Kami terus mengeksplorasi Platform Manajemen Titik Pemeriksaan baru untuk mengelola alat keamanan untuk komputer pengguna - Agen SandBlast. Pada artikel sebelumnya, kami menjelaskan komponen utama SandBlast Agent, mengenal arsitektur Check Point Infinity dan mendaftarkan aplikasi SandBlast Agent Management Platform di Infinity Portal. Hari ini kita akan mempelajari secara detail antarmuka web sistem manajemen agen - artikel ini akan menjadi panduan praktis untuk semua fungsi dan kapabilitas konsol cloud. Dan sebagai persiapan artikel selanjutnya, kita akan menginstall SandBlast Agent dan berkenalan dengan interface nya.
Struktur Konsol Pengelolaan Cloud Platform Manajemen
Antarmuka Platform Manajemen Agen SandBlast secara kasar dapat dibagi menjadi tiga komponen:
- β : , Check Point ;
- β , , .;
- β Γ³ , (, ) .
Mari kita lihat lebih dekat setiap elemen dari sistem Platform Manajemen Agen SandBlast. Ruang kerja akan dijelaskan secara mendetail untuk semua komponen bilah navigasi, tetapi untuk saat ini mari kita mulai dengan kemampuan panel kontrol.
Panel kendali
Panel kontrol mencakup 6 komponen, mari kita lihat dari kiri ke kanan. Yang pertama adalah tombol Menu, yang, ketika diklik, menampilkan layanan portal Anda saat ini dan memungkinkan Anda untuk menambahkan layanan baru dari kategori Perlindungan Cloud, Perlindungan Jaringan, dan Perlindungan Titik Akhir ke akun Anda. Ini diikuti dengan nama aplikasi tempat Anda bekerja - dalam hal ini, Platform Manajemen Agen SandBlast. Dengan mengklik ikon aplikasi, Anda selalu dapat membuka bagian "IKHTISAR" dari bilah navigasi. Elemen ketiga adalah ikon manajemen akun, yang memungkinkan Anda beralih dengan cepat di antara akun perusahaan tempat Anda menjadi administrator. Komponen keempat dari panel kontrol adalah tombol bantuan yang memungkinkan Anda menghubungi dukungan teknis Check Point langsung dari konsol, buka
sebuah situs untuk memantau status cloud Check Point dan sumber daya web, serta mengakses Panduan Administrator untuk Platform Manajemen Agen SandBlast dan Portal Infinity. Elemen berikutnya adalah profil Anda di Infinity Portal, dengan mengklik di mana Anda dapat "masuk" ke pengaturan profil atau keluar dari profil saat ini. Dan terakhir, elemen terakhir dari panel kontrol adalah tombol untuk membuka situs web Infinity Portal .
Pengaturan Profil Infinity Portal
Infinity Portal : , ( ) , . , Google Authenticator Twilio Authy . β QR-, 2FA.
Bilah navigasi
Platform Manajemen Agen SandBlast memiliki 9 bagian di panel navigasi, seperti yang ditunjukkan pada gambar di bawah, yang memungkinkan Anda melakukan banyak tugas untuk menyebarkan dan mengelola agen, serta mengelola pengaturan konsol web. Mari kita pertimbangkan secara singkat masing-masing bagian, dan untuk informasi rinci, klik spoiler dengan nama bagian yang diminati. Mari kita mulai:
- IKHTISAR adalah bagian yang terdiri dari beberapa dasbor yang menampilkan status mesin dan agen klien saat ini dari sudut pandang kesehatan (jumlah mesin yang dilindungi, versi sistem operasinya, status agen, pesan kesalahan, dll.) Dan dari sudut pandang keamanan (data pada mesin yang diserang dan terinfeksi , serangan aktif dan diblokir, garis waktu serangan, dll.);
Bagian GAMBARAN: secara rinci
: Operational Overview Security Overview. , Operational Overview, : , ( β /, β Windows/MacOS), , Β« Β» , , SandBlast Agent , (Alerts). SandBlast Agent.
, Security Overview, ( ). , . Security Overview β , . Excel/PDF. SandBlast Agent.
, Security Overview, ( ). , . Security Overview β , . Excel/PDF. SandBlast Agent.
- POLICY β , ( Unified Policy), ;
POLICY:
, Threat Prevention, , , . Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Web & Files Protection URL Filtering, Download protection, Credential protection, Files Protection. Behavioral Protection Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Analysis & Remediation Automated attack analysis (forensics), Remediation & Response.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
β Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
β Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
β Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
β Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
- COMPUTER MANAGEMENT β , , , (Push Operation) (Full Disk Encryption Actions);
COMPUTER MANAGEMENT:
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) β Active Directory.
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) β Active Directory.
- LOGS β , (, , .), ;
LOGS:
. , LOGS 4 : ; ; ; . (Hide Identities) Excel-.
- PUSH OPERATIONS β , , ( , , / .);
PUSH OPERATIONS:
: , .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
- ENDPOINT SETTINGS β , Active Directory, (Alerts), Syslog, (user-based computer-based);
ENDPOINT SETTINGS:
, AD Scanners, Active Directory . Organization Distributed Scan, SandBlast Agent COMPUTER MANAGEMENT. Full Active Directory Sync, Active Directory . : Active Directory root, , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
β Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. β , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
β Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. β , .
- SERVICE MANAGEMENT β , Endpoint Management Platform SmartView , SmartConsole SandBlast Agent;
SERVICE MANAGEMENT:
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 β Check Point, SandBlast Agent; SandBlast Agent.
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 β Check Point, SandBlast Agent; SandBlast Agent.
- THREAT HUNTING β , ( Beta-);
THREAT HUNTING:
Threat Hunting SandBlast Agent β , Check Point , , WMI, . , . Check Point ThreatCloud β , , Check Point. Threat Hunting Beta- Check Point. .
- GLOBAL SETTINGS β Infinity Portal, , , , API CloudGuard SaaS -.
GLOBAL SETTINGS:
, Account Settings, Account ID, . , SSO (, Distributor/Reseller MSSP).
, Users, β , . β Read-only-.
Audits, . β , , , , . , (Login), (Account Updated) βDistributorβ, (User Updated).
Contracts, β , ( ). Check Point ASSOCIATED ACCOUNTS.
β API Keys, API Infinity Portal. Client ID Secret Key, .
β Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
, Users, β , . β Read-only-.
Audits, . β , , , , . , (Login), (Account Updated) βDistributorβ, (User Updated).
Contracts, β , ( ). Check Point ASSOCIATED ACCOUNTS.
β API Keys, API Infinity Portal. Client ID Secret Key, .
β Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
SandBlast Agent:
Check Point : . β (Initial Client) (, Active Directory) . β Threat Prevention / Data Protection, . , Initial Client , , , . , β SandBlast Agent.
Mari gunakan penyebaran agen otomatis. Versi Klien Awal dapat diunduh dari dua bagian konsol: Manajemen Layanan dan Ikhtisar. Di bagian Manajemen Layanan, memilih opsi Unduh Klien Awal mengunduh klien awal. Saat dimuat dari bagian Ringkasan, ada tiga opsi build Agen SandBlast: Instal Cepat (Awal), Agen Pencegahan Ancaman, dan Perlindungan Data & Pencegahan Ancaman. Opsi kedua dan ketiga cocok untuk penerapan manual, dan yang pertama adalah rakitan Klien Awal. File EPS.msi yang diunduh ditransfer ke mesin pengguna, setelah itu Anda perlu memulai proses instalasi. Saat penginstalan berhasil diselesaikan, ikon Keamanan Titik Akhir Titik Pemeriksaan muncul di Bilah Tugas, yang menunjukkan bahwa agen telah diputuskan dari server manajemen.
Saat ini, klien secara otomatis mencoba menyambung ke server manajemen cloud menggunakan alamat bawaan. Ini adalah proses yang cukup cepat, dan setelah beberapa menit, peringatan baru menunjukkan instalasi agen yang direncanakan. Pesan ini menunjukkan bahwa agen telah berhasil terhubung ke server manajemen cloud. Jika Anda mengklik kanan ikon Endpoint Security, Anda bisa mendapatkan informasi lebih detail tentang koneksi yang dibuat dengan server manajemen, seperti nama server manajemen yang terhubung dengan klien dan status koneksi saat ini.
Setelah sambungan berhasil ke server manajemen, proses pengunduhan komponen yang diperlukan (sesuai dengan kebijakan keamanan) ke mesin pengguna dimulai. Administrator dapat memantau status proses penginstalan agen di bagian Manajemen Komputer dari Konsol Manajemen Web - setelah mesin pengguna berhasil tersambung ke server manajemen cloud, statusnya di bagian Manajemen Komputer berubah dari Terjadwal menjadi Mengunduh. Setelah mengunduh dan memeriksa semua komponen, pengguna diminta untuk segera menginstal agen, atau menunda proses instalasi. Jika agen tidak dipasang oleh pengguna dalam waktu 2 hari sejak awal proses, agen akan dipasang secara paksa, yang dilaporkan di jendela menyarankan untuk memulai pemasangan.
Setelah penginstalan agen dimulai, mesin pengguna di bagian Manajemen Komputer konsol manajemen berubah ke status Penyebaran. Saat proses penginstalan agen selesai, Anda dapat membuka antarmukanya dengan mengklik kanan ikon Keamanan Titik Akhir dan memilih Ikhtisar Tampilan. Setelah penginstalan, disarankan untuk mengklik "Perbarui sekarang" untuk memulai proses pembaruan kebijakan dan database di agen. Pembaruan pertama dari basis data Anti-Malware mungkin memerlukan beberapa waktu. Segera setelah semua database diperbarui, pemindaian sistem yang pertama secara otomatis akan dimulai. Pada titik ini, mesin klien di konsol manajemen harus menampilkan status Selesai, yang menunjukkan bahwa agen telah berhasil diinstal.
Mari mulai menjelajahi antarmuka agen. Di pojok kiri bawah, status agen (Online / Terputus) dan nama server manajemen cloud Anda ditampilkan - dalam kasus kami, ini adalah status "Online" dan nama server manajemen "matssolution". Versi agen saat ini ditunjukkan di sudut kanan bawah - kami memasang versi E83.11 (83.11.2702). Panel navigasi agen terdiri dari beberapa bagian:
- Gambaran umum adalah bagian utama yang menampilkan informasi tentang status semua blade dan kepatuhan komputer pengguna dengan kebijakan keamanan. Selain itu, dari bagian ini Anda dapat "masuk" ke setiap blade untuk mendapatkan informasi lebih rinci tentang status dan peristiwa keamanan;
- Perbarui sekarang - memungkinkan Anda memulai proses pemeriksaan relevansi kebijakan keamanan dan database yang berlaku pada agen;
- Pindai sistem sekarang - memulai proses pemindaian sistem untuk mencari keberadaan perangkat lunak atau file berbahaya;
- Lanjutan - pengaturan agen tingkat lanjut yang memungkinkan Anda untuk melihat kebijakan yang diinstal, melihat atau mengumpulkan log, dan juga menggunakan komputer pengguna sebagai Agen Penyebaran.
Karena tidak ada perubahan yang dilakukan pada kebijakan awal, agen saat ini hanya berisi bilah kebijakan Pencegahan Ancaman dengan nilai default. Isi kebijakan awal Pencegahan Ancaman akan dibahas lebih detail di artikel berikutnya dalam seri ini.
Kesimpulan
Saatnya memeriksa pekerjaan yang telah diselesaikan: dalam artikel ini, kita berkenalan secara detail dengan antarmuka konsol manajemen web Platform Manajemen Agen SandBlast, menginstal agen pada mesin pengguna dan mempelajari antarmukanya.
Dalam artikel kami berikutnya dalam seri ini, kami akan memeriksa kebijakan standar Pencegahan Ancaman dan mengujinya terhadap serangan yang paling populer. Kami juga akan membuat aturan kebijakan kami sendiri untuk meningkatkan tingkat keamanan mesin pengguna.
Banyak pilihan material di Check Point dari TS Solution . Agar tidak ketinggalan publikasi berikut di Platform Manajemen Agen SandBlast - ikuti pembaruan di jejaring sosial kami ( Telegram , Facebook , VK ,TS Solution Blog , Yandex.Zen ).