چیک پوائنٹ سینڈ بلاسٹ ایجنٹ مینجمنٹ پلیٹ فارم حل کے بارے میں سیریز کے پانچویں مضمون میں خوش آمدید۔ پچھلے مضامین مناسب لنک پر جا کر تلاش کیے جا سکتے ہیں:
کھنگالیں
حفاظتی واقعات کی نگرانی کے لیے معلومات کا بنیادی ذریعہ لاگز سیکشن ہے، جو ہر واقعے پر تفصیلی معلومات دکھاتا ہے اور آپ کو اپنے تلاش کے معیار کو بہتر بنانے کے لیے آسان فلٹرز استعمال کرنے کی بھی اجازت دیتا ہے۔ مثال کے طور پر، جب آپ لاگ آف دلچسپی کے پیرامیٹر (بلیڈ، ایکشن، سیوریٹی، وغیرہ) پر دائیں کلک کرتے ہیں، تو اس پیرامیٹر کو اس طرح فلٹر کیا جا سکتا ہے فلٹر: "پیرامیٹر" یا فلٹر آؤٹ: "پیرامیٹر". سورس پیرامیٹر کے لیے بھی آئی پی ٹولز کا آپشن منتخب کیا جا سکتا ہے جہاں آپ کسی دیے گئے IP ایڈریس/نام پر پنگ چلا سکتے ہیں یا نام کے ذریعہ سورس آئی پی ایڈریس حاصل کرنے کے لیے nslookup چلا سکتے ہیں۔
لاگز سیکشن میں، واقعات کو فلٹر کرنے کے لیے، شماریات کا ایک ذیلی سیکشن ہے، جو تمام پیرامیٹرز پر اعداد و شمار دکھاتا ہے: لاگز کی تعداد کے ساتھ ساتھ ہر پیرامیٹر کے فیصد کے ساتھ ایک ٹائم ڈایاگرام۔ اس سب سیکشن سے آپ آسانی سے لاگز کو بغیر سرچ بار کا استعمال کیے اور فلٹرنگ ایکسپریشن لکھے فلٹر کر سکتے ہیں - صرف دلچسپی کے پیرامیٹرز کو منتخب کریں اور لاگز کی ایک نئی فہرست فوری طور پر ظاہر ہو جائے گی۔
ہر لاگ پر تفصیلی معلومات لاگز سیکشن کے دائیں پینل میں دستیاب ہے، لیکن مواد کا تجزیہ کرنے کے لیے ڈبل کلک کرکے لاگ کو کھولنا زیادہ آسان ہے۔ ذیل میں لاگ کی ایک مثال ہے (تصویر قابل کلک ہے)، جو ایک متاثرہ ".docx" فائل پر تھریٹ ایمولیشن بلیڈ کی روک تھام کے عمل کو متحرک کرنے کے بارے میں تفصیلی معلومات دکھاتا ہے۔ لاگ میں کئی ذیلی حصے ہیں جو سیکیورٹی ایونٹ کی تفصیلات ظاہر کرتے ہیں: متحرک پالیسیاں اور تحفظات، فرانزک تفصیلات، کلائنٹ اور ٹریفک کے بارے میں معلومات۔ لاگ سے دستیاب رپورٹس خصوصی توجہ کے مستحق ہیں - تھریٹ ایمولیشن رپورٹ اور فرانزک رپورٹ۔ یہ رپورٹس SandBlast ایجنٹ کلائنٹ سے بھی کھولی جا سکتی ہیں۔
تھریٹ ایمولیشن رپورٹ
تھریٹ ایمولیشن بلیڈ استعمال کرتے وقت، چیک پوائنٹ کلاؤڈ میں ایمولیشن کرنے کے بعد، ایمولیشن کے نتائج پر ایک تفصیلی رپورٹ کا لنک - تھریٹ ایمولیشن رپورٹ - متعلقہ لاگ میں ظاہر ہوتا ہے۔ اس طرح کی ایک رپورٹ کے مندرجات کے بارے میں ہمارے مضمون میں تفصیل سے بیان کیا گیا ہے۔
فرانزک رپورٹ
تقریباً کسی بھی سیکیورٹی ایونٹ کے لیے، ایک فرانزک رپورٹ تیار کی جاتی ہے، جس میں بدنیتی پر مبنی فائل کے بارے میں تفصیلی معلومات شامل ہوتی ہیں: اس کی خصوصیات، اعمال، سسٹم میں انٹری پوائنٹ اور کمپنی کے اہم اثاثوں پر اثرات۔ ہم نے مضمون میں تفصیل سے رپورٹ کی ساخت پر تبادلہ خیال کیا۔
اسمارٹ ویو۔
چیک پوائنٹ اسمارٹ ویو پی ڈی ایف فارمیٹ میں ڈائنامک ڈیش بورڈز (دیکھیں) اور رپورٹس بنانے اور دیکھنے کے لیے ایک آسان ٹول ہے۔ SmartView سے آپ منتظمین کے لیے صارف کے لاگ اور آڈٹ کے واقعات بھی دیکھ سکتے ہیں۔ نیچے دی گئی تصویر سینڈ بلاسٹ ایجنٹ کے ساتھ کام کرنے کے لیے انتہائی مفید رپورٹس اور ڈیش بورڈز دکھاتی ہے۔
اسمارٹ ویو میں رپورٹس ایک مخصوص مدت کے دوران ہونے والے واقعات کے بارے میں شماریاتی معلومات کے ساتھ دستاویزات ہیں۔ یہ اس مشین پر پی ڈی ایف فارمیٹ میں رپورٹس اپ لوڈ کرنے کی حمایت کرتا ہے جہاں اسمارٹ ویو کھلا ہے، نیز ایڈمنسٹریٹر کے ای میل پر PDF/Excel پر باقاعدگی سے اپ لوڈ کرنا۔ اس کے علاوہ، یہ رپورٹ ٹیمپلیٹس کی درآمد/برآمد، آپ کی اپنی رپورٹس بنانے، اور رپورٹس میں صارف کے نام چھپانے کی صلاحیت کی حمایت کرتا ہے۔ نیچے دی گئی تصویر بلٹ ان تھریٹ پریوینشن رپورٹ کی مثال دکھاتی ہے۔
اسمارٹ ویو میں ڈیش بورڈز (دیکھیں) منتظم کو متعلقہ ایونٹ کے لاگز تک رسائی کی اجازت دیتے ہیں - صرف دلچسپی کی چیز پر ڈبل کلک کریں، چاہے وہ چارٹ کالم ہو یا بدنیتی پر مبنی فائل کا نام۔ رپورٹس کی طرح، آپ خود اپنے ڈیش بورڈ بنا سکتے ہیں اور صارف کا ڈیٹا چھپا سکتے ہیں۔ ڈیش بورڈز ٹیمپلیٹس کی درآمد/برآمد، ایڈمنسٹریٹر کے ای میل پر PDF/Excel پر باقاعدگی سے اپ لوڈ کرنے، اور حقیقی وقت میں سیکیورٹی کے واقعات کی نگرانی کے لیے خودکار ڈیٹا اپ ڈیٹس کی بھی حمایت کرتے ہیں۔
اضافی نگرانی کے حصے
مینجمنٹ پلیٹ فارم میں مانیٹرنگ ٹولز کی تفصیل جائزہ، کمپیوٹر مینجمنٹ، اینڈ پوائنٹ سیٹنگز اور پش آپریشنز سیکشنز کا ذکر کیے بغیر نامکمل ہوگی۔ میں ان حصوں کو تفصیل سے بیان کیا گیا ہے۔
کمپیوٹر مینجمنٹ سیکشن سے آپ صارف کی مشینوں پر ایجنٹ کی حیثیت، اینٹی میلویئر ڈیٹا بیس کی اپ ڈیٹ کی حیثیت، ڈسک انکرپشن کے مراحل، اور بہت کچھ مانیٹر کر سکتے ہیں۔ تمام ڈیٹا خود بخود اپ ڈیٹ ہوجاتا ہے، اور ہر فلٹر کے لیے مماثل صارف مشینوں کا فیصد ظاہر ہوتا ہے۔ کمپیوٹر ڈیٹا کو CSV فارمیٹ میں ایکسپورٹ کرنا بھی معاون ہے۔
ورک سٹیشنز کی سیکورٹی کی نگرانی کا ایک اہم پہلو کمپنی کے لاگ سرور پر سٹوریج کے لیے اہم واقعات (الرٹس) اور ایکسپورٹ لاگز (ایکسپورٹ ایونٹس) کے بارے میں اطلاعات مرتب کرنا ہے۔ دونوں سیٹنگز اینڈ پوائنٹ سیٹنگز سیکشن میں اور اس کے لیے بنائی گئی ہیں۔ تنبیہات سب ایڈمنسٹریٹر کو ایونٹ کی اطلاعات بھیجنے کے لیے میل سرور کو جوڑنا اور ایونٹ کے معیار پر پورا اترنے والے آلات کی فیصد/ تعداد کی بنیاد پر اطلاعات کو متحرک/غیر فعال کرنے کے لیے حدیں ترتیب دینا ممکن ہے۔ واقعات برآمد کریں آپ کو مزید پروسیسنگ کے لیے مینجمنٹ پلیٹ فارم سے کمپنی کے لاگ سرور پر لاگز کی منتقلی کو ترتیب دینے کی اجازت دیتا ہے۔ SYSLOG، CEF، LEEF، SPLUNK فارمیٹس، TCP/UDP پروٹوکولز، چلنے والے syslog ایجنٹ کے ساتھ کسی بھی SIEM سسٹمز، TLS/SSL انکرپشن کے استعمال اور syslog کلائنٹ کی تصدیق کو سپورٹ کرتا ہے۔
ایجنٹ پر ہونے والے واقعات کے گہرائی سے تجزیے کے لیے یا تکنیکی مدد سے رابطہ کرنے کی صورت میں، آپ پش آپریشنز سیکشن میں جبری آپریشن کا استعمال کرتے ہوئے سینڈ بلاسٹ ایجنٹ کلائنٹ سے لاگز تیزی سے اکٹھا کر سکتے ہیں۔ آپ چیک پوائنٹ سرورز یا کارپوریٹ سرورز پر لاگز کے ساتھ تیار شدہ آرکائیو کی منتقلی کو ترتیب دے سکتے ہیں، اور لاگز کے ساتھ آرکائیو صارف کی مشین پر C:UsersusernameCPInfo ڈائریکٹری میں محفوظ کیا جاتا ہے۔ یہ ایک مخصوص وقت پر لاگ جمع کرنے کے عمل کو شروع کرنے اور صارف کے ذریعہ آپریشن کو ملتوی کرنے کی صلاحیت کی حمایت کرتا ہے۔
خطرہ شکار
خطرے کا شکار کسی ممکنہ حفاظتی واقعے کی مزید تفتیش کے لیے نظام میں بدنیتی پر مبنی سرگرمیوں اور غیر معمولی رویے کو فعال طور پر تلاش کرنے کے لیے استعمال کیا جاتا ہے۔ مینجمنٹ پلیٹ فارم میں تھریٹ ہنٹنگ سیکشن آپ کو صارف مشین کے ڈیٹا میں مخصوص پیرامیٹرز کے ساتھ ایونٹس تلاش کرنے کی اجازت دیتا ہے۔
تھریٹ ہنٹنگ ٹول میں کئی پہلے سے طے شدہ سوالات ہوتے ہیں، مثال کے طور پر: بدنیتی پر مبنی ڈومینز یا فائلوں کی درجہ بندی کرنے کے لیے، مخصوص IP پتوں کی نایاب درخواستوں کو ٹریک کریں (عام اعدادوشمار کے حوالے سے)۔ درخواست کا ڈھانچہ تین پیرامیٹرز پر مشتمل ہے: اشارے (نیٹ ورک پروٹوکول، پروسیس شناخت کنندہ، فائل کی قسم، وغیرہ) آپریٹر ("ہے"، "نہیں ہے"، "شامل ہے"، "ایک"، وغیرہ) اور جسم کی درخواست کریں. آپ درخواست کے باڈی میں ریگولر ایکسپریشنز استعمال کر سکتے ہیں، اور آپ سرچ بار میں بیک وقت متعدد فلٹرز استعمال کر سکتے ہیں۔
فلٹر کو منتخب کرنے اور درخواست پر کارروائی مکمل کرنے کے بعد، آپ کو ایونٹ کے بارے میں تفصیلی معلومات دیکھنے، درخواست آبجیکٹ کو قرنطینہ کرنے، یا واقعہ کی تفصیل کے ساتھ ایک تفصیلی فرانزک رپورٹ بنانے کی صلاحیت کے ساتھ تمام متعلقہ واقعات تک رسائی حاصل ہوتی ہے۔ فی الحال، یہ ٹول بیٹا ورژن میں ہے اور مستقبل میں اس کی صلاحیتوں کے سیٹ کو بڑھانے کا منصوبہ بنایا گیا ہے، مثال کے طور پر، Miter Att&ck میٹرکس کی صورت میں ایونٹ کے بارے میں معلومات شامل کرنا۔
حاصل يہ ہوا
آئیے خلاصہ کرتے ہیں: اس مضمون میں ہم نے سینڈ بلاسٹ ایجنٹ مینجمنٹ پلیٹ فارم میں حفاظتی واقعات کی نگرانی کی صلاحیتوں کو دیکھا، اور صارف کی مشینوں پر بدنیتی پر مبنی کارروائیوں اور بے ضابطگیوں کو فعال طور پر تلاش کرنے کے لیے ایک نئے ٹول کا مطالعہ کیا - خطرہ شکار۔ اگلا مضمون اس سلسلے کا آخری مضمون ہوگا اور اس میں ہم مینجمنٹ پلیٹ فارم کے حل کے بارے میں اکثر پوچھے جانے والے سوالات کو دیکھیں گے اور اس پروڈکٹ کو جانچنے کے امکانات کے بارے میں بات کریں گے۔
ماخذ: www.habr.com