我們繼續探索新的 Check Point Management Platform 雲端平台,用於管理保護使用者電腦的工具 SandBlast Agent。 我們描述了 SandBlast Agent 的主要元件,熟悉了 Check Point Infinity 架構,並在 Infinity Portal 上註冊了 SandBlast Agent Management Platform 應用程式。今天,我們將詳細介紹代理管理系統的 Web 介面—本文將成為雲端控制台所有功能和能力的便利指南。為了準備下一篇文章,讓我們安裝 SandBlast Agent 並熟悉其介面。
雲端管理控制台管理平台架構
SandBlast 代理管理平台介面可分為三個元件:
- 控制面板 — 位於介面頂部,可讓您執行基本的管理任務:管理帳戶、聯絡 Check Point 技術支援以及設定管理員設定檔;
- 導覽列 — 位於左側,可讓您在控制面板的主要元件之間導航,例如政策設定部分、日誌顯示等;
- 工作空間 — 佔據了大部分控制台,並包含自訂導覽面板各部分、顯示圖形資訊(日誌、報告)和配置全域系統參數的能力。
讓我們仔細看看 SandBlast 代理管理平台系統的每個元素。將詳細描述導覽列所有組件的工作區,但現在我們將從控制列的功能開始。
控制面板
控制面板包含6個元件,我們從左到右來看一下。第一個是「選單」按鈕,點擊後會顯示您目前的入口網站服務,並允許您將雲端保護、網路保護和端點保護類別中的新服務新增至您的帳戶。接下來是您正在使用的目前應用程式的名稱 - 在本例中為 SandBlast Agent Management Platform。透過點擊應用程式圖標,您可以隨時進入導航面板的「概覽」部分。第三個元素是帳戶管理圖標,它可以讓你在你作為管理員的公司帳戶之間快速切換。
控制面板的第四個組件是幫助按鈕,它允許您直接從控制台聯繫 Check Point 技術支持,轉到 監控 Check Point 雲端和 Web 資源的狀態,並存取 SandBlast Agent 管理平台和 Infinity Portal 管理員指南。下一個元素是您在 Infinity Portal 上的個人資料,透過點擊它您可以「進入」個人資料設定或退出當前個人資料。最後,控制面板的最後一個元素是用於存取網站的按鈕 .
Infinity Portal 個人資料設置
當您點擊 Infinity Portal 個人資料的名稱時,將開啟一個工作區來設定個人資料:您可以變更顯示的使用者名稱和電話號碼,以及變更介面語言(目前可用英文和日文)並選擇個人資料連結到的帳戶。此外,您可以變更目前的個人資料密碼,並使用 Google Authenticator 或 Twilio Authy 啟用雙重認證來存取入口網站。設定雙重認證的過程非常簡單 - 使用應用程式掃描二維碼,然後輸入產生的存取權杖並確認 2FA 的啟動。
導覽列
SandBlast 代理程式管理平台控制台在導覽窗格中有 9 個部分,如下圖所示,可讓您執行各種代理部署和管理任務,以及管理 Web 控制台設定。讓我們簡要地看一下每個部分,要獲取詳細信息,請單擊您感興趣的部分名稱的劇透。讓我們開始吧:
- 概要 — 由多個儀表板組成的部分,從效能角度(受保護機器的數量、其作業系統版本、代理程式狀態、錯誤訊息等)和安全角度(受攻擊和受感染機器的資料、主動攻擊和阻止的攻擊、攻擊時間表等)顯示客戶端機器和代理的當前狀態;
概述部分:詳細信息
本節包含兩個小節: 運營概況 и 安全概述第一個「運行概覽」顯示有關使用者電腦和代理程式狀態的資訊:受保護電腦的數量、使用者電腦的特徵(裝置類型 - 個人電腦/筆記型電腦,作業系統類型 - Windows/MacOS)、代理部署統計信息、機器運行狀況、計算機上的防病毒數據庫更新信息,以及已安裝的 SandBlast Agent 版本和操作系統版本,還有一個包含活動事件(警報)的區域。您可以從此小節下載 SandBlast Agent 用戶端。
第二小節「安全性概述」顯示有關使用者機器的保護等級和攻擊(活動和封鎖)的資訊。此小節可讓您按時間過濾顯示的信息,以及設定特定物件的搜尋參數。安全概覽部分中的每個區塊都可以單獨配置 - 您可以新增不同類型的圖表,這些圖表將根據指定的篩選器顯示資訊。該小節可以下載為 Excel/PDF 報表。您也可以從本小節下載 SandBlast Agent 用戶端。
- 政策 — 導覽面板的一部分,其中配置統一安全性策略(所謂的統一策略)的參數,並定義分發代理程式和全域策略設定的規則;
政策部分:詳細信息
第一小節, 威脅預防,允許您透過指定套用策略的物件來配置安全性原則規則,以及微調刀片的操作。每個規則可以包含威脅防護策略的三個邏輯元件的設定:Web 和檔案保護、行為保護、分析和補救。 Web 和文件保護元件包括設定 URL 過濾、下載保護、憑證保護、文件保護。行為保護組件由反機器人、行為防護和反勒索軟體、反漏洞刀片組成。分析和補救組件包括自動攻擊分析(取證)、補救和回應。
共有 3 個預設設定檔用於規範安全組件的設定:調整(所有刀片均設定為偵測模式)、建議(某些刀片處於偵測模式)和預設(僅 URL 過濾處於偵測模式)。您也可以在威脅預防部分新增排除項(在排除中心)以繞過策略規則。
第二小節是 資料保護包括全碟加密設定。支援 Check Point 加密和 BitLocker 加密。 Windows適用於 macOS 的文件保險庫。此外,您還可以自訂加密設定、啟動前身份驗證和進階設定。 Windows 驗證。
下一小節是 - 部署,它配置在用戶機器上安裝 SandBlast Agent 組件的設定。在本節中,可以使用策略規則分離不同機器和代理版本的不同刀片的安裝。
最後一節, 全域策略設定,讓您設定從使用者機器中刪除 SandBlast Agent 的密碼、更改傳輸到 Check Point 的資料參數以及設定全碟加密的密碼特徵。
- 計算機管理 — 導航面板區域顯示所有客戶端機器的詳細信息,還允許您管理電腦的邏輯群組、執行強制操作(推送操作)和配置磁碟加密(全碟加密操作);
電腦管理部分:詳細信息
電腦管理部分有三個主要組成部分:設定圖示、用於顯示使用者機器資訊的欄位以及用於自訂顯示參數的篩選器。我們來按照從左到右的順序看一下設定圖示:更新資訊;以 CSV 格式下載所選機器的報告;建立目錄掃描器以從 Active Directory 獲取有關使用者、機器、群組的資訊;群組管理(建立/編輯/刪除);建立一個新的虛擬群組;將使用者機器新增至現有虛擬群組;從「隨身碟」中新增問題類別中新增問題(從磁碟區進行詳細討論)。
虛擬團體 允許您將使用者機器組合成邏輯群組以便靈活管理。這些群組可以用作 Active Directory 的替代方案,或與 AD 結合使用。有多個虛擬群組會自動指派給使用者機器,例如桌上型電腦、筆記型電腦、伺服器等。
自訂機器顯示欄位可以根據上圖所示的篩選器進行自訂。第一個過濾器 (透過電腦屬性) 具有多項內建標準,可讓您根據使用者電腦的功能、機器狀態或 SandBlast Agent 元件顯示使用者電腦。第二個過濾器(按虛擬群組)提供了透過虛擬組進行選擇的能力,第三個(按組織單位) — 根據 Active Directory 參數。
- 紀錄 — 日誌顯示面板,顯示各種參數(刀片、事件嚴重性、使用者機器等)的統計數據,並提供每個日誌的詳細資訊;
LOGS 部分:詳細信息
本節提供了一個方便的介面,可以使用各種過濾工具來研究日誌。常規上,在LOGS部分的工作區中,可以區分出4個元件:用於按請求搜尋和選擇時間段的頂行;左側面板顯示各種標準的統計資料;中心區域顯示所有日誌及其基本資訊;右側面板輸出所選日誌的詳細資訊。支援輸出不包含使用者和機器資訊的日誌(隱藏身分)並匯出到 Excel 檔案。
- 推進行動 — 建立和監控在用戶端機器上強制執行的任務(收集日誌、重新啟動或關閉機器、掃描惡意軟體/檔案等);
推送操作部分:詳細訊息
此部分有兩個主要工作區:上部是配置和顯示客戶端機器的強制任務的地方,下部顯示所選任務的詳細資訊。
強制操作分為三類,每類都有幾項任務: 反惡意軟件 這是掃描惡意軟體、更新惡意軟體簽署資料庫、從隔離區復原檔案;在類別中 取證與補救 這是按指標分析、文件補救;在類別中 代理設定 這些是收集客戶端日誌、修復客戶端、關閉電腦、重新啟動電腦。您還可以為每個強制任務分配一個精確的開始時間,並添加帶有描述的評論。
- 端點設定 — 導覽面板的一部分,用於與 Active Directory 整合、設定係統訊息參數(警報)、啟用使用 Syslog 的日誌匯出,還可以追蹤授權狀態並選擇目前策略的類型(基於使用者或基於電腦);
端點設定部分:詳細信息
第一小節, 廣告掃描儀,允許您設定入口網站與組織的 Active Directory 的完全同步,以取得所有使用者和機器的資訊。預設情況下,啟用組織分散式掃描模式,其中安裝了 SandBlast Agent 的機器將有關其路徑的資料傳送至管理控制台,以便在電腦管理部分中進一步顯示。您也可以將模式變更為完整 Active Directory 同步,這會將 Active Directory 中的所有資料拉入管理控制台。要成功掃描,您需要一個對以下內容具有完全讀取權限的帳戶:Active Directory 根目錄、所有子容器和物件以及已刪除的物件容器。
第二小節是 通知,它配置有關緊急情況(例如機器感染或代理部署問題)的通知設定。在工作區右側,您可以設定 12 種預設關鍵情況的設置,包括通知啟動和停用閾值。在本小節中,您也可以設定郵件伺服器設置,以便將通知傳送到您的電子郵件。
接下來是以下小節 出口活動,它允許您配置各種格式(Syslog、CEF、LEEF、Generic)的日誌傳輸到您的日誌伺服器。此選項還允許您配置日誌傳輸到您的 SIEM 系統,以便在該系統上啟動 Syslog 代理程式。
下一小節是 - 許可證,顯示有關許可證的資訊:唯一密鑰、許可證狀態、活躍代理的數量和配額大小。許可證管理是在 GLOBAL SETTINS 設定中進行的。
最後一節是 政策運作模式,其中選擇了活動策略類型:基於使用者的策略或基於電腦的策略。從下圖對策略的描述可以看出,它們的不同之處在於策略要麼專門應用於機器,要麼策略以混合的方式應用於使用者和機器。
- 服務管理 — 導覽面板區域可讓您管理端點管理平台服務並使用 SmartView 查看有關安全事件的詳細報告,您可以從此部分下載 SmartConsole 控制台應用程式和 SandBlast Agent 用戶端的安裝檔案;
服務管理部分:詳細信息
SERVICE MANAGEMENT部分的工作區由三個部分組成:服務管理和服務資料的顯示,以及存取SmartView(介面如下圖所示)以分析日誌和報告; SmartConsole R80.40 下載面板-Check Point 產品管理程序,包括 SandBlast Agent; SandBlast Agent 用戶端下載面板。
- 威脅搜尋 — 配置主動威脅偵測規則的部分(目前為 Beta 版本);
威脅搜尋部分:詳細資訊
威脅搜尋方法可讓您主動搜尋安裝了 SandBlast Agent 的使用者電腦上的異常或惡意活動 - 例如,存取 Check Point 認為是惡意的網域、使用 WMI 啟動的進程等。可以使用預先安裝的過濾器進行搜索,也可以建立自己的過濾器。該技術利用 Check Point ThreatCloud,這是一項持續更新的服務,它是一個由威脅偵測感測器和向 Check Point 發送威脅訊息的公司組成的全球網路。威脅搜尋目前正處於最終確定階段,可根據 Check Point 的請求取得 Beta 版本。我們一定會在本系列的後續文章中詳細介紹這個工具。
- 全局設置 — Infinity Portal 上所有應用程式的全域設定部分,允許您更改入口網站上的公司帳戶設置,管理管理員帳戶並追蹤他們的操作,查看帳戶中各種應用程式的合約狀態,以及管理 API 金鑰並將日誌從 CloudGuard SaaS 匯出到本機日誌伺服器。
全局設定部分:詳細信息
第一小節, 帳戶設置,顯示您的帳戶名稱和帳戶ID,並允許您設定強制身份驗證設定和不活動逾時。此外,您可以在此小節中指定 SSO 授權的參數並變更帳戶類型(客戶、經銷商/經銷商類別合作夥伴或 MSSP 類別合作夥伴)。
下一小節 用戶,顯示有關您的入口網站管理員的資訊 - 聯絡信息,以及註冊和上次登入入口網站的日期和時間。在本節中,您可以新增兩種類型的使用者 - 管理員和唯讀使用者。
接下來是以下小節 審計,它允許您追蹤門戶管理員的操作。如下圖所示,管理員活動日誌包括使用者名稱、事件的日期和時間、服務、事件的類別和類型以及日誌的簡要說明。例如,下方的日誌記錄登入入口網站(登入)、將帳戶類型(帳戶更新)變更為「經銷商」以及為特定使用者存取入口網站新增雙重認證(使用者更新)的事件。
第四小節是 合約,在入口網站上顯示您的申請的合約資訊 - 合約到期日、合約數量和配額使用情況(如果有)。此外,在此小節中,您可以從關聯帳戶項目管理連結的 Check Point 帳戶。
下一小節是 - API密鑰,它管理所有可用 Infinity Portal 應用程式的 API 金鑰。產生金鑰時,會建立用戶端 ID 和金鑰,第三方應用程式稍後可使用它們存取入口網站。
最後兩個小節是 - 出口活動 и 合作夥伴設定其中第一部分描述了從 CloudGuard SaaS 匯出日誌到您本機日誌伺服器的過程,第二部分可讓您查看帳戶資訊以及新增帳戶(僅適用於合作夥伴類別的帳戶)。
SandBlast Agent:安裝及介面介紹
代理分發選項
Check Point 描述了兩種向使用者電腦分發代理程式的方法:自動和手動。 自動部署 — 透過使用第三方解決方案(例如,Active Directory 群組原則)安裝初始用戶端(Initial Client),然後自動將政策載入到代理程式上來執行。 手動部署 — 下載具有內建威脅預防和/或資料保護策略的用戶端,然後使用第三方解決方案將其分發到使用者機器。第一種方法更方便,因為初始用戶端版本的重量比具有所有策略的完整版本輕幾十倍,這允許您以電子郵件附件的形式分發代理程式。另一方面,手動部署不需要在安裝後花時間將策略和刀片載入到代理程式中 - 所有元件都已包含在 SandBlast Agent 套件中。
讓我們使用自動代理部署。初始客戶端版本可以從控制台的兩個部分下載:服務管理和概述。在服務管理部分,選擇下載初始用戶端選項下載初始用戶端。從概述部分下載時,有三個用於組裝 SandBlast Agent 的選項:快速安裝(初始)、威脅防護代理以及資料保護與威脅防護。第二和第三個選項適合手動部署,第一個選項是初始客戶端建置。
下載的 EPS.msi 檔案被傳輸到使用者的機器上,然後必須啟動安裝程序。安裝成功後,工作列中會出現 Check Point Endpoint Security 圖標,表示代理程式已與管理伺服器中斷連線。
此時客戶端會自動嘗試透過內建位址連接雲端管理伺服器。這是一個相當快的過程,幾分鐘後就會出現新的通知表明代理程式已安排安裝。此訊息表明代理程式已成功連接到雲端管理伺服器。
右鍵單擊“端點安全性”圖示可以提供有關與管理伺服器建立的連接的更多詳細信息,例如客戶端連接到的管理伺服器的名稱和當前的連接狀態。
成功連接到管理伺服器後,開始將必要的元件(根據安全性原則)下載到使用者機器的過程。管理員可以在 Web 管理控制台的電腦管理部分監控代理安裝過程的狀態 - 使用者電腦成功連接到雲端管理伺服器後,其在電腦管理部分中的狀態將從計劃變更為下載。下載並檢查所有元件後,將提示使用者立即安裝代理程式或延遲安裝過程。若使用者在流程開始後2天內沒有安裝代理,則會強制安裝代理,並在提示開始安裝的視窗中報告。
代理安裝開始後,管理控制台的電腦管理部分中的使用者機器變為正在部署狀態。代理安裝過程完成後,您可以透過右鍵點擊「端點安全」圖示並選擇「顯示概述」來開啟其介面。
安裝後,建議按一下「立即更新」以啟動更新代理程式上的策略和資料庫的程序。反惡意軟體資料庫的第一次更新可能需要一些時間。一旦所有資料庫都更新完畢,將開始自動第一次系統掃描。此時,管理控制台中的用戶端機器應顯示已完成狀態,表示代理程式已成功安裝。
讓我們開始探索代理介面。在左下角,顯示代理狀態(線上/斷線)和您的雲端管理伺服器的名稱 - 在我們的例子中,這是狀態「線上」和管理伺服器的名稱「matssolution」。代理程式的目前版本顯示在右下角 - 我們安裝的是版本 E83.11(83.11.2702)。代理導航面板由幾個部分組成:
- 概覽 — 主要部分顯示所有刀片的狀態以及使用者電腦是否遵守安全策略的資訊。您還可以從本節深入研究每個刀片,以獲取有關狀態和安全事件的更多詳細資訊;
- 現在更新 — 允許您啟動檢查代理程式上有效的安全性原則和資料庫的相關性的過程;
- 立即掃描系統 - 啟動掃描系統以尋找惡意軟體或檔案的過程;
- 進階功能 — 進階代理設定可讓您查看已安裝的策略、檢視或收集日誌以及使用使用者的電腦作為部署代理程式。
由於未對初始策略進行任何更改,因此代理目前僅包含具有預設值的威脅防護策略刀片。我們將在本系列的下一篇文章中更詳細地討論初始威脅預防政策的內容。
結論
現在是時候總結所做工作了:在本文中,我們詳細了解了 SandBlast 代理管理平台 Web 控制台的介面,在使用者機器上安裝了代理,並研究了其介面。
在本系列的下一篇文章中,我們將研究標準威脅預防策略並針對最受歡迎的攻擊進行測試。我們還將創建自己的策略規則來提高使用者機器的安全等級。
。 為了不錯過有關 SandBlast 代理管理平台主題的下一篇出版物,請關注我們社交網路上的更新 (, , , , ).
來源: www.habr.com
