Nous continuons à étudier la nouvelle plateforme de gestion Check Point pour gérer l'outil de sécurité des ordinateurs des utilisateurs - SandBlast Agent. Dans l'article précédent, nous avons décrit les principaux composants de l'agent SandBlast, nous nous sommes familiarisés avec l'architecture Check Point Infinity et avons enregistré l'application SandBlast Agent Management Platform sur le portail Infinity. Aujourd'hui, nous allons étudier en détail l'interface Web du systÚme de gestion des agents - cet article deviendra un guide pratique de toutes les fonctions et capacités de la console cloud. Et en préparation du prochain article, nous installerons SandBlast Agent et nous familiariserons avec son interface.
Structure de la console de gestion cloud de la plateforme de gestion
L'interface de la plateforme de gestion des agents SandBlast peut ĂȘtre divisĂ©e en trois composants:
- â : , Check Point ;
- â , , .;
- â Ăł , (, ) .
Examinons de plus prÚs chaque élément du systÚme SandBlast Agent Management Platform. Les espaces de travail seront décrits en détail pour tous les composants de la barre de navigation, mais pour l'instant commençons par les capacités du panneau de contrÎle.
Panneau de configuration
Le panneau de contrĂŽle comprend 6 composants, regardons-les de gauche Ă droite. Le premier est le bouton «Menu», qui, lorsque vous cliquez dessus, affiche vos services de portail actuels et vous permet d'ajouter de nouveaux services des catĂ©gories Cloud Protection, Network Protection et Endpoint Protection Ă votre compte. Ceci est suivi du nom de l'application actuelle dans laquelle vous travaillez - dans ce cas, il s'agit de SandBlast Agent Management Platform. En cliquant sur l'icĂŽne de l'application, vous pouvez toujours accĂ©der Ă la section "APERĂU" de la barre de navigation. Le troisiĂšme Ă©lĂ©ment est l'icĂŽne de gestion de compte, qui vous permet de basculer rapidement entre les comptes des entreprises dont vous ĂȘtes l'administrateur. Le quatriĂšme composant du panneau de contrĂŽle est un bouton d'aide qui vous permet de contacter le support technique de Check Point directement depuis la console, allez Ă
un site Web pour surveiller l'état du cloud et des ressources Web de Check Point, ainsi que pour accéder aux guides de l'administrateur de la plateforme de gestion des agents SandBlast et du portail Infinity. L'élément suivant est votre profil sur le portail Infinity, en cliquant sur lequel vous pouvez «passer à travers» les paramÚtres du profil ou quitter le profil actuel. Et enfin, le dernier élément du panneau de contrÎle est le bouton pour accéder au site Web Infinity Portal .
ParamĂštres de profil du portail Infinity
Infinity Portal : , ( ) , . , Google Authenticator Twilio Authy . â QR-, 2FA.
Barre de navigation
La plateforme de gestion des agents SandBlast comporte 9 sections dans le volet de navigation, comme illustrĂ© dans la figure ci-dessous, vous permettant d'effectuer de nombreuses tĂąches de dĂ©ploiement et d'administration d'agents, ainsi que de gestion des paramĂštres de la console Web. Examinons briĂšvement chacune des sections, et pour des informations dĂ©taillĂ©es, cliquez sur le spoiler avec le nom de la section d'intĂ©rĂȘt. Commençons:
- OVERVIEW est une section composée de plusieurs tableaux de bord qui affichent l'état actuel des machines clientes et des agents du point de vue de la santé (le nombre de machines protégées, leurs versions de systÚme d'exploitation, l'état des agents, messages d'erreur, etc.) et du point de vue de la sécurité (données sur les machines attaquées et infectées , attaques actives et bloquées, chronologie des attaques, etc.);
Section APERĂU: en dĂ©tail
: Operational Overview Security Overview. , Operational Overview, : , ( â /, â Windows/MacOS), , « » , , SandBlast Agent , (Alerts). SandBlast Agent.
, Security Overview, ( ). , . Security Overview â , . Excel/PDF. SandBlast Agent.
, Security Overview, ( ). , . Security Overview â , . Excel/PDF. SandBlast Agent.
- POLICY â , ( Unified Policy), ;
POLICY:
, Threat Prevention, , , . Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Web & Files Protection URL Filtering, Download protection, Credential protection, Files Protection. Behavioral Protection Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Analysis & Remediation Automated attack analysis (forensics), Remediation & Response.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
â Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
â Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
â Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
â Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
- COMPUTER MANAGEMENT â , , , (Push Operation) (Full Disk Encryption Actions);
COMPUTER MANAGEMENT:
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) â Active Directory.
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) â Active Directory.
- LOGS â , (, , .), ;
LOGS:
. , LOGS 4 : ; ; ; . (Hide Identities) Excel-.
- PUSH OPERATIONS â , , ( , , / .);
PUSH OPERATIONS:
: , .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
- ENDPOINT SETTINGS â , Active Directory, (Alerts), Syslog, (user-based computer-based);
ENDPOINT SETTINGS:
, AD Scanners, Active Directory . Organization Distributed Scan, SandBlast Agent COMPUTER MANAGEMENT. Full Active Directory Sync, Active Directory . : Active Directory root, , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
â Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. â , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
â Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. â , .
- SERVICE MANAGEMENT â , Endpoint Management Platform SmartView , SmartConsole SandBlast Agent;
SERVICE MANAGEMENT:
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 â Check Point, SandBlast Agent; SandBlast Agent.
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 â Check Point, SandBlast Agent; SandBlast Agent.
- THREAT HUNTING â , ( Beta-);
THREAT HUNTING:
Threat Hunting SandBlast Agent â , Check Point , , WMI, . , . Check Point ThreatCloud â , , Check Point. Threat Hunting Beta- Check Point. .
- GLOBAL SETTINGS â Infinity Portal, , , , API CloudGuard SaaS -.
GLOBAL SETTINGS:
, Account Settings, Account ID, . , SSO (, Distributor/Reseller MSSP).
, Users, â , . â Read-only-.
Audits, . â , , , , . , (Login), (Account Updated) âDistributorâ, (User Updated).
Contracts, â , ( ). Check Point ASSOCIATED ACCOUNTS.
â API Keys, API Infinity Portal. Client ID Secret Key, .
â Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
, Users, â , . â Read-only-.
Audits, . â , , , , . , (Login), (Account Updated) âDistributorâ, (User Updated).
Contracts, â , ( ). Check Point ASSOCIATED ACCOUNTS.
â API Keys, API Infinity Portal. Client ID Secret Key, .
â Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
SandBlast Agent:
Check Point : . â (Initial Client) (, Active Directory) . â Threat Prevention / Data Protection, . , Initial Client , , , . , â SandBlast Agent.
Utilisons le dĂ©ploiement automatique des agents. La version du client initial peut ĂȘtre tĂ©lĂ©chargĂ©e Ă partir de deux sections de la console: Gestion des services et prĂ©sentation. Dans la section Gestion des services, la sĂ©lection de l'option TĂ©lĂ©charger le client initial tĂ©lĂ©charge le client initial. Lorsqu'il est chargĂ© Ă partir de la section PrĂ©sentation, il existe trois options de construction de l'agent SandBlast: Installation rapide (initiale), Agent de prĂ©vention des menaces et Protection des donnĂ©es et prĂ©vention des menaces. Les deuxiĂšme et troisiĂšme options conviennent pour un dĂ©ploiement manuel, et la premiĂšre est l'assembly Client initial. Le fichier EPS.msi tĂ©lĂ©chargĂ© est transfĂ©rĂ© sur la machine de l'utilisateur, aprĂšs quoi il est nĂ©cessaire de dĂ©marrer le processus d'installation. Lorsqu'une installation rĂ©ussie est terminĂ©e, l'icĂŽne Check Point Endpoint Security apparaĂźt dans la barre des tĂąches, indiquant que l'agent a Ă©tĂ© dĂ©connectĂ© du serveur de gestion.
à ce stade, le client tente automatiquement de se connecter au serveur de gestion cloud à l'aide de l'adresse intégrée. Il s'agit d'un processus assez rapide et, aprÚs quelques minutes, une nouvelle alerte indique une installation prévue de l'agent. Ce message indique une connexion réussie entre l'agent et le serveur de gestion cloud. Si vous cliquez avec le bouton droit de la souris sur l'icÎne Endpoint Security, vous pouvez obtenir des informations plus détaillées sur la connexion établie avec le serveur de gestion, par exemple, le nom du serveur de gestion auquel le client s'est connecté et l'état actuel de la connexion.
AprĂšs une connexion rĂ©ussie au serveur de gestion, le processus de tĂ©lĂ©chargement des composants nĂ©cessaires (conformĂ©ment Ă la politique de sĂ©curitĂ©) sur la machine de l'utilisateur commence. L'administrateur peut surveiller l'Ă©tat du processus d'installation de l'agent dans la section Gestion de l'ordinateur de la console de gestion Web - une fois que la machine utilisateur s'est connectĂ©e avec succĂšs au serveur de gestion cloud, son Ă©tat dans la section Gestion de l'ordinateur passe de ProgrammĂ© Ă TĂ©lĂ©chargement. AprĂšs avoir tĂ©lĂ©chargĂ© et vĂ©rifiĂ© tous les composants, l'utilisateur est invitĂ© Ă installer l'agent immĂ©diatement ou Ă reporter le processus d'installation. Si l'agent n'est pas installĂ© par l'utilisateur dans les 2 jours suivant le dĂ©but du processus, l'agent sera installĂ© de force, ce qui est signalĂ© dans la fenĂȘtre suggĂ©rant de dĂ©marrer l'installation.
Une fois l'installation de l'agent démarrée, la machine utilisateur dans la section Gestion de l'ordinateur de la console de gestion passe à l'état de déploiement. Une fois le processus d'installation de l'agent terminé, vous pouvez ouvrir son interface en cliquant avec le bouton droit sur l'icÎne Endpoint Security et en sélectionnant Afficher la vue d'ensemble. AprÚs l'installation, il est recommandé de cliquer sur «Mettre à jour maintenant» pour lancer le processus de mise à jour des politiques et des bases de données sur l'agent. La premiÚre mise à jour de la base de données Anti-Malware peut prendre un certain temps. DÚs que toutes les bases de données sont mises à jour, une premiÚre analyse automatique du systÚme démarre. à ce stade, l'ordinateur client de la console de gestion doit afficher l'état Terminé, qui indique que l'agent a été installé avec succÚs.
Commençons par explorer l'interface de l'agent. Dans le coin inférieur gauche, le statut de l'agent (En ligne / Déconnecté) et le nom de votre serveur de gestion cloud sont affichés - dans notre cas, il s'agit du statut «En ligne» et du nom du serveur de gestion «matssolution». La version actuelle de l'agent est indiquée dans le coin inférieur droit - nous avons la version E83.11 (83.11.2702) installée. Le panneau de navigation de l'agent se compose de plusieurs sections:
- Vue d'ensemble est la section principale qui affiche des informations sur l'Ă©tat de toutes les lames et la conformitĂ© de l'ordinateur de l'utilisateur avec la politique de sĂ©curitĂ©. Ăgalement Ă partir de cette section, vous pouvez «tomber» dans chaque lame pour obtenir des informations plus dĂ©taillĂ©es sur l'Ă©tat et les Ă©vĂ©nements de sĂ©curitĂ©;
- Mettre à jour maintenant - vous permet de démarrer le processus de vérification de la pertinence des politiques de sécurité et des bases de données en vigueur sur l'agent;
- Analyser le systÚme maintenant - lance le processus d'analyse du systÚme pour détecter la présence de logiciels ou de fichiers malveillants;
- Avancé - paramÚtres d'agent avancés qui vous permettent d'afficher la stratégie installée, d'afficher ou de collecter des journaux et d'utiliser également l'ordinateur de l'utilisateur comme agent de déploiement.
Ătant donnĂ© qu'aucune modification n'a Ă©tĂ© apportĂ©e Ă la stratĂ©gie initiale, l'agent ne contient actuellement que des lames de stratĂ©gie Threat Prevention avec des valeurs par dĂ©faut. Le contenu de la politique initiale de prĂ©vention des menaces sera discutĂ© plus en dĂ©tail dans notre prochain article de cette sĂ©rie.
Conclusion
Il est temps de faire le point sur le travail réalisé: dans cet article, nous nous sommes familiarisés en détail avec l'interface de la console de gestion Web de SandBlast Agent Management Platform, avons installé l'agent sur la machine utilisateur et étudié son interface.
Dans notre prochain article de cette série, nous examinerons la politique standard de prévention des menaces et la testerons contre les attaques les plus courantes. Nous créerons également nos propres rÚgles de politique pour augmenter le niveau de sécurité de la machine de l'utilisateur.
Un grand choix de matériaux sur Check Point de TS Solution . Afin de ne pas manquer les publications suivantes sur la plateforme de gestion des agents SandBlast - suivez les mises à jour sur nos réseaux sociaux ( Telegram , Facebook , VK ,Blog de la solution TS , Yandex.Zen ).