2. Check Point SandBlast Agent Management Platform. Интерфейс веб-консоли управления и установка агента

Продолжаем изучать новую облачную платформу Check Point Management Platform для управления средством защиты пользовательских компьютеров — SandBlast Agent. В предыдущей статье мы описали основные составляющие SandBlast Agent, познакомились с архитектурой Check Point Infinity и зарегистрировали приложение SandBlast Agent Management Platform на портале Infinity Portal. Сегодня мы детально изучим веб-интерфейс системы управления агентами — данная статья станет удобным путеводителем по всем функциям и возможностям облачной консоли. И в качестве подготовки к следующей статье — установим SandBlast Agent и познакомимся с его интерфейсом.

Структура облачной консоли управления Management Platform

Интерфейс SandBlast Agent Management Platform можно условно разделить на три составляющие:

Панель управления — расположена вверху интерфейса и позволяет выполнять базовые задачи администрирования: управлять аккаунтами, обращаться в техническую поддержку Check Point и настраивать профиль администратора;

Панель навигации — расположена слева и позволяет перемещаться между основными составляющими панели управления, такими как раздел настройки политики, отображение логов и пр.;

Рабочая область — занимает бóльшую часть консоли управления и включает в себя возможности настраивать разделы панели навигации, отображать графическую информацию (логи, отчёты) и конфигурировать глобальные параметры системы.

Рассмотрим более подробно каждый элемент системы SandBlast Agent Management Platform. Рабочие области будут детально описаны для всех компонентов панели навигации, а пока начнём с возможностей панели управления.

Панель управления

Панель управления включает в себя 6 компонентов, рассмотрим их слева направо. Первым является кнопка «Menu», при нажатии на которую отображаются Ваши текущие сервисы портала, и позволяющая добавлять новые сервисы из категорий Cloud Protection, Network Protection и Endpoint Protection к Вашему аккаунту. Далее следует название текущего приложения, в котором Вы работаете — в данном случае это SandBlast Agent Management Platform. При нажатии на значок приложения Вы всегда можете попасть в раздел «OVERVIEW» панели навигации. Третьим элементом является значок управления аккаунтами, позволяющий быстро переключаться между аккаунтами компаний, в которых Вы являетесь администратором.

Четвёртый компонент панели управления — кнопка помощи, позволяющая связаться с технической поддержкой Check Point прямо из консоли, перейти на сайт для отслеживания состояния облачных и веб-ресурсов Check Point, а также получить доступ к «Руководствам Администратора» по SandBlast Agent Management Platform и Infinity Portal. Следующий элемент — Ваш профиль на Infinity Portal, нажав на который можно «провалиться» в настройки профиля либо выйти из текущего профиля. И, наконец, последний элемент панели управления — кнопка для перехода на сайт Infinity Portal.

Настройки профиля Infinity Portal

При нажатии на название Вашего профиля Infinity Portal открывается рабочая область для настройки профиля: можно изменить отображаемое имя пользователя и номер телефона, а также сменить язык интерфейса (на текущий момент доступны английский и японский) и выбрать аккаунт, к которому привязан профиль. Помимо этого, можно изменить текущий пароль профиля и включить двухфакторную аутентификацию с использованием Google Authenticator или Twilio Authy для доступа к порталу. Процесс настройки двухфакторной аутентификации предельно прост — с помощью приложения сканируется QR-код, после чего вводится сгенерированный токен доступа и подтверждается включение 2FA.

Панель навигации

Консоль управления SandBlast Agent Management Platform имеет в своём составе 9 разделов в панели навигации, как показано на рисунке ниже, позволяющих выполнять множество задач по разворачиванию и администрированию агентов, а также управлять параметрами веб-консоли. Рассмотрим кратко каждый из разделов, а для получения детальной информации — жмите на спойлер с названием интересующего раздела. Приступим:

OVERVIEW — раздел, состоящий из нескольких дашбордов, отображающих текущее состояние клиентских машин и агентов с позиции работоспособности (количество защищённых машин, их версии операционной систем, состояние агентов, сообщения об ошибках и пр.) и с позиции безопасности (данные по атакованным и заражённым машинам, активным и заблокированным атакам, временная шкала атак и пр.);

Раздел OVERVIEW: подробно

Данный раздел состоит из двух подразделов: Operational Overview и Security Overview. В первом, Operational Overview, отображается информация о состоянии пользовательских машин и агентов: количество защищённых машин, характеристика пользовательских компьютеров (тип устройства — персональный компьютер/ноутбук, тип операционной системы — Windows/MacOS), статистика процесса разворачивания агентов, «состояние здоровья» машин, информация об обновлении баз данных антивируса на компьютерах, а также версии установленных SandBlast Agent и версии используемых операционных систем, и область с активными событиями (Alerts). Из данного подраздела можно загрузить клиент SandBlast Agent.

Второй подраздел, Security Overview, отображает информацию об уровне защиты пользовательских машин и об атаках (активных и заблокированных). Данный подраздел позволяет фильтровать выводимые сведения по времени, а также задавать параметры поиска по конкретным объектам. Каждый из блоков раздела Security Overview может настроен индивидуально — можно добавлять диаграммы с различных типов, которые будут выводить информацию в соответствии с заданным фильтром. Подраздел может быть выгружен в качестве отчёта форматов Excel/PDF. Из данного подраздела также можно загрузить клиент SandBlast Agent.

POLICY — раздел панели навигации, в котором настраиваются параметры единой политики безопасности (так называемая Unified Policy), а также определяются правила распространения агентов и глобальные настройки политик;

Раздел POLICY: подробно

Первый подраздел, Threat Prevention, позволяет настраивать правила политики безопасности с указанием объектов, к которым будет применена политика, а также детально настраивать работу блейдов. Каждое правило может содержать в себе настройки для трёх логических компонентов политики Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Компонент Web & Files Protection включает в себя настройки URL Filtering, Download protection, Credential protection, Files Protection. Компонент Behavioral Protection состоит из блейдов Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Компонент Analysis & Remediation включает в себя Automated attack analysis (forensics), Remediation & Response.
Существуют 3 предустановленных профиля, регулирующих настройки компонентов безопасности: Tuning (все блейды переведены в режим Detect), Recommended (часть блейдов в режиме Detect) и Default (только URL Filtering в режиме Detect). Также в разделе Threat Prevention можно добавлять исключения (в Exclusions Center) для обхода правил политики.

Второй подраздел — Data Protection, включает в себя настройки шифрования диска Full Disk Encryption. Поддерживается шифрование Check Point encryption и BitLocker encryption для Windows, File Vault для MacOS. Помимо этого, есть возможность дополнительно настраивать параметры шифрования, Pre-Boot Authentication, и расширенные настройки Windows Authentication.

Следующий подраздел — Deployment, в котором настраиваются параметры установки компонентов SandBlast Agent на пользовательские машины. В данном подразделе есть возможность разделить правилами политики установку различных блейдов для разных машин и версий агентов.

Последний подраздел, Global Policy Settings, позволяет настраивать пароль для удаления SandBlast Agent с пользовательской машины, изменять параметры данных для передачи в Check Point, а также устанавливать характеристики пароля для Full Disk Encryption.

COMPUTER MANAGEMENT — область панели навигации, отображающая подробную информацию по всем клиентским машинам, а также позволяющая управлять логическими группами компьютеров, выполнять принудительные действия (Push Operation) и настраивать шифрование диска (Full Disk Encryption Actions);

Раздел COMPUTER MANAGEMENT: подробно

В разделе COMPUTER MANAGEMENT есть три основных составляющих: значки настроек, поле отображения информации о пользовательских машинах, фильтры для настройки параметров отображения. Рассмотрим значки настроек по порядку слева направо: обновление информации; выгрузка отчёта по выбранной машине в формате CSV; создание Directory Scanner для получения информации о пользователях, машинах, группах из Active Directory; управление группами (создание/редактирование/удаление); создание новой виртуальной группы; добавление пользовательской машины в существующую виртуальную группу; добавление принудительного действия из категории Push Operation (рассмотрено детально в соответствующем разделе); создание задач по восстановлению данных с зашифрованного диска при возникновении проблем с доступом (Full Disk Encryption Actions).
Виртуальные группы позволяют объединять пользовательские машины в логические группы для гибкого управления. Данные группы могут быть использованы в качестве альтернативы Active Directory, либо совместно с AD. Существует несколько виртуальных групп, которые автоматически назначаются пользовательским машинам, например, Desktops, Laptops, Servers и другие.

Поле отображения пользовательских машин можно настраивать в соответствии с фильтрами, показанными на рисунке выше. Первый фильтр (by computers property) имеет множество встроенных критериев и позволяет отображать пользовательские компьютеры в зависимости от их характеристик, состояния машины или компонентов SandBlast Agent. Второй фильтр (by virtual group) представляет возможность делать выборку по виртуальным группам, а третий (by organization unit) — по параметрам Active Directory.

LOGS — панель отображения логов, демонстрирующая статистику по множеству параметров (блейды, критичность события, машины пользователей и пр.), и предоставляющая детальную информацию по каждому логу;

Раздел LOGS: подробно

Данный раздел предоставляет удобный интерфейс для изучения логов с множеством инструментов фильтрации. Условно, в рабочей области раздела LOGS можно выделить 4 составляющие: верхняя строка поиска по запросам и выбору временного промежутка; левая панель со статистикой по различным критериям; центральная область с отображением всех логов и основной информации о них; правая панель с выводом детальной информации по выбранному логу. Поддерживается возможность вывода логов без информации о пользователе и машине (Hide Identities) и экспорт в Excel-файл.

PUSH OPERATIONS — раздел, в котором создаются и отслеживаются задачи, выполняемые на клиентской машине в принудительном порядке (сбор логов, перезагрузка или выключение машины, сканирование на предмет вредоносных программ/файлов и пр.);

Раздел PUSH OPERATIONS: подробно

В данном разделе есть две основных рабочих области: в верхней настраиваются и отображаются принудительные задачи для клиентских машин, а в нижней выводится детальная информация о выбранной задаче.

Есть три категории принудительных операций, в каждой из которых существует несколько задач: в категории Anti-Malware это Scan for Malware, Update malware signature Database, Restore files from quarantine; в категории Forensics And Remediation это Analyze by Indicator, File Remediation; в категории Agent Settings это Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. Также каждой принудительной задаче можно назначить точное время запуска и добавить комментарий с описанием.

ENDPOINT SETTINGS — раздел панели навигации, в котором настраивается интеграция с Active Directory, параметры системных сообщений (Alerts), включается экспорт логов с помощью Syslog, а также есть возможность отслеживать состояние лицензий и выбирать тип действующей политики (user-based или computer-based);

Раздел ENDPOINT SETTINGS: подробно

Первый подраздел, AD Scanners, позволяет настроить полную синхронизацию портала с Active Directory Вашей организации для получения информации о всех пользователях и машинах. По умолчанию включен режим Organization Distributed Scan, при котором машины с установленными SandBlast Agent отправляют данные о своём пути в консоль управления для дальнейшего отображения в разделе COMPUTER MANAGEMENT. Также можно сменить режим на Full Active Directory Sync, при котором все данные из Active Directory подтянутся в консоль управления. Для успешного сканирования необходимо учётная запись с полными правами на чтение для: Active Directory root, все дочерние контейнеры и объекты, контейнер удалённых объектов.

Вторым подразделом является Alerts, в котором настраиваются параметры для уведомлений о критичных ситуациях, например, о заражении машины или проблемах с разворачиванием агента. В правой части рабочей области настраиваются параметры для 12 предустановленных критичных ситуаций, в том числе пороговые значения активации и деактивации уведомлений. В данном подразделе также можно настроить параметры почтового сервера для отправки уведомлений на почту.

Далее следует подраздел Export Events, который позволяет настроить передачу логов различных форматов (Syslog, CEF, LEEF, Generic) на Ваш лог-сервер. Также данная опция позволяет настроить передачу логов на Вашу SIEM-систему, на которой может быть запущен Syslog-агент.

Следующий подраздел — Licenses, в котором отображается информация о лицензиях: уникальный ключ, статус лицензии, количество активных агентов и размер квоты. Управление лицензиями осуществляется в настройках GLOBAL SETTINS.

Последним подразделом является Policy Operation Mode, в котором выбирается активный тип политики: Users based Policy или Computers based Policy. Как видно из описания политик на рисунке ниже — они отличаются применением политик либо исключительно в отношении машин, либо политика применяется по смешанной схеме в отношении пользователей и машин.

SERVICE MANAGEMENT — область панели навигации, позволяющая управлять сервисом Endpoint Management Platform и использовать SmartView для просмотра детальных отчётов по событиям безопасности, а также из данного раздела можно скачать установочные файлы для приложения консоли SmartConsole и клиента SandBlast Agent;

Раздел SERVICE MANAGEMENT: подробно

Рабочая область раздела SERVICE MANAGEMENT состоит из трёх компонентов: управление сервисом и отображение данных о сервисе, а также доступ к SmartView (интерфейс показан на изображении ниже) для анализа логов и отчётов; панель для скачивания SmartConsole R80.40 — программы управления продуктами Check Point, в том числе SandBlast Agent; панель для скачивания клиента SandBlast Agent.

THREAT HUNTING — раздел, в котором настраиваются правила проактивного поиска угроз (пока что Beta-версия);

Раздел THREAT HUNTING: подробно

Подход Threat Hunting позволяет осуществлять проактивный поиск аномальной или зловредной активности на пользовательских машинах с установленным SandBlast Agent — например, обращения к зловредным по мнению Check Point доменам, процессы, запущенные с помощью WMI, и пр. Имеется возможность использовать предустановленные фильтры для поиска, либо создавать свои собственные. Данная технология задействует Check Point ThreatCloud — постоянно обновляемый сервис, который представляет собой глобальную сеть из датчиков обнаружения угроз и компаний, которые отправляют информацию об угрозах в Check Point. На данный момент Threat Hunting находится в процессе доработки и доступ к Beta-версии предоставляется по запросу в Check Point. Мы обязательно детально рассмотрим данный инструмент в одной из следующих статей цикла.

GLOBAL SETTINGS — раздел глобальных настроек для всех Ваших приложений на портале Infinity Portal, позволяющий изменять настройки аккаунта компании на портале, управлять учётными записями администраторов и отслеживать их действия, просматривать состояние контрактов для различных приложений аккаунта, а также управлять ключами API и экспортировать логи из CloudGuard SaaS на Ваш локальный лог-сервер.

Раздел GLOBAL SETTINGS: подробно

Первый подраздел, Account Settings, отображает название Вашего аккаунта и Account ID, а также позволяет настраивать параметры принудительной аутентификации и таймаут бездействия. Помимо этого, в данном подразделе можно указать параметры для авторизации SSO и изменить тип аккаунта (клиент, партнёр категории Distributor/Reseller или партнёр категории MSSP).

Следующий подраздел, Users, отображает информацию об администраторах Вашего портала — контактные данные, а также дату и время регистрации и последнего входа в портал. В этом же разделе можно добавлять пользователей двух типов — администратор и Read-only-пользователь.

Далее следует подраздел Audits, позволяющий отслеживать действия администраторов портала. Как показано на рисунке ниже — логи активности администраторов включают в себя имя пользователя, дату и время события, сервис, категорию и тип события, а также краткое описание лога. Например, в логах ниже зафиксированы события входа в портал (Login), изменения типа аккаунта (Account Updated) на “Distributor”, а также добавление двухфакторной аутентификации для доступа на портал конкретному пользователю (User Updated).

Четвёртым подразделом является Contracts, который отображает информацию о контрактах для Ваших приложений на портале — срок истечения действия контракта, количество контрактов и использование квоты (если таковая имеется). Также в данном подразделе можно управлять привязанными аккаунтами Check Point из пункта ASSOCIATED ACCOUNTS.

Следующий подраздел — API Keys, в котором осуществляется управление ключами API для всех доступных приложений Infinity Portal. При генерации ключа создаются Client ID и Secret Key, которые в дальнейшем могу использоваться для доступа к порталу сторонними приложениями.

Последние два подраздела — Export Events и Partner Settings, первый из которых описывает процесс экспорта логов с CloudGuard SaaS на Ваш локальный лог-сервер, а второй позволяет просматривать информацию об аккаунтах и добавлять новые (только для аккаунтов категории Partner).

SandBlast Agent: установка и знакомство с интерфейсом

Варианты распространения агентов

Check Point описывают два способа распространения агентов на пользовательские компьютеры: автоматический и мануальный. Автоматическое развёртывание — осуществляется с помощью установки начального клиента (Initial Client) с использованием сторонних решений (например, групповые политики Active Directory) и последующей загрузкой политик на агента в автоматическом режиме. Мануальное развёртывание — скачивается клиент со встроенными политиками Threat Prevention и/или Data Protection, который затем распространяется на пользовательские машины с помощью сторонних решений. Первый способ удобнее тем, что версия Initial Client весит в десятки раз меньше полноценного варианта со всеми политиками, что позволяет распространить агента, например, по электронной почте в качестве вложения. С другой стороны, мануальное развёртывание не требует времени на процесс загрузки политик и блейдов в агент после установки — все компоненты уже входят в пакет SandBlast Agent.

Воспользуемся автоматическим развёртыванием агента. Версию Initial Client можно скачать из двух разделов консоли: Service Management и Overview. В разделе Service Management при выборе опции Download Initial Client скачивается начальный клиент. При загрузке из раздела Overview есть три варианта сборки SandBlast Agent: Quick Install (Initial), Threat Prevention Agent и Data Protection & Threat Prevention. Второй и третий вариант подходят для мануального развёртывания, а первый представляет собой сборку Initial Client.

Скачанный файл EPS.msi передаётся на пользовательскую машину, после чего необходимо запустить процесс установки. По завершении успешной установки в Панели задач появляется значок Check Point Endpoint Security, сигнализирующий о том, что агент отключен от сервера управления.

В это время клиент автоматически пытается подключиться к облачному серверу управления по встроенному адресу. Это достаточно быстрый процесс, и спустя пару минут новое оповещение указывает на запланированную установку агента. Данное сообщение свидетельствует об успешном соединении агента с облачным сервером управления.

Если нажать правой кнопкой мыши на значок Endpoint Security, то можно получить более подробную информацию об установленном с сервером управления соединении, например, имя сервера управления, к которому подключился клиент, и текущий статус соединения.

После успешного подключения к серверу управления начинается процесс загрузки необходимых компонентов (в соответствии с политикой безопасности) на пользовательскую машину. Администратор может отслеживать состояние процесса установки агента в разделе Computer Management веб-консоли управления — после успешного подключения пользовательской машины к облачному серверу управления её статус в разделе Computer Management сменяется со Scheduled на Downloading. После загрузки и проверки всех компонентов пользователю предлагается установить агента сразу, либо отложить процесс установки. Если агент не будет установлен пользователем в течение 2-х дней с момента начала процесса — агент установится в принудительном порядке, о чём и сообщается в предлагающем начать установку окне.

После начала установки агента пользовательская машина в разделе Computer Management консоли управления переходит в статус Deploying. По завершении процесса установки агента можно открыть его интерфейс, нажав правой кнопкой мыши на значок Endpoint Security и выбрав вариант Display Overview.

После установки рекомендуется нажать «Update now», чтобы инициировать процесс обновления политик и баз данных на агенте. Первое обновление базы данных Anti-Malware может занять некоторое время. Как только все базы обновятся, запустится автоматическое первое сканирование системы. В этот момент машина клиента в консоли управления должна отображаться в статусе Completed, что свидетельствует об успешной установке агента.

Приступим к изучению интерфейса агента. В левом нижнем углу отображается статус агента (Online/Disconnected) и имя Вашего облачного сервера управления — в нашем случае это статус «Online» и имя сервера управления «matssolution». В правом нижнем углу указывается текущая версия агента — у нас установлена версия E83.11 (83.11.2702). Панель навигации агента состоит из нескольких разделов:

Overview — основной раздел, отображающий информацию о статусе всех блейдов и соответствии компьютера пользователя политике безопасности. Также из данного раздела можно «провалиться» в каждый блейд для получения более подробной информации о статусе и событиях безопасности;

Update now — позволяет запустить процесс проверки актуальности действующих на агенте политик безопасности и баз данных;

Scan system now — инициирует процесс сканирования системы на наличие зловредного программного обеспечения или файлов;

Advanced — расширенные настройки агента, позволяющие просмотреть установленную политику, просмотреть или собрать логи, а также использовать компьютер пользователя в качестве Deployment Agent.

Так как никакие изменения в начальную политику не вносились — на текущий момент агент содержит только блейды политики Threat Prevention со стандартными значениями. Более детально содержимое начальной политики Threat Prevention будет рассмотрено в нашей следующей статье цикла.

Заключение

Самое время подвести итоги проделанной работы: в данной статье мы детально ознакомились с интерфейсом веб-консоли управления SandBlast Agent Management Platform, установили агента на пользовательскую машину и изучили его интерфейс.

В следующей нашей статье цикла мы изучим стандартную политику Threat Prevention и протестируем её на предмет противодействия самым популярным атакам. Также создадим собственные правила политики для повышения уровня защищённости пользовательской машины.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform — следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

ссылка на оригинал статьи https://habr.com/ru/company/tssolution/blog/512614/