralan ang mga nilalaman. Nasa ibaba ang isang halimbawa ng isang log (ang larawan ay naki-click), na nagpapakita ng detalyadong impormasyon sa pag-trigger ng Pigilan ang pagkilos ng Threat Emulation blade sa isang nahawaang ".docx" na file. Ang log ay may ilang mga subsection na nagpapakita ng mga detalye ng kaganapang panseguridad: na-trigger na mga patakaran at proteksyon, mga detalye ng forensics, impormasyon tungkol sa kliyente at trapiko. Ang mga ulat na makukuha mula sa log ay nararapat na espesyal na pansin - Ulat sa Pagtulad sa Banta at Ulat sa Forensics. Ang mga ulat na ito ay maaari ding buksan mula sa kliyente ng SandBlast Agent.
Ulat sa Pagtulad sa Banta
Kapag ginagamit ang Threat Emulation blade, pagkatapos isagawa ang emulation sa Check Point cloud, isang link sa isang detalyadong ulat sa mga resulta ng emulation - Threat Emulation Report - lalabas sa kaukulang log. Ang mga nilalaman ng naturang ulat ay inilarawan nang detalyado sa aming artikulo tungkol sa . Ito ay nagkakahalaga ng pagpuna na ang ulat na ito ay interactive at nagbibigay-daan sa iyo na "sumisid sa" mga detalye para sa bawat seksyon. Posible ring tingnan ang isang recording ng proseso ng emulation sa isang virtual machine, i-download ang orihinal na malisyosong file o makuha ang hash nito, at makipag-ugnayan din sa Check Point Incident Response Team.
Ulat ng Forensics
Para sa halos anumang kaganapang panseguridad, isang Forensics Report ang nabuo, na kinabibilangan ng detalyadong impormasyon tungkol sa malisyosong file: ang mga katangian nito, mga aksyon, entry point sa system at epekto sa mahahalagang asset ng kumpanya. Tinalakay namin ang istraktura ng ulat nang detalyado sa artikulo tungkol sa . Ang nasabing ulat ay isang mahalagang mapagkukunan ng impormasyon kapag nag-iimbestiga sa mga kaganapang panseguridad, at kung kinakailangan, ang mga nilalaman ng ulat ay maaaring agad na ipadala sa Check Point Incident Response Team.
SmartView
Ang Check Point SmartView ay isang maginhawang tool para sa paggawa at pagtingin sa mga dynamic na dashboard (View) at mga ulat sa format na PDF. Mula sa SmartView maaari mo ring tingnan ang mga log ng user at mga kaganapan sa pag-audit para sa mga administrator. Ipinapakita ng figure sa ibaba ang mga pinakakapaki-pakinabang na ulat at dashboard para sa pakikipagtulungan sa SandBlast Agent.
Ang mga ulat sa SmartView ay mga dokumentong may istatistikal na impormasyon tungkol sa mga kaganapan sa isang partikular na yugto ng panahon. Sinusuportahan nito ang pag-upload ng mga ulat sa format na PDF sa makina kung saan bukas ang SmartView, pati na rin ang regular na pag-upload sa PDF/Excel sa email ng administrator. Bilang karagdagan, sinusuportahan nito ang pag-import/pag-export ng mga template ng ulat, paggawa ng sarili mong mga ulat, at ang kakayahang itago ang mga user name sa mga ulat. Ang figure sa ibaba ay nagpapakita ng isang halimbawa ng isang built-in na ulat sa Pag-iwas sa Banta.
Ang mga dashboard (View) sa SmartView ay nagbibigay-daan sa administrator na ma-access ang mga log para sa kaukulang kaganapan - i-double click lang ang bagay na kinaiinteresan, maging ito ay column ng tsart o ang pangalan ng isang malisyosong file. Tulad ng mga ulat, maaari kang lumikha ng iyong sariling mga dashboard at itago ang data ng user. Sinusuportahan din ng mga dashboard ang pag-import/pag-export ng mga template, regular na pag-upload sa PDF/Excel sa email ng administrator, at awtomatikong pag-update ng data upang masubaybayan ang mga kaganapan sa seguridad sa real time.
Mga karagdagang seksyon ng pagsubaybay
Ang isang paglalarawan ng mga tool sa pagsubaybay sa Management Platform ay hindi kumpleto nang hindi binabanggit ang Pangkalahatang-ideya, Pamamahala ng Computer, Mga Setting ng Endpoint at Mga Push Operations na seksyon. Ang mga seksyong ito ay inilarawan nang detalyado sa , gayunpaman, magiging kapaki-pakinabang na isaalang-alang ang kanilang mga kakayahan para sa paglutas ng mga problema sa pagsubaybay. Magsimula tayo sa Pangkalahatang-ideya, na binubuo ng dalawang subsection - Pangkalahatang-ideya ng Operasyon at Pangkalahatang-ideya ng Seguridad, na mga dashboard na may impormasyon tungkol sa estado ng mga protektadong user machine at mga kaganapang panseguridad. Tulad ng kapag nakikipag-ugnayan sa anumang iba pang dashboard, ang Operational Overview at Security Overview na mga subsection, kapag nag-double click sa parameter ng interes, ay nagbibigay-daan sa iyong makarating sa Computer Management section gamit ang napiling filter (halimbawa, βDesktopsβ o βPre- Boot Status: Enabledβ), o sa seksyong Mga Log para sa isang partikular na kaganapan. Ang subsection na Pangkalahatang-ideya ng Seguridad ay isang dashboard na βCyber ββββAttack View β Endpoint,β na maaaring i-customize at itakda upang awtomatikong i-update ang data.
Mula sa seksyong Pamamahala ng Computer maaari mong subaybayan ang katayuan ng ahente sa mga makina ng gumagamit, ang status ng pag-update ng database ng Anti-Malware, ang mga yugto ng pag-encrypt ng disk, at marami pa. Awtomatikong ina-update ang lahat ng data, at para sa bawat filter ang porsyento ng mga tumutugmang machine ng user ay ipinapakita. Sinusuportahan din ang pag-export ng data ng computer sa CSV format.
Ang isang mahalagang aspeto ng pagsubaybay sa seguridad ng mga workstation ay ang pagse-set up ng mga notification tungkol sa mga kritikal na kaganapan (Mga Alerto) at pag-export ng mga log (Mga Kaganapan sa Pag-export) para sa imbakan sa server ng log ng kumpanya. Ang parehong mga setting ay ginawa sa seksyong Mga Setting ng Endpoint, at para sa Mga Alerto Posibleng ikonekta ang isang mail server upang magpadala ng mga notification ng kaganapan sa administrator at i-configure ang mga threshold para sa pag-trigger/pag-disable ng mga notification depende sa porsyento/bilang ng mga device na nakakatugon sa pamantayan ng kaganapan. Mga Kaganapan sa Pag-export ay nagbibigay-daan sa iyo na i-configure ang paglipat ng mga log mula sa Management Platform sa log server ng kumpanya para sa karagdagang pagproseso. Sinusuportahan ang SYSLOG, CEF, LEEF, SPLUNK na mga format, TCP/UDP protocol, anumang SIEM system na may tumatakbong syslog agent, ang paggamit ng TLS/SSL encryption at syslog client authentication.
Para sa isang malalim na pagsusuri ng mga kaganapan sa ahente o sa kaso ng pakikipag-ugnay sa teknikal na suporta, maaari mong mabilis na mangolekta ng mga log mula sa kliyente ng SandBlast Agent gamit ang isang sapilitang operasyon sa seksyong Push Operations. Maaari mong i-configure ang paglilipat ng nabuong archive na may mga log sa Check Point server o corporate server, at ang archive na may mga log ay ise-save sa makina ng user sa C:UsersusernameCPInfo na direktoryo. Sinusuportahan nito ang paglulunsad ng proseso ng pagkolekta ng log sa isang tinukoy na oras at ang kakayahang ipagpaliban ang operasyon ng user.
Pangangaso sa Banta
Ginagamit ang Threat Hunting upang maagap na maghanap ng mga malisyosong aktibidad at maanomalyang gawi sa isang system upang higit pang mag-imbestiga sa isang potensyal na kaganapan sa seguridad. Binibigyang-daan ka ng seksyong Threat Hunting sa Management Platform na maghanap ng mga kaganapan na may mga tinukoy na parameter sa data ng user machine.
Ang Threat Hunting tool ay may ilang paunang natukoy na mga query, halimbawa: upang pag-uri-uriin ang mga nakakahamak na domain o file, subaybayan ang mga bihirang kahilingan sa ilang mga IP address (na may kaugnayan sa mga pangkalahatang istatistika). Ang istraktura ng kahilingan ay binubuo ng tatlong mga parameter: nagtuturo (network protocol, process identifier, uri ng file, atbp.), ang operator (βayβ, βhindiβ, βkasamaβ, βisa saβ, atbp.) at humiling ng katawan. Maaari kang gumamit ng mga regular na expression sa katawan ng kahilingan, at maaari kang gumamit ng maraming filter nang sabay-sabay sa search bar.
Pagkatapos pumili ng filter at kumpletuhin ang pagpoproseso ng kahilingan, mayroon kang access sa lahat ng nauugnay na kaganapan, na may kakayahang tingnan ang detalyadong impormasyon tungkol sa kaganapan, i-quarantine ang object ng kahilingan, o bumuo ng isang detalyadong Ulat ng Forensics na may paglalarawan ng kaganapan. Sa kasalukuyan, ang tool na ito ay nasa bersyon ng beta at sa hinaharap ay pinlano nitong palawakin ang hanay ng mga kakayahan, halimbawa, pagdaragdag ng impormasyon tungkol sa kaganapan sa anyo ng isang Mitre Att&ck matrix.
Konklusyon
Ibuod natin: sa artikulong ito, tiningnan namin ang mga kakayahan ng pagsubaybay sa mga kaganapang panseguridad sa SandBlast Agent Management Platform, at pinag-aralan ang isang bagong tool para sa aktibong paghahanap ng mga malisyosong aksyon at anomalya sa mga user machine - Threat Hunting. Ang susunod na artikulo ang magiging pangwakas sa seryeng ito at dito ay titingnan natin ang mga madalas itanong tungkol sa solusyon sa Management Platform at pag-uusapan ang mga posibilidad ng pagsubok sa produktong ito.
. Upang hindi makaligtaan ang mga susunod na publikasyon sa paksang SandBlast Agent Management Platform, sundin ang mga update sa aming mga social network (, , , , ).
Pinagmulan: www.habr.com