Clever Geek Handbook

Periksa Point SandBlast Agent. Apa yang baru?





Kami telah menerbitkan sejumlah besar materi pelatihan Check Point . Namun, topik melindungi workstation dengan Check Point SandBlast Agent masih sangat tertutup. Kami berencana untuk meningkatkan dan dalam waktu dekat membuat kursus pelatihan untuk produk ini, yang telah menjadi salah satu pemimpin di segmen EDR selama beberapa tahun berturut-turut. Sementara itu, kami berbagi informasi tentang kapabilitas agen baru yang muncul di versi E83.10. Spoiler - ada versi beta untuk LINUX dan "kontrol" cloud baru.



Fitur baru



Semua peningkatan pada versi E83.10 dapat ditemukan di sk166979 . Ada banyak informasi berguna di sana, tetapi sebaiknya kita mempelajari fitur-fitur baru.



Portal Manajemen Cloud Baru



Check Point telah mengembangkan konsep Infinity untuk waktu yang lama, di mana manajemen terpusat melalui portal portal cloud.checkpoint.com memainkan peran kunci. Saat ini ada sejumlah besar layanan yang tersedia melalui portal ini:



  • CloudGuard SaaS
  • Smart-1 Cloud
  • Infinity soc
  • CloudGuard Connect
  • Berburu Ancaman
  • SandBlast Mobile
  • dan banyak lagi


Dan sekarang ada akses ke cloud "manajemen" agen SandBlast:







Integrasi sekarang jauh lebih mudah dan lebih cepat. Layanan dimulai secara harfiah dalam waktu 5 menit dan Anda dapat memulai agen bergulir. Kami tidak akan fokus pada ini, karena topik ini layak mendapatkan serangkaian artikel, yang kami rencanakan dalam waktu dekat.



Penyaringan URL



Nama itu berbicara sendiri. Sekarang penyaringan URL akan tersedia di agen juga. Anda dapat memfilter lalu lintas pengguna bahkan jauh seolah-olah mereka sedang duduk di kantor. Saat ini, ada beberapa kategori utama yang tersedia untuk pemfilteran URL:



  • Keamanan
  • Kehilangan produktivitas
  • Kewajiban Hukum & Kepatuhan terhadap peraturan
  • Konsumsi bandwidth
  • Penggunaan umum


Di sisi positifnya, masing-masing agen menyertakan add-on browser yang memungkinkan Anda untuk memeriksa lalu lintas HTTPS terenkripsi tanpa perlu perangkat perantara dengan fungsi inspeksi SSL. Ini membuat integrasi lebih mudah, terutama untuk pengguna jarak jauh.

Ada beberapa batasan saat ini:



  • Addon browser hanya tersedia untuk Google Chrome. Dukungan untuk peramban lain diharapkan segera.
  • Fitur Penyaringan URL saat ini hanya tersedia melalui manajemen cloud. Begini tampilannya:






Perlu juga dicatat bahwa ada fitur Pencurian Anti-Kredensial baru - Perlindungan Serangan Pass-the-Hash. Tapi kami mungkin akan memberi tahu Anda secara rinci sebagai bagian dari program masa depan.



Platform baru untuk Agen SandBlast



SandBlast sekarang secara native mendukung VDI persisten dan non-persisten. Tapi ada hal lain yang lebih penting. Akhirnya, versi beta dari Agen SandBlast untuk sistem Linux muncul. Berikut ini demo singkat yang menunjukkan integrasi Berburu Titik Ancaman dalam sekali jalan:







Menurut pendapat saya, manajemen kebijakan menjadi lebih nyaman. Log dari Agen SandBlast sekarang juga dalam bentuk yang lebih akrab.



Seperti yang mungkin Anda pahami, manajemen web saat ini hanya tersedia untuk platform cloud. Namun, itu juga akan tersedia untuk perangkat lokal dalam versi Gaia R81, yang harus diumumkan pada kuartal pertama tahun ke-21.



Perbaikan agen utama



Berikut adalah beberapa perubahan utama dan peningkatan pada SandBlast Agent versi E83.10:



Pencegahan ancaman
  • Behavioral Guard now protects against the «Pass The Hash» technique for credential theft. Credential Dumping is new, as of the previous release.
  • Fixes an issue where Anti-Ransomware does not detect a potential attack when the user is not logged in.
  • Fixes Anti-Ransomware false positives due to user profile deletions.
  • Fixes multiple rare cases of false positives in Anti-Ransomware.
  • Fixes an issue where «out of memory» errors occur when the log lists a very large number of backups.
  • When you disable Anti-Ransomware, the backup driver no longer operates.
  • Improves performance as Forensics now stores fewer named objects, such as mutexes and events.
  • Improves the performance of Forensics, Behavioral Guard and Threat Hunting with enhancements to our Registry Operation exclusion algorithms that reduce the number of recorded registry operations.
  • Resolves an issue where an Anti-Malware scheduled scan occurs, even if it is not in the policy.
  • Resolves an Anti-Malware icon scaling issue.
  • Resolves a possible issue where the Anti-Malware process crashes as it shuts down.




Kontrol Data dan Akses
  • Resolves client network issues after a Firewall driver uninstallation failure.
  • Resolves a rare issue where an added Firewall blade gets stuck in the «Initializing» state.
  • Resolves a possible upgrade issue where the Firewall blade does not start due to a WatchDog failure.
  • Resolves a rare issue where the Firewall policy is «Not Set» in the client after the policy download from the server.
  • Resolves a possible issue where the Disk Encryption process crashes during shutdown.
  • Resolves a removable media icon blink issue for an encrypted partition when Media Scan is enabled.
  • Improves the work with non-UTF-8 applications. Users can toggle UTF-8 support.
  • Fixes active File Transfer Protocol (FTP) traffic blocks on a standalone VPN client with Firewall.
  • Includes stability and quality fixes. Supports all the features of previous releases.




Instalasi & Infrastruktur
  • Resolves a possible issue where uninstalling the Endpoint removes components that are necessary for other applications.
  • Resolves a possible issue where the uninstall fails after the user turns off «Network Protection».
  • Resolves a possible issue where the Endpoint Security Client does not run correctly after an operating system upgrade.
  • Resolves a rare issue where the client uninstall fails with Error 1921: «Service Check Point Endpoint Agent (CPDA) could not be stopped».
  • Resolves a rare issue where an upgrade that uses «Dynamic Package» continuously loops after a download fails to resume.
  • The pre-boot language selection choice is now correct after a language update in Windows.
  • Fixes an incompatibility issue with Sophos Antivirus, which could not install on a machine with Endpoint Security Client on it.
  • Resolves a rare User Interface (UI) issue where a malware resolution is not shown to a user.
  • Resolves a client LogViewer issue, where it only shows log records that match the latest log schema.
  • On the Endpoint Security Client screen, the Overview list now shows «Anti-Bot and URL Filtering» instead of «Anti-Bot».
  • The client User Interface (UI) is no longer shown during manual upgrades.
  • Resolves URL infections report issues in the User Interface (UI) so that the infections records are not permanent in the client and server UIs.
  • Anti-Bot and URL Filtering policy now translates to all supported languages.
  • Improves the performance of the Endpoint Security core driver to reduce CPU consumption.




Alih-alih sebuah kesimpulan



Saya yakin artikel tentang forensik yang dapat diberikan oleh Agen SandBlast akan menarik . Seperti yang telah disebutkan, kami berencana untuk menerbitkan materi pelatihan baru, jadi tetap ikuti perkembangan kami ( Telegram , Facebook , VK , TS Solution Blog )!

Selain itu, beberapa webinar Titik Periksa yang berguna akan segera diadakan:





Cepat mendaftar!


More articles:


All Articles