Check Point SandBlast Agent boshqaruv platformasi yechimi haqidagi seriyadagi beshinchi maqolaga xush kelibsiz. Oldingi maqolalarni tegishli havola orqali topishingiz mumkin: , , , . Bugun biz boshqaruv platformasida monitoring imkoniyatlarini ko'rib chiqamiz, ya'ni jurnallar, interaktiv asboblar paneli (Ko'rish) va hisobotlar bilan ishlash. Shuningdek, foydalanuvchi mashinasida joriy tahdidlar va anomal hodisalarni aniqlash uchun “Threat Hunting” mavzusiga ham to‘xtalamiz.
Qaydlar
Xavfsizlik hodisalarini kuzatish uchun asosiy ma'lumot manbai jurnallar bo'limi bo'lib, u har bir hodisa bo'yicha batafsil ma'lumotni aks ettiradi va shuningdek, qidiruv mezonlarini yaxshilash uchun qulay filtrlardan foydalanish imkonini beradi. Masalan, qiziqqan jurnalning parametrini (Blade, Action, Severity, va hokazo) sichqonchaning o'ng tugmasi bilan bosganingizda, bu parametrni filtrlash mumkin. Filtr: "Parametr" yoki Filtrdan chiqish: "Parametr". Shuningdek, Source parametri uchun IP Tools opsiyasi tanlanishi mumkin, bu erda siz ma'lum bir IP-manzil/nomga ping yuborishingiz yoki manba IP-manzilini nom bo'yicha olish uchun nslookup-ni ishga tushirishingiz mumkin.
"Jurnallar" bo'limida hodisalarni filtrlash uchun "Statistika" bo'limi mavjud bo'lib, u barcha parametrlar bo'yicha statistik ma'lumotlarni ko'rsatadi: jurnallar soni bilan vaqt diagrammasi, shuningdek, har bir parametr uchun foizlar. Ushbu kichik bo'limdan siz qidiruv panelidan foydalanmasdan va filtrlash ifodalarini yozmasdan jurnallarni osongina filtrlashingiz mumkin - shunchaki qiziq parametrlarni tanlang va jurnallarning yangi ro'yxati darhol ko'rsatiladi.
Har bir jurnal bo'yicha batafsil ma'lumot Jurnallar bo'limining o'ng panelida mavjud, ammo tarkibni tahlil qilish uchun ikki marta bosish orqali jurnalni ochish qulayroqdir. Quyida zararlangan ".docx" faylida Tahdid emulyatsiyasi panelining Oldini olish harakati ishga tushirilishi haqida batafsil ma'lumotni aks ettiruvchi jurnal (rasmni bosish mumkin) misoli keltirilgan. Jurnalda xavfsizlik hodisasi tafsilotlarini aks ettiruvchi bir nechta kichik bo'limlar mavjud: ishga tushirilgan siyosatlar va himoyalar, sud ekspertizasi tafsilotlari, mijoz va trafik haqidagi ma'lumotlar. Jurnalda mavjud bo'lgan hisobotlar alohida e'tiborga loyiqdir - Tahdid emulyatsiyasi hisoboti va sud ekspertizasi hisoboti. Ushbu hisobotlarni SandBlast Agent mijozidan ham ochish mumkin.
Tahdid emulyatsiyasi hisoboti
Tahdid emulyatsiyasi pichoqidan foydalanganda, Tekshirish nuqtasi bulutida emulyatsiya amalga oshirilgandan so'ng, tegishli jurnalda emulyatsiya natijalari to'g'risidagi batafsil hisobotga havola - Threat Emulation Report - paydo bo'ladi. Bunday hisobotning mazmuni bizning maqolamizda batafsil tavsiflangan . Shuni ta'kidlash kerakki, ushbu hisobot interaktiv bo'lib, har bir bo'lim uchun tafsilotlarga "sho'ng'ish" imkonini beradi. Shuningdek, virtual mashinada emulyatsiya jarayonining yozuvini ko'rish, asl zararli faylni yuklab olish yoki uning xeshini olish, shuningdek, Check Point Incident Response Team bilan bog'lanish mumkin.
Sud ekspertizasi hisoboti
Deyarli har qanday xavfsizlik hodisasi uchun zararli fayl haqida batafsil ma'lumotni o'z ichiga olgan Sud-tibbiy ekspertiza hisoboti yaratiladi: uning xususiyatlari, harakatlari, tizimga kirish nuqtasi va kompaniyaning muhim aktivlariga ta'siri. Hisobotning tuzilishini biz maqolada batafsil muhokama qildik . Bunday hisobot xavfsizlik hodisalarini tekshirishda muhim ma'lumot manbai bo'lib, agar kerak bo'lsa, hisobot mazmuni zudlik bilan Tekshirish punkti hodisalariga javob berish guruhiga yuborilishi mumkin.
Smart View
Check Point SmartView - bu PDF formatida dinamik boshqaruv paneli (Ko'rish) va hisobotlarni yaratish va ko'rish uchun qulay vosita. SmartView-dan foydalanuvchi jurnallari va administratorlar uchun audit hodisalarini ham ko'rishingiz mumkin. Quyidagi rasmda SandBlast Agent bilan ishlash uchun eng foydali hisobotlar va asboblar paneli ko'rsatilgan.
SmartView-dagi hisobotlar ma'lum vaqt oralig'idagi voqealar haqida statistik ma'lumotlarga ega hujjatlardir. U PDF formatidagi hisobotlarni SmartView ochiq bo'lgan mashinaga yuklashni, shuningdek, PDF/Excel-ga muntazam ravishda administrator elektron pochtasiga yuklashni qo'llab-quvvatlaydi. Bundan tashqari, u hisobot shablonlarini import/eksport qilish, o'z hisobotlaringizni yaratish va hisobotlarda foydalanuvchi nomlarini yashirish imkoniyatini qo'llab-quvvatlaydi. Quyidagi rasmda tahdidlarning oldini olish bo'yicha o'rnatilgan hisobot namunasi ko'rsatilgan.
SmartView-dagi asboblar paneli (Ko'rish) ma'murga tegishli hodisa jurnallariga kirish imkonini beradi - qiziqtirgan ob'ektni ikki marta bosing, xoh u diagramma ustuni yoki zararli fayl nomi. Hisobotlarda bo'lgani kabi, siz o'zingizning boshqaruv panellaringizni yaratishingiz va foydalanuvchi ma'lumotlarini yashirishingiz mumkin. Boshqaruv panellari, shuningdek, shablonlarni import/eksport qilish, PDF/Excel-ga administratorning elektron pochtasiga muntazam yuklash va real vaqtda xavfsizlik hodisalarini kuzatish uchun avtomatik yangilanishlarni qo‘llab-quvvatlaydi.
Qo'shimcha monitoring bo'limlari
Boshqaruv platformasidagi monitoring vositalarining tavsifi Umumiy ko‘rinish, Kompyuter boshqaruvi, So‘nggi nuqta sozlamalari va Push operatsiyalari bo‘limlarini eslatmasdan to‘liq bo‘lmaydi. Ushbu bo'limlar maqolada batafsil tavsiflangan , ammo monitoring muammolarini hal qilish uchun ularning imkoniyatlarini hisobga olish foydali bo'ladi. Ikki kichik bo'limdan iborat Umumiy ko'rinishdan boshlaylik - Operatsion umumiy va Xavfsizlik haqida umumiy ma'lumot, ular himoyalangan foydalanuvchi mashinalarining holati va xavfsizlik hodisalari haqidagi ma'lumotlarga ega asboblar panelidir. Boshqa asboblar paneli bilan o'zaro aloqada bo'lgani kabi, Operatsion umumiy ko'rinish va xavfsizlikni ko'rib chiqish bo'limlari, qiziqtirgan parametrni ikki marta bosganingizda, tanlangan filtr bilan Kompyuterni boshqarish bo'limiga o'tishga imkon beradi (masalan, "Ish stoli" yoki "Pre- Yuklash holati: yoqilgan”) yoki muayyan hodisa uchun jurnallar bo‘limiga o‘ting. Xavfsizlik haqida umumiy ma'lumot bo'limi - bu "Cyber Attack View - Endpoint" boshqaruv paneli bo'lib, uni sozlash va ma'lumotlarni avtomatik yangilash uchun sozlash mumkin.
"Kompyuterni boshqarish" bo'limidan foydalanuvchi mashinalaridagi agent holatini, Anti-Malware ma'lumotlar bazasini yangilash holatini, diskni shifrlash bosqichlarini va boshqa ko'p narsalarni kuzatishingiz mumkin. Barcha ma'lumotlar avtomatik ravishda yangilanadi va har bir filtr uchun mos keladigan foydalanuvchi mashinalarining foizi ko'rsatiladi. Kompyuter ma'lumotlarini CSV formatida eksport qilish ham qo'llab-quvvatlanadi.
Ish stantsiyalari xavfsizligini monitoring qilishning muhim jihati kompaniyaning jurnal serverida saqlash uchun muhim voqealar (Ogohlantirishlar) va jurnallarni eksport qilish (Eksport hodisalari) haqida bildirishnomalarni o'rnatishdir. Ikkala sozlamalar ham oxirgi nuqta sozlamalari bo'limida va uchun qilingan Ogohlantirishlar Administratorga voqea bildirishnomalarini yuborish uchun pochta serverini ulash va voqea mezonlariga javob beradigan qurilmalarning foizi/soniga qarab bildirishnomalarni ishga tushirish/o‘chirish uchun chegaralarni sozlash mumkin. Eksport tadbirlari keyingi qayta ishlash uchun jurnallarni boshqaruv platformasidan kompaniyaning log serveriga o'tkazishni sozlash imkonini beradi. SYSLOG, CEF, LEEF, SPLUNK formatlarini, TCP/UDP protokollarini, ishlaydigan syslog agenti bilan har qanday SIEM tizimlarini, TLS/SSL shifrlashdan foydalanishni va syslog mijozi autentifikatsiyasini qo'llab-quvvatlaydi.
Agentdagi voqealarni chuqur tahlil qilish yoki texnik yordamga murojaat qilish uchun siz Push operatsiyalari bo'limida majburiy operatsiya yordamida SandBlast Agent mijozidan jurnallarni tezda to'plashingiz mumkin. Siz yaratilgan arxivni jurnallar bilan Check Point serverlariga yoki korporativ serverlarga o'tkazishni sozlashingiz mumkin va jurnallar bilan arxiv foydalanuvchining mashinasida C:UsersusernameCPInfo katalogida saqlanadi. U ma'lum bir vaqtda jurnalni yig'ish jarayonini boshlashni va foydalanuvchi tomonidan operatsiyani keyinga qoldirish imkoniyatini qo'llab-quvvatlaydi.
Tahdid ovi
Threat Hunting potentsial xavfsizlik hodisasini qo'shimcha tekshirish uchun tizimdagi zararli harakatlar va anomal xatti-harakatlarni faol ravishda qidirish uchun ishlatiladi. Boshqaruv platformasidagi Threat Hunting bo'limi foydalanuvchi mashinasi ma'lumotlarida ko'rsatilgan parametrlarga ega voqealarni qidirishga imkon beradi.
Threat Hunting vositasida bir nechta oldindan belgilangan so'rovlar mavjud, masalan: zararli domenlar yoki fayllarni tasniflash, ma'lum IP-manzillarga noyob so'rovlarni kuzatish (umumiy statistikaga nisbatan). So'rov tuzilishi uchta parametrdan iborat: indikator (tarmoq protokoli, jarayon identifikatori, fayl turi va boshqalar), operator ("bor", "yo'q", "o'z ichiga oladi", "biri" va boshqalar) va so'rov organi. Siz so'rovning asosiy qismida oddiy iboralardan foydalanishingiz mumkin va qidiruv panelida bir vaqtning o'zida bir nechta filtrlardan foydalanishingiz mumkin.
Filtrni tanlab, so‘rovni qayta ishlashni tugatgandan so‘ng, siz voqea haqida batafsil ma’lumotni ko‘rish, so‘rov ob’ektini karantin qilish yoki voqea tavsifi bilan batafsil Sud ekspertiza hisobotini yaratish imkoniyatiga ega bo‘lgan barcha tegishli hodisalarga kirishingiz mumkin. Hozirda ushbu vosita beta-versiyada va kelajakda imkoniyatlar to'plamini kengaytirish, masalan, Miter Att&ck matritsasi ko'rinishida voqea haqida ma'lumot qo'shish rejalashtirilgan.
xulosa
Xulosa qilaylik: ushbu maqolada biz SandBlast Agent boshqaruv platformasida xavfsizlik hodisalarini monitoring qilish imkoniyatlarini ko'rib chiqdik va foydalanuvchi mashinalarida zararli harakatlar va anomaliyalarni faol ravishda qidirish uchun yangi vosita - Threat Huntingni o'rgandik. Keyingi maqola ushbu seriyaning yakuniy maqolasi bo'ladi va unda biz boshqaruv platformasi yechimi haqida eng ko'p beriladigan savollarni ko'rib chiqamiz va ushbu mahsulotni sinab ko'rish imkoniyatlari haqida gaplashamiz.
. "SandBlast Agent Management Platform" mavzusidagi keyingi nashrlarni o'tkazib yubormaslik uchun bizning ijtimoiy tarmoqlarimizdagi yangilanishlarni kuzatib boring (, , , , ).
Manba: www.habr.com