Приветствую читателей блога TS Solution! В последний месяц уходящего года продолжаем рассказывать вам о новостях в мире Check Point.
Сегодня речь пойдет о новом едином портале СheckMates Toolbox. Он содержит в себе многочисленные инструменты по автоматизации для ежедневной работы администраторов. Контент верифицируется самим вендором, что говорит о долгосрочной поддержке данного проекта.
Коротко о главном
Портал входит в небезызвестный для многих проект CheckMates. Если вы еще не зарегистрированы в нем и работаете с оборудованием от CheckPoint, то мы настоятельно рекомендуем посещать его чаще, поскольку он содержит большое количество решений.
Кстати, 24 декабря 2020 года запланирована онлайн-встреча российского сообщества, где вы сможете пообщаться с коллегами и поучаствовать в конкурсах от Check Point.
Вернемся же к проекту СheckMates Toolbox. Его цель — предоставить конечному пользователю единое пространство для того, чтобы делиться инструментами и решениями при работе с оборудованием Check Point.
На момент выхода статьи существуют разделы:
- SmartEvent
- Compliance
- Scripts
- SmartConsole Extensions
- Cloud Deployment
Кроме представленной выше разбивки существует опция для фильтрации решений “Verified by Check Point”, которая подтверждает проверку со стороны вендора. От общих слов перейдем к самим категориям и на практических примерах разберем предлагаемые инструменты.
SmartEvent
Раздел содержит шаблоны для просмотра событий. Напомню, что блейд SmartEvent, установленный на ваш Management Server или отдельный cервер, требует отдельной лицензии и коррелирует логи. Далее создает отчеты по аналогии с SIEM-подобными системами.
Архитектура SmartEvent для любознательных:
Correlation Unit (CU) – в реальном времени считывает записи из текущего лог-файла сервера и анализирует их с помощью Correlation Policy, генерируя события безопасности, которые отправляет на Event Server.
Analyzer Server – загружает на Correlation Unit политики Event Policy, сохраняет полученные от Correlation Unit события безопасности в своей базе данных, взаимодействует с Security Management Server для организации блокировки источника угрозы на шлюзах безопасности Check Point. Подгружает с Security Management Server необходимые объекты. Предоставляет данные для генерации отчётов Reporting Server.
Analyzer Client – организует интерфейс взаимодействия и управления c Event Server, выводит информацию собранную на Event Server в различных представлениях.
Мы же, используя СheckMates Toolbox, находясь в разделе SmartEvent, скачаем репорт - Unknown-Applications-Detection
Он показывает количество неизвестных приложений в вашей инфраструктуре — те, что не определяются сигнатурно движком Application Control. Также возможно выяснить используемые ими порты, это позволит получить более подробную информацию о приложениях, которые не видны из коробки и требуют дополнительной проработки.
Compliance
Раздел содержит лучшие мировые практики в области ИБ, которые вы можете использовать на Check Point, благодаря блейду Compliance (требуется соответствующая активная лицензия).
На портале представлено большое количество стандартов, загрузить их на ваш Management Server возможно из: Manage & Settings → Blades → Compliance → Settings
Scripts
Раздел, который будет интересен тем, кто хочет автоматизировать рутинные процессы, но не готов тратить уйму времени для написания собственных bash-скриптов. Сообщество Check Mates уже давно предлагает различные программные решения для администраторов инфраструктуры Check Point, но в рамках нового портала удалось все выкладывать в едином месте.
В рамках статьи мы расскажем о нескольких интересных проектах, ознакомиться с другими вы всегда можете самостоятельно.
CPme
1) Соответственно, для загрузки требуется:
curl_cli https://raw.githubusercontent.com/0x7c2/cpme/main/cpme-install.sh -k | bash
2) Запуск самой утилиты:
[Expert@CPGWSMS:0]# cpme
3) В меню возможен выбор:
4) Пройдемся по разделам - Gaia Operating System (1)
Легко можно проверить доступность сервисов Check Point (3) и прочее:
5) Большое количество проверок самой системы - Health Analysis (2):
6) Полезны также будут Troubleshooting Options (7):
7) Отдельно отметим возможность собрать HTML-отчет (10), который вы можете посмотреть:
Remote Access VPN Statistics - OneLiner
Крайне актуальный для нашего времени bash-скрипт, который отобразит статистику по удаленным пользователям (количество сотрудников, расход лицензий и прочее).
Его также можно выполнять как Task (отправляя из SmartConsole).
Show AntiSpoofing Networks via CLI
Bash-скрипт, который собирает статистику работы Anti-Spoofing с ваших активных интерфейсов шлюза (Secutity Gateway). Для тех, кто забыл или незнаком с технологией: она позволяет предотвратить подмену адресации со стороны источника или назначения за счет того, что шлюз Check Point имеет информацию о типе трафика (внутренний, внешний и т.д.).
Вывод скрипта отобразит сети, которые падают под Anti-Spoofing, что значительно сэкономит ваше время при траблшутинге маршрутизации трафика (необъяснимые дропы).
SmartConsole Extensions
В данном разделе содержатся шаблоны для Extensions. Это позволяет оперативно получать различную системную информацию от вашего Security Gateway или Management Server в самой SmartConsole.
Чтобы активировать опцию, необходимо перейти: Manage & Settings → Preferences → SmartConsole Extensions
Где загрузим соответствующий URL: https://dannyjung.de/ds.json
Он взят из примера:
Соответственно, вы увидите распределение ядер в рамках технологии CoreXL. Дополнительную информацию о его механизмах работы можно получить по ссылке.
Cloud Deployment
Раздел для автоматизации развертывания продуктов Check Point в облачных провайдерах. На момент выхода статьи он только появился и содержал лишь 1 решение.
Предложенный bash-скрипт позволит развернуть Cloud Guard в облаке Google в полуавтоматическом режиме.
Вместо заключения
Сегодня мы познакомились с новым порталом, который удобно систематизирует полезные инструменты от сообщества. Существует проверка со стороны Check Point.
Если вам необходимы дополнительные материалы по продуктами вендора, то вы можете обратиться к статье с обучающими ресурсами. Мы же будем продолжать знакомить Вас с новостями из мира Check Point и другими продуктами. Оставайтесь с нами, до скорого!
Автор : Никита Турков. Инженер информационной безопасности
#межсетевой экран #сетевые технологии #информационная безопасность #it-инфраструктура #серверное администрирование
