歡迎閱讀 Check Point SandBlast 代理商管理平台解決方案系列的第五篇文章。 可以透過以下相應連結找到先前的文章: , , , 。 今天我們將了解管理平台中的監控功能,即使用日誌、互動式儀表板(視圖)和報告。 我們還將討論威脅搜尋的主題,以識別使用者電腦上的當前威脅和異常事件。
日誌
監控安全事件的主要資訊來源是「日誌」部分,它顯示每個事件的詳細信息,還允許您使用方便的過濾器來優化搜尋條件。 例如,當您右鍵單擊感興趣的日誌的某個參數(Blade、Action、Severity 等)時,可以將該參數過濾為 過濾器:“參數” 或 過濾掉:“參數”。 另外,對於「來源」參數,可以選擇「IP 工具」選項,您可以在其中對給定 IP 位址/名稱執行 ping,或執行 nslookup 以按名稱取得來源 IP 位址。
在「日誌」部分中,為了過濾事件,有一個「統計」子部分,它顯示所有參數的統計資料:包含日誌數量的時間圖以及每個參數的百分比。 從本小節中,您可以輕鬆過濾日誌,而無需使用搜尋列和編寫過濾表達式 - 只需選擇感興趣的參數,就會立即顯示新的日誌清單。
每個日誌的詳細資訊都可以在「日誌」部分的右側面板中找到,但透過雙擊開啟日誌來分析內容會更方便。 以下是日誌範例(圖片可點擊),其中顯示了有關在受感染的「.docx」檔案上觸發威脅仿真刀片的封鎖操作的詳細資訊。 該日誌有幾個小節,顯示安全事件的詳細資訊:觸發的策略和保護、取證詳細資訊、有關客戶端和流量的資訊。 日誌中提供的報告值得特別關注 - 威脅模擬報告和取證報告。 這些報表也可以從 SandBlast Agent 用戶端開啟。
威脅仿真報告
使用威脅仿真刀片時,在 Check Point 雲端執行仿真後,指向仿真結果詳細報告的連結 - 威脅仿真報告 - 將出現在對應的日誌中。 我們的文章詳細描述了此類報告的內容 。 值得注意的是,該報告是互動的,可讓您「深入了解」每個部分的詳細資訊。 也可以在虛擬機器中查看模擬過程的記錄、下載原始惡意檔案或取得其雜湊值,也可以聯絡 Check Point 事件回應團隊。
取證報告
對於幾乎所有安全事件,都會產生一份取證報告,其中包括有關惡意文件的詳細資訊:其特徵、操作、系統入口點以及對重要公司資產的影響。 我們在有關的文章中詳細討論了報告的結構 。 此類報告是調查安全事件時的重要資訊來源,如有必要,可立即將報告內容傳送給 Check Point 事件回應團隊。
智能視圖
Check Point SmartView 是一個方便的工具,用於建立和檢視 PDF 格式的動態儀表板(檢視)和報表。 從 SmartView 中,您還可以查看管理員的使用者日誌和審核事件。 下圖顯示了使用 SandBlast Agent 時最有用的報表和儀表板。
SmartView 中的報告是包含特定時間內事件統計資料的文件。 它支援將PDF格式的報告上傳到打開SmartView的機器,以及定期上傳PDF/Excel到管理員的電子郵件。 此外,它還支援匯入/匯出報告範本、建立您自己的報告以及在報告中隱藏使用者名稱的功能。 下圖顯示了內建威脅防護報告的範例。
SmartView 中的儀表板(視圖)允許管理員存取相應事件的日誌 - 只需雙擊感興趣的對象,無論是圖表列還是惡意文件的名稱。 與報告一樣,您可以建立自己的儀表板並隱藏使用者資料。 儀表板還支援範本匯入/匯出、定期上傳為 PDF/Excel 到管理員電子郵件,以及自動資料更新以即時監控安全事件。
附加監控部分
如果不提及概述、電腦管理、端點設定和推送操作部分,對管理平台中監控工具的描述將是不完整的。 這些部分已在中詳細描述 然而,考慮它們解決監控問題的能力將是有用的。 讓我們從概述開始,它由兩個小部分組成 - 操作概述和安全概述,它們是包含受保護使用者電腦狀態和安全事件資訊的儀表板。 與與任何其他儀表板互動時一樣,雙擊感興趣的參數時,操作概述和安全性概述子部分允許您使用所選過濾器(例如,「桌面」或「預先配置」)進入電腦管理部分。啟動狀態:已啟用”),或查看特定事件的日誌部分。 安全性概述小部分是「網路攻擊視圖 - 端點」儀表板,可以自訂並設定為自動更新資料。
從「電腦管理」部分,您可以監視使用者電腦上代理程式的狀態、反惡意軟體資料庫的更新狀態、磁碟加密的階段等等。 所有資料都會自動更新,並且對於每個過濾器,都會顯示匹配使用者電腦的百分比。 也支援以 CSV 格式匯出計算機資料。
監控工作站安全的一個重要方面是設定關鍵事件的通知(警報)和匯出日誌(匯出事件)以儲存在公司的日誌伺服器上。 這兩個設定均在“端點設定”部分中進行,並用於 通知 可以連接郵件伺服器向管理員發送事件通知,並根據滿足事件條件的設備的百分比/數量配置觸發/停用通知的閾值。 出口活動 允許您設定將日誌從管理平台傳輸到公司的日誌伺服器以進行進一步處理。 支援 SYSLOG、CEF、LEEF、SPLUNK 格式、TCP/UDP 協定、任何執行 syslog 代理的 SIEM 系統、使用 TLS/SSL 加密和 syslog 用戶端驗證。
為了深入分析代理程式上的事件或聯絡技術支持,您可以使用「推送操作」部分中的強制操作快速從 SandBlast Agent 用戶端收集日誌。 您可以設定將產生的包含日誌的檔案傳輸到 Check Point 伺服器或企業伺服器,並且包含日誌的檔案將保存在使用者電腦上的 C:UsersusernameCPInfo 目錄中。 它支援在指定時間啟動日誌收集過程以及推遲使用者操作的能力。
威脅搜尋
威脅搜尋用於主動搜尋系統中的惡意活動和異常行為,以進一步調查潛在的安全事件。 管理平台中的威脅搜尋部分可讓您在使用者電腦資料中搜尋具有指定參數的事件。
威脅搜尋工具有幾個預先定義的查詢,例如:對惡意網域或檔案進行分類、追蹤對某些 IP 位址的罕見請求(相對於一般統計資料)。 請求結構由三個參數組成: 指針 (網路協定、進程標識符、檔案類型等), 操作者 (「是」、「不是」、「包括」、「其中一個」等)和 請求正文。 您可以在請求內文中使用正規表示式,並且可以在搜尋欄中同時使用多個篩選器。
選擇篩選器並完成請求處理後,您可以存取所有相關事件,並能夠查看有關事件的詳細資訊、隔離請求物件或產生包含事件描述的詳細取證報告。 目前,該工具處於測試版本,未來計劃擴展功能集,例如以 Mitre Att&ck 矩陣的形式添加有關事件的資訊。
結論
讓我們總結一下:在本文中,我們研究了 SandBlast 代理管理平台中監控安全事件的功能,並研究了一種用於主動搜尋用戶電腦上的惡意操作和異常的新工具 - 威脅狩獵。 下一篇文章將是本系列的最後一篇文章,我們將討論有關管理平台解決方案的最常見問題,並討論測試該產品的可能性。
。 為了不錯過有關 SandBlast 代理管理平台主題的下一篇出版物,請關注我們社交網路上的更新 (, , , , ).
來源: www.habr.com