Добрый день, коллеги! Продолжаем цикл статей, посвященный решениям информационной безопасности от компании Group-IB. В предыдущей статье мы кратко осветили комплексное решение для защиты от сложных киберугроз от компании Group-IB. Данная публикация будет посвящена модулю Threat Detection System (TDS) Sensor. Напомним, что TDS Sensor — модуль для глубокого анализа сетевого трафика и выявления угроз на сетевом уровне, а также для интеграции с различными подсистемами, входящий в программный комплекс TDS. В данной статье рассмотрим продукт с точки зрения функциональной части и архитектуры внедрения.

Добрый день, коллеги! Сегодня начинаем новый цикл статей, посвященный решениям информационной безопасности от компании Group-IB. Компания работает на рынке информационной безопасности уже более 17 лет и за это время обросла весьма существенными компетенциями, выполняя проекты не только на территории России и стран СНГ, но и на международном рынке. Направление по защите инфраструктуры от сложных целевых атак закрывает комплекс Group-IB Threat Detection System (TDS), состоящий из нескольких различных модулей. Решение специализируется на защите корпоративной и технологической сетей и, главным образом, нацелено именно на противодействие современным атакам. В данной статье рассмотрим архитектуру и функциональные возможности всего комплекса.

Добрый день, в прошлых статьях мы познакомились с работой ELK Stack. А теперь обсудим возможности, которые можно реализовать специалисту по ИБ в использовании данных систем. Какие логи можно и нужно завести в elasticsearch. Рассмотрим, какую статистику можно получить, настраивая дашборды и есть ли в этом профит. Каким образом можно внедрить автоматизацию процессов ИБ, используя стек ELK. Составим архитектуру работы системы. В сумме, реализация всего функционала это очень большая и тяжелая задача, поэтому решение выделили в отдельное название — TS Total Sight.

В прошлых статьях мы немного ознакомились со стеком elk и настройкой конфигурационного файла Logstash для парсера логов, в данной статье перейдем к самому важному с точки зрения аналитики, то что вы хотите увидеть от системы и ради чего все создавалось — это графики и таблицы объединенные в дашборды. Сегодня мы поближе ознакомимся с системой визуализации Kibana, рассмотрим как создавать графики, таблицы, и в результате построим простенький дашборд на основе логов с межсетевого экрана Check Point.

В прошлой статье мы познакомились со стеком ELK, из каких программных продуктов он состоит. И первая задача с которой сталкивается инженер при работе с ELK стеком это отправление логов для хранения в elasticsearch для последующего анализа. Однако, это просто лишь на словах, elasticsearch хранит логи в виде документов с определенными полями и значениями, а значит инженер должен используя различные инструменты распарсить сообщение, которое отправляется с конечных систем. Сделать это можно несколькими способами — самому написать программу, которая по API будет добавлять документы в базу либо использовать уже готовые решения. В рамках данного курса мы будем рассматривать решение Logstash, которое является частью ELK stack. Мы посмотрим как можно отправить логи с конечных систем в Logstash, а затем будем настраивать конфигурационный файл для парсинга и перенаправления в базу данных Elasticsearch. Для этого в качестве входящей системы берем логи с межсетевого экрана Check Point.

В связи окончанием продаж в России системы логирования и аналитики Splunk, возник вопрос, чем это решение можно заменить? Потратив время на ознакомление с разными решениями, я остановился на решении для настоящего мужика — «ELK stack». Эта система требует времени на ее настройку, но в результате можно получить очень мощную систему по анализу состояния и оперативного реагирования на инциденты информационной безопасности в организации. В этом цикле статей мы рассмотрим базовые (а может и нет) возможности стека ELK, рассмотрим каким образом можно парсить логи, как строить графики и дашбоарды, и какие интересные функции можно сделать на примере логов с межсетевого экрана Check Point или сканера безопасности OpenVas. Для начала, рассмотрим, что же это такое — стек ELK, и из каких компонентов состоит.

Здравствуйте, коллеги. В прошлый раз, в статье «1. Анализ логов Check Point: официальное приложение Check Point для Splunk» мы обсуждали разбор логов шлюза безопасности на основе официального приложения в системе логирования Splunk. В заключении пришли к выводу что хоть приложение в качестве быстрого решения очень удобно, но на данном этапе является недоработанным — не настроено большого количества дашбордов, на которые очень важно обращать внимание security инженеру для того чтобы понимать, что происходит в организации с точки зрения ИБ. В данной статье обсудим возможности просмотра и анализа логов функционалом SmartEvent, на что стоит обратить внимание, и рассмотрим какие варианты по автоматизации событий доступны.

Работая с шлюзами безопасности компании Check Point, очень часто возникает задача разбора логов для обнаружения и анализа инцидентов информационной безопасности. Обычно в организациях существует уже какая-либо система логирования, и стоит задача транспортировки логов с сервера управления Check Point и последующая настройка фильтров для логов, составление дашбордов, графиков и так далее. В данном курсе мы рассмотрим различные варианты анализа логов Check Point с помощью внутреннего функционала и сторонних приложений, рассмотрим какую полезную информацию мы можем извлечь, и чем она поможет в настройке межсетевого экрана.

Здравствуйте коллеги, сегодня мы расскажем и продемонстрируем подходы и механизмы автоматизации системы защиты от сетевых атак на основе Check Point и Splunk.

Постоянный рост количества сетевых атак и их сложность, повышают требования к системам безопасности. Организации должны быстро адаптироваться к текущим условиям и эффективно защищать себя от современных атак. Требования к эффективности и производительности систем защиты так же повышаются. С выходом новой версии Gaia R80 была анонсирована возможность использования REST API, что открывает широкие возможности по автоматизации настроек, администрированию, мониторингу и т.д.

Здравствуйте коллеги, добро пожаловать на урок по миграции баз данных Check Point R77.30 на R80.10.

При использовании продуктов компании Check Point рано или поздно встает задача миграции существующих правил и базы данных объектов по следующим причинам:

1. При покупке нового устройства, необходимо мигрировать базу данных со старого устройства на новое устройство(на текущую версию GAIA OS или выше).
2. Необходимо обновить устройство с одной версии GAIA OS на более высокую версию на локальной машине.

Для решения первой задачи подходит только использование инструмента под названием Management Server Migration Tool или же просто Migration Tool. Для решения задачи №2 может использоваться решение CPUSE или Migration Tool.
Далее рассмотрим более детально оба метода.