Clever Geek Handbook

Check Point SandBlast Agent. Was gibt's Neues?





Wir haben bereits eine Vielzahl von Schulungsunterlagen zu Check Point veröffentlicht . Das Thema Schutz von Arbeitsstationen mit dem Check Point SandBlast Agent wurde jedoch nur sehr schlecht behandelt. Wir planen, Schulungen für dieses Produkt zu verbessern und in Kürze zu erstellen, das mehrere Jahre hintereinander zu den führenden Unternehmen im EDR-Segment gehört. In der Zwischenzeit teilen wir Informationen über die neuen Agentenfunktionen, die in Version E83.10 veröffentlicht wurden. Spoiler - eine Beta-Version für LINUX und ein neues Cloud-basiertes „Control Panel“ erschienen.



Neue Eigenschaften



Alle Verbesserungen an Version E83.10 finden Sie in sk166979 . Es gibt viele relevante Informationen, aber wir sollten die neuen Funktionen besser durchgehen.



Neues Cloud Management Portal



Check Point entwickelt seit langer Zeit das Infinity-Konzept, bei dem die zentrale Verwaltung über das Cloud-Portal portal.checkpoint.com eine Schlüsselrolle spielt. Derzeit ist über dieses Portal eine Vielzahl von Diensten verfügbar:



  • CloudGuard SaaS
  • Smart-1 Cloud
  • Infinity SOC
  • CloudGuard Connect
  • Bedrohungsjagd
  • Sandstrahl mobil
  • und vieles mehr


Und jetzt gibt es Zugriff auf die Cloud-Management-SandBlast-Agenten: Die







Integration ist jetzt viel einfacher und schneller. Der Service startet buchstäblich innerhalb von 5 Minuten und Sie können Rolling Agents starten. Wir werden uns nicht darauf konzentrieren, weil Dieses Thema verdient eine ganze Reihe von Artikeln, die wir in naher Zukunft planen.



URL-Filterung



Der Name spricht für sich. Jetzt ist die URL-Filterung für Agenten verfügbar. Sie können den Datenverkehr auch von Remotebenutzern filtern, als ob sie im Büro sitzen würden. Derzeit sind mehrere Hauptkategorien für die URL-Filterung verfügbar:



  • Sicherheit
  • Produktivitätsverlust
  • Gesetzliche Haftung und Einhaltung gesetzlicher Bestimmungen
  • Bandbreitenverbrauch
  • Allgemeiner Gebrauch


Von den Pluspunkten: Jeder Agent enthält ein Browser-Add-On, mit dem Sie den verschlüsselten HTTPS-Verkehr überprüfen können, ohne dass ein Zwischengerät mit SSL-Prüfung erforderlich ist. Dies erleichtert die Integration erheblich, insbesondere für Remotebenutzer.

Derzeit gibt es mehrere Einschränkungen:



  • Das Browser-Add-On ist nur für Google Chrome verfügbar. Unterstützung für andere Browser wird in Kürze erwartet.
  • Die URL-Filterung ist derzeit nur über das Cloud-Management verfügbar. So sieht die Benutzeroberfläche aus:






Es ist auch erwähnenswert, dass es eine neue Anti-Credential-Diebstahl-Funktion gibt - Pass-the-Hash-Angriffsschutz. Aber wir werden Sie wahrscheinlich im Rahmen des zukünftigen Kurses ausführlich darüber informieren.



Neue Plattformen für SandBlast Agent



SandBlast unterstützt jetzt nativ sowohl persistente VDI- als auch nicht persistente Vorgänge. Aber eine andere Sache ist wichtiger. Schließlich erschien eine Beta-Version von SandBlast Agent für Linux-Systeme. Hier ist eine kurze Demo, die die Integration von Check Point Threat Hunting auf einmal zeigt:







Meiner Meinung nach ist die Verwaltung von Politikern bequemer geworden. Protokolle von SandBlast-Agenten sind jetzt auch in einer vertrauten Form.



Wie Sie wahrscheinlich verstanden haben, ist das Webmanagement derzeit nur für die Cloud-Plattform verfügbar. Es wird jedoch auch für lokale Geräte in der Gaia R81-Version verfügbar sein, die im ersten Quartal des 21. Jahres angekündigt werden soll.



Verbesserungen der wichtigsten Agenten



Hier sind einige wichtige Änderungen und Verbesserungen an SandBlast Agent E83.10:



Bedrohungsprävention
  • Behavioral Guard now protects against the «Pass The Hash» technique for credential theft. Credential Dumping is new, as of the previous release.
  • Fixes an issue where Anti-Ransomware does not detect a potential attack when the user is not logged in.
  • Fixes Anti-Ransomware false positives due to user profile deletions.
  • Fixes multiple rare cases of false positives in Anti-Ransomware.
  • Fixes an issue where «out of memory» errors occur when the log lists a very large number of backups.
  • When you disable Anti-Ransomware, the backup driver no longer operates.
  • Improves performance as Forensics now stores fewer named objects, such as mutexes and events.
  • Improves the performance of Forensics, Behavioral Guard and Threat Hunting with enhancements to our Registry Operation exclusion algorithms that reduce the number of recorded registry operations.
  • Resolves an issue where an Anti-Malware scheduled scan occurs, even if it is not in the policy.
  • Resolves an Anti-Malware icon scaling issue.
  • Resolves a possible issue where the Anti-Malware process crashes as it shuts down.




Daten- und Zugriffskontrolle
  • Resolves client network issues after a Firewall driver uninstallation failure.
  • Resolves a rare issue where an added Firewall blade gets stuck in the «Initializing» state.
  • Resolves a possible upgrade issue where the Firewall blade does not start due to a WatchDog failure.
  • Resolves a rare issue where the Firewall policy is «Not Set» in the client after the policy download from the server.
  • Resolves a possible issue where the Disk Encryption process crashes during shutdown.
  • Resolves a removable media icon blink issue for an encrypted partition when Media Scan is enabled.
  • Improves the work with non-UTF-8 applications. Users can toggle UTF-8 support.
  • Fixes active File Transfer Protocol (FTP) traffic blocks on a standalone VPN client with Firewall.
  • Includes stability and quality fixes. Supports all the features of previous releases.




Installation & Infrastruktur
  • Resolves a possible issue where uninstalling the Endpoint removes components that are necessary for other applications.
  • Resolves a possible issue where the uninstall fails after the user turns off «Network Protection».
  • Resolves a possible issue where the Endpoint Security Client does not run correctly after an operating system upgrade.
  • Resolves a rare issue where the client uninstall fails with Error 1921: «Service Check Point Endpoint Agent (CPDA) could not be stopped».
  • Resolves a rare issue where an upgrade that uses «Dynamic Package» continuously loops after a download fails to resume.
  • The pre-boot language selection choice is now correct after a language update in Windows.
  • Fixes an incompatibility issue with Sophos Antivirus, which could not install on a machine with Endpoint Security Client on it.
  • Resolves a rare User Interface (UI) issue where a malware resolution is not shown to a user.
  • Resolves a client LogViewer issue, where it only shows log records that match the latest log schema.
  • On the Endpoint Security Client screen, the Overview list now shows «Anti-Bot and URL Filtering» instead of «Anti-Bot».
  • The client User Interface (UI) is no longer shown during manual upgrades.
  • Resolves URL infections report issues in the User Interface (UI) so that the infections records are not permanent in the client and server UIs.
  • Anti-Bot and URL Filtering policy now translates to all supported languages.
  • Improves the performance of the Endpoint Security core driver to reduce CPU consumption.




Anstelle einer Schlussfolgerung



Ich bin sicher, dass der Artikel über Forensik , den SandBlast Agent bereitstellen kann, interessant sein wird . Wie bereits erwähnt, planen wir die Veröffentlichung neuer Schulungsmaterialien. Bleiben Sie also in unseren Kanälen ( Telegramm , Facebook , VK , TS Solution Blog ) auf dem Laufenden !

Darüber hinaus finden in Kürze mehrere nützliche Check Point-Webinare statt:





Beeilen Sie sich, um sich zu registrieren!


More articles:


All Articles