Wir untersuchen weiterhin die neue Check Point Management Platform zur Verwaltung des Sicherheitstools für Benutzercomputer - SandBlast Agent. Im vorherigen Artikel haben wir die Hauptkomponenten des SandBlast-Agenten beschrieben , uns mit der Check Point Infinity-Architektur vertraut gemacht und die Anwendung SandBlast Agent Management Platform im Infinity-Portal registriert. Heute werden wir die Weboberfläche des Agentenverwaltungssystems im Detail untersuchen. Dieser Artikel wird zu einer praktischen Anleitung für alle Funktionen und Fähigkeiten der Cloud-Konsole. Und als Vorbereitung für den nächsten Artikel werden wir SandBlast Agent installieren und uns mit seiner Oberfläche vertraut machen.
Struktur der Cloud-Verwaltungskonsole der Verwaltungsplattform
Die Oberfläche der SandBlast Agent Management Platform kann grob in drei Komponenten unterteilt werden:
- — : , Check Point ;
- — , , .;
- — ó , (, ) .
Schauen wir uns jedes Element des SandBlast Agent Management Platform-Systems genauer an. Die Arbeitsbereiche werden für alle Komponenten der Navigationsleiste ausführlich beschrieben. Beginnen wir jedoch zunächst mit den Funktionen des Bedienfelds.
Schalttafel
Das Bedienfeld enthält 6 Komponenten. Schauen wir sie uns von links nach rechts an. Die erste ist die Menüschaltfläche, die beim Klicken Ihre aktuellen Portaldienste anzeigt und es Ihnen ermöglicht, Ihrem Konto neue Dienste aus den Kategorien Cloud Protection, Network Protection und Endpoint Protection hinzuzufügen. Darauf folgt der Name der aktuellen Anwendung, in der Sie arbeiten. In diesem Fall handelt es sich um die SandBlast Agent Management Platform. Durch Klicken auf das Anwendungssymbol gelangen Sie jederzeit zum Abschnitt "ÜBERSICHT" der Navigationsleiste. Das dritte Element ist das Kontoverwaltungssymbol, mit dem Sie schnell zwischen den Konten der Unternehmen wechseln können, in denen Sie Administrator sind. Die vierte Komponente des Bedienfelds ist eine Hilfeschaltfläche, mit der Sie den technischen Support von Check Point direkt über die Konsole kontaktieren können
Eine Website zum Überwachen des Status von Check Point-Cloud- und Webressourcen sowie zum Zugreifen auf die Administratorhandbücher für die SandBlast Agent Management Platform und das Infinity Portal. Das nächste Element ist Ihr Profil im Infinity-Portal, indem Sie auf klicken, auf das Sie durch die Profileinstellungen "fallen" oder das aktuelle Profil verlassen können. Und schließlich ist das letzte Element des Bedienfelds die Schaltfläche zum Aufrufen der Infinity Portal- Website .
Infinity Portal-Profileinstellungen
Infinity Portal : , ( ) , . , Google Authenticator Twilio Authy . — QR-, 2FA.
Navigationsleiste
Die SandBlast Agent Management Platform enthält 9 Abschnitte im Navigationsbereich (siehe Abbildung unten), in denen Sie viele Aufgaben zum Bereitstellen und Verwalten von Agenten sowie zum Verwalten der Webkonsoleneinstellungen ausführen können. Lassen Sie uns kurz jeden der Abschnitte betrachten und für detaillierte Informationen auf den Spoiler mit dem Namen des interessierenden Abschnitts klicken. Lass uns anfangen:
- ĂśBERSICHT ist ein Abschnitt, der aus mehreren Dashboards besteht, die den aktuellen Status von Clientcomputern und Agenten unter dem Gesichtspunkt des Zustands (Anzahl der geschĂĽtzten Computer, deren Betriebssystemversionen, Status der Agenten, Fehlermeldungen usw.) und unter Sicherheitsgesichtspunkten (Daten zu angegriffenen und infizierten Computern) anzeigen , aktive und blockierte Angriffe, Angriffszeitleiste usw.);
Abschnitt ĂśBERSICHT: im Detail
: Operational Overview Security Overview. , Operational Overview, : , ( — /, — Windows/MacOS), , « » , , SandBlast Agent , (Alerts). SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
- POLICY — , ( Unified Policy), ;
POLICY:
, Threat Prevention, , , . Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Web & Files Protection URL Filtering, Download protection, Credential protection, Files Protection. Behavioral Protection Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Analysis & Remediation Automated attack analysis (forensics), Remediation & Response.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
- COMPUTER MANAGEMENT — , , , (Push Operation) (Full Disk Encryption Actions);
COMPUTER MANAGEMENT:
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
- LOGS — , (, , .), ;
LOGS:
. , LOGS 4 : ; ; ; . (Hide Identities) Excel-.
- PUSH OPERATIONS — , , ( , , / .);
PUSH OPERATIONS:
: , .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
- ENDPOINT SETTINGS — , Active Directory, (Alerts), Syslog, (user-based computer-based);
ENDPOINT SETTINGS:
, AD Scanners, Active Directory . Organization Distributed Scan, SandBlast Agent COMPUTER MANAGEMENT. Full Active Directory Sync, Active Directory . : Active Directory root, , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
- SERVICE MANAGEMENT — , Endpoint Management Platform SmartView , SmartConsole SandBlast Agent;
SERVICE MANAGEMENT:
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
- THREAT HUNTING — , ( Beta-);
THREAT HUNTING:
Threat Hunting SandBlast Agent — , Check Point , , WMI, . , . Check Point ThreatCloud — , , Check Point. Threat Hunting Beta- Check Point. .
- GLOBAL SETTINGS — Infinity Portal, , , , API CloudGuard SaaS -.
GLOBAL SETTINGS:
, Account Settings, Account ID, . , SSO (, Distributor/Reseller MSSP).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
SandBlast Agent:
Check Point : . — (Initial Client) (, Active Directory) . — Threat Prevention / Data Protection, . , Initial Client , , , . , — SandBlast Agent.
Verwenden wir die automatische Agentenbereitstellung. Die Initial Client-Version kann aus zwei Abschnitten der Konsole heruntergeladen werden: Service Management und Übersicht. Wenn Sie im Abschnitt Service Management die Option Initial Client herunterladen auswählen, wird der ursprüngliche Client heruntergeladen. Beim Laden aus dem Abschnitt "Übersicht" gibt es drei Erstellungsoptionen für SandBlast Agent: Schnellinstallation (initial), Threat Prevention Agent und Data Protection & Threat Prevention. Die zweite und dritte Option eignen sich für die manuelle Bereitstellung, und die erste ist eine anfängliche Client-Assembly. Die heruntergeladene EPS.msi-Datei wird auf den Computer des Benutzers übertragen. Anschließend muss der Installationsvorgang gestartet werden. Wenn eine erfolgreiche Installation abgeschlossen ist, wird in der Taskleiste das Symbol Check Point Endpoint Security angezeigt, das angibt, dass der Agent vom Verwaltungsserver getrennt wurde.
Zu diesem Zeitpunkt versucht der Client automatisch, ĂĽber die integrierte Adresse eine Verbindung zum Cloud-Verwaltungsserver herzustellen. Dies ist ein ziemlich schneller Vorgang, und nach einigen Minuten zeigt eine neue Warnung eine geplante Installation des Agenten an. Diese Nachricht zeigt eine erfolgreiche Verbindung zwischen dem Agenten und dem Cloud-Verwaltungsserver an. Wenn Sie mit der rechten Maustaste auf das Endpoint Security-Symbol klicken, erhalten Sie detailliertere Informationen zur mit dem Verwaltungsserver hergestellten Verbindung, z. B. den Namen des Verwaltungsservers, mit dem der Client verbunden ist, und den aktuellen Verbindungsstatus.
Nach einer erfolgreichen Verbindung zum Verwaltungsserver beginnt der Prozess des Herunterladens der erforderlichen Komponenten (gemäß der Sicherheitsrichtlinie) auf den Computer des Benutzers. Der Administrator kann den Status des Agenteninstallationsprozesses im Abschnitt "Computerverwaltung" der Webverwaltungskonsole überwachen. Nachdem der Benutzercomputer erfolgreich eine Verbindung zum Cloud-Verwaltungsserver hergestellt hat, ändert sich sein Status im Abschnitt "Computerverwaltung" von "Geplant" in "Herunterladen". Nach dem Herunterladen und Überprüfen aller Komponenten wird der Benutzer aufgefordert, den Agenten sofort zu installieren oder den Installationsvorgang zu verschieben. Wenn der Agent vom Benutzer nicht innerhalb von 2 Tagen nach Beginn des Prozesses installiert wird, wird der Agent zwangsweise installiert. Dies wird im Fenster angezeigt, in dem vorgeschlagen wird, die Installation zu starten.
Nach dem Start der Agenteninstallation wechselt der Benutzercomputer im Abschnitt Computerverwaltung der Verwaltungskonsole in den Bereitstellungsstatus. Wenn der Agent-Installationsprozess abgeschlossen ist, können Sie die Benutzeroberfläche öffnen, indem Sie mit der rechten Maustaste auf das Symbol Endpoint Security klicken und Übersicht anzeigen auswählen. Nach der Installation wird empfohlen, auf "Jetzt aktualisieren" zu klicken, um die Aktualisierung der Richtlinien und Datenbanken auf dem Agenten zu starten. Das erste Update der Anti-Malware-Datenbank kann einige Zeit dauern. Sobald alle Datenbanken aktualisiert sind, wird ein automatischer erster Scan des Systems gestartet. Zu diesem Zeitpunkt sollte der Clientcomputer in der Verwaltungskonsole den Status "Abgeschlossen" anzeigen, der angibt, dass der Agent erfolgreich installiert wurde.
Beginnen wir mit der Untersuchung der Agentenschnittstelle. In der unteren linken Ecke werden der Agentenstatus (Online / Disconnected) und der Name Ihres Cloud-Verwaltungsservers angezeigt. In unserem Fall ist dies der Status "Online" und der Name des Verwaltungsservers "matssolution". Die aktuelle Version des Agenten wird in der unteren rechten Ecke angezeigt. Wir haben die Version E83.11 (83.11.2702) installiert. Das Agentennavigationsfeld besteht aus mehreren Abschnitten:
- Übersicht ist der Hauptabschnitt, in dem Informationen zum Status aller Blades und zur Übereinstimmung des Computers des Benutzers mit den Sicherheitsrichtlinien angezeigt werden. In diesem Abschnitt können Sie auch in jedes Blade "fallen", um detailliertere Informationen zu Status- und Sicherheitsereignissen zu erhalten.
- Jetzt aktualisieren - Ermöglicht es Ihnen, die Relevanz der für den Agenten geltenden Sicherheitsrichtlinien und Datenbanken zu überprüfen.
- System jetzt scannen - Startet das Scannen des Systems auf schädliche Software oder Dateien.
- Erweitert - Erweiterte Agenteneinstellungen, mit denen Sie die installierte Richtlinie anzeigen, Protokolle anzeigen oder sammeln sowie den Computer des Benutzers als Bereitstellungsagenten verwenden können.
Da keine Änderungen an der ursprünglichen Richtlinie vorgenommen wurden, enthält der Agent derzeit nur Richtlinienblades zur Bedrohungsprävention mit Standardwerten. Der Inhalt der anfänglichen Richtlinie zur Bedrohungsprävention wird in unserem nächsten Artikel in dieser Reihe ausführlicher erläutert.
Fazit
Es ist Zeit, eine Bestandsaufnahme der geleisteten Arbeit vorzunehmen: In diesem Artikel haben wir uns eingehend mit der Benutzeroberfläche der Webverwaltungskonsole der SandBlast Agent Management Platform vertraut gemacht, den Agenten auf dem Benutzercomputer installiert und seine Benutzeroberfläche untersucht.
In unserem nächsten Artikel in dieser Reihe werden wir die Standardrichtlinie zur Bedrohungsprävention untersuchen und sie gegen die beliebtesten Angriffe testen. Wir werden auch eigene Richtlinienregeln erstellen, um die Sicherheitsstufe des Computers des Benutzers zu erhöhen.
Eine große Auswahl an Materialien am Check Point von TS Solution . Um die folgenden Veröffentlichungen auf der SandBlast Agent Management Platform nicht zu verpassen, folgen Sie den Updates in unseren sozialen Netzwerken ( Telegramm , Facebook , VK ,TS Solution Blog , Yandex.Zen ).