チェック・ポイントに関するトレーニング資料 はすでに多数公開されています。ただし、Check Point SandBlast Agentを使用したワークステーションの保護については、あまり取り上げられていません。今後数年にわたってEDRセグメントのリーダーの1人であるこの製品のトレーニングコースを改善し、近い将来に作成する予定です。それまでの間、バージョンE83.10に登場した新しいエージェント機能に関する情報を共有しています。スポイラー-LINUXのベータ版と新しいクラウド「コントロール」があります。
新機能
バージョンE83.10のすべての拡張機能はsk166979にあります。役立つ情報はたくさんありますが、新機能について詳しく説明します。
新しいクラウド管理ポータル
チェック・ポイントは長い間、無限の概念を開発してきました。そこでは、クラウド・ポータルportal.checkpoint.comを介した集中管理が重要な役割を果たします。現在、このポータルを介して利用できるサービスの数は膨大です。
- CloudGuard SaaS
- Smart-1クラウド
- インフィニティSOC
- CloudGuard Connect
- 脅威ハンティング
- サンドブラストモバイル
- そして、はるかに
そして今、エージェントによるSandBlastクラウドの「マネージャー」へのアクセスがあります。
統合は、はるかに単純かつ高速になりました。サービスは文字通り5分以内に開始され、エージェントのロールアウトを開始できます。私たちはこれに焦点を合わせません、なぜなら このトピックは、近い将来に計画している一連の記事全体に値します。
URLフィルタリング
名前はそれ自体が物語っています。これで、URLフィルタリングがエージェントでも使用できるようになります。リモートユーザーであっても、まるでオフィスにいるかのようにトラフィックをフィルタリングできます。現在、URLフィルタリングに使用できるいくつかのメインカテゴリがあります。
- 安全保障
- 生産性の低下
- 法的責任と規制への準拠
- 帯域幅の消費
- 一般的な使用
プラス面として、各エージェントには、SSLインスペクション機能を備えた中間デバイスを必要とせずに暗号化されたHTTPSトラフィックを検査できるブラウザアドオンが含まれています。これにより、特にリモートユーザーの場合、統合が大幅に簡素化されます。
現在、いくつかの制限があります。
- ブラウザアドオンは、Google Chromeでのみ使用できます。他のブラウザのサポートは間もなく予定されています。
- URLフィルタリング機能は現在、クラウド管理を通じてのみ利用できます。インターフェースは次のようになります。
また、新しい資格情報の盗難機能、Pass-the-Hash攻撃防御機能があることにも注意してください。しかし、それについては、おそらくすでに将来のコースの枠組みの中で詳しく説明します。
SandBlastエージェントの新しいプラットフォーム
SandBlastは、永続的なVDIと非永続的な操作の両方をネイティブでサポートするようになりました。しかし、もう1つ重要なことです。最後に、Linuxシステム用のSandBlastエージェントのベータ版が登場しました。Check Point Threat Huntingとの統合を一度に示す簡単なデモを以下に示します。
私の意見では、政治家の管理はより便利になりました。SandBlastエージェントを含むログも、より身近な形式になりました。
ご理解のとおり、現在、Web管理はクラウドプラットフォームでのみ利用できます。ただし、21年目の第1四半期に発表される予定のガイアR81のバージョンでは、ローカルデバイスでも利用できます。
主要なエージェントの改善
SandBlastエージェントバージョンE83.10の主な変更点と改善点は次のとおりです。
脅威防止
- Behavioral Guard now protects against the «Pass The Hash» technique for credential theft. Credential Dumping is new, as of the previous release.
- Fixes an issue where Anti-Ransomware does not detect a potential attack when the user is not logged in.
- Fixes Anti-Ransomware false positives due to user profile deletions.
- Fixes multiple rare cases of false positives in Anti-Ransomware.
- Fixes an issue where «out of memory» errors occur when the log lists a very large number of backups.
- When you disable Anti-Ransomware, the backup driver no longer operates.
- Improves performance as Forensics now stores fewer named objects, such as mutexes and events.
- Improves the performance of Forensics, Behavioral Guard and Threat Hunting with enhancements to our Registry Operation exclusion algorithms that reduce the number of recorded registry operations.
- Resolves an issue where an Anti-Malware scheduled scan occurs, even if it is not in the policy.
- Resolves an Anti-Malware icon scaling issue.
- Resolves a possible issue where the Anti-Malware process crashes as it shuts down.
データとアクセス制御
- Resolves client network issues after a Firewall driver uninstallation failure.
- Resolves a rare issue where an added Firewall blade gets stuck in the «Initializing» state.
- Resolves a possible upgrade issue where the Firewall blade does not start due to a WatchDog failure.
- Resolves a rare issue where the Firewall policy is «Not Set» in the client after the policy download from the server.
- Resolves a possible issue where the Disk Encryption process crashes during shutdown.
- Resolves a removable media icon blink issue for an encrypted partition when Media Scan is enabled.
- Improves the work with non-UTF-8 applications. Users can toggle UTF-8 support.
- Fixes active File Transfer Protocol (FTP) traffic blocks on a standalone VPN client with Firewall.
- Includes stability and quality fixes. Supports all the features of previous releases.
インストールとインフラストラクチャ
- Resolves a possible issue where uninstalling the Endpoint removes components that are necessary for other applications.
- Resolves a possible issue where the uninstall fails after the user turns off «Network Protection».
- Resolves a possible issue where the Endpoint Security Client does not run correctly after an operating system upgrade.
- Resolves a rare issue where the client uninstall fails with Error 1921: «Service Check Point Endpoint Agent (CPDA) could not be stopped».
- Resolves a rare issue where an upgrade that uses «Dynamic Package» continuously loops after a download fails to resume.
- The pre-boot language selection choice is now correct after a language update in Windows.
- Fixes an incompatibility issue with Sophos Antivirus, which could not install on a machine with Endpoint Security Client on it.
- Resolves a rare User Interface (UI) issue where a malware resolution is not shown to a user.
- Resolves a client LogViewer issue, where it only shows log records that match the latest log schema.
- On the Endpoint Security Client screen, the Overview list now shows «Anti-Bot and URL Filtering» instead of «Anti-Bot».
- The client User Interface (UI) is no longer shown during manual upgrades.
- Resolves URL infections report issues in the User Interface (UI) so that the infections records are not permanent in the client and server UIs.
- Anti-Bot and URL Filtering policy now translates to all supported languages.
- Improves the performance of the Endpoint Security core driver to reduce CPU consumption.
結論の代わりに
SandBlastエージェントが提供できるフォレンジックに関する記事 は興味深いものになると思います。すでに述べたように、私たちは新しいトレーニング資料を公開することを計画しているので、私たちのチャンネル(Telegram、Facebook、VK、TS Solution Blog)にご期待ください!
さらに、いくつかの便利なチェック・ポイントのウェビナーが間もなく開催されます。
登録してください!