Logi i monitoring - część 7
2019-12-19
Gdybym miał wybrać jedno słowo, które charakteryzuje zarządzanie Check Point'em w firmware R80 względem poprzedników, nie mam nawet cienia wątpliwości, że było by to słowo "konsolidacja". Wiąże się ona niemal z każdym aspektem pracy w obecnej wersji konsoli. Nie inaczej jest z tematem zarządzania logami oraz zdarzeniami.
Nieco bardziej doświadczeni użytkownicy doskonale pamiętają cały zestaw aplikacji pozwalających na monitorowanie bieżącego stanu urządzenia, szukania logów z połączeń czy wreszcie generowania raportów. Przełączanie się pomiędzy SmartViewTracker, SmartViewMonitor, SmartEvent czy SmartReporter stanowiło chleb powszedni administratora Security Management Server'a opartego o wcześniejsze wersje firmware.
W najnowszej wersji systemu zarządzania wszystkie wspomniane funkcjonalności zostały skonsolidowane w ramach jednej aplikacji SmartConsole i pozwalają administratorowi na dostęp do logów oraz innych zdarzeń za pomocą sekcji LOGS & MONITORING.
W lekcji nr7 możemy zapoznać się ze szczegółami dotyczącymi nowego sposobu interakcji z logami urządzenia. Prowadzący przedstawia szereg przykładów, które pomogą nowym użytkownikom w oswojeniu się z systemem logów, natomiast doświadczonym użytkownikom wskażą kilka ciekawych sztuczek.
Interakcja z logami
Nowy system logów jest bardzo interaktywny. Pozwala m.in. na dodawanie nowych obiektów na podstawie informacji dostępnych w szczegółach połączenia lub na dodawanie wyjątków do reguł bezpieczeństwa na podstawie informacji zawartych w karcie konkretnego zdarzenia. Informacje o ruchu wpadającym w daną regułę również możemy uzyskać na kilka sposobów. Jednym z nich jest po prostu kliknięcie w regułę, która nas interesuje. W dolnej części interfejsu momentalnie otrzymamy widok ruchu, który wpada w zaznaczoną regułę.
Możemy oczywiście nadal tworzyć ręczne zapytania do log serwera, w których bardzo precyzyjnie określimy kryteria wyszukiwania lub skorzystać z predefiniowanych zapytań, które wskażą nam szczegóły pracy konkretnego modułu urządzenia np. application firewall’a czy środowiska sandboxowego.
Smart Event - czyli SIEM wewnątrz CP
Jednym z moich ulubionych modułów dostępnych od lat w środowisku zarządzającym rozwiązaniami Check Point jest Smart Event - czyli moduł do korelowania logów i generowania na ich podstawie konkretnych zdarzeń bezpieczeństwa. Dzięki niemu nie musimy przeglądać setek tysięcy pojedynczych wpisów w log serwerze tylko koncentrujemy się na konkretnych zdarzeniach. Moduł ten jest oczywiście nadal dostępny z tym, że aby skorzystać z jego możliwości wystarczy, że zmienimy zakładkę wewnątrz sekcji z logami. Rodzaj oraz sposób prezentowanych tam informacji możemy oczywiście dostosować do własnych potrzeb. W jaki sposób możemy to zrobić, co dokładnie znajduje się "pod maską" systemu Smart Event oraz jakie są wymagania sprzętowe pod uruchomienie serwera, również dowiemy się z lekcji nr.7
SmartView
Niewielką, jednak bardzo ułatwiającą życie nowością jest SmartView - czyli wspomniany wcześniej SmartEvent w wersji dostępnej z poziomu przeglądarki internetowej. Dzięki temu prostemu narzędziu możemy uzyskać dostęp do najważniejszych zdarzeń z poziomu dowolnego urządzenia. Jeśli więc chcemy spojrzeć co dzieje się w naszej sieci korzystając z tabletu bądź uruchomić podgląd zdarzeń na wielkim monitorze w pokoju administratorów, jest to idealna opcja. SmartView jest dostępny na adresie IP serwera, na którym uruchomiony jest SmartEvent pod adresem URL: https://adres.naszego.serwera/smartview/
Compliance Blade
W najnowszym systemie do analizy zdarzeń nie zabrakło oczywiście bardzo lubianego przez administratorów systemów Check Point modułu Compliance. Konfrontuje on bieżącą politykę bezpieczeństwa z bardzo dużą bazą najlepszych praktyk, dzięki czemu administrator może szybko zweryfikować, które elementy konfiguracji mogą wymagać poprawek. Dzięki Compliance blade możemy również zweryfikować jak nasza polityka bezpieczeństwa wpisuje się w normy nakreślone np. przez ISO, PCIDSS czy NIST. Jest to doskonałe narzędzie do monitorowania polityk bezpieczeństwa w kontekście konfiguracji wymaganej przez RODO wiele dobrych praktyk dotyczy bowiem kwestii związanych z ochroną danych osobowych.
Rozwiązywanie problemów
Ostatnią część blisko 40 minutowej lekcji stanowi temat rozwiązywania problemów. Tak potężne i rozbudowane narzędzie może wymagać co pewien czas drobnych prac konserwacyjnych. Warto również dowiedzieć się jakie informacje zebrać z log serwera przed ewentualnym kontaktem z pomocą techniczną producenta. Najważniejsze informacje w tym właśnie zakresie możemy uzyskać w omawianej lekcji.