Check Point SandBlast Ajan Yönetim Platformu çözümü hakkındaki serinin beşinci makalesine hoş geldiniz. Önceki makalelere uygun bağlantıyı takip ederek ulaşabilirsiniz: , , , . Bugün Yönetim Platformunun izleme yeteneklerine, yani günlüklerle, etkileşimli kontrol panelleriyle (Görünüm) ve raporlarla çalışmaya bakacağız. Kullanıcının makinesindeki mevcut tehditleri ve anormal olayları belirlemek için Tehdit Avcılığı konusuna da değineceğiz.
Kayıtlar
Güvenlik olaylarını izlemeye yönelik ana bilgi kaynağı, her olayla ilgili ayrıntılı bilgi görüntüleyen ve aynı zamanda arama kriterlerinizi hassaslaştırmak için uygun filtreler kullanmanıza olanak tanıyan Günlükler bölümüdür. Örneğin ilgilenilen logun bir parametresine (Blade, Action, Severity, vb.) sağ tıkladığınızda bu parametre şu şekilde filtrelenebilir: Filtre: "Parametre" veya Filtrele: "Parametre". Ayrıca, Kaynak parametresi için, belirli bir IP adresine/adına ping uygulayabileceğiniz veya kaynak IP adresini ada göre elde etmek için bir nslookup çalıştırabileceğiniz IP Araçları seçeneği seçilebilir.
Günlükler bölümünde, olayları filtrelemek için tüm parametrelere ilişkin istatistikleri görüntüleyen bir İstatistik alt bölümü vardır: günlük sayısının yanı sıra her parametrenin yüzdelerini içeren bir zaman diyagramı. Bu alt bölümden günlükleri, arama çubuğunu kullanmadan ve filtreleme ifadeleri yazmadan kolayca filtreleyebilirsiniz - yalnızca ilgilendiğiniz parametreleri seçin; yeni bir günlük listesi hemen görüntülenecektir.
Her günlüğe ilişkin ayrıntılı bilgi, Günlükler bölümünün sağ panelinde mevcuttur, ancak içeriği analiz etmek için günlüğü çift tıklatarak açmak daha uygundur. Aşağıda, virüslü bir ".docx" dosyasında Tehdit Emülasyonu dikey penceresinin Önleme eyleminin tetiklenmesi hakkında ayrıntılı bilgi görüntüleyen bir günlük örneği (resim tıklanabilir) bulunmaktadır. Günlükte, güvenlik olayının ayrıntılarını görüntüleyen birkaç alt bölüm bulunur: tetiklenen politikalar ve korumalar, adli tıp ayrıntıları, istemci ve trafikle ilgili bilgiler. Günlükte bulunan raporlar özel ilgiyi hak ediyor: Tehdit Emülasyon Raporu ve Adli Tıp Raporu. Bu raporlar SandBlast Agent istemcisinden de açılabilir.
Tehdit Emülasyon Raporu
Tehdit Emülasyon dikey penceresini kullanırken, Check Point bulutunda emülasyon gerçekleştirildikten sonra, ilgili günlükte emülasyon sonuçlarına ilişkin ayrıntılı bir rapora (Tehdit Emülasyon Raporu) bir bağlantı görünür. Böyle bir raporun içeriği makalemizde ayrıntılı olarak anlatılmıştır. . Bu raporun etkileşimli olduğunu ve her bölümün ayrıntılarına "dalınmasına" olanak tanıdığını belirtmekte fayda var. Ayrıca, emülasyon işleminin kaydını sanal bir makinede görüntülemek, orijinal kötü amaçlı dosyayı indirmek veya karmasını elde etmek ve ayrıca Check Point Olay Müdahale Ekibi ile iletişime geçmek de mümkündür.
Adli Tıp Raporu
Hemen hemen her güvenlik olayı için, kötü amaçlı dosya hakkında ayrıntılı bilgiler içeren bir Adli Tıp Raporu oluşturulur: özellikleri, eylemleri, sisteme giriş noktası ve önemli şirket varlıkları üzerindeki etkisi. Raporun yapısını detaylı olarak yazımızda ele almıştık. . Böyle bir rapor, güvenlik olaylarını araştırırken önemli bir bilgi kaynağıdır ve gerekirse raporun içeriği anında Check Point Olay Müdahale Ekibine gönderilebilir.
SmartView
Check Point SmartView, dinamik kontrol panelleri (Görünüm) ve PDF formatında raporlar oluşturmak ve görüntülemek için kullanışlı bir araçtır. SmartView'dan ayrıca kullanıcı günlüklerini görüntüleyebilir ve yöneticiler için etkinlikleri denetleyebilirsiniz. Aşağıdaki şekil SandBlast Agent ile çalışmak için en kullanışlı raporları ve kontrol panellerini göstermektedir.
SmartView'daki raporlar, belirli bir zaman dilimindeki olaylar hakkında istatistiksel bilgiler içeren belgelerdir. SmartView'ın açık olduğu makineye PDF formatındaki raporların yüklenmesini ve ayrıca yöneticinin e-postasına düzenli olarak PDF/Excel'e yüklemeyi destekler. Ayrıca rapor şablonlarının içe/dışa aktarılmasını, kendi raporlarınızın oluşturulmasını ve raporlarda kullanıcı adlarının gizlenebilmesini destekler. Aşağıdaki şekilde yerleşik Tehdit Önleme raporunun bir örneği gösterilmektedir.
SmartView'daki kontrol panelleri (Görünüm), yöneticinin ilgili olaya ilişkin günlüklere erişmesine olanak tanır; ister bir grafik sütunu ister kötü amaçlı bir dosyanın adı olsun, ilgilenilen nesneye çift tıklamanız yeterlidir. Raporlarda olduğu gibi kendi kontrol panellerinizi oluşturabilir ve kullanıcı verilerini gizleyebilirsiniz. Kontrol panelleri ayrıca şablonların içe/dışa aktarımını, yöneticinin e-postasına düzenli olarak PDF/Excel'e yüklemeyi ve güvenlik olaylarını gerçek zamanlı olarak izlemek için otomatik veri güncellemelerini destekler.
Ek izleme bölümleri
Yönetim Platformundaki izleme araçlarının açıklaması Genel Bakış, Bilgisayar Yönetimi, Uç Nokta Ayarları ve İtme İşlemleri bölümlerinden bahsetmeden eksik kalacaktır. Bu bölümler ayrıntılı olarak açıklanmıştır. ancak izleme sorunlarını çözme yeteneklerinin dikkate alınması faydalı olacaktır. Korunan kullanıcı makinelerinin durumu ve güvenlik olayları hakkında bilgi içeren kontrol panelleri olan Operasyonel Genel Bakış ve Güvenliğe Genel Bakış olmak üzere iki alt bölümden oluşan Genel Bakış ile başlayalım. Diğer herhangi bir kontrol paneliyle etkileşimde bulunurken olduğu gibi, Operasyonel Genel Bakış ve Güvenliğe Genel Bakış alt bölümleri, ilgilenilen parametreye çift tıklandığında, seçilen filtreyle (örneğin, "Masaüstü Bilgisayarlar" veya "Ön- Önyükleme Durumu: Etkin") veya Belirli bir olayın günlükleri bölümüne bakın. Güvenliğe Genel Bakış alt bölümü, verileri otomatik olarak güncelleyecek şekilde özelleştirilebilen ve ayarlanabilen bir “Siber Saldırı Görünümü – Uç Nokta” kontrol panelidir.
Bilgisayar Yönetimi bölümünden, kullanıcı makinelerindeki aracının durumunu, Kötü Amaçlı Yazılımdan Koruma veritabanının güncelleme durumunu, disk şifreleme aşamalarını ve çok daha fazlasını izleyebilirsiniz. Tüm veriler otomatik olarak güncellenir ve her filtre için eşleşen kullanıcı makinelerinin yüzdesi görüntülenir. Bilgisayar verilerinin CSV formatında dışa aktarılması da desteklenmektedir.
İş istasyonlarının güvenliğini izlemenin önemli bir yönü, kritik olaylar (Uyarılar) hakkında bildirimler ayarlamak ve günlükleri şirketin günlük sunucusunda depolanmak üzere dışa aktarmaktır (Olayları Dışa Aktarma). Her iki ayar da Uç Nokta Ayarları bölümünde yapılır ve Uyarılar Yöneticiye olay bildirimleri göndermek için bir posta sunucusu bağlamak ve olay kriterlerini karşılayan cihazların yüzdesine/sayısına bağlı olarak bildirimleri tetiklemek/devre dışı bırakmak için eşikleri yapılandırmak mümkündür. Etkinlikleri Dışa Aktar günlüklerin daha ileri işlemler için Yönetim Platformundan şirketin günlük sunucusuna aktarımını yapılandırmanıza olanak tanır. SYSLOG, CEF, LEEF, SPLUNK formatlarını, TCP/UDP protokollerini, çalışan bir syslog aracısına sahip tüm SIEM sistemlerini, TLS/SSL şifreleme kullanımını ve syslog istemci kimlik doğrulamasını destekler.
Temsilcideki olayların derinlemesine analizi için veya teknik destekle iletişime geçmeniz durumunda, Push İşlemleri bölümünde zorunlu bir işlemi kullanarak SandBlast Agent istemcisinden günlükleri hızlı bir şekilde toplayabilirsiniz. Oluşturulan log arşivinin Check Point sunucularına veya kurumsal sunuculara aktarılmasını yapılandırabilirsiniz ve logların bulunduğu arşiv kullanıcının makinesinde C:KullanıcıkullanıcıadıCPInfo dizinine kaydedilir. Log toplama işleminin belirlenen zamanda başlatılmasını ve işlemin kullanıcı tarafından ertelenebilmesini destekler.
Tehdit Avcılığı
Tehdit Avcılığı, olası bir güvenlik olayını daha ayrıntılı bir şekilde araştırmak amacıyla sistemdeki kötü amaçlı etkinlikleri ve anormal davranışları proaktif olarak aramak için kullanılır. Yönetim Platformundaki Tehdit Avcılığı bölümü, kullanıcı makine verilerinde belirtilen parametrelere sahip olayları aramanıza olanak tanır.
Tehdit Avcılığı aracının önceden tanımlanmış birkaç sorgusu vardır; örneğin: kötü amaçlı etki alanlarını veya dosyaları sınıflandırmak, belirli IP adreslerine yönelik nadir istekleri izlemek (genel istatistiklere göre). İstek yapısı üç parametreden oluşur: gösterge (ağ protokolü, işlem tanımlayıcı, dosya türü vb.), operatör (“dir”, “değildir”, “içerir”, “biri” vb.) ve talep kuruluşu. İsteğin gövdesinde normal ifadeler kullanabilir ve arama çubuğunda aynı anda birden fazla filtre kullanabilirsiniz.
Bir filtre seçtikten ve istek işlemeyi tamamladıktan sonra, olayla ilgili ayrıntılı bilgileri görüntüleme, istek nesnesini karantinaya alma veya olayın açıklamasını içeren ayrıntılı bir Adli Tıp Raporu oluşturma olanağıyla birlikte tüm ilgili olaylara erişebilirsiniz. Şu anda bu araç beta sürümündedir ve gelecekte, örneğin olay hakkında Gönye Att&ck matrisi biçiminde bilgi eklemek gibi yetenekler kümesinin genişletilmesi planlanmaktadır.
Sonuç
Özetleyelim: Bu makalede SandBlast Agent Yönetim Platformu'ndaki güvenlik olaylarını izleme yeteneklerine baktık ve kullanıcı makinelerindeki kötü amaçlı eylemleri ve anormallikleri proaktif olarak aramak için yeni bir araç olan Tehdit Avcılığı üzerinde çalıştık. Bir sonraki makale bu serinin son makalesi olacak ve bu yazıda Yönetim Platformu çözümü hakkında en sık sorulan sorulara bakacağız ve bu ürünü test etme olasılıkları hakkında konuşacağız.
. SandBlast Ajan Yönetim Platformu konusuna ilişkin bundan sonraki yayınları kaçırmamak için sosyal ağlarımızdan güncellemeleri takip edin (, , , , ).
Kaynak: habr.com