Ya hemos publicado una gran cantidad de materiales de capacitación en Check Point . Sin embargo, el tema de la protección de estaciones de trabajo con Check Point SandBlast Agent todavía está muy mal cubierto. Planeamos mejorar y pronto crear cursos de capacitación para este producto, que es uno de los líderes en el segmento de EDR durante varios años seguidos. Mientras tanto, compartimos información sobre las nuevas capacidades de agente que aparecieron en la versión E83.10. Spoiler: hay una versión beta para LINUX y un nuevo "control" en la nube.
Nuevas características
Todas las mejoras a la versión E83.10 se pueden encontrar en sk166979 . Hay mucha información útil allí, pero será mejor que repasemos las nuevas funciones.
Nuevo portal de gestión en la nube
Check Point ha estado desarrollando el concepto Infinity durante mucho tiempo, donde la gestión centralizada a través del portal en la nube portal.checkpoint.com juega un papel clave. En este momento hay una gran cantidad de servicios disponibles a través de este portal:
- CloudGuard SaaS
- Smart-1 Cloud
- Infinity soc
- CloudGuard Connect
- La caza de amenazas
- SandBlast Mobile
- y mucho más
Y ahora hay acceso a los agentes de SandBlast de "administración" en la nube: la
integración ahora es mucho más fácil y rápida. El servicio comienza literalmente en 5 minutos y puede comenzar a rodar agentes. No nos centraremos en esto, porque Este tema merece toda una serie de artículos, que planeamos en el futuro cercano.
Filtrado de URL
El nombre habla por sí mismo. Ahora el filtrado de URL también estará disponible en los agentes. Puede filtrar el tráfico incluso de usuarios remotos como si estuvieran sentados en la oficina. Actualmente hay varias categorías principales disponibles para el filtrado de URL:
- Seguridad
- Pérdida de productividad
- Responsabilidad legal y cumplimiento normativo
- Consumo de ancho de banda
- Uso general
En el lado positivo, cada agente incluye un complemento de navegador que le permite inspeccionar el tráfico HTTPS encriptado, sin la necesidad de un dispositivo intermedio con una función de inspección SSL. Esto simplifica enormemente la integración, especialmente para usuarios remotos.
Actualmente hay varias limitaciones:
- El complemento del navegador solo está disponible para Google Chrome. Se espera soporte para otros navegadores pronto.
- Actualmente, el filtrado de URL solo está disponible a través de la administración en la nube. Así es como se ve la interfaz:
También vale la pena señalar que hay una nueva función de robo anti-credenciales: protección de ataque Pass-the-Hash. Pero hablaremos de ello en detalle, probablemente ya en el marco del curso futuro.
Nuevas plataformas para SandBlast Agent
SandBlast ahora admite de forma nativa tanto VDI persistente como no persistente. Pero algo más es más importante. Finalmente, apareció una versión beta de SandBlast Agent para sistemas Linux. Aquí hay una demostración rápida donde la integración con Check Point Threat Hunting se muestra de una vez:
En mi opinión, la gestión de los políticos se ha vuelto más conveniente. Los registros de los agentes de SandBlast ahora también están en una forma más familiar.
Como probablemente haya entendido, el control basado en la web actualmente solo está disponible para la plataforma en la nube. Sin embargo, también estará disponible para dispositivos locales en la versión de Gaia R81, que debería anunciarse en el primer trimestre del año 21.
Mejoras de agente clave
Aquí hay algunos cambios y mejoras clave para SandBlast Agent E83.10:
Prevención de amenazas
- Behavioral Guard now protects against the «Pass The Hash» technique for credential theft. Credential Dumping is new, as of the previous release.
- Fixes an issue where Anti-Ransomware does not detect a potential attack when the user is not logged in.
- Fixes Anti-Ransomware false positives due to user profile deletions.
- Fixes multiple rare cases of false positives in Anti-Ransomware.
- Fixes an issue where «out of memory» errors occur when the log lists a very large number of backups.
- When you disable Anti-Ransomware, the backup driver no longer operates.
- Improves performance as Forensics now stores fewer named objects, such as mutexes and events.
- Improves the performance of Forensics, Behavioral Guard and Threat Hunting with enhancements to our Registry Operation exclusion algorithms that reduce the number of recorded registry operations.
- Resolves an issue where an Anti-Malware scheduled scan occurs, even if it is not in the policy.
- Resolves an Anti-Malware icon scaling issue.
- Resolves a possible issue where the Anti-Malware process crashes as it shuts down.
Datos y control de acceso
- Resolves client network issues after a Firewall driver uninstallation failure.
- Resolves a rare issue where an added Firewall blade gets stuck in the «Initializing» state.
- Resolves a possible upgrade issue where the Firewall blade does not start due to a WatchDog failure.
- Resolves a rare issue where the Firewall policy is «Not Set» in the client after the policy download from the server.
- Resolves a possible issue where the Disk Encryption process crashes during shutdown.
- Resolves a removable media icon blink issue for an encrypted partition when Media Scan is enabled.
- Improves the work with non-UTF-8 applications. Users can toggle UTF-8 support.
- Fixes active File Transfer Protocol (FTP) traffic blocks on a standalone VPN client with Firewall.
- Includes stability and quality fixes. Supports all the features of previous releases.
Instalación e Infraestructura
- Resolves a possible issue where uninstalling the Endpoint removes components that are necessary for other applications.
- Resolves a possible issue where the uninstall fails after the user turns off «Network Protection».
- Resolves a possible issue where the Endpoint Security Client does not run correctly after an operating system upgrade.
- Resolves a rare issue where the client uninstall fails with Error 1921: «Service Check Point Endpoint Agent (CPDA) could not be stopped».
- Resolves a rare issue where an upgrade that uses «Dynamic Package» continuously loops after a download fails to resume.
- The pre-boot language selection choice is now correct after a language update in Windows.
- Fixes an incompatibility issue with Sophos Antivirus, which could not install on a machine with Endpoint Security Client on it.
- Resolves a rare User Interface (UI) issue where a malware resolution is not shown to a user.
- Resolves a client LogViewer issue, where it only shows log records that match the latest log schema.
- On the Endpoint Security Client screen, the Overview list now shows «Anti-Bot and URL Filtering» instead of «Anti-Bot».
- The client User Interface (UI) is no longer shown during manual upgrades.
- Resolves URL infections report issues in the User Interface (UI) so that the infections records are not permanent in the client and server UIs.
- Anti-Bot and URL Filtering policy now translates to all supported languages.
- Improves the performance of the Endpoint Security core driver to reduce CPU consumption.
En lugar de una conclusión
Estoy seguro de que un artículo sobre análisis forense que SandBlast Agent puede proporcionar será interesante . Como ya se mencionó, planeamos publicar nuevos materiales de capacitación, ¡así que esté atento a las actualizaciones en nuestros canales ( Telegram , Facebook , VK , Blog de soluciones de TS )!
Además, varios seminarios web de Check Point útiles tendrán lugar en un futuro próximo:
- Automatización de seguridad usando Red Hat Ansible Automation usando Check Point como ejemplo
- Acceso remoto para empleados. Curso de formación para nuevos autores.
¡Date prisa para registrarte!