CHECK POINT HARMONY ENDPOINT OVERVIEW(Phần 2)
Trong phần trước, chúng ta đã được giới thiệu các Product trong bộ giải pháp CheckPoint Harmony. Trong phần này, chúng ta sẽ cùng tìm hiểu các phương thức monitor và quản lý khi test các sample Malware trong Harmony Endpoint. Trong giới hạn của bài viết này, chỉ dừng tại mức giới thiệu các tính năng, chi tiết các chức năng sẽ được giới thiệu trong seri khác chi tiết hơn về giải pháp Checkpoint Harmony.
2.2 Test Sample và Monitor trên Endpoint
Sau khi cài đặt Harmony Endpoint và kết nối tới Harmony Portal, trạng thái của PC ngay lập tức bảo vệ. Lúc này, thực hiện thực thi một số sample Malware để kiểm tra tính năng detect Malware của Harmony Endpoint. Vì một số lý do nhạy cảm, không thể chia sẻ các sample này trên forums. Việc thực hiện test sample có thể gây ảnh hưởng tới hệ thống, do đó cần thực hiện các bước sau trước khi test sample Malware như: Backup VM, Backup Data, bật các tính năng Anti-Virus trên Firewall trong hệ thống mạng,…
Sau khi thực thi một sample Malware, Harmony Endpoint sẽ detect và tiến hành các hành động để đảm bảo an toàn cho hệ thống. Các thông tin chi tiết về Malware sẽ được hiển thị thông qua Endpoint Security có ngay trên PC cài đặt Endpoint ( cũng là PC test Malware). Các thông tin bao gồm: phân loại Malware, đường dẫn thư mục chứa sample hoặc file chứa Malware, thời gian thực thi và thời gian detect được, hành động đã thực hiện với Malware này…
Ngoài ra, người dùng có thể sử dụng một số tùy chọn xem log nâng cao, bằng cách chọn Advanced:
Tiếp theo, chọn View Log:
Xuất hiện Log Viewer:
Chọn từng Event để xem chi tiết thêm các thông tin về Malware:
Có thể Filter Event theo các tùy chọn dưới đây:
- Filter theo Event Types.
- Filter theo Time Period (Khoảng thời gian)
- Filter theo Number of events (Số lượng Events)
2.3. Quản lý thông qua Check Point Harmony Portal
Ngoài cách Monitor các sự kiện trên Harmony EndPoint Security, người quản trị doanh nghiệp có thể quản lý, monitor các PC khác trong doanh nghiệp bằng cách truy cập hệ thống quản lý tập trung Harmony Portal. Trong giới hạn của bài viết này, chỉ dừng tại mức giới thiệu các tính năng, chi tiết các chức năng sẽ được giới thiệu trong seri khác chi tiết hơn về giải pháp Checkpoint Harmony.
a)Overview
Tab Overview cung cấp cho người quản trị thông tin tổng quát về các PC đã được cài trong tổ chức ( số lượng, phân loại hệ điều hành, phiên bản của Endpoint,…) như hình dưới đây:
b) Computer Management
Tab Computer Management cung cấp các thông tin về Endpoint trên PC. Từ tab này, người quản trị có thể thực hiện các hành động để quản lý như : xóa, điều tra truy vết, Push Operation, Add Policy…
c)Logs
Tab LOGS cung cấp cho người quản trị một trung tâm lưu trữ các Event, nhằm mục đích điều tra, truy vết Malware. Các loại log bao gồm: Audit Logs( Log truy cập vào hệ thống) , Logs( các Event về Malware được Endpoint trên các PC trong tổ chức detect được), Threat Prevention, Access Control, General Overview. Dưới đây là chi tiết các loại Event:
Audit Logs:
Logs:
Threat Prevention:
d)Service Management
Tab Service Management cung cấp thông tin của Service , đồng thời người quản trị có thể quản lý Service Harmony Endpoint đang chạy:
2.4. Quản lý thông qua Check Point Smart Console
Ngoài Harmony Endpoint và Harmony Portal, CheckPoint cung cấp thêm công cụ SmartConsole giúp người quản trị kết nối tới server Harmony Endpoint.
a)Cài đặt Smart Console và kết nối với Cloud Harmony
Để Download SmartConsole, truy cập Harmony Portal, vào Tab SERVICE MANAGEMENT, chọn DOWNLOAD trong phần Download R81 SmartConsole:
Sau đó chọn Set SmartConsole Administrator Password để thiết lập User/Password cho SmarConsole:
Nhập password cho user admin, sau đó chọn Save:
Sau khi download hoàn thành, tiến hành cài đặt SmartConsole:
Giao diện Install:
Chọn Finish để hoàn thành:
Sau đó sử dụng tài khoản admin ở trên, cùng với Connection token , sau đó chọn LOGIN:
Giao diện SmartConsole sau khi đăng nhập:
Như vậy, đã download, install và login thành công SmartConsole.
b) Quản lý thông qua Checkpoint Smart Console
Sau khi đăng nhập SmartConsole, người quản trị có thể sử dụng SmartConsole để monitor, quản lý các Endpoint tương tự như trên Harmony Portal. Sau đây là một số chức năng monitor trên SmartConsole.
Tại tab LOGS & MONITOR, người quản trị có thể xem các loại Audit Logs, Logs, Access Control, Audit Overview, Threat Prevention, General Overview.
Audit Logs:
Logs:
Audit Overview:
Threat Prevention:
General Overview:
3. Kết quả test Sample và Kết luận
Sau khi tiến hành thực thi nhiều Sample Malware, dưới đây là bảng tổng hợp kết quả các sample Malware được Harmony Endpoint Detect và ghi nhận Log trên hệ thống.
Trong quá trình thực hiện test các Sample, một số đặc điểm nhận thấy của Harmony Checkpoint như sau:
- Nhận dạng (Detect) được hầu hết các sample Malware. Hai trường hợp còn yếu gồm: truy cập trang systemlowcheck.com (có detect nhưng không ghi nhận log) và test case thực hiện xóa Log trên Windows( Harmony Endpoitn cho rằng đây là một hành động bình thường, do đó không ngăn chặn).
- Ngay sau khi vừa giải nén sample Malware, Harmony Endpoint ngay lập tức Detect Malware và xóa file sample Malware. Ngay sau đó, xóa luôn file nén chứa sample Malware.
- Hiệu năng của Harmony Endpoint sử dụng nhỏ (dưới < 1%).
- Sau khi Detect và thực hiện hành động đối với Malware, có thông báo nhanh và chi tiết tới người dùng.
Tài liệu tham khảo:
https://www.checkpoint.com/harmony/
harmony-solution-brief.pdf (2021)
