Рубрика «ts solution»

3. Elastic stack: анализ security логов. Дашборды - 1

В прошлых статьях мы немного ознакомились со стеком elk и настройкой конфигурационного файла Logstash для парсера логов, в данной статье перейдем к самому важному с точки зрения аналитики, то что вы хотите увидеть от системы и ради чего все создавалось — это графики и таблицы объединенные в дашборды. Сегодня мы поближе ознакомимся с системой визуализации Kibana, рассмотрим как создавать графики, таблицы, и в результате построим простенький дашборд на основе логов с межсетевого экрана Check Point.
Читать полностью »

2. Elastic stack: анализ security логов. Logstash - 1

В прошлой статье мы познакомились со стеком ELK, из каких программных продуктов он состоит. И первая задача с которой сталкивается инженер при работе с ELK стеком это отправление логов для хранения в elasticsearch для последующего анализа. Однако, это просто лишь на словах, elasticsearch хранит логи в виде документов с определенными полями и значениями, а значит инженер должен используя различные инструменты распарсить сообщение, которое отправляется с конечных систем. Сделать это можно несколькими способами — самому написать программу, которая по API будет добавлять документы в базу либо использовать уже готовые решения. В рамках данного курса мы будем рассматривать решение Logstash, которое является частью ELK stack. Мы посмотрим как можно отправить логи с конечных систем в Logstash, а затем будем настраивать конфигурационный файл для парсинга и перенаправления в базу данных Elasticsearch. Для этого в качестве входящей системы берем логи с межсетевого экрана Check Point.
Читать полностью »

Check Point Gaia R80.40. Что будет нового? - 1

Приближается очередной релиз операционной системы Gaia R80.40. Несколько недель назад стартовала программа Early Access, по которой можно получить доступ для тестирования дистрибутива. Мы, как обычно публикуем информацию о том, что будет нового, а также выделим моменты, которые наиболее интересны с нашей точки зрения. Забегая вперед, могу сказать, что новшества действительно значимые. Поэтому стоит готовиться к скорой процедуре обновления. Ранее мы уже публиковали статью о том, как это делать (за дополнительной информацией можно обратиться сюда). Перейдем к теме...Читать полностью »

Check Point Falcon Acceleration Cards — ускоряем обработку трафика - 1

Относительно недавно мы публиковали статью про Check Point Maestro, новую масштабируемую платформу, которая позволяет практически линейно наращивать “мощность” шлюзов Check Point. Однако это не единственная технология увеличения производительности. Еще в 2018 году были анонсированы новые карты акселерации трафика с выделенным сетевым процессором — Falcon Acceleration Cards. Смысл этих устройств простой — взять на себя часть нагрузки по обработке трафика. В этой статье мы рассмотрим:

  • Варианты доступных карт;
  • В какие модели шлюзов они могут быть установлены;
  • Внешний вид и установка;
  • Какую нагрузку могут на себя брать;
  • На сколько они “ускоряют” SSL-инспекцию.

Если вам интересна данная тема — добро пожаловать под кат.Читать полностью »

StealthWatch базовые понятия и минимальные требования. Часть 1 - 1

Данная статья посвящена довольно новому продукту мониторинга сети Cisco StealthWatch. Основываясь на данных телеметрии вашей инфраструктуры, StealthWatch может выявлять самые разные кибератаки, включая:

  • APTs
  • DDoS
  • атаки нулевого дня
  • наличие ботов в сети
  • кража данных (data leakage)
  • аномальное поведение

В основе работы StealthWatch лежит сбор NetFlow и IPFIX с маршрутизаторов, коммутаторов и других сетевых устройств. В результате сеть становится чувствительным сенсором и позволяет администратору заглянуть туда, куда не могут добраться традиционные методы защиты сети: NGFW, SIEM, IPS и другие. Собирать StealthWatch может следующие протоколы: NetFlow (начиная с версии 5), sFlow, jFlow, cFlow, Netstream, nvxFlow, IPFIX и Packeteer-2.
Читать полностью »

Чек-лист по настройкам безопасности Check Point - 1

Относительно недавно мы опубликовали в открытый доступ мини-курс "Check Point на максимум". Там мы попытались вкратце и с примерами рассмотреть самые частые ошибки в конфигурации Check Point с точки зрения ИБ. По сути мы рассказали чем плохи настройки по умолчанию и каким образом «закрутить гайки». Курс (неожиданно для нас) получил довольно хорошие отзывы. После чего, к нам поступило несколько запросов на краткую «выжимку» этого материала — чек-лист по настройкам безопасности. Мы решили, что это неплохая идея, в связи с чем и публикуем эту статью.
Перед началом мне хотелось бы сделать акцент на двух вещах:

  1. Данный чек-лист не является самодостаточным документом или руководством. Это лишь необходимый минимум проверок, которые желательно сделать. Дополнительные (расширенные) рекомендации можно получить только после детального обследования инфраструктуры.
  2. Чек-лист будет актуален не только для владельцев Check Point. Аналогичные проблемы с дефолтными настройками наблюдаются и у других вендоров: Fortigate, PaloAlto, Cisco FirePower, Kerio, Sophos и т.д.

А теперь сам чек-лист с небольшими комментариями по каждому пункту:Читать полностью »

1. Анализ логов Check Point: официальное приложение Check Point для Splunk - 1

Работая с шлюзами безопасности компании Check Point, очень часто возникает задача разбора логов для обнаружения и анализа инцидентов информационной безопасности. Обычно в организациях существует уже какая-либо система логирования, и стоит задача транспортировки логов с сервера управления Check Point и последующая настройка фильтров для логов, составление дашбордов, графиков и так далее. В данном курсе мы рассмотрим различные варианты анализа логов Check Point с помощью внутреннего функционала и сторонних приложений, рассмотрим какую полезную информацию мы можем извлечь, и чем она поможет в настройке межсетевого экрана.
Читать полностью »

Типичные проблемы с безопасностью корпоративной сети, которые удается обнаружить с помощью Check Point Security CheckUP - 1

Все персонажи вымышлены, все совпадения с реальными компаниями абсолютно случайны!

Какие проблемы с безопасностью корпоративной сети чаще всего встречаются? Ответ на этот вопрос не такой простой. Но мы можем поделиться некоторой статистикой, которую мы получили проводя аудиты безопасности сети с помощью Check Point Security CheckUP. Мы уже публиковали целую серию статей о том, что такое Security CheckUP и как его провести. В первом видео уроке даже описывали, зачем вам это может понадобиться. Количество проведенных нами CheckUP-ов уже давно перевалило за сотню. За все это время накопилась статистика по самым распространенным проблемам с безопасностью сети, которые удается обнаружить с помощью Security CheckUP. Описанные ниже угрозы присутствовали практически у всех компаний (у кого-то больше, у кого-то меньше).Читать полностью »

Обзор архитектуры управления информационной безопасности в Check Point R80.10. Часть 1 (Перевод) - 1

Экспоненциальный рост объёмов данных поступающих из различных источников, таких как сетевые, облачные, мобильные и виртуальные системы, приводит к появлению новых угроз. Организации должны быстро адаптироваться и защитить себя, требуя более мощных и высокопроизводительных средств информационной безопасности. Check Point Infinity, первая консолидированная система информационной безопасности, работающая как в обычных сетях, так и в облачных и мобильных, обеспечивая самый высокий уровень предотвращения как известных, так и неизвестных целенаправленных атак, чтобы защитить вас в настоящем и в будущем.

Система управления Check Point R80.10 являясь частью Check Point Infinity обеспечивает управление системой информационной безопасности на новом уровне. За счёт единой консоли управления предоставляя простой и эффективный инструмент управления политиками и просмотра событий. Далее мы более подробно рассмотрим технические особенности новой архитектуры.
Читать полностью »

4. Check Point на максимум. Проверяем Anti-Virus с помощью Kali Linux - 1

Мы продолжаем тему оптимизации настроек Check Point. На этот раз мы затронем тему Anti-Virus. Антивирусным технологиям уже более 30 лет! Казалось бы, за это время уже все и всё узнали. Да и какие там настройки? Включаешь Антивирус и просто регулярно обновляешь базы, ну т.е. сигнатуры. Это не совсем верная стратегия. Многие пользователи Check Point-а оставляют дефолтные настройки, а потом удивляются, когда вирус все же проникает в сеть. Я постараюсь рассказать, как минимизировать эти риски.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js