CHECK POINT HARMONY ENDPOINT OVERVIEW(Phần 2)
Trong phần trước, chúng ta đã được giới thiệu các Product trong bộ giải pháp CheckPoint Harmony. Trong phần này, chúng ta sẽ cùng tìm hiểu các phương thức monitor và quản lý khi test các sample Malware trong Harmony Endpoint. Trong giới hạn của bài viết này, chỉ dừng tại mức giới thiệu các tính năng, chi tiết các chức năng sẽ được giới thiệu trong seri khác chi tiết hơn về giải pháp Checkpoint Harmony.
2.2 Test Sample và Monitor trên Endpoint
Sau khi cài đặt Harmony Endpoint và kết nối tới Harmony Portal, trạng thái của PC ngay lập tức bảo vệ. Lúc này, thực hiện thực thi một số sample Malware để kiểm tra tính năng detect Malware của Harmony Endpoint. Vì một số lý do nhạy cảm, không thể chia sẻ các sample này trên forums. Việc thực hiện test sample có thể gây ảnh hưởng tới hệ thống, do đó cần thực hiện các bước sau trước khi test sample Malware như: Backup VM, Backup Data, bật các tính năng Anti-Virus trên Firewall trong hệ thống mạng,…
Sau khi thực thi một sample Malware, Harmony Endpoint sẽ detect và tiến hành các hành động để đảm bảo an toàn cho hệ thống. Các thông tin chi tiết về Malware sẽ được hiển thị thông qua Endpoint Security có ngay trên PC cài đặt Endpoint ( cũng là PC test Malware). Các thông tin bao gồm: phân loại Malware, đường dẫn thư mục chứa sample hoặc file chứa Malware, thời gian thực thi và thời gian detect được, hành động đã thực hiện với Malware này…
![1624463366679.png 1624463366679.png](https://cdn.securityzone.vn/2021/06/2939_e906c8be78c72c929d44220e76b36d31.png)
![1624463374864.png 1624463374864.png](https://cdn.securityzone.vn/2021/06/2940_0afd8fe9196f4639e0178290bfd27140.png)
Ngoài ra, người dùng có thể sử dụng một số tùy chọn xem log nâng cao, bằng cách chọn Advanced:
![1624463390573.png 1624463390573.png](https://cdn.securityzone.vn/2021/06/2941_9333b9abcdaa6fedb18c3ab3aff9d8ec.png)
Tiếp theo, chọn View Log:
![1624463402284.png 1624463402284.png](https://cdn.securityzone.vn/2021/06/2942_6e1f49fc531034ebd1f59f11665a3f79.png)
Xuất hiện Log Viewer:
![1624463416508.png 1624463416508.png](https://cdn.securityzone.vn/2021/06/2943_5e16ff82f7ef79350c992f44beda9ef0.png)
Chọn từng Event để xem chi tiết thêm các thông tin về Malware:
![1624463428373.png 1624463428373.png](https://cdn.securityzone.vn/2021/06/2944_32978f2058f05cd319d0420f48ed40d4.png)
Có thể Filter Event theo các tùy chọn dưới đây:
- Filter theo Event Types.
- Filter theo Time Period (Khoảng thời gian)
- Filter theo Number of events (Số lượng Events)
![1624463444722.png 1624463444722.png](https://cdn.securityzone.vn/2021/06/2945_c6851c47458757a833481a7fceb8a55f.png)
2.3. Quản lý thông qua Check Point Harmony Portal
Ngoài cách Monitor các sự kiện trên Harmony EndPoint Security, người quản trị doanh nghiệp có thể quản lý, monitor các PC khác trong doanh nghiệp bằng cách truy cập hệ thống quản lý tập trung Harmony Portal. Trong giới hạn của bài viết này, chỉ dừng tại mức giới thiệu các tính năng, chi tiết các chức năng sẽ được giới thiệu trong seri khác chi tiết hơn về giải pháp Checkpoint Harmony.
a)Overview
Tab Overview cung cấp cho người quản trị thông tin tổng quát về các PC đã được cài trong tổ chức ( số lượng, phân loại hệ điều hành, phiên bản của Endpoint,…) như hình dưới đây:
![1624463469195.png 1624463469195.png](https://cdn.securityzone.vn/2021/06/2946_aaeccf1c16d457f7189d7e78f3760c6b.png)
b) Computer Management
Tab Computer Management cung cấp các thông tin về Endpoint trên PC. Từ tab này, người quản trị có thể thực hiện các hành động để quản lý như : xóa, điều tra truy vết, Push Operation, Add Policy…
![1624463492416.png 1624463492416.png](https://cdn.securityzone.vn/2021/06/2947_200cac53e72f00bf1a5daefe3d816d9a.png)
c)Logs
Tab LOGS cung cấp cho người quản trị một trung tâm lưu trữ các Event, nhằm mục đích điều tra, truy vết Malware. Các loại log bao gồm: Audit Logs( Log truy cập vào hệ thống) , Logs( các Event về Malware được Endpoint trên các PC trong tổ chức detect được), Threat Prevention, Access Control, General Overview. Dưới đây là chi tiết các loại Event:
![1624463515570.png 1624463515570.png](https://cdn.securityzone.vn/2021/06/2948_e257fabb9dfb2b050e7351b6e08022c8.png)
Audit Logs:
![1624463537560.png 1624463537560.png](https://cdn.securityzone.vn/2021/06/2949_31ed2f9ac42cb0ca1244a4b9c0d65ca2.png)
Logs:
![1624463553244.png 1624463553244.png](https://cdn.securityzone.vn/2021/06/2950_547c71a51853f7a467879a2c7392c32f.png)
Threat Prevention:
![1624463570728.png 1624463570728.png](https://cdn.securityzone.vn/2021/06/2951_b6788c775bce96eba7f856e7825ab031.png)
d)Service Management
Tab Service Management cung cấp thông tin của Service , đồng thời người quản trị có thể quản lý Service Harmony Endpoint đang chạy:
![1624463603091.png 1624463603091.png](https://cdn.securityzone.vn/2021/06/2952_320672f1438acb76402d41933ab01420.png)
2.4. Quản lý thông qua Check Point Smart Console
Ngoài Harmony Endpoint và Harmony Portal, CheckPoint cung cấp thêm công cụ SmartConsole giúp người quản trị kết nối tới server Harmony Endpoint.
a)Cài đặt Smart Console và kết nối với Cloud Harmony
Để Download SmartConsole, truy cập Harmony Portal, vào Tab SERVICE MANAGEMENT, chọn DOWNLOAD trong phần Download R81 SmartConsole:
![1624463620439.png 1624463620439.png](https://cdn.securityzone.vn/2021/06/2953_cff1a7a5670b05f55404c6ddde732300.png)
Sau đó chọn Set SmartConsole Administrator Password để thiết lập User/Password cho SmarConsole:
![1624463633010.png 1624463633010.png](https://cdn.securityzone.vn/2021/06/2954_be86449a5d4bf1c608a943330e728a47.png)
Nhập password cho user admin, sau đó chọn Save:
![1624463643843.png 1624463643843.png](https://cdn.securityzone.vn/2021/06/2955_9c6005713b6e848b236f3050f5398bd8.png)
Sau khi download hoàn thành, tiến hành cài đặt SmartConsole:
![1624463653932.png 1624463653932.png](https://cdn.securityzone.vn/2021/06/2956_c470cfd5933f990795cb4114528e1174.png)
Giao diện Install:
![1624463667799.png 1624463667799.png](https://cdn.securityzone.vn/2021/06/2957_182cae4eb61b1f9299b1052128cf8b0b.png)
Chọn Finish để hoàn thành:
![1624463681528.png 1624463681528.png](https://cdn.securityzone.vn/2021/06/2958_786ce5ddbf3bc3b61fc9fe869d0316e4.png)
Sau đó sử dụng tài khoản admin ở trên, cùng với Connection token , sau đó chọn LOGIN:
![1624463692673.png 1624463692673.png](https://cdn.securityzone.vn/2021/06/2959_a4491581f919dfd22e9d4d07e2f9373c.png)
![1624463699424.png 1624463699424.png](https://cdn.securityzone.vn/2021/06/2960_46bc6dad874287e6192c24bbf16b7e14.png)
Giao diện SmartConsole sau khi đăng nhập:
![1624463715046.png 1624463715046.png](https://cdn.securityzone.vn/2021/06/2961_2e8851ad6bed8cfe6f3ed7171409415d.png)
Như vậy, đã download, install và login thành công SmartConsole.
b) Quản lý thông qua Checkpoint Smart Console
Sau khi đăng nhập SmartConsole, người quản trị có thể sử dụng SmartConsole để monitor, quản lý các Endpoint tương tự như trên Harmony Portal. Sau đây là một số chức năng monitor trên SmartConsole.
Tại tab LOGS & MONITOR, người quản trị có thể xem các loại Audit Logs, Logs, Access Control, Audit Overview, Threat Prevention, General Overview.
![1624463728946.png 1624463728946.png](https://cdn.securityzone.vn/2021/06/2962_c4a2fe15fb0f5e42be159a411cf19028.png)
Audit Logs:
![1624463740677.png 1624463740677.png](https://cdn.securityzone.vn/2021/06/2963_abd11f7b48fbfe301a2bc8a6a134d3dc.png)
Logs:
![1624463754486.png 1624463754486.png](https://cdn.securityzone.vn/2021/06/2964_1a50997202c3c279a0bb1370c918b9bc.png)
Audit Overview:
![1624463766008.png 1624463766008.png](https://cdn.securityzone.vn/2021/06/2965_085e2b281674b4807be26a055a48fc34.png)
Threat Prevention:
![1624463778046.png 1624463778046.png](https://cdn.securityzone.vn/2021/06/2966_e8a3edc86a69da32d03196e387664ffc.png)
General Overview:
![1624463789449.png 1624463789449.png](https://cdn.securityzone.vn/2021/06/2967_2ec63c535ed2d31ddbd8fa1ba6775551.png)
3. Kết quả test Sample và Kết luận
Sau khi tiến hành thực thi nhiều Sample Malware, dưới đây là bảng tổng hợp kết quả các sample Malware được Harmony Endpoint Detect và ghi nhận Log trên hệ thống.
![1624463803607.png 1624463803607.png](https://cdn.securityzone.vn/2021/06/2968_0b549878547ce76938a7d62a32ed4af2.png)
Trong quá trình thực hiện test các Sample, một số đặc điểm nhận thấy của Harmony Checkpoint như sau:
- Nhận dạng (Detect) được hầu hết các sample Malware. Hai trường hợp còn yếu gồm: truy cập trang systemlowcheck.com (có detect nhưng không ghi nhận log) và test case thực hiện xóa Log trên Windows( Harmony Endpoitn cho rằng đây là một hành động bình thường, do đó không ngăn chặn).
- Ngay sau khi vừa giải nén sample Malware, Harmony Endpoint ngay lập tức Detect Malware và xóa file sample Malware. Ngay sau đó, xóa luôn file nén chứa sample Malware.
- Hiệu năng của Harmony Endpoint sử dụng nhỏ (dưới < 1%).
- Sau khi Detect và thực hiện hành động đối với Malware, có thông báo nhanh và chi tiết tới người dùng.
Tài liệu tham khảo:
https://www.checkpoint.com/harmony/
harmony-solution-brief.pdf (2021)