欢迎来到第12课。 今天,我们将讨论另一个非常重要的主题,即
处理日志和报告 。 有时,在选择保护手段时,此功能几乎是决定性的。 安全防护人员确实喜欢便捷的报告系统和功能强大的各种事件搜索功能。 很难怪他们。 实际上,日志和报告是评估安全性的基本要素。 如果看不到正在发生的情况,如何理解当前的安全级别? 幸运的是,Check Point拥有按此顺序甚至更多的所有功能。 Check Point具有开箱即用的最佳报告系统之一! 同时,还可以自定义和创建自己的报告! 所有这些都得到了方便,直观的日志处理过程的补充。 但是,让我们依次讨论所有内容。
全新的界面
如果您以前使用过Check Point,那么您可能会对R80中用于处理日志和报告的全新界面感到惊讶。 图为一个新的
Logs&Monitor选项卡中组合了多少种不同的实用程序:
日志和监视部分
如果转到“日志和监控器”并打开一个新选项卡,则应该看到类似以下内容的内容:
默认情况下,有两个大部分:
- 审核日志视图 -在这里您可以找到与管理员进入/退出,配置更改等有关的所有事件。 即 对管理员操作的经典审核。
- 日志视图 -在这里您可以搜索“生成”我们所有刀片的事件,例如防火墙,防病毒软件,IPS等。 我们已经多次使用了此功能。
此外,还有指向报表(
Reports )和各种仪表板(
Views )的链接。 对于其操作,需要随附的
Smart Event刀片。 但是稍后会更多。 首先,让我们弄清楚如何使用日志。
日志搜索
我认为,使用R80中的原木很高兴。 我们有一个非常聪明的搜索字符串,它使我们能够“剪切”任意文本,刀片以及任何其他索引的参数,例如源,目标,操作等。
同时,我们可以使用逻辑运算符
AND ,
OR ,
NOT组成非常复杂的搜索查询。 为此,甚至不需要打印任何内容。 只需单击几下鼠标即可创建过滤器。 稍后我们将在实践中尝试所有步骤。
按访问列表显示日志消息
我们还赞赏能够显示特定访问列表的日志的功能。 它非常方便,您很快就会习惯。 这尤其有助于解决问题。 我突出显示了您感兴趣的“访问列表”,并从下面查看是否有必要的流量归入其中。
无需走到任何地方或为日志创建复杂的过滤器。
查看和报告
为了在Check Point中进行报告和数据可视化,需要使用
Smart Event刀片,并在管理服务器上将其激活。 该功能可以安全地称为SIEM,但仅适用于Check Point产品! 从技术上讲,在Smart Event上,您可以包装来自其他系统(例如cisco,microsoft等)的日志,但这不是一个好主意:)在实践中,这是很成问题的。 但是SmartEvent可以很好地处理检查点日志。 它可以关联,汇总,平均等。 开箱即用! 当然,有现成的仪表板可以显示最重要的信息。 在Check Point中,它们称为
Views :
您会看到有大量的默认仪表板,这些仪表板在日常管理和监视中非常有用。
除了可以简单地可视化信息的仪表板之外,还可以生成完整的报告并将其保存为pdf或excel格式。 您可以按计划生成并将其发送到某个邮箱。
和最好的部分! 您可以创建仪表板并自己报告! 即 您不限于内置的。 并非每个供应商都能对此吹嘘。 同时,可以导入或导出这些仪表板或报告的模板,从而允许用户共享其最佳实践。 创建仪表板的过程非常简单直观。 我将尝试向您展示这作为实验室工作的一部分,您可以在下面的视频教程中找到它。
录像课
敬请关注,并加入我们的
YouTube频道 :)