Chào mừng các bạn đến với bài 12. Hôm nay chúng ta sẽ nói về một chủ đề rất quan trọng khác, cụ thể là, làm việc với nhật ký và báo cáo. Đôi khi chức năng này gần như quyết định khi chọn phương tiện bảo vệ. "Các biện pháp bảo vệ" rất thích hệ thống báo cáo thuận tiện và chức năng tìm kiếm các sự kiện khác nhau. Thật khó để đổ lỗi cho họ. Trên thực tế, nhật ký và báo cáo là yếu tố quan trọng nhất của đánh giá bảo mật. Làm cách nào để hiểu mức độ bảo mật hiện tại nếu bạn không thể thấy điều gì đang xảy ra? May mắn thay, Check Point theo thứ tự hoàn hảo về mặt này và thậm chí còn hơn thế nữa. Check Point có một trong những hệ thống báo cáo tốt nhất hiện có! Đồng thời, có thể tùy chỉnh và tạo các báo cáo của riêng bạn! Tất cả điều này được bổ sung bởi một quy trình làm việc với nhật ký thuận tiện và trực quan. Nhưng hãy nói về mọi thứ theo thứ tự.
Giao diện hoàn toàn mới
Nếu bạn đã từng làm việc với Check Point trước đây, chắc hẳn bạn đã rất ngạc nhiên với giao diện hoàn toàn mới để làm việc với nhật ký và báo cáo trong R80. Hình ảnh cho thấy có bao nhiêu tiện ích khác nhau đã được kết hợp trong một tab mới Nhật ký & Giám sát:
Phần Nhật ký & Màn hình
Nếu bạn vào Logs & Monitor và mở một tab mới, bạn sẽ thấy một cái gì đó như thế này:
Theo mặc định, có hai phần lớn ở đây:
- Xem nhật ký kiểm tra - tại đây bạn có thể tìm thấy tất cả các sự kiện liên quan đến việc vào/ra của quản trị viên, các thay đổi trong cấu hình, v.v. Những thứ kia. kiểm toán cổ điển các hành động của quản trị viên.
- xem nhật ký - đây là nơi bạn có thể tìm kiếm các sự kiện “tạo ra” tất cả các phiến đã bật của chúng tôi, có thể là tường lửa, phần mềm chống vi-rút, IPS, v.v. Chúng tôi đã sử dụng tính năng này hơn một lần.
Ngoài ra, đây là các liên kết đến các báo cáo (Báo cáo) và các trang tổng quan khác nhau (Lượt xem). Họ yêu cầu một lưỡi kích hoạt để hoạt động. Sự kiện thông minh. Nhưng nhiều hơn về điều này sau. Đầu tiên, hãy giải quyết vấn đề làm việc với nhật ký.
Nhật ký tìm kiếm
Theo tôi, làm việc với các bản ghi trong R80 là một niềm vui. Chúng tôi có một chuỗi tìm kiếm rất thông minh cho phép chúng tôi “cắt” theo cả văn bản tùy ý và theo lưỡi cắt cũng như theo bất kỳ tham số được lập chỉ mục nào khác như nguồn, đích, hành động, v.v.
Đồng thời, chúng ta có thể soạn các truy vấn tìm kiếm rất phức tạp bằng cách sử dụng các toán tử logic VÀ, OR, KHÔNG. Và nó thậm chí không cần phải được in. Bộ lọc có thể được tạo chỉ bằng vài cú nhấp chuột. Một lát sau, chúng tôi sẽ thử tất cả trong thực tế.
Hiển thị thông điệp Nhật ký bằng Access-List
Ngoài ra, chúng tôi đã đánh giá khả năng hiển thị nhật ký cho một danh sách truy cập cụ thể. Nó cực kỳ thoải mái và bạn sẽ quen với nó rất nhanh. Điều này đặc biệt hữu ích khi khắc phục sự cố. Tôi đã đánh dấu “danh sách truy cập” mà bạn quan tâm và nhìn từ bên dưới để xem liệu lưu lượng truy cập cần thiết có nằm trong danh sách đó hay không.
Không cần phải đi đâu hoặc tạo bộ lọc nhật ký phức tạp.
Lượt xem & Báo cáo
Blade chịu trách nhiệm báo cáo và hiển thị dữ liệu trong Check Point Sự kiện thông minh, được kích hoạt trên máy chủ quản lý. Chức năng này có thể được gọi là SIEM một cách an toàn, nhưng chỉ dành cho các sản phẩm của Check Point! Về mặt kỹ thuật, trên Sự kiện thông minh, bạn có thể gói nhật ký từ các hệ thống khác (như cisco, microsoft, v.v.), nhưng đây không phải là ý tưởng tốt nhất 🙂 Trên thực tế, điều này rất có vấn đề. Nhưng SmartEvent đối phó với nhật ký “điểm kiểm tra” thật tuyệt vời. Có thể tương quan, tổng hợp, trung bình và nhiều hơn nữa. Và tất cả đều hoạt động tốt! Tất nhiên, có những bảng điều khiển làm sẵn để hiển thị thông tin quan trọng nhất. Tại Check Point họ được gọi Lượt xem:
Bạn có thể thấy ở đây có khá nhiều bảng điều khiển mặc định, rất hữu ích trong việc quản trị và theo dõi hàng ngày.
Ngoài bảng điều khiển, nơi thông tin được hiển thị đơn giản, có thể tạo các báo cáo chính thức và lưu chúng ở định dạng pdf hoặc excel. Bạn có thể tạo theo lịch trình và gửi chúng đến bất kỳ hộp thư nào.
Và dễ chịu nhất! Bạn có thể tự tạo bảng điều khiển và báo cáo! Những thứ kia. bạn không bị giới hạn ở các phần cài sẵn. Không phải mọi nhà cung cấp có thể tự hào về điều này. Đồng thời, các mẫu của các trang tổng quan hoặc báo cáo này có thể được nhập hoặc xuất, cho phép người dùng chia sẻ các phương pháp hay nhất của họ. Quá trình tạo bảng điều khiển rất đơn giản và trực quan. Tôi sẽ cố gắng cho bạn thấy điều này như một phần của phòng thí nghiệm, mà bạn sẽ tìm thấy trong video hướng dẫn bên dưới.
Video hướng dẫn
Hãy theo dõi để biết thêm và tham gia với chúng tôi ????
Nguồn: www.habr.com