我们从
Check Point取证文章系列中获得了最后一个产品。 这次我们将讨论云保护。 很难想象没有使用云服务的公司(所谓的SaaS)。 Office 365,GSuite,Slack,Dropbox等 这里最令人感兴趣的是基于云的电子邮件和基于云的文件存储。 我们的员工每天使用什么。 但是,云服务位于我们的网络之外,因此没有边界。 反过来,这大大增加了攻击我们的用户的可能性。 云应用程序没有很多安全选项。 下面我们看一下
Check Point CloudGuard SaaS解决方案 ,它可以防止什么,最重要的是,它可以提供什么取证和报告。 那些想要
对其云服务进行
安全审核的人可能会对这感兴趣。
Check Point CloudGuard SaaS
CloudGuard SaaS的操作原理非常简单。 该服务是一个通过API与其他SaaS服务(office365,GSuite,Box,Dropbox等)集成的云平台。
本质上,CloudGuard SaaS是云服务和用户之间的一层。 所有字母或文件在到达用户之前都由各种CheckPoint引擎检查。 该平台本身与Check Point ThreatCloud和SandBlast云沙盒自然集成。 您还可以配置与各种用户身份验证服务(Centryfy,okta,Azure AD等)的集成,以全面检查连接的设备。 所有控制都通过直观的Web界面进行。
Check Point CloudGuard SaaS的主要功能:
- 零日威胁防护
- 网路钓鱼防护
- 身份保护
- 防止数据泄漏
- SaaS Shadow IT发现
- 直观的云管理
有关这些功能的更多详细信息,可以在Alexey Beloglazov(Check Point公司)的精彩网络研讨会中找到:
我们将立即进行取证。
法医CloudGuard SaaS
我们将照常从CloudGuard SaaS主仪表板开始,这是您进入平台时首先看到的内容。 病毒,网络钓鱼,异常,DLP等造成的威胁总数。 在这里,您将看到事件地图,用户和服务的总数:
最感兴趣的是“事件”选项卡,您可以在其中查看事件的统计信息以及可以按类别,反应等进行过滤的常规列表:
通过单击特定事件,我们可以“失败”详细信息,例如攻击者特定电子邮件地址的分析:
或网络钓鱼活动本身的描述:
在“事件”选项卡中,您可以按恶意软件等威胁过滤事件:
并查看详细的病毒分析:
如您在我们的示例中所见,字母中有一个附件(.xlam文件)。 通过单击它,我们将看到有关它的报告:
这里有两个有趣的观点。 首先,您可以立即在VirusTotal中查看此文件的分析(在VirusTotal中搜索此哈希)。 有时,这些信息非常有趣。 在我们的示例中,只有3种防病毒软件将其识别为病毒:
在那里,您可以看到此文件可以做什么:
甚至有关系图:
第二个有趣的机会是查看沙盒报告(查看报告)。 在这里,我们将看到我们已经熟悉的报告类型:
与
SandBlast Network一样,也有机会在沙盒中观看此文件启动的视频(幻灯片)。
除了经典报告,我们还可以通过邮件,文件共享等查看常规分析。
同时,我们可以根据现成的模板生成自己的报告:
并可能通过各个领域进行非常精细的采样和过滤:
当然,该系统包含字母和文件的隔离区,这在Check Point经典沙箱(他们承诺要修复)中是不存在的:
我强烈推荐
Anti-Malware.ru杂志上的文章作为其他材料
结论
我认为现在没有必要解释云服务有多方便,实惠和可靠。 但是,“云”是对“安全网”的真正挑战。 通常,您必须寻求折衷方案或完全放弃使用它们。 Check Point CloudGuard SaaS是使您的云基础架构处于受控状态的绝佳工具。
另一个重要的细节是CloudGuard SaaS的集成简便性。 这比使用传统网关和沙箱要容易得多。 在浏览器中单击几下即可完成设置。 同时,您可以使用此服务的
免费试用版(30天)来审核云服务的当前安全级别。 在检测模式下,您将收到有关所有威胁的完整报告,而不会影响您的基础架构。
我们可以
要求提供试用许可证以及有关使用CloudGuard SaaS的建议。
我们计划在不久的将来在Check Point CloudGuard SaaS上开设一个小型视频课程。 因此,请继续关注(
Telegram ,
Facebook ,
VK ,
TS Solution Blog ,
Yandex.Zen) 。