Добро пожаловать на пятую статью цикла о решении Check Point SandBlast Agent Management Platform. С предыдущими статьями можно ознакомиться, перейдя по соответствующей ссылке:
- первая
- вторая
- третья
- четвёртая
Сегодня мы рассмотрим возможности мониторинга в Management Platform, а именно работу с логами, интерактивными дашбордами (View) и отчётами. Также затронем тему Threat Hunting для выявления актуальных угроз и аномальных событий на машине пользователя.
Logs
Основным источником информации для мониторинга событий безопасности является раздел Logs, который отображает подробную информацию по каждому инциденту, а также позволяет использовать удобные фильтры для уточнения критериев поиска.
Например, при нажатии правой кнопкой мыши на параметр (Blade, Action, Severity и пр.) интересующего лога, данный параметр может быть отфильтрован как Filter: «Parameter» или Filter Out: «Parameter».
Также для параметра Source может быть выбрана опция IP Tools, в которой можно запустить ping до данного IP-адреса/имени или выполнить nslookup для получения IP-адреса источника по имени.
В разделе Logs для фильтрации событий есть подраздел Statistics, в котором отображается статистика по всем параметрам: временная диаграмма с количеством логов, а также процентные показатели по каждому из параметров.
Из данного подраздела можно легко отфильтровать логи без обращения к поисковой строке и написания выражений фильтрации — достаточно выбрать интересующие параметры и новый список логов сразу отобразится.
Подробная информация по каждому логу доступна в правой панели раздела Logs, однако более удобным является открытие лога двойным щелчком для анализа содержимого. Ниже приведён пример лога (картинка кликабельна), в котором отображена подробная информация по срабатыванию действия Prevent блейда Threat Emulation на заражённый файл ".docx".
Лог имеет несколько подразделов, которые отображают детали события безопасности: сработавшие политика и защита, подробности форензики, информация о клиенте и трафике.
Особого внимания заслуживают доступные из лога отчёты — Threat Emulation Report и Forensics Report. Данные отчёты также можно открыть из клиента SandBlast Agent.
Threat Emulation Report
При использовании блейда Threat Emulation после осуществления эмуляции в облаке Check Point в соответствующем логе появляется ссылка на подробный отчёт о результатах эмуляции — Threat Emulation Report.
Содержимое такого отчёта подробно описано в нашей статье про анализ зловредов с помощью форензики Check Point SandBlast Network. Стоит отметить, что данный отчёт является интерактивным и позволяет «проваливаться» в подробности по каждому из разделов.
Также есть возможность просмотреть запись процесса эмуляции в виртуальной машине, скачать оригинальный зловредный файл или получить его хэш, а также обратиться в Check Point Incident Response Team.
Forensics Report
Практически для любого события безопасности генерируется отчёт Forensics Report, который включает в себя подробную информацию о зловредном файле: его характеристики, действия, точку входа в систему и влияние на важные активы компании.
Структура отчёта подробно рассматривалась нами в статье про анализ зловредов с помощью форензики Check Point SandBlast Agent.
Подобный отчёт является важным источником информации при расследовании событий безопасности, и в случае необходимости можно сразу отправить содержимое отчёта в Check Point Incident Response Team.
SmartView
Check Point SmartView представляет собой удобное средство построения и просмотра динамических дашбордов (View) и отчётов в формате PDF. Из SmartView можно также просматривать пользовательские логи и события аудита для администраторов.
На рисунке ниже приведены наиболее полезные отчёты и дашборды для работы с SandBlast Agent.
Отчёты в SmartView представляют собой документы со статистической информацией о событиях за определённый промежуток времени.
Поддерживается выгрузка отчётов в формате PDF на машину, где открыт SmartView, а также регулярная выгрузка в PDF/Excel на электронную почту администратора. Помимо этого, поддерживается импорт/экспорт шаблонов отчётов, создание собственных отчётов и возможность скрывать имена пользователей в отчётах.
На рисунке ниже представлен пример встроенного отчёта Threat Prevention.
Дашборды (View) в SmartView позволяют администратору получить доступ к логам по соответствующему событию — достаточно лишь два раза нажать на интересующий объект, будь то столбец диаграммы или название вредоносного файла. Как и в случае с отчётами можно создавать собственные дашборды и скрывать данные пользователей.
Для дашбордов также поддерживается импорт/экспорт шаблонов, регулярная выгрузка в PDF/Excel на электронную почту администратора и автоматическое обновление данных для мониторинга событий безопасности в режиме реального времени.
Дополнительные разделы мониторинга
Описание средств мониторинга в Management Platform будет неполным без упоминания разделов Overview, Computer Management, Endpoint Settings и Push Operations. Данные разделы были подробно описаны во второй статье, однако полезным будет рассмотреть их возможности для решения задач мониторинга.
Начнём с Overview, состоящего из двух подразделов — Operational Overview и Security Overview, которые представляют собой дашборды с информацией о состоянии защищаемых пользовательских машин и событиях безопасности.
Как и при взаимодействии с любым другим дашбордом, подразделы Operational Overview и Security Overview при двойном щелчке по интересующему параметру позволяют попасть в раздел Computer Management с выбранным фильтром (например, «Desktops» или «Pre-Boot Status: Enabled»), либо в раздел Logs по конкретному событию.
Подраздел Security Overview представляет собой дашборд «Cyber Attack View – Endpoint», который можно настроить «под себя» и установить автоматическое обновление данных.
Из раздела Computer Management можно отслеживать состояние агента на пользовательских машинах, статус обновления базы данных Anti-Malware, этапы шифрования диска и многое другое.
Все данные обновляются в автоматическом режиме, и для каждого из фильтров отображается процентный показатель подходящих пользовательских машин. Также поддерживается экспорт данных о компьютерах в формате CSV.
Важным аспектом мониторинга защищённости рабочих станций является настройка уведомлений о критичных событиях (Alerts) и экспорта логов (Export Events) для хранения на лог-сервере компании.
Обе настройки выполняются в разделе Endpoint Settings, и для Alerts существует возможность подключить почтовый сервер для отправки уведомлений о событиях администратору и сконфигурировать пороговые значения срабатывания/отключения уведомлений в зависимости от процента/количества устройств, подходящих под критерии события. Export Events позволяет настроить пересылку логов из Management Platform на лог-сервер компании для дальнейшей обработки.
Поддерживаются форматы SYSLOG, CEF, LEEF, SPLUNK, протоколы TCP/UDP, любые SIEM-системы с работающим syslog-агентом, использование шифрования TLS/SSL и аутентификация syslog-клиента.
Для глубокого анализа событий на агенте или в случае обращения в техническую поддержку можно оперативно собрать логи с клиента SandBlast Agent с помощью принудительной операции в разделе Push Operations.
Можно настроить пересылку сформированного архива с логами на серверы Check Point или на корпоративные серверы, также архив с логами сохраняется на пользовательской машине в директории C:\Users\username\CPInfo.
Поддерживается запуск процесса сбора логов в указанное время и возможность отложить операцию пользователем.
Threat Hunting
Метод Threat Hunting используется для проактивного поиска зловредных действий и аномального поведения в системе для дальнейшего расследования потенциального события безопасности.
Раздел Threat Hunting в Management Platform позволяет осуществлять поиск событий с заданными параметрами в данных пользовательской машины.
Инструмент Threat Hunting имеет несколько предустановленных запросов, например: для классификации зловредных доменов или файлов, отслеживания редких обращений к некоторым IP-адресам (относительно общей статистики).
Структура запроса состоит из трёх параметров: индикатор (сетевой протокол, идентификатор процесса, тип файла и пр.), оператор («является», «не является», «включает в себя», «один из» и пр.) и тело запроса. В теле запроса можно использовать регулярные выражения, поддерживается использование нескольких фильтров одновременно в строке поиска.
После выбора фильтра и завершения обработки запроса появляется доступ ко всем подходящим событиям, с возможностью просмотреть подробную информацию о событии, поместить объект запроса в карантин или сгенерировать подробный отчёт Forensics Report с описанием события.
На текущий момент данный инструмент находится в бета-версии и в дальнейшем планируется расширение набора возможностей, например, добавление информации о событии в виде матрицы Mitre Att&ck.
Заключение
Подведём итоги: в данной статье мы рассмотрели возможности мониторинга событий безопасности в SandBlast Agent Management Platform, изучили новый инструмент для проактивного поиска зловредных действий и аномалий на пользовательских машинах — Threat Hunting.
Следующая статья станет завершающей в данном цикле и в ней мы рассмотрим наиболее частые вопросы по решению Management Platform и расскажем про возможности тестирования данного продукта.
Автор: Алексей Малько. Инженер информационной безопасности и технической поддержки
Большая подборка материалов по Check Point от TS Solution. Подписывайтесь на наш канал ✅, чтобы не пропустить следующие публикации.
#информационная безопасность #it #системное администрирование #серверное администрирование #сетевые технологии
