2. Check Point SandBlast Agent Management Platform. Interface do console de gerenciamento da Web e instalação do agente

imagem



Continuamos a estudar a nova plataforma de gerenciamento Check Point para gerenciar a ferramenta de segurança para computadores de usuários - SandBlast Agent. No artigo anterior, descrevemos os principais componentes do SandBlast Agent, conhecemos a arquitetura Check Point Infinity e registramos o aplicativo SandBlast Agent Management Platform no Infinity Portal. Hoje estudaremos em detalhes a interface da web do sistema de gerenciamento de agentes - este artigo se tornará um guia prático para todas as funções e recursos do console em nuvem. E como preparação para o próximo artigo, instalaremos o SandBlast Agent e nos familiarizaremos com sua interface.



Estrutura do console de gerenciamento de nuvem da plataforma de gerenciamento



A interface da plataforma de gerenciamento do agente SandBlast pode ser dividida em três componentes:



  • — : , Check Point ;


  • — , , .;


  • — ó , (, ) .






Vamos dar uma olhada em cada elemento do sistema SandBlast Agent Management Platform. Os espaços de trabalho serão descritos em detalhes para todos os componentes da barra de navegação, mas por enquanto vamos começar com os recursos do painel de controle.



Painel de controle



O painel de controle inclui 6 componentes, vamos examiná-los da esquerda para a direita. O primeiro é o botão Menu, que, quando clicado, exibe seus serviços de portal atuais e permite que você adicione novos serviços das categorias Cloud Protection, Network Protection e Endpoint Protection à sua conta. Isso é seguido pelo nome do aplicativo atual no qual você está trabalhando - neste caso, é SandBlast Agent Management Platform. Ao clicar no ícone do aplicativo, você sempre pode acessar a seção "VISÃO GERAL" da barra de navegação. O terceiro elemento é o ícone de gerenciamento de conta, que permite alternar rapidamente entre contas de empresas nas quais você é o administrador. O quarto componente do painel de controle é um botão de ajuda que permite que você entre em contato com o suporte técnico da Check Point diretamente do console, vá para







um site para monitorar o status dos recursos de nuvem e web da Check Point, além de acessar os Guias do Administrador da Plataforma de Gerenciamento de Agentes SandBlast e Portal Infinity. O próximo elemento é o seu perfil no Portal Infinity, clicando no qual você pode "cair" nas configurações do perfil ou sair do perfil atual. E, finalmente, o último elemento do painel de controle é o botão para acessar o site do Portal Infinity .







Configurações de perfil do Infinity Portal
Infinity Portal : , ( ) , . , Google Authenticator Twilio Authy . — QR-, 2FA.







Barra de navegação







O SandBlast Agent Management Platform tem 9 seções no painel de navegação, conforme mostrado na figura abaixo, que permitem que você execute muitas tarefas para implantar e administrar agentes, bem como gerenciar configurações de console da web. Vamos considerar brevemente cada uma das seções e, para obter informações detalhadas, clique no spoiler com o nome da seção de interesse. Vamos começar:



  • VISÃO GERAL é uma seção que consiste em vários painéis que exibem o estado atual das máquinas clientes e agentes do ponto de saúde (o número de máquinas protegidas, suas versões de sistema operacional, status do agente, mensagens de erro, etc.) e do ponto de vista da segurança (dados sobre máquinas atacadas e infectadas , ataques ativos e bloqueados, cronograma de ataque, etc.);


Seção VISÃO GERAL: em detalhes
: Operational Overview Security Overview. , Operational Overview, : , ( — /, — Windows/MacOS), , « » , , SandBlast Agent , (Alerts). SandBlast Agent.







, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.







  • POLICY — , ( Unified Policy), ;


POLICY:
, Threat Prevention, , , . Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Web & Files Protection URL Filtering, Download protection, Credential protection, Files Protection. Behavioral Protection Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Analysis & Remediation Automated attack analysis (forensics), Remediation & Response.

3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .







Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.







Deployment, SandBlast Agent . .







, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.







  • COMPUTER MANAGEMENT — , , , (Push Operation) (Full Disk Encryption Actions);


COMPUTER MANAGEMENT:




COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).

. Active Directory, AD. , , , Desktops, Laptops, Servers .



image



, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.



  • LOGS — , (, , .), ;


LOGS:
. , LOGS 4 : ; ; ; . (Hide Identities) Excel-.







  • PUSH OPERATIONS — , , ( , , / .);


PUSH OPERATIONS:
: , .







, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .



  • ENDPOINT SETTINGS — , Active Directory, (Alerts), Syslog, (user-based computer-based);


ENDPOINT SETTINGS:
, AD Scanners, Active Directory . Organization Distributed Scan, SandBlast Agent COMPUTER MANAGEMENT. Full Active Directory Sync, Active Directory . : Active Directory root, , .







Alerts, , , . 12 , . .







Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.







Licenses, : , , . GLOBAL SETTINS.







Policy Operation Mode, : Users based Policy Computers based Policy. — , .







  • SERVICE MANAGEMENT — , Endpoint Management Platform SmartView , SmartConsole SandBlast Agent;


SERVICE MANAGEMENT:




SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.







  • THREAT HUNTING — , ( Beta-);


THREAT HUNTING:
Threat Hunting SandBlast Agent — , Check Point , , WMI, . , . Check Point ThreatCloud — , , Check Point. Threat Hunting Beta- Check Point. .







  • GLOBAL SETTINGS — Infinity Portal, , , , API CloudGuard SaaS -.


GLOBAL SETTINGS:
, Account Settings, Account ID, . , SSO (, Distributor/Reseller MSSP).







, Users, — , . — Read-only-.







Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).







Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.







API Keys, API Infinity Portal. Client ID Secret Key, .







Export Events Partner Settings, CloudGuard SaaS -, ( Partner).











SandBlast Agent:



Check Point : . — (Initial Client) (, Active Directory) . — Threat Prevention / Data Protection, . , Initial Client , , , . , — SandBlast Agent.



Vamos usar a implantação automática do agente. A versão inicial do cliente pode ser baixada de duas seções do console: Gerenciamento de serviços e Visão geral. Na seção Gerenciamento de serviços, selecionar a opção Baixar cliente inicial faz o download do cliente inicial. Quando carregado na seção Visão geral, há três opções de compilação para o SandBlast Agent: Instalação rápida (inicial), Threat Prevention Agent e Data Protection & Threat Prevention. A segunda e a terceira opções são adequadas para implantação manual e a primeira é uma montagem de cliente inicial. O arquivo EPS.msi baixado é transferido para a máquina do usuário, após o que é necessário iniciar o processo de instalação. Quando uma instalação bem-sucedida é concluída, o ícone Check Point Endpoint Security aparece na barra de tarefas, indicando que o agente foi desconectado do servidor de gerenciamento.















Nesse momento, o cliente tenta se conectar automaticamente ao servidor de gerenciamento em nuvem usando o endereço integrado. Este é um processo bastante rápido e, após alguns minutos, um novo alerta indica uma instalação planejada do agente. Esta mensagem indica uma conexão bem-sucedida entre o agente e o servidor de gerenciamento em nuvem. Se você clicar com o botão direito do mouse no ícone Endpoint Security, poderá obter informações mais detalhadas sobre a conexão estabelecida com o servidor de gerenciamento, por exemplo, o nome do servidor de gerenciamento ao qual o cliente se conectou e o status da conexão atual.















Após uma conexão bem-sucedida com o servidor de gerenciamento, o processo de download dos componentes necessários (de acordo com a política de segurança) para a máquina do usuário é iniciado. O administrador pode monitorar o status do processo de instalação do agente na seção Gerenciamento do computador do console de gerenciamento da Web - depois que a máquina do usuário se conecta com êxito ao servidor de gerenciamento em nuvem, seu status na seção Gerenciamento do computador muda de Agendado para Download. Depois de baixar e verificar todos os componentes, o usuário pode instalar o agente imediatamente ou adiar o processo de instalação. Se o agente não for instalado pelo usuário em 2 dias a partir do início do processo, o agente será instalado à força, o que é relatado na janela que sugere o início da instalação.







Após o início da instalação do agente, a máquina do usuário na seção Gerenciamento do computador do console de gerenciamento muda para o status Implementando. Quando o processo de instalação do agente for concluído, você pode abrir sua interface clicando com o botão direito do mouse no ícone Endpoint Security e selecionando Exibir visão geral. Após a instalação, é recomendável clicar em "Atualizar agora" para iniciar o processo de atualização de políticas e bancos de dados no agente. A primeira atualização do banco de dados do Anti-Malware pode levar algum tempo. Assim que todos os bancos de dados forem atualizados, uma primeira varredura automática do sistema será iniciada. Nesse ponto, a máquina cliente no console de gerenciamento deve exibir o status Concluído, que indica que o agente foi instalado com êxito.















Vamos começar a explorar a interface do agente. No canto inferior esquerdo, o status do agente (Online / Desconectado) e o nome do seu servidor de gerenciamento em nuvem são exibidos - no nosso caso, este é o status “Online” e o nome do servidor de gerenciamento “matssolution”. A versão atual do agente é indicada no canto inferior direito - instalamos a versão E83.11 (83.11.2702). O painel de navegação do agente consiste em várias seções:



  • Visão geral é a seção principal que exibe informações sobre o status de todos os blades e a conformidade do computador do usuário com a política de segurança. Também nesta seção, você pode "cair" em cada folha para obter informações mais detalhadas sobre o status e os eventos de segurança;


  • Atualizar agora - permite iniciar o processo de verificação da relevância das políticas de segurança e bancos de dados em vigor no agente;


  • Verificar sistema agora - inicia o processo de verificação do sistema quanto à presença de software ou arquivos maliciosos;


  • Avançado - configurações avançadas do agente que permitem ver a política instalada, ver ou coletar logs e também usar o computador do usuário como Agente de Implementação.


Como nenhuma alteração foi feita na política inicial, o agente atualmente contém apenas blades de política de prevenção de ameaças com valores padrão. O conteúdo da política inicial de prevenção de ameaças será discutido com mais detalhes em nosso próximo artigo desta série.



Conclusão



É hora de fazer um balanço do trabalho realizado: neste artigo, conhecemos em detalhes a interface do console de gerenciamento web da plataforma de gerenciamento de agentes SandBlast, instalamos o agente na máquina do usuário e estudamos sua interface.



Em nosso próximo artigo desta série, examinaremos a política padrão de prevenção de ameaças e a testaremos contra os ataques mais populares. Também criaremos nossas próprias regras de política para aumentar o nível de segurança da máquina do usuário.



Uma grande seleção de materiais no Check Point da solução TS . Para não perder as seguintes publicações na Plataforma de Gestão de Agentes SandBlast - acompanhe as atualizações em nossas redes sociais ( Telegram , Facebook , VK ,TS Solution Blog , Yandex.Zen ).



All Articles