Check Point
SandBlast Agent

SandBlast Agent

Если я использую Check Point SandBlast в своей сети, есть ли необходимость в использовании Check Point SandBlast Agent?
Да. Check Point SandBlast Agent расширяет защиту корпоративной сети от атак нулевого дня, обеспечивая прямую защиту конечных точек и автоматический анализ данных.

SandBlast Agent защищает от некоторых видов атак, которые обычно не распознаются. Например, когда конечные точки находятся за пределами сети или при копировании файлов непосредственно в конечную точку через внешние устройства хранения данных.

Если у меня нет шлюза безопасности Check Point, должен ли я использовать SandBlast Agent?
Да, конечно. SandBlast Agent является независимым передовым решением безопасности для конечных точек. Его можно развернуть на любом шлюзе безопасности в корпоративной сети, используя все его возможности.

Если в моей сети уже обеспечена защита конечных точек / AV решение, нужен ли мне SandBlast Agent?
Да. SandBlast Agent улучшит существующее решение следующим образом:

• Расширение возможностей передовой защиты от угроз, обход традиционных AV решений.
• Интеграция с AV решением, обеспечивающая автоматический анализ обнаруженных с его помощью угроз.

Кому больше подходит SandBlast Agent:

• пользователям, желающим расширить защиту конечных точек от угроз нулевого дня защиты и обеспечить немедленное восстановление документов, даже за пределами корпоративной сети;
• пользователям, которые хотят получить доступ к анализу атак и ускорить их обнаружение и предотвращение.

Может ли SandBlast Agent защитить себя и свои данные от воздействия вредоносных программ?

Да. SandBlast Agent имеет возможность самозащиты благодаря использованию самых современных драйверов блокировки и сокрытию своих данных, предотвращая несанкционированный доступ или внешнее воздействие.

Могу ли я комбинировать SandBlast Agent с другими программными блейдами для конечных устройств?

Да. SandBlast Agent полностью интегрирован с Check Point для защиты конечных точек, что позволяет пользователям развертывать агент с полной базой безопасности и единым управлением.

Требуется ли отдельная лицензия для использования облачного сервиса SandBlast?

Нет. Лицензия SandBlast Agent включает в себя возможность использования облачного сервиса Sandblast для эмуляции и предотвращения угроз (Threat Emulation and Threat Extraction).

Можно ли приобретать SandBlast Agent пользователям, у которых отсутствуют NGTX шлюзы или устройства SandBlast?

Да. Данные пользователи будут работать с облаком, при этом возможность использования TE включена в стоимость SandBlast Agent.

Развертывание

Какие операционные системы поддерживают SandBlast Agent?

SandBlast Agent поддерживается на ОС Windows 7, 8, 10. Поддержка сервера Windows запланирована на конец 2016 года. Если вам необходима немедленная сервисная поддержка сервера, обратитесь в центр Check Point.

Возможно ли развёртывание SandBlast Agent рядом с существующей конечной точкой/ AV решением?
Да. SandBlast Agent увеличивает возможности существующей конечной точки / AV решения путем добавления защиты CPU-уровня от атак нулевого дня. Появляются возможности обнаружения угроз, которые AV устройство может не заметить, и автоматизированного анализа событий, зафиксированных AV решением.

Как управлять решением SandBlast Agent?
С помощью Check Point Endpoint Management. Мониторинг безопасности осуществляется посредством SmartEvent и SmartLog, также, как и в других решениях Check Point. Это позволяет администратору, отвечающему за безопасность, осуществлять постоянный мониторинг, используя одну консоль безопасности.

Threat Emulation и Threat Extraction

Каким образом входящие файлы делятся на требующие эмуляции и требующие предотвращения угроз?
Все файлы, скачанные из сети или скопированные (например, через USB), проходят через эмуляцию Threat Emulation. А скачанные веб-файлы дополнительно отправляются в Threat Extraction.

Перед отправкой файлов, SandBlast Agent проверяет подписанные хэш-файлы с помощью облачного сервиса Sandblast — если это известный файл (нормальный/вредоносный), то решение обеспечивается немедленно, эмуляция не требуется. В частности, файлы, переданные ранее в режим эмуляции шлюзом безопасности не будут отправлены SandBlast Agent.

Где можно посмотреть отчеты Threat Emulation?
Threat Emulation отчёты находятся в SmartEvent.

Где осуществляется эмуляция файлов?
Основанные на конфигурации пользователя файлы отправляются либо в облачную систему SandBlast Cloud, либо в локальные устройства SandBlast.

Forensics

Какого рода информация об угрозах собирается?
SandBlast Agent собирает текущую информацию об активности операционной системы. Собранная информация включает в себя активные процессы, сетевые коммуникации, изменения в реестре, доступ к файловой системе и многие другие показатели, которые запрашивают датчики агента.

Где хранится собранная информация об угрозах в SandBlast Agent?
Данные хранятся в локальных конечных точках SandBlast Agent. Сохраненные данные защищены от несанкционированного доступа или вмешательства в безопасную структуру журнала SandBlast Agent.

Сколько места на диске занимают данные об угрозах?
Эти данные требуют около 1GB памяти жёсткого диска в месяц, но количество собираемой информации зависит от использования ПК. Когда выделенное для хранения данных место полностью заполняется, новые записи заменяют старые. Объем дискового пространства, выделенного для хранения данных, можно настроить индивидуально.

Где можно увидеть отчёты об анализе угроз?
Отчёты можно посмотреть в SmartEvent или SmartLog. Рекомендуется использовать для этих целей SmartEvent. Он предоставляет возможность дополнительной корреляции событий, фильтрации и поиска журналов, более продуктивного мониторинга событий безопасности и оперативного реагирования.

Может ли обнаружение 3rd Party AV вызвать анализ угроз?
Да. Большинство решений для конечных точек обеспечивают простой вызов команды обнаружения на AV, это может инициировать анализ угроз. SK описывают, где можно включить этот параметр на 3rd party AV, доступный для вендоров AV.