12. Check Point Getting Started R80.20. Logs & Reports

12. Check Point Getting Started R80.20. Logs & Reports


Добро пожаловать на 12-й урок. Сегодня мы поговорим о еще одной весьма важной теме, а именно о работе с логами и отчетами. Порой данная функциональность оказывается чуть ли не решающей при выборе средства защиты. Очень уж любят «безопасники» удобную систему отчетности и функциональный поиск по различным событиям. Трудно их в этом винить. По сути, логи и репорты это важнейший элемент оценки защищенности. Как понять текущий уровень безопасности если вы не видите, что происходит? К счастью, у Check Point в этом плане все в полном порядке и даже более. Check Point имеет одну из лучших систем отчетности, которая работает из коробки! При этом есть возможность кастомизации и созданиях собственных отчетов! Все это дополняется удобным и интуитивно понятным процессом работы с логами. Но давайте обо всем по порядку.

Совершенно новый интерфейс


Если вы работали с Check Point ранее, то наверняка были удивлены абсолютно новому интерфейсу работы с логами и отчетами в R80. На картинке видно сколько различных утилит объединили в рамках одной новой вкладки Logs & Monitor:



Раздел Logs & Monitor


Если перейти в Logs & Monitor и открыть новую вкладку, то вы должны увидеть примерно следующее:



По дефолту здесь есть два больших раздела:

  1. Audit Logs View — тут можно найти все события связанные со входом/выходом администраторов, изменениями в конфигурации и т.д. Т.е. классический аудит действий администратора.
  2. Logs View — именно тут можно осуществлять поиск по событиям, которые «генерят» все наши включенные блейды, будь то firewall, antivirus, IPS и т.д. Мы уже не раз с вами пользовались этой функцией.

Кроме того здесь же есть ссылки на отчеты (Reports) и различные дашборды (Views). Для их работы необходим включенный блейд Smart Event. Но об этом чуть позже. Сначала давайте разберемся с работой с логами.

Поиск по логам


На мой взгляд работать с логами в R80 одно удовольствие. У нас есть весьма умная строка поиска, которая нам позволяет «сечить» и по произвольному тексту, и по блейду, и по любым другим индексируемым параметрам типа source, destination, action и т.д.



При этом мы можем составлять весьма сложные поисковые запросы с помощью логических операторов AND, OR, NOT. И для этого даже необязательно что-то печатать. Фильтр можно создать буквально в пару кликов мыши. Чуть позже мы с вами опробуем это все на практике.

Отображение Log-сообщений по Access-List


Также мы с вами уже оценили возможность отображения логов по конкретному списку доступа. Это безумно удобно и к этому очень быстро привыкаешь. Особенно это выручает при траблшутинге. Выделил интересные тебе «аксес-лист» и смотришь снизу, попадает ли под него нужный трафик.



Не нужно никуда переходить или составлять сложный фильтр для логов.

Views & Reports


За отчетность и визуализацию данных в Check Point отвечает блейд Smart Event, который активируется на сервере управления. Этот функционал можно смело называть SIEM-ом, но только для продуктов Check Point! Технически на Smart Event можно заворачивать логи и от других систем ( типа cisco, microsoft и т.д.), но это не самая удачная идея :) На практике это весьма проблематично. Но вот с «чекпоинтовскими» логами SmartEvent справляется просто шикарно. Может коррелировать, суммировать, усреднять и многое другое. И все это работает из коробки! Само собой существуют уже готовые дашборды для отображения наиболее важной информации. В Check Point они называются Views:



Можно увидеть, что здесь довольно большое кол-во дефолтных дашбордов, которые очень полезны в повседневном администрировании и мониторинге.

Кроме дашбордов, где информация просто визуализируется, есть возможность генерации полноценных отчетов и сохранении их в pdf или же excel формат. Можно генерировать по расписанию и слать их на какой-нибудь почтовый ящик.

И самое приятное! Дашборды и отчеты можно создавать самому! Т.е. вы не ограничены встроенными. Этим может похвастаться далеко не каждый вендор. При этом шаблоны этих дашбордов или отчетов можно импортировать или экспортировать, что дает возможность пользователям делиться своими наработками. Сам процесс создания дашборда весьма простой и интуитивно понятный. Я постараюсь показать вам это в рамках лабораторной работы, которую вы найдете в видео уроке ниже.

Видео урок





Stay tuned for more and join our YouTube channel :)
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваш мозг на 60% состоит из жира. Добавьте 40% науки!

Сбалансированная диета для серого вещества

Подпишитесь и станьте самым умным овощем