Clever Geek Handbook

Check Point SandBlast Agent. Quoi de neuf?





Nous avons déjà publié un grand nombre de supports de formation sur Check Point . Cependant, le sujet de la protection des postes de travail avec Check Point SandBlast Agent est encore extrêmement mal couvert. Nous prévoyons d'améliorer et de créer prochainement des formations pour ce produit, qui est l'un des leaders du segment EDR pendant plusieurs années consécutives. En attendant, nous partageons des informations sur les nouvelles capacités d'agent apparues dans la version E83.10. Spoiler - une version bêta pour LINUX et un nouveau «panneau de contrôle» basé sur le cloud sont apparus.



Nouvelles fonctionnalités



Toutes les améliorations apportées à la version E83.10 se trouvent dans sk166979 . Il y a beaucoup d'informations pertinentes, mais nous ferions mieux de passer par les nouvelles fonctionnalités.



Nouveau portail de gestion cloud



Check Point développe depuis longtemps le concept Infinity, où la gestion centralisée via le portail cloud portal.checkpoint.com joue un rôle clé. Pour le moment, il existe un grand nombre de services disponibles via ce portail:



  • CloudGuard SaaS
  • Smart-1 Cloud
  • Infinity SOC
  • CloudGuard Connect
  • Chasse aux menaces
  • SandBlast Mobile
  • et beaucoup plus


Et maintenant, il y a accès aux agents SandBlast de "gestion" du cloud: l'







intégration est désormais beaucoup plus facile et plus rapide. Le service démarre littéralement dans les 5 minutes et vous pouvez commencer à déployer des agents. Nous ne nous concentrerons pas là-dessus, car ce sujet mérite toute une série d'articles que nous prévoyons dans un avenir proche.



Filtrage d'URL



Le nom parle de lui-même. Le filtrage des URL sera désormais disponible sur les agents. Vous pouvez filtrer le trafic des utilisateurs, même distants, comme s'ils étaient assis au bureau. Actuellement, plusieurs catégories principales sont disponibles pour le filtrage d'URL:



  • Sécurité
  • Perte de productivité
  • Responsabilité juridique et conformité réglementaire
  • Consommation de bande passante
  • Usage général


Parmi les avantages - chaque agent comprend un module complémentaire de navigateur qui vous permet de vérifier le trafic HTTPS chiffré, sans avoir besoin d'un appareil intermédiaire avec inspection SSL. Cela rend l'intégration beaucoup plus facile, en particulier pour les utilisateurs distants.

Actuellement, il existe plusieurs limitations:



  • L'addon de navigateur n'est disponible que pour Google Chrome. La prise en charge d'autres navigateurs est attendue prochainement.
  • La fonctionnalité de filtrage d'URL n'est actuellement disponible que via la gestion du cloud. Voici à quoi ressemble l'interface:






Il est également intéressant de noter qu'il existe une nouvelle fonctionnalité anti-vol d'informations d'identification - Protection contre les attaques Pass-the-Hash. Mais nous en parlerons en détail, probablement déjà dans le cadre du futur cours.



Nouvelles plateformes pour SandBlast Agent



SandBlast prend désormais en charge nativement les opérations VDI persistantes et non persistantes. Mais quelque chose d'autre est plus important. Enfin, une version bêta de SandBlast Agent pour les systèmes Linux est apparue. Voici une démo rapide montrant l'intégration de Check Point Threat Hunting en une seule fois:







À mon avis, la gestion des politiques est devenue plus pratique. Les journaux des agents SandBlast sont désormais également sous une forme plus familière.



Comme vous l'avez probablement compris, la gestion Web n'est actuellement disponible que pour la plate-forme cloud. Cependant, il sera également disponible pour les appareils locaux dans la version Gaia R81, qui devrait être annoncée au premier trimestre de la 21e année.



Améliorations apportées aux agents clés



Voici quelques changements et améliorations clés de la version E83.10 de SandBlast Agent:



Prévention des menaces
  • Behavioral Guard now protects against the «Pass The Hash» technique for credential theft. Credential Dumping is new, as of the previous release.
  • Fixes an issue where Anti-Ransomware does not detect a potential attack when the user is not logged in.
  • Fixes Anti-Ransomware false positives due to user profile deletions.
  • Fixes multiple rare cases of false positives in Anti-Ransomware.
  • Fixes an issue where «out of memory» errors occur when the log lists a very large number of backups.
  • When you disable Anti-Ransomware, the backup driver no longer operates.
  • Improves performance as Forensics now stores fewer named objects, such as mutexes and events.
  • Improves the performance of Forensics, Behavioral Guard and Threat Hunting with enhancements to our Registry Operation exclusion algorithms that reduce the number of recorded registry operations.
  • Resolves an issue where an Anti-Malware scheduled scan occurs, even if it is not in the policy.
  • Resolves an Anti-Malware icon scaling issue.
  • Resolves a possible issue where the Anti-Malware process crashes as it shuts down.




Contrôle des données et des accès
  • Resolves client network issues after a Firewall driver uninstallation failure.
  • Resolves a rare issue where an added Firewall blade gets stuck in the «Initializing» state.
  • Resolves a possible upgrade issue where the Firewall blade does not start due to a WatchDog failure.
  • Resolves a rare issue where the Firewall policy is «Not Set» in the client after the policy download from the server.
  • Resolves a possible issue where the Disk Encryption process crashes during shutdown.
  • Resolves a removable media icon blink issue for an encrypted partition when Media Scan is enabled.
  • Improves the work with non-UTF-8 applications. Users can toggle UTF-8 support.
  • Fixes active File Transfer Protocol (FTP) traffic blocks on a standalone VPN client with Firewall.
  • Includes stability and quality fixes. Supports all the features of previous releases.




Installation et infrastructure
  • Resolves a possible issue where uninstalling the Endpoint removes components that are necessary for other applications.
  • Resolves a possible issue where the uninstall fails after the user turns off «Network Protection».
  • Resolves a possible issue where the Endpoint Security Client does not run correctly after an operating system upgrade.
  • Resolves a rare issue where the client uninstall fails with Error 1921: «Service Check Point Endpoint Agent (CPDA) could not be stopped».
  • Resolves a rare issue where an upgrade that uses «Dynamic Package» continuously loops after a download fails to resume.
  • The pre-boot language selection choice is now correct after a language update in Windows.
  • Fixes an incompatibility issue with Sophos Antivirus, which could not install on a machine with Endpoint Security Client on it.
  • Resolves a rare User Interface (UI) issue where a malware resolution is not shown to a user.
  • Resolves a client LogViewer issue, where it only shows log records that match the latest log schema.
  • On the Endpoint Security Client screen, the Overview list now shows «Anti-Bot and URL Filtering» instead of «Anti-Bot».
  • The client User Interface (UI) is no longer shown during manual upgrades.
  • Resolves URL infections report issues in the User Interface (UI) so that the infections records are not permanent in the client and server UIs.
  • Anti-Bot and URL Filtering policy now translates to all supported languages.
  • Improves the performance of the Endpoint Security core driver to reduce CPU consumption.




Au lieu d'une conclusion



Je suis sûr qu'un article sur la criminalistique que SandBlast Agent peut fournir sera intéressant . Comme déjà mentionné, nous prévoyons de publier de nouveaux supports de formation, alors restez à l'écoute de nos chaînes ( Telegram , Facebook , VK , TS Solution Blog )!

En outre, plusieurs webinaires utiles sur Check Point auront lieu prochainement:





Dépêchez-vous de vous inscrire!


More articles:


All Articles