欢迎阅读有关 Check Point SandBlast 代理管理平台解决方案系列的第五篇文章。 可以通过以下相应链接找到以前的文章: , , , 。 今天我们将了解管理平台中的监控功能,即使用日志、交互式仪表板(视图)和报告。 我们还将讨论威胁搜寻的主题,以识别用户计算机上的当前威胁和异常事件。
日志
监控安全事件的主要信息来源是“日志”部分,它显示每个事件的详细信息,还允许您使用方便的过滤器来优化搜索条件。 例如,当您右键单击感兴趣的日志的某个参数(Blade、Action、Severity 等)时,可以将该参数过滤为 过滤器:“参数” или 过滤掉:“参数”。 此外,对于“源”参数,可以选择“IP 工具”选项,在该选项中您可以对给定的 IP 地址/名称运行 ping,或运行 nslookup 以按名称获取源 IP 地址。
在“日志”部分中,为了过滤事件,有一个“统计”子部分,它显示所有参数的统计信息:包含日志数量的时间图以及每个参数的百分比。 从本小节中,您可以轻松过滤日志,而无需使用搜索栏和编写过滤表达式 - 只需选择感兴趣的参数,就会立即显示新的日志列表。
每个日志的详细信息都可以在“日志”部分的右侧面板中找到,但通过双击打开日志来分析内容会更方便。 下面是一个日志示例(图片可单击),其中显示了有关在受感染的“.docx”文件上触发威胁仿真刀片的阻止操作的详细信息。 该日志有几个小节,显示安全事件的详细信息:触发的策略和保护、取证详细信息、有关客户端和流量的信息。 日志中提供的报告值得特别关注 - 威胁仿真报告和取证报告。 这些报告也可以从 SandBlast Agent 客户端打开。
威胁仿真报告
使用威胁仿真刀片时,在 Check Point 云中执行仿真后,指向仿真结果详细报告的链接 - 威胁仿真报告 - 将出现在相应的日志中。 我们的文章详细描述了此类报告的内容 。 值得注意的是,该报告是交互式的,允许您“深入了解”每个部分的详细信息。 还可以在虚拟机中查看模拟过程的记录、下载原始恶意文件或获取其哈希值,还可以联系 Check Point 事件响应团队。
取证报告
对于几乎所有安全事件,都会生成一份取证报告,其中包括有关恶意文件的详细信息:其特征、操作、系统入口点以及对重要公司资产的影响。 我们在有关的文章中详细讨论了报告的结构 。 此类报告是调查安全事件时的重要信息来源,如有必要,可以立即将报告内容发送给 Check Point 事件响应团队。
的SmartView
Check Point SmartView 是一个方便的工具,用于创建和查看 PDF 格式的动态仪表板(视图)和报告。 从 SmartView 中,您还可以查看管理员的用户日志和审核事件。 下图显示了使用 SandBlast Agent 时最有用的报告和仪表板。
SmartView 中的报告是包含特定时间段内事件统计信息的文档。 它支持将PDF格式的报告上传到打开SmartView的机器,以及定期上传PDF/Excel到管理员的电子邮件。 此外,它还支持导入/导出报告模板、创建您自己的报告以及在报告中隐藏用户名的功能。 下图显示了内置威胁防护报告的示例。
SmartView 中的仪表板(视图)允许管理员访问相应事件的日志 - 只需双击感兴趣的对象,无论是图表列还是恶意文件的名称。 与报告一样,您可以创建自己的仪表板并隐藏用户数据。 仪表板还支持模板导入/导出、定期上传为 PDF/Excel 到管理员电子邮件,以及自动数据更新以实时监控安全事件。
附加监控部分
如果不提及概述、计算机管理、端点设置和推送操作部分,对管理平台中监控工具的描述将是不完整的。 这些部分已在中详细描述 然而,考虑它们解决监控问题的能力将是有用的。 让我们从概述开始,它由两个小部分组成 - 操作概述和安全概述,它们是包含受保护用户计算机状态和安全事件信息的仪表板。 与与任何其他仪表板交互时一样,双击感兴趣的参数时,操作概述和安全概述子部分允许您使用所选过滤器(例如,“桌面”或“预配置”)进入计算机管理部分。启动状态:已启用”),或查看特定事件的日志部分。 安全概述子部分是“网络攻击视图 - 端点”仪表板,可以自定义并设置为自动更新数据。
从“计算机管理”部分,您可以监控用户计算机上代理的状态、反恶意软件数据库的更新状态、磁盘加密的阶段等等。 所有数据都会自动更新,并且对于每个过滤器,都会显示匹配用户计算机的百分比。 还支持以 CSV 格式导出计算机数据。
监控工作站安全的一个重要方面是设置有关关键事件的通知(警报)和导出日志(导出事件)以存储在公司的日志服务器上。 这两个设置均在“端点设置”部分中进行,并且用于 通知 可以连接邮件服务器向管理员发送事件通知,并根据满足事件条件的设备的百分比/数量配置触发/禁用通知的阈值。 分享活动 允许您配置将日志从管理平台传输到公司的日志服务器以进行进一步处理。 支持 SYSLOG、CEF、LEEF、SPLUNK 格式、TCP/UDP 协议、任何运行 syslog 代理的 SIEM 系统、使用 TLS/SSL 加密和 syslog 客户端身份验证。
为了深入分析代理上的事件或联系技术支持,您可以使用“推送操作”部分中的强制操作快速从 SandBlast Agent 客户端收集日志。 您可以配置将生成的包含日志的存档传输到 Check Point 服务器或企业服务器,并且包含日志的存档将保存在用户计算机上的 C:UsersusernameCPInfo 目录中。 它支持在指定时间启动日志收集过程以及推迟用户操作的能力。
威胁搜寻
威胁搜寻用于主动搜索系统中的恶意活动和异常行为,以进一步调查潜在的安全事件。 管理平台中的威胁搜寻部分允许您在用户计算机数据中搜索具有指定参数的事件。
威胁搜寻工具有几个预定义的查询,例如:对恶意域或文件进行分类、跟踪对某些 IP 地址的罕见请求(相对于一般统计数据)。 请求结构由三个参数组成: 指针 (网络协议、进程标识符、文件类型等), 操作者 (“是”、“不是”、“包括”、“其中一个”等)和 请求正文。 您可以在请求正文中使用正则表达式,并且可以在搜索栏中同时使用多个过滤器。
选择过滤器并完成请求处理后,您可以访问所有相关事件,并能够查看有关事件的详细信息、隔离请求对象或生成包含事件描述的详细取证报告。 目前,该工具处于测试版本,未来计划扩展功能集,例如以 Mitre Att&ck 矩阵的形式添加有关事件的信息。
结论
让我们总结一下:在本文中,我们研究了 SandBlast 代理管理平台中监控安全事件的功能,并研究了一种用于主动搜索用户计算机上的恶意操作和异常的新工具 - 威胁狩猎。 下一篇文章将是本系列的最后一篇文章,我们将在其中讨论有关管理平台解决方案的最常见问题,并讨论测试该产品的可能性。
。 为了不错过有关 SandBlast 代理管理平台主题的下一篇出版物,请关注我们社交网络上的更新 (, , , , ).
来源: habr.com