Ласкаво просимо до п'ятої статті циклу про рішення Check Point SandBlast Agent Management Platform. З попередніми статтями можна ознайомитись, перейшовши за відповідним посиланням: , , , . Сьогодні ми розглянемо можливості моніторингу у Management Platform, а саме роботу з логами, інтерактивними дашбордами (View) та звітами. Також торкнемося теми Threat Hunting для виявлення актуальних загроз та аномальних подій на машині користувача.
Logs
Основним джерелом інформації для моніторингу подій безпеки є розділ Logs, який відображає докладну інформацію щодо кожного інциденту, а також дозволяє використовувати зручні фільтри для уточнення критеріїв пошуку. Наприклад, при натисканні правою кнопкою миші на параметр (Blade, Action, Severity тощо) лога, що цікавить, даний параметр може бути відфільтрований як Filter: "Parameter" або Filter Out: "Parameter". Також для параметра Source може бути обрана опція IP Tools, в якій можна запустити ping до даної IP-адреси/імені або виконати nslookup для отримання IP-адреси джерела на ім'я.
У розділі Logs для фільтрації подій є підрозділ Statistics, у якому відображається статистика за всіма параметрами: часова діаграма з кількістю логів, а також відсоткові показники кожного з параметрів. З даного підрозділу можна легко відфільтрувати логи без звернення до пошукового рядка і написання виразів фільтрації - досить вибрати параметри, що цікавлять, і новий список логів відразу відобразиться.
Детальна інформація щодо кожного лога доступна в правій панелі розділу Logs, проте зручнішим є відкриття лога подвійним клацанням для аналізу вмісту. Нижче наведено приклад лога (картинка клікабельна), в якому відображено докладну інформацію щодо спрацювання дії Prevent блейду Threat Emulation на заражений файл ".docx". Лог має кілька підрозділів, які відображають деталі події безпеки: політика і захист, що спрацювали, подробиці форензики, інформація про клієнта і трафік. На особливу увагу заслуговують доступні з лога звіти - Threat Emulation Report і Forensics Report. Дані звіти можна також відкрити з клієнта SandBlast Agent.
Threat Emulation Report
При використанні блейду Threat Emulation після здійснення емуляції у хмарі Check Point у відповідному лозі з'являється посилання на докладний звіт про результати емуляції Threat Emulation Report. Зміст такого звіту докладно описано в нашій статті про . Варто зазначити, що цей звіт є інтерактивним і дозволяє «провалюватися» у подробиці кожного з розділів. Також є можливість переглянути запис процесу емуляції у віртуальній машині, завантажити оригінальний шкідливий файл або отримати його хеш, а також звернутися до Check Point Incident Response Team.
Forensics Report
Практично для будь-якої події безпеки генерується звіт Forensics Report, який включає докладну інформацію про шкідливий файл: його характеристики, дії, точку входу в систему і вплив на важливі активи компанії. Структура звіту докладно розглядалася нами у статті про . Подібний звіт є важливим джерелом інформації при розслідуванні подій безпеки, і в разі потреби можна відразу надіслати вміст звіту до Check Point Incident Response Team.
SmartView
Check Point SmartView є зручним засобом побудови та перегляду динамічних дашбордів (View) та звітів у форматі PDF. З SmartView можна також переглядати логі та події аудиту для адміністраторів. Нижче наведено найбільш корисні звіти та дашборди для роботи з SandBlast Agent.
Звіти SmartView є документами зі статистичною інформацією про події за певний проміжок часу. Підтримується вивантаження звітів у форматі PDF на машину, де відкрито SmartView, а також регулярне вивантаження PDF/Excel на електронну пошту адміністратора. Крім цього, підтримується імпорт/експорт шаблонів звітів, створення власних звітів та можливість приховувати імена користувачів у звітах. Нижче наведено приклад вбудованого звіту Threat Prevention.
Дашборди (View) в SmartView дозволяють адміністратору отримати доступ до логів за відповідною подією - достатньо лише два рази натиснути на об'єкт, що цікавить, будь то стовпець діаграми або назва шкідливого файлу. Як і у випадку зі звітами, можна створювати власні дашборди та приховувати дані користувачів. Для дашбордів також підтримується імпорт/експорт шаблонів, регулярне вивантаження PDF/Excel на електронну пошту адміністратора та автоматичне оновлення даних для моніторингу подій безпеки в режимі реального часу.
Додаткові розділи моніторингу
Опис засобів моніторингу у Management Platform буде неповним без згадування розділів Overview, Computer Management, Endpoint Settings та Push Operations. Ці розділи були докладно описані в Проте корисним буде розглянути їх можливості для вирішення завдань моніторингу. Почнемо з Overview, що складається з двох підрозділів — Operational Overview і Security Overview, які являють собою дашборди з інформацією про стан захищених машин і події безпеки. Як і при взаємодії з будь-яким іншим дашбордом, підрозділи Operational Overview і Security Overview при подвійному клацанні за параметром, що цікавить, дозволяють потрапити в розділ Computer Management з вибраним фільтром (наприклад, «Desktops» або «Pre-Boot Status: Enabled»), або в розділ Logs за конкретною подією. Підрозділ Security Overview є дашбордом "Cyber Attack View - Endpoint", який можна налаштувати "під себе" і встановити автоматичне оновлення даних.
З розділу Computer Management можна відстежувати стан агента на машинах, статус оновлення бази даних Anti-Malware, етапи шифрування диска та багато іншого. Всі дані оновлюються в автоматичному режимі, і для кожного з фільтрів відображається відсотковий показник відповідних машин. Також підтримується експорт даних про комп'ютери у форматі CSV.
Важливим аспектом моніторингу захищеності робочих станцій є налаштування повідомлень про критичні події (Alerts) та експорт логів (Export Events) для зберігання на лог-сервері компанії. Обидві настройки виконуються в розділі Endpoint Settings, та для Alerts існує можливість підключити поштовий сервер для надсилання повідомлень про події адміністратору та налаштувати граничні значення спрацьовування/вимкнення повідомлень залежно від відсотка/кількості пристроїв, що підходять під критерії події. Експорт подій дозволяє налаштувати пересилання логів із Management Platform на лог-сервер компанії для подальшої обробки. Підтримуються формати SYSLOG, CEF, LEEF, SPLUNK, протоколи TCP/UDP, будь-які SIEM-системи з працюючим syslog-агентом, використання шифрування TLS/SSL та автентифікація syslog-клієнта.
Для глибокого аналізу подій на агенті або у разі звернення до технічної підтримки можна оперативно зібрати логи з клієнта SandBlast Agent за допомогою примусової операції у розділі Push Operations. Можна налаштувати пересилання сформованого архіву з логами на сервери Check Point або на корпоративні сервери, також архів з логами зберігається на машині користувача в директорії C:UsersusernameCPInfo. Підтримується запуск процесу збирання логів у вказаний час та можливість відкласти операцію користувачем.
Полювання на загрози
Метод Threat Hunting використовується для проактивного пошуку шкідливих дій та аномальної поведінки в системі для подальшого розслідування потенційної події безпеки. Розділ Threat Hunting в Management Platform дозволяє здійснювати пошук подій із заданими параметрами даних користувальницької машини.
Інструмент Threat Hunting має кілька встановлених запитів, наприклад: для класифікації шкідливих доменів або файлів, відстеження рідкісних звернень до деяких IP-адрес (щодо загальної статистики). Структура запиту складається з трьох параметрів: індикатор (мережевий протокол, ідентифікатор процесу, тип файлу та ін.), оператор («є», «не є», «включає в себе», «один з» тощо) тіло запиту. У тілі запиту можна використовувати регулярні вирази, підтримується використання кількох фільтрів одночасно у рядку пошуку.
Після вибору фільтра та завершення обробки запиту з'являється доступ до всіх відповідних подій, з можливістю переглянути докладну інформацію про подію, помістити об'єкт запиту до карантину або згенерувати докладний звіт Forensics Report з описом події. На даний момент цей інструмент знаходиться в бета-версії і надалі планується розширення набору можливостей, наприклад, додавання інформації про подію у вигляді матриці Mitre Att&ck.
Висновок
Підіб'ємо підсумки: у цій статті ми розглянули можливості моніторингу подій безпеки в SandBlast Agent Management Platform, вивчили новий інструмент для проактивного пошуку шкідливих дій і аномалій на машинах - Threat Hunting. Наступна стаття стане завершальною в даному циклі і в ній ми розглянемо найчастіші питання щодо вирішення Management Platform і розповімо про можливості тестування цього продукту.
. Щоб не пропустити наступні публікації на тему SandBlast Agent Management Platform — стежте за оновленнями в наших соціальних мережах (, , , , ).
Джерело: habr.com