Bienvenue à la 12e leçon. Aujourd'hui, nous allons parler d'un autre sujet très important, à savoir l'utilisation
des journaux et des rapports . Parfois, cette fonctionnalité est presque décisive lors du choix d'un moyen de protection. Les agents de sécurité aiment vraiment un système de rapport pratique et une recherche fonctionnelle de divers événements. Il est difficile de leur en vouloir. En fait, les journaux et les rapports sont un élément essentiel pour évaluer la sécurité. Comment comprendre le niveau de sécurité actuel si vous ne voyez pas ce qui se passe? Heureusement, Check Point a tout dans cet ordre et encore plus. Check Point possède l'un des meilleurs systèmes de reporting qui fonctionne dès le départ! En même temps, il y a la possibilité de personnalisation et de créer vos propres rapports! Tout cela est complété par un processus pratique et intuitif de travail avec les journaux. Mais parlons de tout dans l'ordre.
Nouvelle interface
Si vous avez travaillé avec Check Point auparavant, vous avez probablement été surpris par la toute nouvelle interface pour travailler avec les journaux et les rapports dans R80. L'image montre combien d'utilitaires différents sont combinés dans un nouvel onglet
Journaux et moniteur :
Section Journaux et moniteur
Si vous allez dans Logs & Monitor et ouvrez un nouvel onglet, vous devriez voir quelque chose comme ceci:
Par défaut, il existe deux grandes sections:
- Vue des journaux d'audit - vous pouvez trouver ici tous les événements liés à l'entrée / sortie des administrateurs, aux changements de configuration, etc. C'est-à-dire audit classique des actions de l'administrateur.
- Affichage des journaux - c'est ici que vous pouvez rechercher des événements qui «génèrent» toutes nos lames incluses, que ce soit un pare-feu, un antivirus, un IPS, etc. Nous avons utilisé cette fonctionnalité plus d'une fois.
En outre, il existe des liens vers des rapports (
Rapports ) et divers tableaux de bord (
Vues ). Pour leur fonctionnement, la lame
Smart Event incluse est requise. Mais plus à ce sujet plus tard. Tout d'abord, découvrons comment travailler avec les journaux.
Recherche de journaux
À mon avis, travailler avec des bûches dans le R80 est un plaisir. Nous avons une chaîne de recherche très intelligente, qui nous permet de «couper» par du texte arbitraire, par une lame et par tout autre paramètre indexé comme la source, la destination, l'action, etc.
Dans le même temps, nous pouvons composer des requêtes de recherche très complexes en utilisant les opérateurs logiques
AND ,
OR ,
NOT . Et pour cela, il n'est même pas nécessaire d'imprimer quoi que ce soit. Un filtre peut être créé en quelques clics de souris. Plus tard, nous allons tout essayer dans la pratique.
Afficher les messages de journal par liste d'accès
Nous avons également apprécié la possibilité d'afficher des journaux pour une liste d'accès spécifique. C'est incroyablement pratique et on s'y habitue très rapidement. Cela aide particulièrement à dépanner. J'ai mis en évidence la «liste d'accès» qui vous intéresse et regarde ci-dessous si le trafic nécessaire en fait partie.
Pas besoin d'aller n'importe où ou de créer un filtre sophistiqué pour les journaux.
Vues et rapports
Pour le reporting et la visualisation des données dans Check Point, la lame
Smart Event est responsable, elle est activée sur le serveur de gestion. Cette fonctionnalité peut être appelée en toute sécurité SIEM, mais uniquement pour les produits Check Point! Techniquement, sur Smart Event, vous pouvez envelopper les journaux d'autres systèmes (tels que Cisco, Microsoft, etc.), mais ce n'est pas une bonne idée :) En pratique, cela est très problématique. Mais SmartEvent fait très bien avec les journaux de point de contrôle. Il peut corréler, résumer, faire la moyenne et bien plus encore. Et tout fonctionne hors de la boîte! Bien sûr, il existe des tableaux de bord prêts à l'emploi pour afficher les informations les plus importantes. Dans Check Point, ils sont appelés
Vues :
Vous pouvez voir qu'il existe un assez grand nombre de tableaux de bord par défaut, qui sont très utiles dans l'administration et la surveillance quotidiennes.
En plus des tableaux de bord, où les informations sont simplement visualisées, il est possible de générer des rapports complets et de les enregistrer au format pdf ou excel. Vous pouvez générer sur un calendrier et les envoyer à une boîte aux lettres.
Et la meilleure partie! Vous pouvez créer vous-même des tableaux de bord et des rapports! C'est-à-dire Vous n'êtes pas limité à intégré. Tous les fournisseurs ne peuvent s'en vanter. Dans le même temps, les modèles de ces tableaux de bord ou rapports peuvent être importés ou exportés, ce qui permet aux utilisateurs de partager leurs meilleures pratiques. Le processus de création d'un tableau de bord est très simple et intuitif. Je vais essayer de vous le montrer dans le cadre des travaux de laboratoire, que vous trouverez dans le tutoriel vidéo ci-dessous.
Leçon vidéo
Restez à l'écoute pour en savoir plus et rejoignez notre
chaîne YouTube :)