我们将继续探索用于管理用户计算机安全工具的新Check Point管理平台-SandBlast Agent。在上一篇文章中,我们描述了SandBlast Agent的主要组件,熟悉Check Point Infinity体系结构,并在Infinity Portal上注册了SandBlast Agent Management Platform应用程序。今天,我们将详细研究代理管理系统的Web界面-本文将成为有关云控制台所有功能的便捷指南。并且作为下一篇文章的准备,我们将安装SandBlast Agent并熟悉其界面。
管理平台云管理控制台结构
SandBlast代理管理平台界面可以大致分为三个组件:
- — : , Check Point ;
- — , , .;
- — ó , (, ) .
让我们仔细看一下SandBlast代理管理平台系统的每个元素。将为导航栏的所有组件详细描述工作区,但现在让我们从控制面板的功能开始。
控制面板
控制面板包含6个组件,让我们从左到右查看它们。第一个是“菜单”按钮,单击该按钮可显示当前的门户网站服务,并允许您将Cloud Protection,Network Protection和Endpoint Protection类别中的新服务添加到您的帐户。这后面是您正在使用的当前应用程序的名称-在这种情况下,它是SandBlast代理管理平台。通过单击应用程序图标,您始终可以转到导航栏的“概述”部分。第三个元素是帐户管理图标,它使您可以在作为管理员的公司的帐户之间快速切换。 控制面板的第四个组件是一个帮助按钮,可让您直接从控制台联系Check Point技术支持,请转到
一个站点,用于监视Check Point云和Web资源的状态,以及访问SandBlast代理管理平台和Infinity门户的管理员指南。下一个元素是您在Infinity门户上的个人资料,通过单击您可以“浏览”个人资料设置或退出当前个人资料。最后,控制面板的最后一个元素是转到Infinity Portal网站的按钮。
Infinity门户网站配置文件设置
Infinity Portal : , ( ) , . , Google Authenticator Twilio Authy . — QR-, 2FA.
导航栏
SandBlast代理管理平台在导航窗格中有9个部分,如下图所示,使您可以执行许多任务来部署和管理代理以及管理Web控制台设置。让我们简要地考虑每个部分,有关详细信息,请单击带有感兴趣部分名称的扰流板。让我们开始吧:
- 概述-由几个仪表板组成的部分,从健康状况(受保护机器的数量,其操作系统版本,代理状态,错误消息等)和从安全角度(受攻击和受感染的机器上的数据)显示客户端计算机和代理的当前状态,主动和被阻止的攻击,攻击时间表等);
概述部分:详细
: Operational Overview Security Overview. , Operational Overview, : , ( — /, — Windows/MacOS), , « » , , SandBlast Agent , (Alerts). SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
- POLICY — , ( Unified Policy), ;
POLICY:
, Threat Prevention, , , . Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Web & Files Protection URL Filtering, Download protection, Credential protection, Files Protection. Behavioral Protection Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Analysis & Remediation Automated attack analysis (forensics), Remediation & Response.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
- COMPUTER MANAGEMENT — , , , (Push Operation) (Full Disk Encryption Actions);
COMPUTER MANAGEMENT:
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
- LOGS — , (, , .), ;
LOGS:
. , LOGS 4 : ; ; ; . (Hide Identities) Excel-.
- PUSH OPERATIONS — , , ( , , / .);
PUSH OPERATIONS:
: , .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
- ENDPOINT SETTINGS — , Active Directory, (Alerts), Syslog, (user-based computer-based);
ENDPOINT SETTINGS:
, AD Scanners, Active Directory . Organization Distributed Scan, SandBlast Agent COMPUTER MANAGEMENT. Full Active Directory Sync, Active Directory . : Active Directory root, , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
- SERVICE MANAGEMENT — , Endpoint Management Platform SmartView , SmartConsole SandBlast Agent;
SERVICE MANAGEMENT:
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
- THREAT HUNTING — , ( Beta-);
THREAT HUNTING:
Threat Hunting SandBlast Agent — , Check Point , , WMI, . , . Check Point ThreatCloud — , , Check Point. Threat Hunting Beta- Check Point. .
- GLOBAL SETTINGS — Infinity Portal, , , , API CloudGuard SaaS -.
GLOBAL SETTINGS:
, Account Settings, Account ID, . , SSO (, Distributor/Reseller MSSP).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
SandBlast Agent:
Check Point : . — (Initial Client) (, Active Directory) . — Threat Prevention / Data Protection, . , Initial Client , , , . , — SandBlast Agent.
让我们使用自动代理部署。可以从控制台的两个部分下载“初始客户端”版本:“服务管理”和“概述”。在“服务管理”部分中,选择“下载初始客户端”选项将下载初始客户端。从“概述”部分加载后,有三个SandBlast Agent构建选项:快速安装(初始),威胁防护代理以及数据保护和威胁防护。第二个和第三个选项适用于手动部署,第一个是Initial Client程序集。 下载的EPS.msi文件将传输到用户的计算机上,然后有必要开始安装过程。成功完成安装后,“检查点端点安全性”图标将显示在任务栏中,表明该代理已与管理服务器断开连接。
此时,客户端会自动尝试使用内置地址连接到云管理服务器。这是一个相当快的过程,几分钟后,会出现新的警报,指示已计划安装代理。此消息指示代理与云管理服务器之间的成功连接。 如果右键单击Endpoint Security图标,则可以获取有关与管理服务器建立的连接的更多详细信息,例如,客户端连接到的管理服务器的名称以及当前的连接状态。
成功连接到管理服务器后,将开始(根据安全策略)将必需的组件下载到用户计算机的过程。管理员可以在Web管理控制台的“计算机管理”部分中监视代理安装过程的状态-用户计算机成功连接到云管理服务器后,其在“计算机管理”部分中的状态将从“计划”更改为“下载”。在下载并检查了所有组件之后,将为用户提供立即安装代理或推迟安装过程的信息。如果用户在此过程开始后的两天内未安装代理,则将强制安装代理,该窗口会在建议开始安装的窗口中报告。
代理安装开始后,管理控制台的“计算机管理”部分中的用户计算机将变为“部署”状态。代理安装过程完成后,可以通过右键单击Endpoint Security图标并选择“显示概述”来打开其界面。 安装后,建议单击“立即更新”以启动更新代理上的策略和数据库的过程。防恶意软件数据库的第一次更新可能需要一些时间。所有数据库更新后,将自动开始系统的首次扫描。此时,管理控制台中的客户端计算机应显示“已完成”状态,表明已成功安装代理。
让我们开始探索代理界面。在左下角,将显示代理状态(在线/断开连接)和您的云管理服务器的名称-在我们的情况下,这是“在线”状态,而管理服务器的名称是“ matssolution”。代理的当前版本显示在右下角-我们已经安装了版本E83.11(83.11.2702)。代理导航面板包括几个部分:
- 概述是主要部分,显示有关所有刀片的状态以及用户计算机对安全策略的遵从性的信息。同样,从本节中,您可以“陷入”每个刀片中,以获取有关状态和安全事件的更详细信息;
- 立即更新-允许您开始检查对代理有效的安全策略和数据库的相关性;
- 立即扫描系统-启动扫描系统是否存在恶意软件或文件的过程;
- 高级-高级代理设置,使您可以查看已安装的策略,查看或收集日志,还可以将用户的计算机用作部署代理。
由于未对初始策略进行任何更改,因此该代理当前仅包含具有默认值的Threat Prevention策略刀片。初始威胁防御策略的内容将在本系列的下一篇文章中进行详细讨论。
结论
现在该总结一下完成的工作了:在本文中,我们详细了解了SandBlast代理管理平台Web管理控制台的界面,在用户计算机上安装了代理,并研究了其界面。
在本系列的下一篇文章中,我们将研究标准的“威胁防御”策略,并针对最受欢迎的攻击进行测试。我们还将创建我们自己的策略规则,以提高用户计算机的安全级别。
从TS解决方案中选择检验点的大量材料。为了不错过SandBlast代理管理平台主题上的以下出版物,请关注我们社交网络上的更新(电报,Facebook,VK,TS解决方案博客,Yandex.Zen)。