Ласкаво просимо на 12-й урок. Сьогодні ми поговоримо про ще одну дуже важливу тему, а саме про роботі з логами та звітами. Іноді дана функціональність виявляється чи не вирішальною при виборі засобу захисту. Дуже вже люблять «безпечники» зручну систему звітності та функціональний пошук з різних подій. Важко їх у цьому звинувачувати. По суті, логи та репорти – це найважливіший елемент оцінки захищеності. Як зрозуміти поточний рівень безпеки, якщо ви не бачите, що відбувається? На щастя, у Check Point у цьому плані все у повному порядку і навіть більше. Check Point має одну з найкращих систем звітності, яка працює із коробки! При цьому є можливість кастомізації та створення власних звітів! Все це доповнюється зручним та інтуїтивно зрозумілим процесом роботи з логами. Але давайте про все по порядку.
Абсолютно новий інтерфейс
Якщо ви працювали з Check Point раніше, то, напевно, були здивовані абсолютно новому інтерфейсу роботи з логами та звітами в R80. На картинці видно скільки різних утиліт об'єднали в рамках однієї нової вкладки Logs & Monitor:
Розділ Logs & Monitor
Якщо перейти в Logs & Monitor і відкрити нову вкладку, ви повинні побачити приблизно таке:
За дефолтом тут є два великі розділи:
- Audit Logs View — тут можна знайти всі події, пов'язані з входом/виходом адміністраторів, змінами конфігурації тощо. Тобто. класичний аудит дій адміністратора.
- Logs View — саме тут можна здійснювати пошук за подіями, які «генерують» усі наші включені блейди, чи то firewall, antivirus, IPS тощо. Ми вже неодноразово з вами користувалися цією функцією.
Крім того, тут же є посилання на звіти (Звіти) та різні дашборди (думки). Для їхньої роботи необхідний включений блейд Розумна подія. Але про це трохи згодом. Спочатку давайте розберемося з роботою з балками.
Пошук по логах
На мій погляд, працювати з логами в R80 одне задоволення. У нас є досить розумний рядок пошуку, який нам дозволяє «січити» і за довільним текстом, і за блейдом, і за будь-якими іншими параметрами типу source, destination, action і т.д.
При цьому ми можемо складати складні пошукові запити за допомогою логічних операторів. І, OR, $NOT. І для цього навіть необов'язково щось надрукувати. Фільтр можна створити в пару кліків миші. Трохи згодом ми з вами пробуємо це все на практиці.
Відображення Log-повідомлень по Access-List
Також ми з вами вже оцінили можливість відображення логів за конкретним списком доступу. Це дуже зручно і до цього дуже швидко звикаєш. Особливо це рятує при траблшутингу. Виділив цікаві тобі «аксес-лист» і дивишся знизу, чи потрапляє під нього потрібний трафік.
Не потрібно нікуди переходити чи складати складний фільтр для логів.
Views & Reports
За звітність та візуалізацію даних у Check Point відповідає блейд Розумна подія, який активується на сервері управління. Цей функціонал можна сміливо називати SIEM, але тільки для продуктів Check Point! Технічно на Smart Event можна загортати логи і від інших систем (типу cisco, microsoft і т.д.), але це не вдала ідея 🙂 На практиці це дуже проблематично. Але з «чекпоінтівськими» логами SmartEvent справляється просто шикарно. Може корелювати, підсумовувати, усереднювати та багато іншого. І все це працює із коробки! Звісно ж існують вже готові дашборди для відображення найважливішої інформації. У Check Point вони називаються думки:
Можна побачити, що тут досить велика кількість дефолтних дашбордів, які дуже корисні в повсякденному адмініструванні та моніторингу.
Крім дашбордів, де інформація просто візуалізується, є можливість генерації повноцінних звітів та збереження їх у pdf або excel формат. Можна генерувати за розкладом і надсилати їх на якусь поштову скриньку.
І найприємніше! Дашборди та звіти можна створювати самому! Тобто. ви не обмежені вбудованими. Цим може похвалитися далеко не кожен вендор. При цьому шаблони цих дашбордів або звітів можна імпортувати або експортувати, що дозволяє користувачам ділитися своїми напрацюваннями. Сам процес створення дашборду дуже простий та інтуїтивно зрозумілий. Я намагатимусь показати вам це в рамках лабораторної роботи, яку ви знайдете у відео уроці нижче.
Відео урок
Stay tuned for more and join our 🙂
Джерело: habr.com
