نواصل دراسة النظام الأساسي الجديد لإدارة نقاط التحقق لإدارة أداة الأمان لأجهزة كمبيوتر المستخدم - وكيل SandBlast. في المقالة السابقة ، وصفنا المكونات الرئيسية لعامل SandBlast ، وتعرّفنا على بنية Check Point Infinity وقمنا بتسجيل تطبيق SandBlast Agent Management Platform في Infinity Portal. سنقوم اليوم بدراسة تفصيلية لواجهة الويب لنظام إدارة الوكيل - ستصبح هذه المقالة دليلاً مفيدًا لجميع وظائف وإمكانيات وحدة التحكم السحابية. وكإعداد للمقال التالي ، سنقوم بتثبيت SandBlast Agent والتعرف على واجهته.
هيكل وحدة التحكم في إدارة منصة الإدارة السحابية
يمكن تقسيم واجهة منصة إدارة وكيل SandBlast تقريبًا إلى ثلاثة مكونات:
- — : , Check Point ;
- — , , .;
- — ó , (, ) .
دعنا نلقي نظرة فاحصة على كل عنصر من عناصر نظام SandBlast Agent Management Platform. سيتم وصف مساحات العمل بالتفصيل لجميع مكونات شريط التنقل ، ولكن لنبدأ الآن بإمكانيات لوحة التحكم.
لوحة التحكم
تضم لوحة التحكم 6 مكونات ، فلنلق نظرة عليها من اليسار إلى اليمين. الأول هو زر القائمة ، والذي عند النقر فوقه ، يعرض خدمات البوابة الإلكترونية الحالية ويسمح لك بإضافة خدمات جديدة من فئات حماية السحابة وحماية الشبكة وحماية نقطة النهاية إلى حسابك. يتبع هذا اسم التطبيق الحالي الذي تعمل فيه - وفي هذه الحالة يكون SandBlast Agent Management Platform. بالنقر فوق رمز التطبيق ، يمكنك دائمًا الوصول إلى قسم "نظرة عامة" في شريط التنقل. العنصر الثالث هو رمز إدارة الحساب ، والذي يسمح لك بالتبديل السريع بين حسابات الشركات التي تكون أنت المسؤول فيها. المكون الرابع من لوحة التحكم هو زر المساعدة الذي يسمح لك بالاتصال بالدعم الفني Check Point مباشرة من وحدة التحكم ، انتقل إلى
موقع ويب لمراقبة حالة موارد الويب والسحابة Check Point ، بالإضافة إلى الوصول إلى أدلة المسؤول لمنصة إدارة وكيل SandBlast وبوابة Infinity. العنصر التالي هو ملف التعريف الخاص بك على بوابة Infinity ، بالنقر فوقه يمكنك "السقوط" في إعدادات ملف التعريف أو الخروج من ملف التعريف الحالي. وأخيرًا ، العنصر الأخير في لوحة التحكم هو زر الانتقال إلى موقع Infinity Portal .
إعدادات ملف تعريف بوابة Infinity
Infinity Portal : , ( ) , . , Google Authenticator Twilio Authy . — QR-, 2FA.
شريط التنقل
تشتمل منصة إدارة وكيل SandBlast على 9 أقسام في جزء التنقل ، كما هو موضح في الشكل أدناه ، والتي تتيح لك أداء العديد من المهام لنشر الوكلاء وإدارتهم ، بالإضافة إلى إدارة إعدادات وحدة تحكم الويب. دعنا نفكر بإيجاز في كل قسم ، وللحصول على معلومات مفصلة ، انقر فوق المفسد مع اسم القسم الذي تريده. هيا بنا نبدأ:
- نظرة عامة - قسم يتكون من عدة لوحات معلومات تعرض الحالة الحالية لأجهزة العميل والوكلاء من الناحية الصحية (عدد الأجهزة المحمية ، وإصدارات نظام التشغيل الخاصة بها ، وحالة الوكيل ، ورسائل الخطأ ، وما إلى ذلك) ومن وجهة نظر الأمان (بيانات حول الأجهزة المهاجمة والمصابة. والهجمات النشطة والمحظورة والجدول الزمني للهجوم وما إلى ذلك) ؛
قسم "نظرة عامة": بالتفصيل
: Operational Overview Security Overview. , Operational Overview, : , ( — /, — Windows/MacOS), , « » , , SandBlast Agent , (Alerts). SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
, Security Overview, ( ). , . Security Overview — , . Excel/PDF. SandBlast Agent.
- POLICY — , ( Unified Policy), ;
POLICY:
, Threat Prevention, , , . Threat Prevention: Web & Files Protection, Behavioral Protection, Analysis & Remediation. Web & Files Protection URL Filtering, Download protection, Credential protection, Files Protection. Behavioral Protection Anti-Bot, Behavioral Guard & Anti-Ransomware, Anti-Exploit. Analysis & Remediation Automated attack analysis (forensics), Remediation & Response.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
3 , : Tuning ( Detect), Recommended ( Detect) Default ( URL Filtering Detect). Threat Prevention ( Exclusions Center) .
— Data Protection, Full Disk Encryption. Check Point encryption BitLocker encryption Windows, File Vault MacOS. , , Pre-Boot Authentication, Windows Authentication.
— Deployment, SandBlast Agent . .
, Global Policy Settings, SandBlast Agent , Check Point, Full Disk Encryption.
- COMPUTER MANAGEMENT — , , , (Push Operation) (Full Disk Encryption Actions);
COMPUTER MANAGEMENT:
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
COMPUTER MANAGEMENT : , , . : ; CSV; Directory Scanner , , Active Directory; (//); ; ; Push Operation ( ); (Full Disk Encryption Actions).
. Active Directory, AD. , , , Desktops, Laptops, Servers .
, . (by computers property) , SandBlast Agent. (by virtual group) , (by organization unit) — Active Directory.
- LOGS — , (, , .), ;
LOGS:
. , LOGS 4 : ; ; ; . (Hide Identities) Excel-.
- PUSH OPERATIONS — , , ( , , / .);
PUSH OPERATIONS:
: , .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
, : Anti-Malware Scan for Malware, Update malware signature Database, Restore files from quarantine; Forensics And Remediation Analyze by Indicator, File Remediation; Agent Settings Collect Client Logs, Repair Client, Shutdown Computer, Restart Computer. .
- ENDPOINT SETTINGS — , Active Directory, (Alerts), Syslog, (user-based computer-based);
ENDPOINT SETTINGS:
, AD Scanners, Active Directory . Organization Distributed Scan, SandBlast Agent COMPUTER MANAGEMENT. Full Active Directory Sync, Active Directory . : Active Directory root, , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
Alerts, , , . 12 , . .
Export Events, (Syslog, CEF, LEEF, Generic) -. SIEM-, Syslog-.
— Licenses, : , , . GLOBAL SETTINS.
Policy Operation Mode, : Users based Policy Computers based Policy. — , .
- SERVICE MANAGEMENT — , Endpoint Management Platform SmartView , SmartConsole SandBlast Agent;
SERVICE MANAGEMENT:
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
SERVICE MANAGEMENT : , SmartView ( ) ; SmartConsole R80.40 — Check Point, SandBlast Agent; SandBlast Agent.
- THREAT HUNTING — , ( Beta-);
THREAT HUNTING:
Threat Hunting SandBlast Agent — , Check Point , , WMI, . , . Check Point ThreatCloud — , , Check Point. Threat Hunting Beta- Check Point. .
- GLOBAL SETTINGS — Infinity Portal, , , , API CloudGuard SaaS -.
GLOBAL SETTINGS:
, Account Settings, Account ID, . , SSO (, Distributor/Reseller MSSP).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
, Users, — , . — Read-only-.
Audits, . — , , , , . , (Login), (Account Updated) “Distributor”, (User Updated).
Contracts, — , ( ). Check Point ASSOCIATED ACCOUNTS.
— API Keys, API Infinity Portal. Client ID Secret Key, .
— Export Events Partner Settings, CloudGuard SaaS -, ( Partner).
SandBlast Agent:
Check Point : . — (Initial Client) (, Active Directory) . — Threat Prevention / Data Protection, . , Initial Client , , , . , — SandBlast Agent.
لنستخدم النشر التلقائي للوكيل. يمكن تنزيل إصدار العميل الأولي من قسمين لوحدة التحكم: إدارة الخدمة ونظرة عامة. في قسم إدارة الخدمة ، يؤدي تحديد خيار تنزيل العميل الأولي إلى تنزيل العميل الأولي. عند التحميل من قسم نظرة عامة ، هناك ثلاثة خيارات بناء لعامل SandBlast: التثبيت السريع (الأولي) ، وعامل منع التهديدات ، وحماية البيانات ومنع التهديدات. الخياران الثاني والثالث مناسبان للنشر اليدوي ، والأول هو تجميع العميل الأولي. يتم نقل ملف EPS.msi الذي تم تنزيله إلى جهاز المستخدم ، وبعد ذلك من الضروري بدء عملية التثبيت. عند اكتمال التثبيت الناجح ، يظهر رمز Check Point Endpoint Security في شريط المهام ، مشيرًا إلى أن الوكيل قد تم فصله عن خادم الإدارة.
في هذا الوقت ، يحاول العميل تلقائيًا الاتصال بخادم إدارة السحابة باستخدام العنوان المدمج. هذه عملية سريعة إلى حد ما ، وبعد دقيقتين ، يشير تنبيه جديد إلى التثبيت المخطط للوكيل. تشير هذه الرسالة إلى نجاح الاتصال بين الوكيل وخادم إدارة السحابة. إذا نقرت بزر الماوس الأيمن فوق رمز Endpoint Security ، فيمكنك الحصول على معلومات أكثر تفصيلاً حول الاتصال الذي تم إنشاؤه مع خادم الإدارة ، على سبيل المثال ، اسم خادم الإدارة الذي يتصل به العميل وحالة الاتصال الحالية.
بعد الاتصال الناجح بخادم الإدارة ، تبدأ عملية تنزيل المكونات الضرورية (وفقًا لسياسة الأمان) على جهاز المستخدم. يمكن للمسؤول مراقبة حالة عملية تثبيت الوكيل في قسم إدارة الكمبيوتر في وحدة التحكم في إدارة الويب - بعد اتصال جهاز المستخدم بخادم إدارة السحابة بنجاح ، تتغير حالته في قسم إدارة الكمبيوتر من مجدول إلى تنزيل. بعد التنزيل والتحقق من جميع المكونات ، يُطلب من المستخدم تثبيت الوكيل على الفور ، أو تأجيل عملية التثبيت. إذا لم يتم تثبيت الوكيل من قبل المستخدم في غضون يومين من بدء العملية ، فسيتم تثبيت الوكيل قسرًا ، والذي يتم الإبلاغ عنه في النافذة التي تقترح بدء التثبيت.
بعد بدء تثبيت الوكيل ، يتغير جهاز المستخدم في قسم إدارة الكمبيوتر بوحدة تحكم الإدارة إلى حالة النشر. عند اكتمال عملية تثبيت العامل ، يمكنك فتح واجهته عن طريق النقر بزر الماوس الأيمن فوق رمز Endpoint Security وتحديد عرض نظرة عامة. بعد التثبيت ، يوصى بالنقر فوق "تحديث الآن" لبدء عملية تحديث السياسات وقواعد البيانات على الوكيل. قد يستغرق التحديث الأول لقاعدة بيانات مكافحة البرامج الضارة بعض الوقت. بمجرد تحديث جميع قواعد البيانات ، سيبدأ المسح التلقائي الأول للنظام. في هذه المرحلة ، يجب أن يعرض جهاز العميل في وحدة تحكم الإدارة الحالة "مكتمل" ، مما يشير إلى أنه تم تثبيت الوكيل بنجاح.
لنبدأ في استكشاف واجهة الوكيل. في الزاوية اليسرى السفلية ، يتم عرض حالة الوكيل (متصل / غير متصل) واسم خادم إدارة السحابة الخاص بك - في حالتنا ، هذه هي الحالة "متصل" واسم خادم الإدارة "matssolution". تمت الإشارة إلى الإصدار الحالي من الوكيل في الزاوية اليمنى السفلية - لدينا الإصدار E83.11 (83.11.2702) مثبتًا. تتكون لوحة تنقل الوكيل من عدة أقسام:
- نظرة عامة هي القسم الرئيسي الذي يعرض معلومات حول حالة جميع الشفرات وتوافق كمبيوتر المستخدم مع سياسة الأمان. يمكنك أيضًا من هذا القسم "الوقوع" في كل شفرة للحصول على معلومات أكثر تفصيلاً حول الحالة وأحداث الأمان ؛
- التحديث الآن - يسمح لك ببدء عملية التحقق من مدى ملاءمة سياسات وقواعد البيانات الأمنية السارية على الوكيل ؛
- نظام المسح الآن - يبدأ عملية فحص النظام بحثًا عن البرامج أو الملفات الضارة ؛
- متقدم - إعدادات الوكيل المتقدمة التي تتيح لك عرض السياسة المثبتة ، وعرض السجلات أو تجميعها ، وكذلك استخدام كمبيوتر المستخدم كعامل نشر.
نظرًا لعدم إجراء أي تغييرات على السياسة الأولية ، لا يحتوي الوكيل حاليًا إلا على شفرات سياسة منع التهديدات مع القيم الافتراضية. ستتم مناقشة محتوى سياسة منع التهديدات الأولية بمزيد من التفصيل في مقالتنا التالية في هذه السلسلة.
خاتمة
حان الوقت لتقييم العمل المنجز: في هذه المقالة ، تعرفنا بالتفصيل على واجهة وحدة تحكم إدارة الويب الخاصة بـ SandBlast Agent Management Platform ، وقمنا بتثبيت الوكيل على جهاز المستخدم ودرسنا واجهته.
في مقالتنا التالية في هذه السلسلة ، سوف ندرس سياسة منع التهديدات القياسية ونختبرها ضد الهجمات الأكثر شيوعًا. سننشئ أيضًا قواعد السياسة الخاصة بنا لزيادة مستوى الأمان لجهاز المستخدم.
مجموعة كبيرة من المواد على Check Point من TS Solution . حتى لا تفوتك المنشورات التالية على منصة إدارة وكيل SandBlast - اتبع التحديثات على شبكاتنا الاجتماعية ( Telegram ، Facebook ، VK ،مدونة حل TS ، Yandex.Zen ).