Continuamos explorando la nueva plataforma de administración de Check Point para administrar la herramienta de seguridad para las computadoras de los usuarios: SandBlast Agent. En el artículo anterior, describimos los componentes principales del SandBlast Agent, nos familiarizamos con la arquitectura Check Point Infinity y registramos la aplicación SandBlast Agent Management Platform en el Portal Infinity. Hoy estudiaremos en detalle la interfaz web del sistema de administración de agentes; este artículo se convertirá en una guía conveniente para todas las funciones y capacidades de la consola en la nube. Y como preparación para el próximo artículo, instalaremos SandBlast Agent y nos familiarizaremos con su interfaz.
Estructura de la consola de administración de la nube de la plataforma de administración
La interfaz de SandBlast Agent Management Platform se puede dividir en tres componentes:
- — : , Check Point ;
- — , , .;
- — ó , (, ) .
Echemos un vistazo más de cerca a cada elemento del sistema SandBlast Agent Management Platform. Los espacios de trabajo se describirán en detalle para todos los componentes de la barra de navegación, pero por ahora comencemos con las capacidades del panel de control.
Panel de control
El panel de control incluye 6 componentes, veámoslos de izquierda a derecha. El primero es el botón Menú, que, cuando se hace clic, muestra los servicios de su portal actual y le permite agregar nuevos servicios de las categorías Protección en la nube, Protección de red y Protección de endpoints a su cuenta. A esto le sigue el nombre de la aplicación actual en la que está trabajando; en este caso, es SandBlast Agent Management Platform. Al hacer clic en el icono de la aplicación, siempre puede ir a la sección "VISTA GENERAL" de la barra de navegación. El tercer elemento es el icono de gestión de cuentas, que le permite cambiar rápidamente entre cuentas de empresas de las que es administrador. El cuarto componente del panel de control es un botón de ayuda que le permite contactar al soporte técnico de Check Point directamente desde la consola, vaya a
un sitio web para monitorear el estado de los recursos web y en la nube de Check Point, así como para acceder a las Guías del administrador para SandBlast Agent Management Platform e Infinity Portal. El siguiente elemento es su perfil en el Portal Infinity, al hacer clic en el cual puede "pasar" por la configuración del perfil o salir del perfil actual. Y finalmente, el último elemento del panel de control es el botón para ir al sitio web de Infinity Portal .
Configuración del perfil del portal Infinity
Infinity Portal : , ( ) , . , Google Authenticator Twilio Authy . — QR-, 2FA.
Barra de navegación
SandBlast Agent Management Platform tiene 9 secciones en el panel de navegación, como se muestra en la figura siguiente, que le permiten realizar muchas tareas para implementar y administrar agentes, así como administrar la configuración de la consola web. Consideremos brevemente cada una de las secciones y, para obtener información detallada, haga clic en el spoiler con el nombre de la sección de interés. Empecemos:
- VISIÓN GENERAL es una sección que consta de varios cuadros de mando que muestran el estado actual de las máquinas cliente y los agentes desde el punto de salud (el número de máquinas protegidas, sus versiones del sistema operativo, el estado del agente, mensajes de error, etc.) y desde el punto de vista de la seguridad (datos de las máquinas atacadas e infectadas). , ataques activos y bloqueados, cronograma de ataques, etc.);
Sección RESUMEN: en detalle
: Operational Overview Security Overview. , Operational Overview, : , ( — /, — Windows/MacOS), , « » , , SandBlast Agent , (Alerts). SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
- POLICY — , ( Unified Policy), ;
POLICY:
, Threat Prevention, , , . Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Web & Files Protection URL Filtering, Download protection, Credential protection, Files Protection. Behavioral Protection Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Analysis & Remediation Automated attack analysis (forensics), Remediation & Response.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
- COMPUTER MANAGEMENT — , , , (Push Operation) (Full Disk Encryption Actions);
COMPUTER MANAGEMENT:
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
- LOGS — , (, , .), ;
LOGS:
. , LOGS 4 : ; ; ; . (Hide Identities) Excel-.
- PUSH OPERATIONS — , , ( , , / .);
PUSH OPERATIONS:
: , .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
- ENDPOINT SETTINGS — , Active Directory, (Alerts), Syslog, (user-based computer-based);
ENDPOINT SETTINGS:
, AD Scanners, Active Directory . Organization Distributed Scan, SandBlast Agent COMPUTER MANAGEMENT. Full Active Directory Sync, Active Directory . : Active Directory root, , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
- SERVICE MANAGEMENT — , Endpoint Management Platform SmartView , SmartConsole SandBlast Agent;
SERVICE MANAGEMENT:
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
- THREAT HUNTING — , ( Beta-);
THREAT HUNTING:
Threat Hunting SandBlast Agent — , Check Point , , WMI, . , . Check Point ThreatCloud — , , Check Point. Threat Hunting Beta- Check Point. .
- GLOBAL SETTINGS — Infinity Portal, , , , API CloudGuard SaaS -.
GLOBAL SETTINGS:
, Account Settings, Account ID, . , SSO (, Distributor/Reseller MSSP).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
SandBlast Agent:
Check Point : . — (Initial Client) (, Active Directory) . — Threat Prevention / Data Protection, . , Initial Client , , , . , — SandBlast Agent.
Usemos la implementación automática de agentes. La versión del Cliente inicial se puede descargar desde dos secciones de la consola: Administración de servicios y Descripción general. En la sección Gestión de servicios, al seleccionar la opción Descargar cliente inicial, se descarga el cliente inicial. Cuando se carga desde la sección Descripción general, existen tres opciones de compilación para SandBlast Agent: Instalación rápida (inicial), Agente de prevención de amenazas y Protección de datos y prevención de amenazas. La segunda y tercera opciones son adecuadas para la implementación manual, y la primera es un ensamblado de Cliente inicial. El archivo EPS.msi descargado se transfiere a la máquina del usuario, después de lo cual es necesario iniciar el proceso de instalación. Después de una instalación exitosa, aparece el icono de Check Point Endpoint Security en la barra de tareas, lo que indica que el agente se ha desconectado del servidor de administración.
En este momento, el cliente intenta conectarse automáticamente al servidor de administración de la nube utilizando la dirección incorporada. Este es un proceso bastante rápido y, después de un par de minutos, una nueva alerta indica una instalación planificada del agente. Este mensaje indica una conexión exitosa entre el agente y el servidor de administración de la nube. Si hace clic con el botón derecho en el icono de Endpoint Security, puede obtener información más detallada sobre la conexión establecida con el servidor de administración, por ejemplo, el nombre del servidor de administración al que se conectó el cliente y el estado actual de la conexión.
Después de una conexión exitosa al servidor de administración, comienza el proceso de descarga de los componentes necesarios (de acuerdo con la política de seguridad) a la máquina del usuario. El administrador puede monitorear el estado del proceso de instalación del agente en la sección Administración de equipos de la consola de administración web; después de que la máquina del usuario se haya conectado correctamente al servidor de administración de la nube, su estado en la sección Administración de equipos cambia de Programado a Descargando. Después de descargar y verificar todos los componentes, se solicita al usuario que instale el agente inmediatamente o posponga el proceso de instalación. Si el agente no es instalado por el usuario dentro de los 2 días posteriores al inicio del proceso, el agente se instalará a la fuerza, lo cual se informa en la ventana que sugiere iniciar la instalación.
Una vez que se inicia la instalación del agente, la máquina del usuario en la sección Administración de equipos de la consola de administración cambia al estado Implementando. Cuando finalice el proceso de instalación del agente, puede abrir su interfaz haciendo clic con el botón derecho en el icono de Endpoint Security y seleccionando Mostrar descripción general. Después de la instalación, se recomienda hacer clic en "Actualizar ahora" para iniciar el proceso de actualización de políticas y bases de datos en el agente. La primera actualización de la base de datos de Anti-Malware puede llevar algún tiempo. Tan pronto como se actualicen todas las bases de datos, se iniciará un primer análisis automático del sistema. En este punto, la máquina cliente en la consola de administración debe mostrar el estado Completado, que indica que el agente se ha instalado correctamente.
Comencemos a explorar la interfaz del agente. En la esquina inferior izquierda, se muestran el estado del agente (En línea / Desconectado) y el nombre de su servidor de administración en la nube; en nuestro caso, este es el estado "En línea" y el nombre del servidor de administración "matssolution". La versión actual del agente se indica en la esquina inferior derecha; tenemos instalada la versión E83.11 (83.11.2702). El panel de navegación del agente consta de varias secciones:
- La descripción general es la sección principal que muestra información sobre el estado de todos los blades y la conformidad de la computadora del usuario con la política de seguridad. También desde esta sección, puede "caer" en cada hoja para obtener información más detallada sobre el estado y los eventos de seguridad;
- Actualizar ahora : le permite iniciar el proceso de verificación de la relevancia de las políticas de seguridad y las bases de datos vigentes en el agente;
- Analizar sistema ahora : inicia el proceso de análisis del sistema en busca de software o archivos maliciosos;
- Avanzado : configuración avanzada del agente que le permite ver la política instalada, ver o recopilar registros y también usar la computadora del usuario como un agente de implementación.
Dado que no se realizaron cambios en la política inicial, el agente contiene actualmente solo hojas de política de Prevención de amenazas con valores predeterminados. El contenido de la política inicial de Prevención de amenazas se discutirá con más detalle en nuestro próximo artículo de esta serie.
Conclusión
Es hora de hacer balance del trabajo realizado: en este artículo, nos familiarizamos en detalle con la interfaz de la consola de administración web de SandBlast Agent Management Platform, instalamos el agente en la máquina del usuario y estudiamos su interfaz.
En nuestro próximo artículo de esta serie, examinaremos la política estándar de Prevención de amenazas y la probaremos contra los ataques más populares. También crearemos nuestras propias reglas de política para aumentar el nivel de seguridad de la máquina del usuario.
Una gran selección de materiales en Check Point de TS Solution . Para no perderse las siguientes publicaciones sobre el tema Plataforma de gestión de agentes SandBlast, siga las actualizaciones en nuestras redes sociales ( Telegram , Facebook , VK ,Blog de soluciones TS , Yandex.Zen ).