ユーザーコンピュータのセキュリティツールであるSandBlastAgentを管理するための新しいチェックポイント管理プラットフォームの調査を続けています。前回の記事では、SandBlast Agentの主要コンポーネントについて説明し、Check Point Infinityアーキテクチャに精通し、SandBlast Agent ManagementPlatformアプリケーションをInfinityポータルに登録しました。今日は、エージェント管理システムのWebインターフェイスについて詳しく説明します。この記事は、クラウドコンソールのすべての機能の便利なガイドになります。そして、次の記事の準備として、SandBlast Agentをインストールし、そのインターフェイスについて理解します。
管理プラットフォームクラウド管理コンソールの構造
SandBlast Agent Management Platformインターフェースは、大きく3つのコンポーネントに分けることができます。
- — : , Check Point ;
- — , , .;
- — ó , (, ) .
SandBlast Agent ManagementPlatformシステムの各要素を詳しく見てみましょう。ナビゲーションバーのすべてのコンポーネントのワークスペースについて詳しく説明しますが、ここでは、コントロールパネルの機能から始めましょう。
コントロールパネル
コントロールパネルには6つのコンポーネントが含まれています。左から右に見ていきましょう。 1つ目は[メニュー]ボタンです。クリックすると、現在のポータルサービスが表示され、クラウド保護、ネットワーク保護、エンドポイント保護の各カテゴリからアカウントに新しいサービスを追加できます。この後に、作業している現在のアプリケーションの名前が続きます。この場合は、SandBlast Agent ManagementPlatformです。アプリケーションアイコンをクリックすると、いつでもナビゲーションバーの[概要]セクションにアクセスできます。 3番目の要素はアカウント管理アイコンです。これを使用すると、管理者である会社のアカウントをすばやく切り替えることができます。 コントロールパネルの4番目のコンポーネントは、コンソールから直接CheckPointテクニカルサポートに連絡できるヘルプボタンです。
ウェブサイトのチェックポイントクラウドとWebリソースの状態を監視だけでなく、サンドブラストエージェント管理プラットフォームと無限大ポータルの管理者ガイドにアクセスするため。次の要素は、Infinity Portalのプロファイルです。クリックすると、プロファイル設定を「フォールスルー」したり、現在のプロファイルを終了したりできます。そして最後に、コントロールパネルの最後の要素は、Infinity PortalWebサイトにアクセスするためのボタンです。
インフィニティポータルプロファイル設定
Infinity Portal : , ( ) , . , Google Authenticator Twilio Authy . — QR-, 2FA.
ナビゲーションバー
SandBlast Agent Management Platformには、次の図に示すように、ナビゲーションペインに9つのセクションがあり、エージェントの展開と管理、およびWebコンソール設定の管理のための多くのタスクを実行できます。各セクションについて簡単に説明します。詳細については、目的のセクションの名前が付いたスポイラーをクリックしてください。始めましょう:
- 概要は、クライアントマシンとエージェントの現在の状態を、ヘルスの観点(保護されたマシンの数、オペレーティングシステムのバージョン、エージェントの状態、エラーメッセージなど)およびセキュリティの観点(攻撃されたマシンと感染したマシンのデータ)から表示するいくつかのダッシュボードで構成されるセクションです。 、アクティブおよびブロックされた攻撃、攻撃のタイムラインなど);
概要セクション:詳細
: Operational Overview Security Overview. , Operational Overview, : , ( — /, — Windows/MacOS), , « » , , SandBlast Agent , (Alerts). SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
- POLICY — , ( Unified Policy), ;
POLICY:
, Threat Prevention, , , . Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Web & Files Protection URL Filtering, Download protection, Credential protection, Files Protection. Behavioral Protection Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Analysis & Remediation Automated attack analysis (forensics), Remediation & Response.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
- COMPUTER MANAGEMENT — , , , (Push Operation) (Full Disk Encryption Actions);
COMPUTER MANAGEMENT:
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
- LOGS — , (, , .), ;
LOGS:
. , LOGS 4 : ; ; ; . (Hide Identities) Excel-.
- PUSH OPERATIONS — , , ( , , / .);
PUSH OPERATIONS:
: , .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
- ENDPOINT SETTINGS — , Active Directory, (Alerts), Syslog, (user-based computer-based);
ENDPOINT SETTINGS:
, AD Scanners, Active Directory . Organization Distributed Scan, SandBlast Agent COMPUTER MANAGEMENT. Full Active Directory Sync, Active Directory . : Active Directory root, , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
- SERVICE MANAGEMENT — , Endpoint Management Platform SmartView , SmartConsole SandBlast Agent;
SERVICE MANAGEMENT:
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
- THREAT HUNTING — , ( Beta-);
THREAT HUNTING:
Threat Hunting SandBlast Agent — , Check Point , , WMI, . , . Check Point ThreatCloud — , , Check Point. Threat Hunting Beta- Check Point. .
- GLOBAL SETTINGS — Infinity Portal, , , , API CloudGuard SaaS -.
GLOBAL SETTINGS:
, Account Settings, Account ID, . , SSO (, Distributor/Reseller MSSP).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
SandBlast Agent:
Check Point : . — (Initial Client) (, Active Directory) . — Threat Prevention / Data Protection, . , Initial Client , , , . , — SandBlast Agent.
自動エージェント展開を使用してみましょう。クライアントの初期バージョンは、コンソールの2つのセクション(サービス管理と概要)からダウンロードできます。 [サービス管理]セクションで、[初期クライアントのダウンロード]オプションを選択すると、初期クライアントがダウンロードされます。概要セクションからロードする場合、SandBlast Agentには、クイックインストール(初期)、脅威防止エージェント、およびデータ保護と脅威防止の3つのビルドオプションがあります。 2番目と3番目のオプションは手動展開に適しており、最初のオプションは初期クライアントアセンブリです。 ダウンロードしたEPS.msiファイルがユーザーのマシンに転送された後、インストールプロセスを開始する必要があります。インストールが正常に完了すると、タスクバーに[チェックポイントエンドポイントセキュリティ]アイコンが表示され、エージェントが管理サーバーから切断されたことを示します。
このとき、クライアントは組み込みアドレスを使用してクラウド管理サーバーへの接続を自動的に試行します。これはかなり迅速なプロセスであり、数分後、新しいアラートがエージェントの計画されたインストールを示します。このメッセージは、エージェントとクラウド管理サーバー間の接続が成功したことを示します。 [エンドポイントセキュリティ]アイコンを右クリックすると、クライアントが接続した管理サーバーの名前や現在の接続ステータスなど、管理サーバーとの接続に関する詳細情報を取得できます。
管理サーバーへの接続が正常に完了すると、必要なコンポーネントを(セキュリティポリシーに従って)ユーザーのマシンにダウンロードするプロセスが開始されます。管理者は、Web管理コンソールの[コンピューター管理]セクションでエージェントのインストールプロセスのステータスを監視できます。ユーザーマシンがクラウド管理サーバーに正常に接続されると、[コンピューター管理]セクションのステータスが[スケジュール済み]から[ダウンロード中]に変わります。すべてのコンポーネントをダウンロードして確認した後、ユーザーはエージェントをすぐにインストールするか、インストールプロセスを延期するように求められます。プロセスの開始から2日以内にユーザーがエージェントをインストールしない場合、エージェントは強制的にインストールされます。これは、インストールの開始を提案するウィンドウに報告されます。
エージェントのインストールが開始されると、管理コンソールの[コンピューターの管理]セクションにあるユーザーマシンが[展開中]ステータスに変わります。エージェントのインストールプロセスが完了したら、[エンドポイントセキュリティ]アイコンを右クリックして[概要の表示]を選択すると、そのインターフェイスを開くことができます。 インストール後、[今すぐ更新]をクリックして、エージェントのポリシーとデータベースを更新するプロセスを開始することをお勧めします。 Anti-Malwareデータベースの最初の更新には時間がかかる場合があります。すべてのデータベースが更新されるとすぐに、システムの自動最初のスキャンが開始されます。この時点で、管理コンソールのクライアントマシンに、エージェントが正常にインストールされたことを示す完了ステータスが表示されます。
エージェントインターフェイスの調査を始めましょう。左下隅に、エージェントのステータス(オンライン/切断済み)とクラウド管理サーバーの名前が表示されます。この場合、これは「オンライン」ステータスであり、管理サーバーの名前「matssolution」です。エージェントの現在のバージョンは右下隅に示されています-バージョンE83.11(83.11.2702)がインストールされています。エージェントナビゲーションパネルは、いくつかのセクションで構成されています。
- 概要は、すべてのブレードのステータスと、ユーザーのコンピューターのセキュリティポリシーへの準拠に関する情報を表示するメインセクションです。また、このセクションから、各ブレードに「フォール」して、ステータスとセキュリティイベントに関するより詳細な情報を取得できます。
- 今すぐ更新-エージェントで有効なセキュリティポリシーとデータベースの関連性を確認するプロセスを開始できます。
- 今すぐシステムをスキャン-悪意のあるソフトウェアまたはファイルの存在についてシステムをスキャンするプロセスを開始します。
- 詳細-インストールされたポリシーの表示、ログの表示または収集、およびユーザーのコンピューターをデプロイメントエージェントとして使用できるようにする高度なエージェント設定。
初期ポリシーに変更が加えられていないため、エージェントには現在、デフォルト値の脅威防止ポリシーブレードのみが含まれています。最初の脅威防止ポリシーの内容については、このシリーズの次の記事で詳しく説明します。
結論
完了した作業を確認するときが来ました。この記事では、SandBlast Agent Management Platform Web管理コンソールのインターフェイスについて詳しく説明し、エージェントをユーザーマシンにインストールして、そのインターフェイスを調べました。
このシリーズの次の記事では、標準の脅威防止ポリシーを調べ、最も一般的な攻撃に対してテストします。また、ユーザーのマシンのセキュリティレベルを高めるために、独自のポリシールールを作成します。
TSソリューションからのチェックポイントの材料の豊富な選択。 SandBlast Agent Management Platformの次の出版物を見逃さないために、ソーシャルネットワーク(Telegram、Facebook、VK、TSソリューションブログ、Yandex.Zen)。