Chào mừng bạn đến với bài viết thứ năm trong loạt bài về giải pháp Nền tảng quản lý đại lý Check Point SandBlast. Các bài viết trước có thể được tìm thấy bằng cách theo liên kết thích hợp: , , , . Hôm nay chúng ta sẽ xem xét các khả năng giám sát trong Nền tảng quản lý, cụ thể là làm việc với nhật ký, trang tổng quan tương tác (Chế độ xem) và báo cáo. Chúng tôi cũng sẽ đề cập đến chủ đề Săn tìm mối đe dọa để xác định các mối đe dọa hiện tại và các sự kiện bất thường trên máy của người dùng.
Logs
Nguồn thông tin chính để theo dõi các sự kiện bảo mật là phần Nhật ký, phần này hiển thị thông tin chi tiết về từng sự cố và cũng cho phép bạn sử dụng các bộ lọc thuận tiện để tinh chỉnh tiêu chí tìm kiếm của mình. Ví dụ: khi bạn nhấp chuột phải vào một tham số (Blade, Action, Severity, v.v.) của nhật ký quan tâm, tham số này có thể được lọc dưới dạng Bộ lọc: "Thông số" hoặc Lọc ra: "Tham số". Ngoài ra, đối với tham số Nguồn, tùy chọn Công cụ IP có thể được chọn trong đó bạn có thể chạy ping đến một địa chỉ/tên IP nhất định hoặc chạy nslookup để lấy địa chỉ IP nguồn theo tên.
Trong phần Nhật ký, để lọc các sự kiện, có tiểu mục Thống kê, hiển thị số liệu thống kê về tất cả các tham số: sơ đồ thời gian với số lượng nhật ký cũng như tỷ lệ phần trăm cho mỗi tham số. Từ tiểu mục này, bạn có thể dễ dàng lọc nhật ký mà không cần sử dụng thanh tìm kiếm và viết biểu thức lọc - chỉ cần chọn các tham số quan tâm và danh sách nhật ký mới sẽ ngay lập tức được hiển thị.
Thông tin chi tiết về từng nhật ký có sẵn ở bảng bên phải của phần Nhật ký, nhưng sẽ thuận tiện hơn khi mở nhật ký bằng cách nhấp đúp để phân tích nội dung. Dưới đây là ví dụ về nhật ký (hình ảnh có thể nhấp vào), hiển thị thông tin chi tiết về việc kích hoạt hành động Ngăn chặn của lưỡi Mô phỏng mối đe dọa trên tệp ".docx" bị nhiễm. Nhật ký có một số phần phụ hiển thị chi tiết về sự kiện bảo mật: các chính sách và biện pháp bảo vệ được kích hoạt, chi tiết pháp y, thông tin về máy khách và lưu lượng truy cập. Các báo cáo có sẵn từ nhật ký đáng được quan tâm đặc biệt - Báo cáo mô phỏng mối đe dọa và Báo cáo điều tra. Các báo cáo này cũng có thể được mở từ ứng dụng khách SandBlast Agent.
Báo cáo mô phỏng mối đe dọa
Khi sử dụng lưỡi Mô phỏng mối đe dọa, sau khi quá trình mô phỏng được thực hiện trong đám mây Điểm kiểm tra, một liên kết đến báo cáo chi tiết về kết quả mô phỏng - Báo cáo mô phỏng mối đe dọa - sẽ xuất hiện trong nhật ký tương ứng. Nội dung của báo cáo như vậy được mô tả chi tiết trong bài viết của chúng tôi về . Điều đáng chú ý là báo cáo này có tính tương tác và cho phép bạn “đi sâu vào” chi tiết cho từng phần. Cũng có thể xem bản ghi quá trình mô phỏng trong máy ảo, tải xuống tệp độc hại ban đầu hoặc lấy hàm băm của nó, đồng thời liên hệ với Nhóm ứng phó sự cố của Check Point.
Báo cáo pháp y
Đối với hầu hết mọi sự kiện bảo mật, Báo cáo điều tra sẽ được tạo, bao gồm thông tin chi tiết về tệp độc hại: đặc điểm, hành động, điểm xâm nhập vào hệ thống và tác động đến tài sản quan trọng của công ty. Chúng tôi đã thảo luận chi tiết về cấu trúc của báo cáo trong bài viết về . Báo cáo như vậy là nguồn thông tin quan trọng khi điều tra các sự kiện bảo mật và nếu cần, nội dung của báo cáo có thể được gửi ngay đến Nhóm ứng phó sự cố của Check Point.
Góc nhìn thông minh
Check Point SmartView là một công cụ thuận tiện để tạo và xem bảng điều khiển động (Chế độ xem) và báo cáo ở định dạng PDF. Từ SmartView, bạn cũng có thể xem nhật ký người dùng và kiểm tra sự kiện dành cho quản trị viên. Hình bên dưới hiển thị các báo cáo và bảng thông tin hữu ích nhất để làm việc với SandBlast Agent.
Báo cáo trong SmartView là tài liệu chứa thông tin thống kê về các sự kiện trong một khoảng thời gian nhất định. Nó hỗ trợ tải các báo cáo ở định dạng PDF lên máy đang mở SmartView, cũng như thường xuyên tải lên PDF/Excel vào email của quản trị viên. Ngoài ra, nó còn hỗ trợ nhập/xuất các mẫu báo cáo, tạo báo cáo của riêng bạn và khả năng ẩn tên người dùng trong báo cáo. Hình bên dưới hiển thị ví dụ về báo cáo Ngăn chặn mối đe dọa được tích hợp sẵn.
Bảng điều khiển (Chế độ xem) trong SmartView cho phép quản trị viên truy cập nhật ký của sự kiện tương ứng - chỉ cần nhấp đúp vào đối tượng quan tâm, có thể là cột biểu đồ hoặc tên của tệp độc hại. Giống như báo cáo, bạn có thể tạo trang tổng quan của riêng mình và ẩn dữ liệu người dùng. Trang tổng quan cũng hỗ trợ nhập/xuất mẫu, thường xuyên tải lên PDF/Excel vào email của quản trị viên và cập nhật dữ liệu tự động để theo dõi các sự kiện bảo mật trong thời gian thực.
Phần giám sát bổ sung
Mô tả về các công cụ giám sát trong Nền tảng quản lý sẽ không đầy đủ nếu không đề cập đến các phần Tổng quan, Quản lý máy tính, Cài đặt điểm cuối và Hoạt động đẩy. Những phần này đã được mô tả chi tiết trong tuy nhiên, sẽ rất hữu ích khi xem xét khả năng giải quyết các vấn đề giám sát của họ. Hãy bắt đầu với Tổng quan, bao gồm hai phần phụ - Tổng quan về hoạt động và Tổng quan về bảo mật, là các bảng thông tin chứa thông tin về trạng thái máy người dùng được bảo vệ và các sự kiện bảo mật. Giống như khi tương tác với bất kỳ bảng điều khiển nào khác, các phần phụ Tổng quan về hoạt động và Tổng quan về bảo mật, khi nhấp đúp vào tham số quan tâm, sẽ cho phép bạn truy cập phần Quản lý máy tính với bộ lọc đã chọn (ví dụ: “Máy tính để bàn” hoặc “Pre- Trạng thái khởi động: Đã bật”) hoặc vào phần Nhật ký cho một sự kiện cụ thể. Tiểu mục Tổng quan về bảo mật là bảng điều khiển “Chế độ xem cuộc tấn công mạng – Điểm cuối”, có thể được tùy chỉnh và đặt để tự động cập nhật dữ liệu.
Từ phần Quản lý máy tính, bạn có thể theo dõi trạng thái của tác nhân trên máy người dùng, trạng thái cập nhật của cơ sở dữ liệu Chống phần mềm độc hại, các giai đoạn mã hóa ổ đĩa, v.v. Tất cả dữ liệu được cập nhật tự động và đối với mỗi bộ lọc, tỷ lệ phần trăm máy của người dùng phù hợp sẽ được hiển thị. Xuất dữ liệu máy tính ở định dạng CSV cũng được hỗ trợ.
Một khía cạnh quan trọng của việc giám sát tính bảo mật của máy trạm là thiết lập thông báo về các sự kiện quan trọng (Cảnh báo) và xuất nhật ký (Xuất sự kiện) để lưu trữ trên máy chủ nhật ký của công ty. Cả hai cài đặt đều được thực hiện trong phần Cài đặt điểm cuối và dành cho Cảnh báo Có thể kết nối máy chủ thư để gửi thông báo sự kiện đến quản trị viên và định cấu hình ngưỡng kích hoạt/tắt thông báo tùy thuộc vào tỷ lệ/số lượng thiết bị đáp ứng tiêu chí sự kiện. Sự kiện xuất khẩu cho phép bạn định cấu hình chuyển nhật ký từ Nền tảng quản lý sang máy chủ nhật ký của công ty để xử lý thêm. Hỗ trợ các định dạng SYSLOG, CEF, LEEF, SPLUNK, giao thức TCP/UDP, mọi hệ thống SIEM có tác nhân syslog đang chạy, sử dụng mã hóa TLS/SSL và xác thực ứng dụng khách syslog.
Để phân tích chuyên sâu về các sự kiện trên tác nhân hoặc trong trường hợp liên hệ với bộ phận hỗ trợ kỹ thuật, bạn có thể nhanh chóng thu thập nhật ký từ ứng dụng khách Tác nhân SandBlast bằng thao tác bắt buộc trong phần Hoạt động đẩy. Bạn có thể định cấu hình chuyển kho lưu trữ đã tạo có nhật ký sang máy chủ Check Point hoặc máy chủ công ty và kho lưu trữ có nhật ký được lưu trên máy của người dùng trong thư mục C:UsersusernameCPInfo. Nó hỗ trợ khởi chạy quy trình thu thập nhật ký tại một thời điểm nhất định và khả năng trì hoãn thao tác của người dùng.
Săn đe dọa
Săn lùng mối đe dọa được sử dụng để chủ động tìm kiếm các hoạt động độc hại và hành vi bất thường trong hệ thống nhằm điều tra sâu hơn về một sự kiện bảo mật tiềm ẩn. Phần Săn lùng mối đe dọa trong Nền tảng quản lý cho phép bạn tìm kiếm các sự kiện có thông số được chỉ định trong dữ liệu máy của người dùng.
Công cụ Săn bắt mối đe dọa có một số truy vấn được xác định trước, ví dụ: để phân loại các miền hoặc tệp độc hại, theo dõi các yêu cầu hiếm gặp tới các địa chỉ IP nhất định (so với thống kê chung). Cấu trúc yêu cầu bao gồm ba tham số: chỉ số (giao thức mạng, mã định danh quy trình, loại tệp, v.v.), nhà điều hành (“là”, “không phải”, “bao gồm”, “một trong”, v.v.) và nội dung yêu cầu. Bạn có thể sử dụng biểu thức chính quy trong nội dung yêu cầu và bạn có thể sử dụng đồng thời nhiều bộ lọc trong thanh tìm kiếm.
Sau khi chọn bộ lọc và hoàn tất quá trình xử lý yêu cầu, bạn có quyền truy cập vào tất cả các sự kiện có liên quan, với khả năng xem thông tin chi tiết về sự kiện, cách ly đối tượng yêu cầu hoặc tạo Báo cáo điều tra chi tiết kèm theo mô tả về sự kiện. Hiện tại, công cụ này đang ở phiên bản beta và trong tương lai, nó được lên kế hoạch mở rộng bộ khả năng, chẳng hạn như thêm thông tin về sự kiện dưới dạng ma trận Mitre Att&ck.
Kết luận
Hãy tóm tắt: trong bài viết này, chúng tôi đã xem xét khả năng giám sát các sự kiện bảo mật trong Nền tảng quản lý tác nhân SandBlast và nghiên cứu một công cụ mới để chủ động tìm kiếm các hành động độc hại và các điểm bất thường trên máy của người dùng - Săn đe dọa. Bài viết tiếp theo sẽ là bài cuối cùng trong loạt bài này và trong đó chúng ta sẽ xem xét các câu hỏi thường gặp nhất về giải pháp Nền tảng quản lý và nói về khả năng thử nghiệm sản phẩm này.
. Để không bỏ lỡ các ấn phẩm tiếp theo về chủ đề Nền tảng quản lý đại lý SandBlast, hãy theo dõi các cập nhật trên mạng xã hội của chúng tôi (, , , , ).
Nguồn: www.habr.com