Выбор редакции

2. Анализ логов Check Point: SmartEvent

30 января, 2019. 01:01
Теги: #Check_Point, #Splunk
Здравствуйте, коллеги. В прошлый раз, в статье «1. Анализ логов Check Point: официальное приложение Check Point для Splunk» мы обсуждали разбор логов шлюза безопасности на основе официального приложения в системе логирования Splunk. В заключении пришли к выводу что хоть приложение в качестве быстрого решения очень удобно, но на данном этапе является недоработанным — не настроено большого количества дашбордов, на которые очень важно обращать внимание security инженеру для того чтобы понимать, что происходит в организации с точки зрения ИБ. В данной статье обсудим возможности просмотра и анализа логов функционалом SmartEvent, на что стоит обратить внимание, и рассмотрим какие варианты по автоматизации событий доступны.

SmartEvent сопоставляет логи со всех шлюзов Check Point чтобы идентифицировать подозрительную активность, отследить тенденции и провести расследование инцидентов ИБ. Анализ данных проходит в режиме реального времени, что позволяет быстро среагировать на событие. SmartEvent входит в список продуктов на сервере управления, однако требует отдельной лицензии, состоит из просмотров и отчетов, которые вы можете создать самостоятельно или использовать предустановленные.

Фактически чтобы функционал заработал, нужно просто включить блейд в настройках сервера управления, сразу вы получаете набор отчетов, которые можно сформировать, кроме этого существует возможность по созданию новых отчетов в зависимости от ваших задач, дополнительно в оснастке SmartEvent Settings & Policy настраивается правила автоматизации событий.

Рассмотрим сначала стандартные отчеты SmartEvent. Также обращаю внимание что на сервере управления стоит версия операционной системы GAIA R80.20.


ЧИТАТЬ МАТЕРИАЛ
Комментарии: