Já publicamos uma enorme quantidade de materiais de treinamento da Check Point . No entanto, o tópico de proteção de estações de trabalho com o Check Point SandBlast Agent foi extremamente mal coberto. Planejamos melhorar e criar em breve cursos de treinamento para este produto, que é um dos líderes no segmento de EDR por vários anos seguidos. Enquanto isso, estamos compartilhando informações sobre os novos recursos do agente que apareceram na versão E83.10. Spoiler - existe uma versão beta para LINUX e um novo "controle" na nuvem.
Novas características
Todas as melhorias na versão E83.10 podem ser encontradas no sk166979 . Há muitas informações úteis lá, mas é melhor revisarmos os novos recursos.
Novo portal de gerenciamento de nuvem
A Check Point desenvolve há muito tempo o conceito de Infinity, onde o gerenciamento centralizado através do portal da nuvem portal.checkpoint.com desempenha um papel fundamental. No momento, há um grande número de serviços disponíveis neste portal:
- CloudGuard SaaS
- Nuvem Smart-1
- Infinity soc
- CloudGuard Connect
- Caça à Ameaça
- SandBlast Mobile
- e muito mais
E agora há acesso ao "gerenciador" da nuvem SandBlast pelos agentes: a
integração agora é muito mais simples e rápida. O serviço começa literalmente em 5 minutos e você pode começar a implantar agentes. Não vamos nos concentrar nisso, porque esse tópico merece toda uma série de artigos, que estamos planejando no futuro próximo.
Filtragem de URL
O nome fala por si. Agora a filtragem de URL estará disponível nos agentes. Você pode filtrar o tráfego de usuários remotos, como se estivessem sentados em um escritório. Atualmente, existem várias categorias principais disponíveis para filtragem de URL:
- Segurança
- Perda de produtividade
- Responsabilidade legal e conformidade regulamentar
- Consumo de largura de banda
- Uso geral
No lado positivo, cada agente inclui um complemento de navegador que permite inspecionar o tráfego HTTPS criptografado sem a necessidade de um dispositivo intermediário com uma função de inspeção SSL. Isso simplifica bastante a integração, especialmente para usuários remotos.
Existem várias restrições no momento:
- O complemento do navegador está disponível apenas para o Google Chrome. O suporte para outros navegadores é esperado em breve.
- Atualmente, a filtragem de URL está disponível apenas através do gerenciamento de nuvem. É assim que a interface se parece:
Também é importante notar que há um novo recurso Anti-Credential Theft - Proteção contra ataques Pass-the-Hash. Mas falaremos sobre isso em detalhes, provavelmente já dentro da estrutura do curso futuro.
Novas plataformas para o SandBlast Agent
O SandBlast agora suporta nativamente VDI persistente e não persistente. Mas algo mais é mais importante. Por fim, apareceu uma versão beta dos sistemas SandBlast Agent for Linux. Aqui está uma demonstração rápida mostrando a integração do Check Point Threat Hunting de uma só vez:
Na minha opinião, o gerenciamento de políticas se tornou mais conveniente. Os logs com os agentes SandBlast agora também estão em uma forma mais familiar.
Como você provavelmente entendeu, atualmente o controle baseado na Web está disponível apenas para a plataforma em nuvem. No entanto, ele também estará disponível para dispositivos locais na versão Gaia R81, que deve ser anunciada no primeiro trimestre do 21º ano.
Melhorias do agente chave
Aqui estão algumas alterações e melhorias importantes no SandBlast Agent E83.10:
Prevenção de ameaças
- Behavioral Guard now protects against the «Pass The Hash» technique for credential theft. Credential Dumping is new, as of the previous release.
- Fixes an issue where Anti-Ransomware does not detect a potential attack when the user is not logged in.
- Fixes Anti-Ransomware false positives due to user profile deletions.
- Fixes multiple rare cases of false positives in Anti-Ransomware.
- Fixes an issue where «out of memory» errors occur when the log lists a very large number of backups.
- When you disable Anti-Ransomware, the backup driver no longer operates.
- Improves performance as Forensics now stores fewer named objects, such as mutexes and events.
- Improves the performance of Forensics, Behavioral Guard and Threat Hunting with enhancements to our Registry Operation exclusion algorithms that reduce the number of recorded registry operations.
- Resolves an issue where an Anti-Malware scheduled scan occurs, even if it is not in the policy.
- Resolves an Anti-Malware icon scaling issue.
- Resolves a possible issue where the Anti-Malware process crashes as it shuts down.
Controle de Dados e Acesso
- Resolves client network issues after a Firewall driver uninstallation failure.
- Resolves a rare issue where an added Firewall blade gets stuck in the «Initializing» state.
- Resolves a possible upgrade issue where the Firewall blade does not start due to a WatchDog failure.
- Resolves a rare issue where the Firewall policy is «Not Set» in the client after the policy download from the server.
- Resolves a possible issue where the Disk Encryption process crashes during shutdown.
- Resolves a removable media icon blink issue for an encrypted partition when Media Scan is enabled.
- Improves the work with non-UTF-8 applications. Users can toggle UTF-8 support.
- Fixes active File Transfer Protocol (FTP) traffic blocks on a standalone VPN client with Firewall.
- Includes stability and quality fixes. Supports all the features of previous releases.
Instalação e Infraestrutura
- Resolves a possible issue where uninstalling the Endpoint removes components that are necessary for other applications.
- Resolves a possible issue where the uninstall fails after the user turns off «Network Protection».
- Resolves a possible issue where the Endpoint Security Client does not run correctly after an operating system upgrade.
- Resolves a rare issue where the client uninstall fails with Error 1921: «Service Check Point Endpoint Agent (CPDA) could not be stopped».
- Resolves a rare issue where an upgrade that uses «Dynamic Package» continuously loops after a download fails to resume.
- The pre-boot language selection choice is now correct after a language update in Windows.
- Fixes an incompatibility issue with Sophos Antivirus, which could not install on a machine with Endpoint Security Client on it.
- Resolves a rare User Interface (UI) issue where a malware resolution is not shown to a user.
- Resolves a client LogViewer issue, where it only shows log records that match the latest log schema.
- On the Endpoint Security Client screen, the Overview list now shows «Anti-Bot and URL Filtering» instead of «Anti-Bot».
- The client User Interface (UI) is no longer shown during manual upgrades.
- Resolves URL infections report issues in the User Interface (UI) so that the infections records are not permanent in the client and server UIs.
- Anti-Bot and URL Filtering policy now translates to all supported languages.
- Improves the performance of the Endpoint Security core driver to reduce CPU consumption.
Em vez de uma conclusão
Estou certo de que o artigo sobre forense que o SandBlast Agent pode fornecer será interessante . Como já mencionado, planejamos publicar novos materiais de treinamento, fique atento às atualizações em nossos canais ( Telegram , Facebook , VK , TS Solution Blog )!
Além disso, vários webinars úteis da Check Point serão realizados em breve:
- Automação de Segurança da Informação com Red Hat Ansible Automation com Check Point como Exemplo
- Acesso remoto para funcionários. Novo curso de treinamento para autores
Apresse-se para se registrar!