SmartView Tracker - RRC · Действия DLP Конкретные действия в отношении инцидентов DLP включают в себя: Действие

SmartView Tracker

R75.40VSРуководство администратора

15 июля 2012

© 2010 Check Point Software Technologies Ltd.

Все права сохранены. Настоящий продукт и соответствующая документация защищены авторским правом и предоставляются на основании лицензии, ограничивающей применение, копирование, распространение и декомпиляцию. Данный продукт или соответствующую документацию запрещается, полностью или частично, воспроизводить в какой-либо форме или каким-либо образом без предварительного письменного согласия Check Point. При подготовке настоящей документации она тщательно проверялась авторами, и в то же время Check Point не берет на себя ответственность за возможные ошибки или пропуски. Все имеющиеся в документах материалы могут быть изменены без предварительного уведомления.

ОБ ОГРАНИЧЕНИИ ПРАВ:

Использование, копирование или разглашение государственными органами осуществляется с учетом ограничений, указанных в абзаце (с) (1) (ii) Прав на технические данные и программное обеспечение изложенных в Положении DFARS 252.227–7013 и FAR 52.227–19.

ТОРГОВЫЕ МАРКИ:

Список наших торговых марок приведен на странице авторских прав (http://www.checkpoint.com/copyright.html).

Список соответствующих авторских прав и сторонних лицензий приведен в уведомлениях об авторских правах независимых разработчиков (http://www.checkpoint.com/3rd_party_copyright.html).

Важная информацияПоследняя версия программного обеспеченияМы рекомендуем вам установить самую новую версию программного обеспечения, чтобы иметь возможность оставаться на современном уровне, используя последние функциональные усовершенствования, исправления, повышающие устойчивость работы, улучшения средств безопасности и защиту против новых и разрабатываемых злонамеренных действий по перехвату информации.

Новейшая документацияПоследняя версия этого документа содержится по адресу: http://supportcontent.checkpoint.com/documentation_download?ID=16386

Для получения дополнительной технической информации посетите центр технического обслуживания Check Point (http://supportcenter.checkpoint.com).

Более подробно об этом выпуске смотрите на домашней странице R75.40VS (http://supportcontent.checkpoint.com/solutions?id=sk76540).

История редакций

Дата Описание

15 июля 2012 Первый выпуск данного документа

Обратная связьCheck Point непрерывно работает над усовершенствованием своей документации.

Просим Вас помочь нам в этом, направляя Ваши комментарии (mailto: [email protected]?subject=Feedback on SmartView Tracker R75.40VS Administration Guide).

Важная информация ..............................................................................................................................3Введение ...................................................................................................................................................6

Обзор SmartView Tracker ....................................................................................................................6Отслеживание Сетевого Трафика .....................................................................................................7Блокировка регистрации.....................................................................................................................7Графический интерфейс SmartView Tracker ....................................................................................8

Панель инструментов SmartDashboard ......................................................................................9Действия SmartView Tracker .........................................................................................................9Действия DLP .............................................................................................................................. 10Общие столбцы DLP ................................................................................................................... 10Столбцы с ограничениями DLP..................................................................................................11Столбцы распознавания идентификационной информации Identity Awareness ............... 12Столбцы IPS................................................................................................................................. 12Столбцы IPS-1 ............................................................................................................................. 12Режимы SmartView Tracker ........................................................................................................ 13

Использование SmartView Tracker ................................................................................................... 15Просмотр файлов журналов ........................................................................................................... 15

Фильтрация .................................................................................................................................. 15Запросы ........................................................................................................................................ 15Соответствующие правила ........................................................................................................ 16

Сопровождение файла системного журнала через переключение журнала регистрации .. 17Управление дисковым пространством с помощью Циклической регистрации ...................... 18Возможности экспорта журнал регистрации ................................................................................ 18Хранение журналов регистрации на Шлюзе Безопасности ....................................................... 18

Характер регистрации во время простоя ................................................................................ 19Регистрация с использованием серверов Регистрации событий ........................................ 19Установка Сервера управления безопасностью для сервера Регистрации событий ...... 19

Поддержка безопасности сети ........................................................................................................ 19Получение справочной информации из Check Point ............................................................ 19Блокирование вторжений злоумышленников ........................................................................ 20

Запуск пользовательских команд ................................................................................................... 20Просмотр захваченных данных пакета ........................................................................................ 20

Конфигурирование SmartView Tracker ........................................................................................... 21Обзор .................................................................................................................................................. 21

Выбор правил .............................................................................................................................. 21Выбор подходящего варианта отслеживания ......................................................................... 21Передача данных в режиме онлайн или передача данных по заданному графику ........ 22Изменение процесса пересылки файла регистрации ........................................................... 22

Основная конфигурация отслеживания ........................................................................................ 23Конфигурирование опций представления результатов SmartView Tracker .............................. 23

Область окна Query (Запрос) ................................................................................................... 23Разрешение IP-адресов ............................................................................................................. 24Разрешение сервисов ................................................................................................................ 24Показ пустых данных .................................................................................................................. 24

Конфигурирование фильтра ........................................................................................................... 24Конфигурирование фильтра в соответствии с номером текущего правила ........................... 25Использование команд Follow ........................................................................................................ 25Просмотр файлов регистрации правил из Базы Правил .......................................................... 25Конфигурирование запросов ......................................................................................................... 26

Открытие существующего запроса ......................................................................................... 26Создание Настроенного Элемента в соответствии с требованиями пользователя ......... 26Сохранение запроса под новым именем ................................................................................ 27Переименовывание пользовательского запроса .................................................................. 27

Содержание

Удаление пользовательского запроса .....................................................................................27Скрытие и отображение области окна Query Tree ........................................................................27Работа с областью окна Query Properties .......................................................................................27

Показ/скрытие столбца................................................................................................................28Изменение ширины столбца ......................................................................................................28Перестановка Столбцов .............................................................................................................28

Копирование данных записей журнала ..........................................................................................28Просмотр сведений о записях .........................................................................................................29Просмотр правила .............................................................................................................................29Поиск с помощью интерфейса ........................................................................................................29

Сопровождение SmartView Tracker ..................................................................................................30Управление параметрами настройки переключения файла регистрации ................................30

Изменение автоматических параметров настройки переключения файла регистрации 30Ручное переключение файла регистрации ..............................................................................30

Управление параметрами настройки циклической регистрации ................................................31Очистка файла журнала ...................................................................................................................31Локальное хранение файла журналов регистрации ....................................................................31Работа с серверами Регистрации событий ....................................................................................32Команды, устанавливаемые пользователем .................................................................................33Блокирование вторжения злоумышленника ................................................................................34Конфигурирование команд аварийного состояния .......................................................................35Активирование предупреждающих диалогов ...............................................................................35

SmartView Tracker Руководство администратора R75.40VS | 6

ВведениеВ этой главе

Обзор SmartView Tracker 6Отслеживание Сетевого Трафика 7Блокировка регистрации 7Графический интерфейс SmartView Tracker 8

Обзор SmartView TrackerВы нуждаетесь в различных уровнях регистрации событий, в зависимости от важности данных. Например, несмотря на наличие потребности в прослеживании стандартных сетевых схем (например, схем Интернет-серфинга ваших пользователей), эта информация не является срочной, и вы можете просмотреть ее, когда вам будет удобно. Однако, если ваша сеть подвергается нападению, вы должны быть готовы к немедленным действиям.

Продукты Check Point предоставляют вам возможность собрать полную информацию о деятельности в вашей сети в форме журналов регистрации. После этого вы можете в любой момент времени провести контроль этих журналов регистрации, проанализировать модели трафика, провести поиск и устранение неисправностей в работе сетей и изучить вопросы безопасности. Приведенный ниже рисунок иллюстрирует процесс накопления журналов регистрации:

SmartDashboard позволяет вам настраивать параметры регистрации событий для каждой Базы Правил по своему усмотрению, определяя для каждого правила, отслеживать ли события, которые ему соответствуют.

Если вы решаете регистрировать события, которые соответствуют определенному правилу, вы можете сделать выбор из множества опций регистрации событий, исходя из важности информации. Например, можете выбрать стандартную форму Log (Запись регистрации) для разрешенных http подключений; выбрать файл системного журнала регистрации Учетных записей Account, если хотите сохранить данные в побайтном представлении; или выдать Alert (Предупреждение) (в дополнение к журналу регистрации), когда адресатом подключения является ваш шлюз. Для просмотра списка доступных опций регистрации событий щелкните правой кнопкой мыши по столбцу Track соответствующего правила.

Шлюзы, на которых установлена эта Политика, собирают данные в соответствии с указаниями Политики, и отправляют файлы регистрации на сервер Управления Безопасностью (и/или

Глава 1


Введение

Серверы обслуживания журнала регистрации, в зависимости от их параметров настройки). Записи регистрации организованы в файлах согласно порядку, в котором они прибыли на сервер Управления Безопасностью. Все новые файлы регистрации сохраняются в файл fw.log, за исключением контрольных (связанных с управлением) файлов регистрации, которые сохраняются в файл fw.adtlog.

Сервер Управления Безопасностью делает файлы регистрации доступными для просмотра с помощью компонента консоли управления SmartView Tracker — всеобъемлющего решения для контроля системы, позволяющего реализовать централизованное управление как активных, так и старых файлов регистрации всех продуктов Check Point. Вы можете удобно настроить процедуры поиска, соответствующие определенным потребностям регистрации событий; интегрировать журналы регистрации в Check Point SmartReporter, экспортировать их в текстовые файлы или во внешнюю базу данных Oracle.

Сервер Управления Безопасностью также выполняет операции, указанные в Политике для событий, соответствующих определенным правилам (например, выдавая предупреждение, отправляя электронную почту, выполняя определяемый пользователем сценарий и т. д.).

В дополнение к вышеупомянутым решениям вы можете извлечь выгоду из следующих возможностей регистрации событий и контроля системы, присущих Check Point SmartConsole:

• SmartView Monitor позволяет управлять, просматривать и тестировать состояние различных компонентов Check Point в рамках всей системы, а также генерировать отчеты по трафику на интерфейсах, конкретных продуктах Check Point, и других каналах обслуживания системы Check Point.

• SmartReporter позволяет сохранять консолидированные записи (в отличие от «необработанных» журналов регистрации) и сосредоточиваться на событиях, представляющих интерес.

Отслеживание Сетевого ТрафикаSmartView Tracker может быть использован для отслеживания всего ежедневного сетевого трафика и активности, зарегистрированные любыми продуктами Check Point и продуктами, генерирующими файлы регистрации в системе партнер-OPSEC. ООн также может быть использован для указания определенных проблем в системе. Сетевые администраторы могут использовать информацию журнала для:

• Обнаружения и слежения за развитием событий, связанных с безопасностью.

Например, предупреждения, повторные отклоненные подключения или неудачных попыток аутентификации, могут указывать на возможные попытки вторжения в систему.

• Накопления информации о проблемах.

Например, клиенту было разрешено устанавливать соединение, но попытки подключиться потерпели неудачу. SmartView Tracker мог бы указать, что База Правил была ошибочно определена, что необходимо блокировать попытки подключения этого клиента.

• Целей статистики, например, анализа моделей сетевого трафика.

Например, сколько HTTP служб использовалось во время пиковой активности в отличие от служб Telnet.

Блокировка регистрацииSmartView Tracker предназначен для эффективного представления журналов регистрации, которые генерируются продуктами Check Point. Чтобы избежать повторного отображения записей системного журнала для часто повторяющегося события, SmartView Tracker отображает первый вариант события, а затем подсчитывает последующие экземпляры этого события, которые происходят в течение ближайших двух минут

Пока событие продолжает происходить, каждые две минуты компонент SmartView Tracker


Введение

показывает Log Suppression Report (Отчет о блокировке регистрации), который содержит подробную информацию о событии, а также число повторений данного события.

Графический интерфейс SmartView TrackerПриведенный ниже рисунок отображает главное окно SmartView Tracker. Каждый элемент в области окна Records (Записи) — это запись события, которое было зарегистрировано согласно определенному правилу в Базе Правил. Новые записи, которые добавлены к файлу fw.log, также автоматически добавляются к области окна Records (Записи).

Чтобы лучше понять этот рисунок, смотрите номера на нем и в следующем списке.

1. Режимы Network & Endpoint (Сеть и конечная точка), Active и Management отображают различные типы файлов регистрации.

2. Область окна Query Tree (Дерево Запросов) отображает Predefined (Заранее заданные) и Custom (Настроенные по требованию заказчика) запросы.

3. Область окна Query Properties (Свойств Запроса) отображает свойства полей в области окна Records.

4. Область окна Records отображает поля каждой записи в файле журнала регистрации.

Отображенные поля журнала регистрации зависят от следующих факторов:

• Программный блейд, который генерировал файл регистрации, например, Firewall, VPN или IPS.

• Тип выполненной операции, например, установка или открытие подключения.

Например, когда используется NAT, отображаются поля переадресации (с префиксом ‘Xlate’, например, XlateSrc, XlateDst и т. д.). Когда используется межсетевой экран, отображаются поля, связанные с IKE (например, IKE Cookiel, IKE CookieR и т. д.).


Введение

Панель инструментов SmartDashboardВы можете использовать панель инструментов SmartDashboard, чтобы выполнить следующие действия:

Иконка ОписаниеОткрыть меню SmartDashboard.

Когда вам требуются определенные опции меню, в первую очередь нажмите эту кнопку.

Например, если вам требуется выбрать Manage > Users and Administrators (Управление > Пользователи и Администраторы), щелкните на эту кнопку, чтобы открыть меню Manage (Управление) и выберите вариант Users and Administrators (Пользователи и Администраторы).

Сохранить текущую политику и все системные объекты.

Обновить политики с сервера Управления безопасностью.

Изменение глобальных свойств.

Проверка согласованности базы правил

Установить политику на Шлюзы Безопасности или шлюзы VSX.

Открыть SmartConsole.

Действия SmartView TrackerСледующая таблица дает описание различных типов действий, записываемых SmartView Tracker.

Фильтр действия ОписаниеAccept (Разрешить) Подключение было разрешено.Reject (Отклонить) Подключение было блокировано.Drop (Сбросить) Подключение было удалено без уведомления источника.Detect (Обнаружить) Подключение контролировалось без осуществления защиты

системы обработки информации.Encrypt (Зашифровать) Подключение было зашифровано.Authcrypt Пользователь подключился с помощью SecuRemote.Bypass (Обойти) Подключение в явной форме передано через InterSpect.Flag (Флажок) Отмечает подключение.Login (Вход в систему) Пользователь зарегистрирован в системе.Reject Подключение было отклонено.VPN routing (Маршрутизация виртуальной частной сети)

Подключение было направлено через шлюз, действующий как центральный хаб.

Decrypt (Расшифровать) Подключение было расшифровано.Key Install (Установка Ключа) Были созданы ключи шифрования.


Введение

Фильтр действия ОписаниеAuthorize (Авторизовать) Вход в систему с Аутентификацией клиента.Deauthorize (Отменить авторизацию)

Выход из системы с отменой Аутентификации клиента.

Block (Блокировать) Подключение блокировано со стороны Interspect.Detect (Обнаружить) Подключение было обнаружено со стороны Interspect.Inspect (Осмотреть) Подключение регулируется защитой,

сконфигурированной InterSpect.Quarantine (Карантин) Исходный адрес IP подключения был изолирован InterSpect.Replace Malicious code (Заменить Враждебный программный код)

Враждебный программный код в подключении был заменен.

Действия DLPКонкретные действия в отношении инцидентов DLP включают в себя:

Действие DLP ОписаниеAsk User (Запрос от пользователя)

Инцидент DLP зафиксирован и передан на Карантин, пользователю предложено решить, что следует сделать.

Do not Send (Не отправлять) Пользователь решил не отправлять письмо, которое было передано в карантин

Send (Отправить) Пользователь решил отправить письмо, находящееся в карантине

Quarantine Expired (Срок карантина истек)

Письмо, зафиксированное DLP, не может быть отправлено, потому что пользователь не принял решение вовремя. Инциденты с истекшим сроком могут быть рассмотрены, пока они не удалены (стандартный процесс очистки).

Prevent (Предотвратить) Передача сообщения была блокирована.Allow (Разрешить) Передача сообщения была разрешена; обычно за счет

исключения в правиле.Inform User (Информировать пользователя)

Передача сообщения была обнаружена и разрешена, а пользователь получил уведомление.

Deleted Due To Quota (Удалено по причине исчерпания квоты)

Инциденты DLP удалены из шлюза по причине недостатка дискового пространства.

Общие столбцы DLPДля инцидентов может отображаться следующая информация доступная всем администраторам:

Столбцы DLP ОписаниеIncident UID Уникальный идентификатор инцидента.DLP Action Reason (Причина Действия DLP)

Причина для действия. Возможные значения: Rulebase (база правил), Internal Error (Внутренняя Ошибка), Prior User Decision (Предшествующее Решение Пользователя)

Related Incident (Связанный Инцидент)

Внутренний идентификатор инцидента, связанный с текущим файлом системного журнала регистрации.

DLP Transport Протокол трафика инцидента: HTTP, FTP, SMTP.


Введение

Использование уникального идентификатора инцидента как ключа для связи между несколькими файлами регистрации:

Каждый DLP инцидент имеет уникальный идентификатор, включенный в файл системного журнала регистрации и отправляемый пользователю как часть почтового уведомления. Действиям пользователя (Send (Отправить), Do not Send (Не Отправлять)) назначаются те же Incident UID, которые были назначены исходному файлу регистрации инцидента DLP.

Если пользователь отправляет электронную почту с нарушением DLP и затем решает отменить ее, генерируется два файла регистрации. Первый файл регистрации — это файл регистрации инцидента DLP с, действием Ask User, ему назначается Incident UID. При выполнении действия пользователем генерируется второй файл регистрации с тем же UID и действием Do not Send.

Для каждого типа данных генерируется свой собственный файл регистрации. Шлюз проверяет, что все файлы регистрации типа данных одного инцидента указывают на один и тот же уникальный идентификатор инцидента Incident UID и действие правила (Prevent (Предотвратить), Ask (Запросить), Inform (Информировать) или Detect (Обнаружить)), даже если типы данных соответствуют различным правилам. Общее действие для инцидента является наиболее ограничивающим.

Например, предположим, что передаче соответствует два типа данных. Каждый тип данных используется в правиле, отличающемся от другого правила. Действие одного правила — Prevent. Действие другого правила — Detect. Два файла регистрации, которые будут сгенерированы, укажут на Prevent как на действие. (Реализованным действием будет Prevent). В файле регистрации правила Detect будет показано Rule Base (Action set by different rule) (База Правил (Действие, заданное по иному правилу)) в столбце DLP Action Reason (Причина действия).

Столбцы с ограничениями DLPПрименение этих столбцов ограничено — их используют только администраторы, имеющие соответствующие разрешения.

Фильтры ограничений ОписаниеDLP Rule Name (Имя Правила DLP)

Имя правила DLP, которому соответствует инцидент.

Уникальный идентификатор Правила DLP

Внутренний идентификатор правила DLP, которому соответствует инцидент.

Уникальный идентификатор Типа данных

Внутренний идентификатор типа данных, которым соответствует инцидент.

Имя типа данных Имя соответствующего типа данных.Комментарий к Действию Пользователя

Комментарий, данный пользователем, при разблокировании инцидента на Портале.

Получатели DLP Список получателей зафиксированной электронной почты для трафика SMTP.

Сканируемый Фрагмент Данных

Непосредственно зафиксированные данные: электронная почта и вложение SMTP, файл FTP или трафик НТТР.

Сообщение Пользователю Отправленное сообщение, сконфигурированное администратором, в отношении правила, которому соответствует инцидент.

Категории DLP Категория типа данных, которым соответствует инцидент.Список Слов DLP Список соответствующих слов, если тип данных,

которому соответствует инцидент, включает список слов (зарезервированные слова, словарь, и так далее).

Mail Subject (Тема Почтового сообщения)

Темы зафиксированной электронной почты для трафика SMTP


Введение

Столбцы распознавания идентификационной информации Identity AwarenessИнциденты для распознавания идентификационной информации (Identity Awareness) показывают информацию о связях AD имени и адреса IP.

Столбец распознавания идентификационной инфор-мации

Описание

Destination Machine Name (Имя Машины Адресата)

Разрешенное AD имя машины, связанной с IP-адресата зарегистрированного трафика.

Destination User Name (Имя Адресата пользователя)

Разрешенное AD имя пользователя, связанного с адресатом IP зарегистрированного трафика.

Source Machine Name (Имя Машины Источника)

Разрешенное AD имя машины, связанной с источником IP зарегистрированного трафика.

Source User Name (Имя пользователя Источника)

Разрешенное AD имя пользователя, связанного с исходным IP зарегистрированного трафика.

Столбцы IPSСтолбец Protection Type (Тип защиты) имеет отношение к инцидентам IPS защиты. Вы можете фильтровать по любому из этих типов:

Application Control (Контроль приложений)

• Engine Settings (Параметры движка)

• Geo Protection (География защиты)

• Protocol Anomaly (Протокол аномалии)

• Signature (Подпись)

Другие столбцы, характерные для программного блейда IPS:

• Protected Server (Защищенный сервер)

• Source Reputation (Источник репутации)

• Destination Reputation (Направление репутации)

• Client Type (Тип клиента)

• Server Type (Тип сервера)

Столбцы IPS‑1Эти столбцы относятся к устройствам IPS-1.

Столбец Устройства IPS‑1 ОписаниеRPC Service Number (Номер Сервиса RPC).

Подробности протокола

VLAN ID Внутренний идентификатор VLAN. MAC Destination Address (MAC Адрес назначения) MAC Source Address (MAC Адрес источника)

MAC адрес, связанный с компьютером источника и компьютером назначения

Command (Команда) Используется в контексте протокола и является именем или идентификатором команды, используемой в трафике атаки компьютера.


Введение

Столбец Устройства IPS‑1 ОписаниеDestination DHCP Hostname (Имя хоста адресата DHCP)Destination DNS Hostname (Имя хоста адресата DNS) NetBIOS Destination Hostname (Имя хоста адресата NetBIOS) NetBIOS Source Hostname (Имя хоста источника NetBIOS) Source DHCP Hostname (Имя хоста источника DHCP) Source DNS Hostname (Имя хоста источника DNS)

Имя хоста, связанного с источником или адресатом зарегистрированного трафика согласно соответствующей службе разрешения. Не все эти поля заполняются одновременно.

Source OS (ОС сточника) Destination OS (ОС адресата)

Тип ОС компьютера источника или назначения.

Email Address Адрес электронной почты, выявленный из трафика атакиEmail Subject Тема электронной почты, выявленная из трафика атаки.Hostname (имя хоста) Если в трафике атаки мы находим имя хоста, которое

не связано ни с источником, ни с адресатом, он приводится здесь.

HTTP Referer HTTP Modifier Cookie URI Payload

Элементы протокола HTTP.

Attack Assessment (оценка результатов попытки нарушения защиты)

Возможные значения: Failed (Неудавшаяся), Successful (Успешная), Unknown (Неизвестно).

Attack Impact (объект воздействия попытки нарушения защиты)

Возможные значения: Admin Access (Доступ администратора), Code Execution (Выполнение кода), Data Access (Доступ к данным), Denial of Service (Отказ в обслуживании), Information Gathering (Сбор Информации), Security Violation (Нарушение защиты), Unknown (Неизвестно), User Access (Пользовательский Доступ)

Sensor Mode (режим устройства обнаружения)

Возможные значения: Invalid (Недопустимый), Passive (Пассивный), Inline — Fail-open (Встроенный — Пропускать трафик при проблемах с IPS), Inline — Fail-closed (Встроенный — Не пропускать трафик при проблемах с IPS), Inline — Monitor only (Встроенный — Только отслеживание)

Activated Quarantine (Карантин Активизирован)

Изолирование трафика в карантин.

Режимы SmartView TrackerSmartView Tracker имеет три различных режима:

• Log (Журнал регистрации событий), режим по умолчанию, отображает все журналы регистрации в текущем файле fw.log. Это включает введённые данные по событиям, связанным с безопасностью, зарегистрированные различными программными блейдами Check Point, а также партнерами OPSEC программы Check Point. Новые журналы регистрации, которые добавлены в файл fw.log, добавляются к нижней части области окна Records.


Введение

• Active (Активный) позволяет просматривать подключения, которые в настоящий момент открыты через Шлюзы Безопасности, выполняющие регистрационные записи в активный файл системного журнала.

• Audit (Контроль) позволяет просматривать связанные с управлением записи, например, записи изменений, произведенных в объектах в Базе Правил и общем использовании SmartDashboard. Этот режим отображает данные, связанные с контролем, например, подробную информацию о записях Administrator (Администратор), Application (Приложение) или Operation (Операция), которые считываются из файла fw.adtlog.

Вы можете переключаться между режимами, щелкая по требуемой вкладке.


Глава 2 Использование SmartView Tracker

В этой главе

Просмотр файлов журналов 15Сопровождение файла системного журнала через переключение журнала регистрации 17Управление дисковым пространством с помощью Циклической регистрации 18Возможности экспорта журнал регистрации 18Хранение журналов регистрации на Шлюзе Безопасности 18Поддержка безопасности сети 19Запуск пользовательских команд 20Просмотр захваченных данных пакета 20

Просмотр файлов журналов

ФильтрацияМеханизм фильтрации SmartView позволяет вам без помех сосредотачиваться на данных системного журнала, представляющих интерес, и скрывать другие данные, определяя соответствующие критерии в поле файла регистрации. Как только вы примените критерии фильтрации, будут отображены только записи, соответствующие выбранным критериям.

Доступные опции фильтрации зависят от рассматриваемого поля файла регистрации. Например, пока фильтруется поле даты Date для отображения данных, которые имеют дату, соответствующую критерию «после», «ранее» или «в диапазоне» относительно указанной даты, будут фильтроваться поля Source (Источник), Destination (Назначение) и Origin (Происхождение), чтобы соответствовать (или отличаться от) указанным машинам.

Очень полезно фильтровать поле Product и сосредоточиться на определенном продукте Check Point. Компонент SmartView Tracker показывает эти фильтры как заранее заданные запросы.

ЗапросыSmartView Tracker дает вам возможность контроля отображенной информации о файле системного журнала. Вы можете либо отобразить все записи (all records) в файле системного журнала Log file, или фильтровать (filter) отображенную на дисплее информацию, чтобы просмотреть ограниченный набор записей, соответствующих одному или более условиям, которые вас интересуют. Эта фильтрация выполняется в ходе выполнения запроса. Запрос состоит из следующих компонентов:

Условие (я) примененное к одному или нескольким полям журнала регистрации (столбцы записей) — например, чтобы исследовать все http запросы, прибывающие из определенного источника, вы можете выполнить запрос, определяющий НТТР как фильтр столбца Service и рассматриваемую машину как фильтр столбца Source.

• Выбор столбцов, которые вы хотите показать — например, при исследовании HTTP запросов, он соответствует отображению поля журнала регистрации URL.

У каждого из трех режимов SmartDashboard (Log, Active и Audit), есть собственное Query Tree (Дерево запросов), состоящее из следующих папок:

• Predefined (Заранее заданные): содержит запросы по умолчанию, которые не могут быть


Использование SmartView Tracker

непосредственно изменены или сохранены. Доступные заранее заданные запросы зависят от режима, в котором Вы находитесь. Запрос по умолчанию для всех трех режимов — All Records (Все Записи). Кроме того, режим Log (Регистрировать) включает заранее заданный запрос для каждого продукта или функции.

• Custom (В соответствии с требованиями пользователя): позволяет Вам настраивать свой собственный Запрос на основе заранее заданного, лучше отвечающий Вашим потребностям. Настроенные запросы — основное инструментальное средство запроса, позволяющее точно определять интересующие Вас данные. Существующий запрос, который копируется или сохраняется под новым именем, автоматически добавляется в папку Custom.

Атрибуты выбранного запроса отображаются в области окна Query Properties (Свойства Запроса).

Соответствующие правилаSmartView Tracker записывает правило Базы Правил Межсетевого экрана, которому соответствует подключение. Соответствующее правило записывается в четырех столбцах в компоненте SmartView Tracker, как изображено ниже на рисунке:

• Столбец Rule (Правило), в котором выполняется запись номера правила в Базе Правил в то время, когда была сделана запись системного журнала. Как и другие свойства в SmartView Tracker, журналы регистрации событий можно сортировать и делать к ним запрос по номеру правила.

• Столбец Current Rule Number (текущий номер правила), который является динамическим полем, в котором отражается текущее размещение правила в Базе Правил и отображается текущее имя пакета политик. Поскольку База Правил обычно подлежит изменению, этот столбец позволяет определить местонахождение правил, которые изменили свое относительное расположение в Базе Правил, когда был записан файл регистрации, и создать фильтры для записей системного журнала, которые соответствуют правилу, а не только номеру правила. Обратите внимание на запись системного журнала на рисунке, приведенном в примере. Когда этот файл регистрации был записан в первый раз, это привело к регистрации соответствующего правила как Rule 1 (Правило 1). С этого момента положение правила в Базе Правил изменилось, и таким образом столбец Current Rule Number сообщает нынешнем положении правила под номером 2 [Standard], где [Standard] — имя пакета политики, в котором постоянно находится это правило.

• Столбец Rule Name (Имя правила), в котором регистрируется короткое текстовое описание правила в столбце Name Базы Правил, когда оно используется.

• Столбец Rule UID (Уникальный идентификатор правила), в котором регистрируется уникальный идентификационный номер (UID), сгенерированный для каждого правила в момент его создания. Этот номер служит как внутренняя функция трассировки, и как таковой, этот столбец скрыт по умолчанию. Чтобы отобразить этот столбец, щелкните по View > Query Properties и активируйте свойство Rule UID.

Фильтрация записей системного журнала по соответствующему правилуЧтобы фильтровать записи системного журнала на основе соответствующего правила, щелкните правой кнопкой мыши на записи системного журнала и выберите либо Follow Rule (Следуйте правилу), либо Follow Rule Number (Следуйте Правилу с номером).

• Follow Rule генерирует отфильтрованное представление всех файлов регистрации, которые соответствуют этому правилу, и основаны на номере UID этого правила.



• Follow Rule Number генерирует отфильтрованное представление всех файлов системного журнала, которые соответствуют номеру, записанному в столбце Rule выбранного файла регистрации.

Эти две операции по существу являются сокращённым способом создания фильтра. Вы можете достичь тех же самых результатов, щелкая правой кнопкой мыши в каком-либо месте данного столбца и выбирая Edit Filter (Редактирование Фильтра), и затем, вводя критерии фильтрации, которые Вы хотите применить.

Фильтры Rule и Current Rule Number, которые имеют ту же самую функциональность, как и команды Follow Rule и Follow Rule Number, могут также создавать отфильтрованные визуальные представления данных на основе нескольких соответствующих правил. Приведенный ниже рисунок показывает результат применения Current Rule Number Filter (Фильтра по Текущему номеру Правила).

Просмотр Соответствующего правила в контекстеИз SmartView Tracker вы можете запустить SmartDashboard, чтобы проверить правило в рамках контекста Базы Правил Межсетевого экрана. Щелкая правой кнопкой мыши на соответствующем журнале регистрации и выбирая View rule in SmartDashboard (Просмотреть правило в SmartDashboard), можно открыть SmartDashboard, в котором правило будет подсвечиваться белым цветом.

Если вы используете управление версиями политик безопасности, SmartDashboard откроется в версии политики, которая была сохранена, когда была создана эта запись. Если такая версия недоступна, SmartDashboard использует уникальный идентификационный номер, чтобы отобразить соответствующее правило. Если недоступны ни управление версиями политик, ни идентификационный номер, опция View rule in SmartDashboard недоступна.

Просмотр Журналов регистрации Правила из SmartDashboardВ Базе Правил межсетевого экрана в SmartDashboard существует два метода, с помощью которых вы можете запустить компонент SmartView, чтобы просмотреть все записи системного журнала, которым соответствует конкретное правило. Нажимая правой кнопкой мыши на правило, вы можете выбрать один из двух вариантов:

• View rule logs in SmartView Tracker (Просмотреть файлы регистрации правила в SmartView Tracker), который открывает SmartView Tracker с отфильтрованным представлением всех журналов регистрации, которые соответствуют правилу.

• Copy Rule ID (Копировать идентификатор Правила), который копирует уникальный идентификационный номер в буфер обмена, позволяя пользователю вставить значение в Rule UID Filter (Фильтр UID правила) компонента SmartView Tracker.

Сопровождение файла системного журнала через переключение журнала регистрации

Размер активного файла системного журнала поддерживается не более предельного значения по умолчанию, равного 2 ГБ, путем закрытия текущего файла, когда его размер приближается



к этому пределу, и запуска нового файла. Эта операция, известная как переключение журнала регистрации, выполняется либо автоматически, когда журнал системного журнала достигает указанного размера, либо согласно расписанию переключений журнала регистрации; либо вручную из SmartView Tracker.

Файл, который закрывается, записывается на диск и получает название согласно текущей дате и времени. Новый файл системного журнала автоматически получает имя файла системного журнала по умолчанию ($FWDIR/log/fw.log для режима log и $FWDIR/log/fw.adtlog для режима audit).

Управление дисковым пространством с помощью Циклической регистрации

В случае нехватки достаточного свободного пространства на диске, система прекращает создавать файлы регистрации. Чтобы гарантировать, что процесс регистрации продолжается, даже при наличии недостаточного дискового пространства, вы можете задать процесс, известный как Циклическая регистрация событий. Этот процесс начинает автоматически удалять старые файлы системного журнала, когда достигнуто указанное ограничение свободного пространства на диске, чтобы Шлюз Безопасности мог продолжить регистрировать новую информацию. Процесс Циклической регистрации событий управляется с помощью:

• Изменения размера необходимого свободного пространства на диске.

• Настройка Шлюза Безопасности таким образом, чтобы воздержаться от удаления файлов регистрации на определенной число дней назад.

Возможности экспорта журнал регистрацииХотя компонент SmartView Tracker — это стандартное решение просмотра журнала регистрации событий, вы также можете использовать журналы регистрации событий другими способами, которые характерны для вашей организации. С этой целью продукты Check Point предоставляют опцию экспорта файлов системного журнала соответствующему адресату.

Файл системного журнала может быть экспортирован двумя различными способами:

• Как простой текстовый файл

• В формате базы данных, экспортируемой во внешнюю базу данных Oracle

SmartView Tracker поддерживает базовую операцию экспорта, при которой дисплей копируется как есть в текстовый файл. Усовершенствованные операции экспорта (например, экспорта всего файла системного журнала или файлов регистрации онлайн) выполняются путем использования командной строки (используя fwm logexport, log_export и команды fw log).

С помощью опции Export (File > Export) Вы можете создать файл ASCII с разделителями запятыми, который может использоваться как входная информация для других приложений.

Хранение журналов регистрации на Шлюзе Безопасности

По умолчанию Шлюзы Безопасности отправляют свои системные журналы в режиме онлайн на сервер Управления Безопасностью. В качестве варианта, чтобы улучшить производительность шлюза, Вы можете освободить его от постоянной отправки файлов регистрации, сохраняя информацию в локальные файлы системного журнала. Эти файлы могут быть или автоматически отправлены на сервер Управления Безопасностью, или на сервер Регистрации событий согласно указанному расписанию; или импортированы вручную через SmartView Tracker, используя операцию Remote File Management (Удаленное управление файлами).



Характер регистрации во время простояВо время простоя, когда шлюз не может отправить свои файлы регистрации, они записываются в локальный файл. Чтобы просмотреть эти локальные файлы необходимо вручную импортировать их используя операцию Remote File Management (Удаленное управление файлами).

Регистрация с использованием серверов Регистрации событийЧтобы уменьшить нагрузку на сервер Управления Безопасностью, администраторы могут установить серверы Регистрации событий и затем конфигурировать шлюзы для отправки на них файлов регистрации. В этом случае, файлы регистрации просматриваются путем ведения системного журнала с помощью SmartView Tracker на сервере Регистрации событий (вместо сервера Управления Безопасностью).

Сервер Регистрации событий ведет себя точно так же, как сервер Управления Безопасностью, выполняя все задачи управления файлами регистрации: он выполняет операцию, указанную в Политике для событий, соответствующих определенным правилам (например, выдавая предупреждение или отправляя электронную почту); выполняет автоматическое переключение файла регистрации, когда fw.log достигает 2 Гбайт, позволяет экспортировать файлы и т. д.

Установка Сервера управления безопасностью для сервера Регистрации событийФайлы регистрации не отправляются автоматически на новые серверы Регистрации событий. Вы должны вручную настроить каждый соответствующий шлюз, чтобы он отправлял свои файлы регистрации на новый сервер Регистрации событий. Те же дополнения к программе должны быть установлены на всех включенных в процесс серверах Управления Безопасностью и серверах Регистрации событий для успешной процедуры установки политики.

Для обеспечения инструкций для сервера Управления Безопасностью по отправке файлов регистрации на сервер Регистрации событий:

1. В SmartDashboard дважды щелкните по объекту шлюз, чтобы отобразить его окно Check Point Gateway (Шлюз Check Point).

2. Выберите Logs and Masters > Additional Logging (Файлы регистрации и главные узлы > Дополнительная регистрация в системном журнале). Выберите Forward log files to Log Server (Направить файлы системного журнала на сервер Регистрации событий).

Будет активирован раскрывающийся список сервера Управления Безопасностью.

3. Выберите новый сервер регистрации событий из раскрывающегося списка управления безопасностью и нажмите OK.

4. Выберите Policy > Install (Политика > Установить) и затем выберите шлюзы и серверы регистрации событий, на которых должна быть установлена эта Политика.

Поддержка безопасности сети

Получение справочной информации из Check Point Справочная информация Check Point — это подробное описание и пошаговые команды, посвященные тому, как активировать и конфигурировать соответствующие методы защиты, предоставляемые Обновлениями Check Point и IPS.

Возможность просмотра справочной информации Check Point в SmartView Tracker обеспечивает доступ к информации о защите IPS, которая непосредственно связана с выбранным файлом



регистрации IPS. Эта информация может помочь вам проанализировать свои варианты конфигурации и лучше понять, почему появился определенный файл регистрации в SmartView Tracker.

Кроме того, система Получения справочной информации от Check Point предоставляет информацию по всем вариантам конфигурации IPS, чтобы вы могли узнать, почему появился определенный файл регистрации. Чтобы просмотреть консультацию Check Point для определенного файла регистрации IPS, щелкните правой кнопкой мыши по файлу регистрации и выберите Go to Advisory.

Для получения более подробной информации о файле регистрации IPS и связанной с ним защите, прокрутите список вниз до нижней части окна Check Point Advisory и выберите Read the Full ADVISORY and SOLUTION (Прочесть весь справочный материал и решения целиком).

Функция просмотра справочной информации Check Point отсутствует для файлов регистрации, которые не содержат Attack Name (Имя попытки нарушения защиты) и/или Attack Information (Информацию о попытке нарушения защиты).

Блокирование вторжений злоумышленников Режим Active компонента SmartView Tracker позволяет вам не допускать вторжения злоумышленников путем выбора подключения, которое вы идентифицировали как вторжение, и блокирования одним из нижеследующих способов. Блокирование вторжения злоумышленника (Block Intruder) использует технологию SAM (управление доступом через систему безопасности), чтобы выполнить блокирующее действие:

• Подключение — блокирует выбранное подключение или любое другое подключение с тем же самым сервисом, источником или адресатом.

• Источник подключения — блокирует доступ к и из этого источника. Блокирует все подключения, которые направлены к или исходят из машины, указанной в поле Source (Источник).

• Адресат подключения — блокирует доступ к и от этого адресата. Блокирует все подключения, которые направлены к или исходят из машины, указанной в поле Destination (Назначение).

• Определите цикл, во время которого должно быть блокировано это подключение.

Запуск пользовательских командSmartView Tracker позволяет вам удобно запускать команды из SmartConsole, вместо того, чтобы работать в командной строке. Команды ping и whois доступны по умолчанию. Эти команды, наряду с теми, которые вы добавляете вручную, доступны через меню, отображаемое путем щелчка правой кнопкой мыши по соответствующей ячейке в области окна Records.

Просмотр захваченных данных пакета Некоторые продукты Check Point имеют возможность захвата сетевого трафика. После того, как эта функция будет активирована, файл захвата данных пакета будет отправлен с файлом регистрации на сервер регистрации событий. Захват данных пакета может быть восстановлен позднее, чтобы дать возможность администратору точнее изучить трафик, который сгенерировал предупреждение.

К файлу захвата данных пакета можно обратиться из записей системного журнала в SmartView Tracker. Этот файл может быть сохранен как файл в месте расположения файлов, или может быть открыт во внутреннем средстве просмотра файлов, включенном в SmartConsole или в любом средстве просмотра захваченных данных пакета, установленном на клиентском устройстве SmartConsole.


Глава 3 Конфигурирование SmartView Tracker


Обзор 21Основная конфигурация отслеживания 23Конфигурирование опций представления результатов SmartView Tracker 23Конфигурирование фильтра 24Конфигурирование фильтра в соответствии с номером текущего правила 25Использование команд Follow 25Просмотр файлов регистрации правил из Базы Правил 25Конфигурирование запросов 26Скрытие и отображение области окна Query Tree 27Работа с областью окна Query Properties 27Копирование данных записей журнала 28Просмотр сведений о записях 29Просмотр правила 29Поиск с помощью интерфейса 29

Обзор

Выбор правилСтепень использования преимуществ файла регистрации событий зависит от того, насколько хорошо они представляют интересующую вас модель трафика. Поэтому вы должны гарантировать, что ваша Политика безопасности действительно отслеживает все события, которые вы позднее захотите изучить. С другой стороны, вы должны иметь в виду, что отслеживание многих событий приводит к избыточному увеличению размеров файла системного журнала, что требует большего дискового пространства и операций управления.

Поэтому определите, для какого из правил вашей Политики должен быть включен режим регистрации событий, предварительно выясните, насколько полезна для вас эта информация. Например, определитесь, действительно ли эта информация:

• Повысит организацию безопасности вашей сети

• Улучшит понимание поведения ваших пользователей

• Имеет тот вид данных, которые вы хотите видеть в отчетах

• Может быть полезна в будущем

Выбор подходящего варианта отслеживанияДля каждого правила отслеживания, определите одну из следующих опций слежения:

• None — не выполняет запись события

• Log (Регистрация) — Записывает подробную информацию о событии в SmartView Tracker. Эта опция полезна для получения общей информации о трафике вашей сети.


Конфигурирование SmartView Tracker

• Account (Счет) — Регистрирует событие в SmartView Tracker с информацией в виде байтов

• Alert (Предупреждение) — Регистрирует в системном журнале событие и выполняет команду, например, отображение на экране всплывающего окна, отправка предупреждения по почте или предупреждение о прерывании SNMP или выполнение определяемого пользователем сценария, определенного в Policy > Global Properties > Log and Alert > Alert Commands (Политика > Глобальные Свойства > Регистрировать и Предупреждать > Команды реагирования на Предупреждение)

• Mail (Почта) — Отправляет электронное письмо администратору или выполняет сценарий отправки по почте предупреждения, определенного в Policy > Global Properties > Log and Alert > Alert Commands

• SNMP Trap (Прерывание SNMP) — Отправляет SNMP предупреждение на графический интерфейс пользователя SNMP, или выполняет сценарий, определенный в Policy > Global Properties > Log and Alert > Alert Commands

• User Defined Alert (Определяемое пользователем Предупреждение) — Отправляет одно из трех возможных настроенных предупреждений. Предупреждения определяются сценариями, указанными в Policy > Global Properties > Log and Alert > Alert Commands

Передача данных в режиме онлайн или передача данных по заданному графику По умолчанию, Шлюзы Безопасности отправляют свои записи файла системного журнала в режиме онлайн, один за другим, выбранному адресату (сервер Управления Безопасностью или сервер Регистрации событий). В этом случае SmartView Tracker позволяет просмотреть новые записи, как только они будут отправлены на машину, на которой вы зарегистрированы.

Чтобы улучшить производительность шлюза, вы можете освободить его от постоянной пересылки файлов регистрации, конфигурируя функцию локального хранения журналов регистрации событий при этом записи сохраняются в локальном файле системного журнала. Если вы задаете расписание отправки файла регистрации, то можете открыть этот файл (вместо открытого файла) в SmartView Tracker. В противном случае, Вы можете вручную импортировать этот файл из шлюза, используя операцию Remote File Management (Удаленное управление файлами).

Изменение процесса пересылки файла регистрацииФайлы системного журнала могут быть отправлены по адресу без удаления их из сервера Управления Безопасностью, Шлюза Безопасности, или сервера Регистрации событий, который их отправляет. Это особенно полезно в Многодоменной среде управления безопасностью.

В Многодоменной среде управления безопасностью файлы регистрации обычно сохраняются на клиентском сервере Регистрации событий, к которому клиент подключен с использованием SmartView Tracker. Однако, для целей анализа и резервирования, эти файлы регистрации вскоре отправляются на выделенные серверы, работающие под управлением поставщика интернет-сервиса клиента, к которому у клиента нет никакого доступа. Это усовершенствование регламентированного процесса пересылки файлов регистрации делает файлы регистрации доступными и для клиента, и для поставщика интернет-сервиса клиента.

По умолчанию, эта функция заблокирована. Чтобы активировать эту функцию, используйте GuiDBEdit, чтобы установить пераметр forward_log_without_delete в TRUE (Истина).

Примечание — Если была активирована циклическая регистрация, поверх файлов системного журнала, поддерживаемых на передающем узле после их пересылки, будут в конечном счете перезаписаны новые файлы.



Основная конфигурация отслеживанияЧтобы проследить подключения к вашей сети:

1. Для каждого из правил Политики безопасности, которые Вы хотите проследить, щелкните правой кнопкой мыши в столбце Track (Отслеживать) и выберите в меню Log (Регистрировать).

Все события, соответствующие этим правилам, будут зарегистрированы в системном журнале.

2. Запустите SmartView Tracker через меню Window в SmartDashboard’s.

Будет отображен режим Log, показывающий записи всех событий, которые вы зарегистрировали.

Конфигурирование опций представления результатов SmartView Tracker

Для лучшего контроля системы отображение на экране SmartView Tracker можно менять под ваши потребности. В следующей таблице перечисляются операции, которые Вы можете выполнить, чтобы скорректировать представление результатов.

Операция КомандаПереключение дисплея между областями окна Query Tree и Query Properties

Выберите View > Query Tree или Query Properties (соответственно).

Изменение размеров столбцов Выберите одно из следующих действий:

• В области окна Query Properties (Свойства запроса) — введите соответствующее число символов в столбец Width (ширина), или

• В области окна Records (Записи) — перетащите правую границу столбца, нажимая на левую кнопку мыши. Отпустите границу, когда столбец достигнет заданной ширины.

Сортировка столбцов Выберите одно из следующих действий:

• В области окна Query Properties — перетащите столбец вверх или вниз к заданному положению, или

• В области окна Records — перетащите заголовок столбца влево или вправо к заданному положению.

Свертывание/развертывание Query Tree (Дерева запросов)

Выберите (+) или (-) соответственно.

Отобразить окно подробной информации записи

Дважды щелкните по рассматриваемой записи в области окна Records (Записи).

Область окна Query (Запрос) Область окна Query Tree (Дерева запросов) — это область, где появляются файлы системного журнала. У SmartView Tracker есть новый и улучшенный интерфейс, позволяющий открыть несколько окон.

Вы можете открыть несколько файлов системного журнала одновременно. Вы можете также открыть несколько окон одного и того же файла системного журнала. Это может быть полезно, если вы хотите получить различные отображения одного и того же файла журнала. Например, вы можете открыть два окна для одного и того же файла и использовать различные критерии фильтрации в каждом окне. Вы можете одновременно как рассматривать окна,



так и сравнивать различные отображения. Вы можете также изменять размеры каждого окна, чтобы приспособить их для размещения максимально возможного количества окон в области окна Query (Запрос). Область окна Query (Запрос) разделена на два раздела:

• Область окна Query Properties (Свойства запроса) показывает все атрибуты полей, содержащихся в области окна Records (Записи).

• Область окна Records (Записи) отображает поля каждой записи в файле системного журнала.

Разрешение IP‑адресовТак как преобразование IP-адреса потребляет время и ресурсы, SmartView Tracker позволяет вам выбирать, отобразить ли имена хоста источника и назначения в файле журнала.

Щелкните кнопкой на панели инструментов Resolve IP (Разрешение IP), чтобы переключиться между:

• Отображением имени хоста и домена.

• Отображением адресов в обычной записи IP через точку.

Разрешение сервисовС помощью опции Resolving Services (Разрешение служб) вы можете управлять отображением порта источника и назначения в файле журнала. Каждый номер порта соответствует типу сервиса, который он использует. Эта опция переключает между:

• Отображением номера порта адресата.

• Отображением типа сервиса, который использует порт.

Если вы щелкнете кнопкой по Resolving Services (Разрешение служб), чтобы отобразить тип сервиса, который использует порт, и появляется номер порта, это означает то, что сервис не был ранее определен для этого порта. Номер порта может быть поставлен в соответствие сервису в Object Manager (Диспетчер объектов) или в файле конфигурации служб (/etc/services).

Показ пустых данныхЭта опция управляет отображением пустых данных, то есть, тех записей системного журнала, которые и не включены, и не исключены в соответствии с текущими критериями фильтрации.

Например, если вы хотите отобразить только записи журнала, Action (Действие) которых либо Reject (Отклонено) или Drop (Отброшено), управляющие файлы регистрации имеют нулевое соответствие, потому что Action не соответствует управляющему файлу регистрации. Они и не включены, и не исключены. Если нажата кнопка панели инструментов Show Null Matches (Показать пустые данные), будут отображены с записи с пустыми данными.

Конфигурирование фильтраУбедитесь, что на панели инструментов активирована кнопка Apply Filter (Применить фильтр). Фильтр критериев не применяется, если эта кнопка не активна

Чтобы выполнить фильтрацию поля регистрации и сосредоточиться на данных, представляющих интерес:

1. Щелкните View > Query Properties (Смотреть > Свойства запроса).

2. Щелкните правой кнопкой мыши по заданному полю регистрации в столбце Filter (Фильтр) и выберите Edit Filter (Редактировать Фильтр).

Каждое поле отображает окно Filter (Фильтр), специфическое для данного типа.



Сконфигурируйте окно по своему выбору.

3. Нажмите OK.

Конфигурирование фильтра в соответствии с номером текущего правила

Чтобы запустить Фильтр в соответствии с номером текущего правила:

1. Щелкните правой кнопкой мыши где-нибудь в столбце Curr. Rule No. и выберите Edit Filter.

2. Выберите соответствующий пакет политик в раскрывающемся списке.

3. Выберите номер(а) текущего правила файлов регистрации, которые вы хотите отобразить, и нажмите OK.

Использование команд FollowС помощью команд Follow вы можете создать фильтр, который соответствует определенному запросу к определенному Источнику, Назначению или Пользователю.

Щелкните правой кнопкой мыши по записи со значением, представляющим интерес для вас, в области окна Records (Записи), и выберите одну из следующих команд Follow:

• Follow Source активирует поиск записи файла журнала согласно определенному источнику.

• Follow Destination активирует поиск записи файла журнала согласно определенному назначению.

• Follow User активирует поиск записи файла журнала согласно определенному пользователю.

• Follow Rule Number активирует поиск записи файла журнала согласно номеру правила.

• Follow Rule активирует поиск записи файла журнала согласно номеру правила.

Примечание — при этом открывается новое окно, отображающее первым соответствующий столбец (Source, Destination или User).

Просмотр файлов регистрации правил из Базы Правил

В Базе Правил в SmartDashboard возможно генерировать фильтрованное представление файлов регистрации, которые соответствуют определенному правилу. Существует два способа достичь этого:

• Просмотр файлов регистрации правила в SmartView Tracker

Щелкните правой кнопкой мыши на правиле в столбце No. (Номер) в SmartDashboard и выберите правило View rule logs in SmartView Tracker.

Откроется SmartView Tracker с фильтром, примененным к столбцу Curr. Rule No. (Номер текущего Правила), чтобы отобразить только те файлы регистрации, которые соответствуют выбранному правилу.

• Копирование идентификационного номера правила

a) Щелкните правой кнопкой мыши на правиле в столбце No. (Номер) в SmartDashboard и выберите Copy rule ID.

b) В SmartView Tracker щелкните View > Query Properties (Смотреть > Свойства запроса) и активируйте столбец Rule UID (идентификационный номер правила).

c) Щелкните правой кнопкой мыши на заголовке столбца Rule UID и выберите Edit Filter.



d) Вставьте идентификационный номер пользователя в поле Value и нажмите OK.

Фильтр применяется к столбцу Curr. Rule No., чтобы отобразить только те файлы регистрации, которые соответствуют Rule UID.

Конфигурирование запросов Новые запросы создаются путем настраивания существующих запросов и сохранения их под новыми именами. Действуйте следующим образом:

1. Выберите существующий запрос в Query Tree (Дереве запроса) (заранее заданный запрос или специализированный запрос) и выберите в меню Query > Copy (Запрос > Копировать).

Копия запроса, названная New (Новый), добавляется в папку Custom.

2. Переименуйте новый запрос.

3. В области окна Query Properties (Свойства запроса) измените запрос по своему желанию, определяя следующее для каждого соответствующего регистрационного поля (столбец):

• Show (Показывать) ли информацию, доступную в этом столбце.

• Width (Ширина) столбца, отображающего информацию.

• Filter (Фильтр) — условия, налагаемые на столбец.

4. Дважды щелкните по запросу, чтобы выполнить его.

Открытие существующего запроса Вы можете открыть существующий запрос в активном окне:

• Используя меню Query:

В области окна Query Tree выберите запрос, который вы хотели бы открыть. Выберите Query > Open. Требуемый запрос появится в области окна Records.

• Щелкните правой кнопкой мыши по существующему запросу.

Щелкните правой кнопкой мыши по запросу, который вы хотели бы открыть. Выберите Open. Требуемый запрос появится в области окна Records.

• Двойное нажатие на существующий запрос.

Дважды щелкните мышкой по запросу, который вы хотели бы открыть. Требуемый запрос появится в области окна Records.

Создание Настроенного Элемента в соответствии с требованиями пользователяЗаранее созданные запросы, содержащиеся в папке Predefined, не могут быть изменены, но они могут быть сохранены под другим именем.

Чтобы сохранить заранее заданный запрос под другим именем:

1. Откройте заранее заданный запрос.

2. Измените запрос в соответствии со своими требованиями.

3. В меню Query выберите Save As (Сохранить как).

4. Введите желаемое имя запроса.

5. Нажмите OK. Измененный вид запроса будет помещен в папку Custom.



Сохранение запроса под новым именемВы можете изменить запрос и сохранить его под новым именем.

Чтобы изменить заранее заданный запрос и сохранить его под новым именем:

1. Измените заранее заданный запрос в соответствии со своими требованиями.

2. Выберите Save As в меню Query, и задайте имя файла для измененного запроса.

3. Нажмите OK. Измененный запрос будет помещен в папку Custom.

Чтобы изменить пользовательский запрос

1. Измените запрос в соответствии со своими требованиями.

2. Выберите Save в меню Query.

Переименовывание пользовательского запроса 1. Выберите запрос, который хотите переименовать.

• В меню Query, выберите Rename, или

• Щелкните правой кнопкой мыши по заданному запросу и в отображаемом меню выберите Rename. Только что скопированный запрос будет помещен в папку Custom.

2. Введите желаемое имя запроса и щелкните по Enter.

Удаление пользовательского запроса Выберите запрос, который хотите удалить:

• В меню Query, выберите Delete, или

• Щелкните правой кнопкой мыши по заданному запросу и выберите Delete в отображаемом меню.

Примечание — Вы не можете удалить открытый или заранее заданный запрос.

Скрытие и отображение области окна Query TreeВы можете скрывать или отображать панель Query Tree (Дерева запроса). Чтобы переключить режим отображения пенели Query Tree, щелкните по Query Tree в меню View.

Работа с областью окна Query PropertiesОбласть окна Query Properties (Свойства запроса) показывает атрибуты для соответствующих столбцов в области окна Records. Эти атрибуты включают данные о том, отображены ли столбцы или скрыты, о ширине столбца и параметрах фильтрации, которые вы использовали, чтобы отобразить определенные элементы.

Область окна Query Properties (Свойства запроса) содержит четыре столбца.

Столбец ОписаниеColumn (Столбец) Имя столбцаShow (Показать) Выбирается для того, чтобы отобразить соответствующий

столбец в области окна Records. Снимите выделение, чтобы скрыть соответствующий столбец

Width (Ширина) Указывается ширина соответствующего столбца в области окна Records в пикселях



Столбец ОписаниеFilter (Фильтр) Элементы, содержащиеся в этом столбце, представляют

собой критерии фильтрации, используемые для того, чтобы отобразить определенные данные файла системного журнала

Показ/скрытие столбца• Используя область окна Query Properties (Свойства запроса)

В области окна Query Properties установить флажок столбца в столбце Show (Отобразить), чтобы отобразить столбец или снять флажок, чтобы скрыть столбец. Соответствующий столбец в области окна Records отображается/скрывается соответствующим образом.

• Используя область окна Records (Записи)

В области окна Records щелкните правой кнопкой мыши по заголовку столбца. Выберите Hide (Скрыть) в отображаемом меню. Столбец будет скрыт, а флажок в столбце Show в области окна Query Properties будет автоматически снят.

Изменение ширины столбцаЕсли Вы изменяете ширину столбца в одной области окна, она автоматически изменяется в другой. Вы можете изменить ширину столбца любым из способов:

• в области окна Query Properties

Дважды щелкните на поле Width (Ширина), которое вы хотели бы отредактировать в столбце Width. Поле Width становится доступным для редактирования, в нем вы можете определить новую ширину (в пикселях). Отредактируйте значение ширины и щелкните по Enter. Соответствующий столбец в области окна Records будет расширен/сужен, соответственно.

• в области окна Records

Поместите курсор на правую границу столбца в заголовке. Курсор изменит свой вид на курсор изменения размера столбца. Нажмите на левую кнопку мыши, не отпуская ее. Переместите границу столбца в заданную позицию, нажимая на левую кнопку мыши. Отпустите левую кнопку мыши. Значение в соответствующем поле Width столбца в области окна Query Properties бует автоматически изменено соответствующим образом.

Перестановка Столбцов Вы можете переставить столбцы в области окна Query Properties или Records. Если Вы измените их положение в одной области окна, оно будет автоматически изменено и в другой.

• В области окна Queries Properties (Свойства запросов), перетащите столбец вверх или вниз к заданной позиции.

• В области окна Records, перетащите заголовок столбца, левого или правого к заданной позиции.

Копирование данных записей журналаВы можете скопировать целую запись файла журнала или только одну из ее ячеек в буфер обмена:

• Щелкните правой кнопкой мыши по заданной записи.

• В отображенном меню выберите Copy Cell (Копировать ячейку), чтобы скопировать только ячейку, на которой стоит курсор, или выберите Copy Line (Копировать строку), чтобы скопировать всю запись.



Просмотр сведений о записяхОкно Record Details (Сведения о записях) будет отображено, если дважды щелкнуть по заданной записи в области окна Records.

Это окно позволит вам удобно просматривать значения записи для всех полей, включенных в ваш запрос. Поля, которые были определены как скрытые (hidden) для этой записи, не будут отображены. Поля появляются в том же порядке, в котором они появляются в области окна Records, и все значения поля появляются полностью, как видно по всплывающей подсказке.

Это окно позволяет Вам выполнять следующие операции:

• Отобразить подробную информацию прежней или последующей записи, щелкнув по кнопке Previous или Next соответственно. (Эти кнопки соответствуют стрелкам клавиатуры).

• Скопировать подробную информацию о записи в буфер обмена, щелкнув Copy.

• Закончить выполнение операций, которые занимают много времени, щелкнув Abort (эта кнопка активируется только тогда, когда работает сервер).

Примечание — опция Abort становится активной только тогда, когда выполняется определенное действие, например, когда Файл журнала обновляется или когда происходит поиск.

Просмотр правилаВы можете просмотреть правило, которое создало файл регистрации.

Чтобы просмотреть правило:

1. Откройте SmartDashboard.

a) Щелкните по кнопке панели инструментов Database Revision Control (Управление пересмотром базы данных).

b) Отметьте флажком внутри операции Create new version upon Install Policy (Создать новую версию при установке политики).

c) Щелкните по Close (Закрыть).

d) Щелкните по Install Policy (Установить Политику).

2. Перейти в SmartView Tracker.

3. Щелкните правой кнопкой мыши на требуемой записи.

4. Выберите View Rule in SmartDashboard (Посмотреть правило в SmartDashboard). SmartDashboard откроется, и правило появится на экране.

Примечание — Этот процесс работает только в отношении файлов регистрации, которые имеют номер правила и были созданы после того, как была выбрана операция Create a new version upon Install Policy (Создать новую версию при Установке Политики). Кроме того, эта опция доступна только на Управляющей Станции. Она не доступна на сервере Регистрации событий Домена.

Поиск с помощью интерфейсаЧтобы найти данные с помощью интерфейса, добавьте определенный Interface (Интерфейс). Вы можете выполнять поиск в направлении вперед и назад.


Глава 4 Сопровождение SmartView Tracker


Управление параметрами настройки переключения файла регистрации 30Управление параметрами настройки циклической регистрации 31Очистка файла журнала 31Локальное хранение файла журналов регистрации 31Работа с серверами Регистрации событий 32Команды, устанавливаемые пользователем 33Блокирование вторжения злоумышленника 34Конфигурирование команд аварийного состояния 35Активирование предупреждающих диалогов 35

Управление параметрами настройки переключения файла регистрации

Переключение файла регистрации может быть выполнено одним из следующих способов:

• Автоматически, если размер файла системного журнала составляет 2 Гбайта.

Вы можете изменить это ограничение размера по умолчанию, а также определить расписание переключения файла регистрации с помощью SmartDashboard, редактируя свойства объекта, накапливающего файлы регистрации (сервер Управления Безопасностью, сервер Регистрации событий или Шлюз Безопасности).

• Вручную, из SmartView Tracker.

Изменение автоматических параметров настройки переключения файла регистрации 1. В SmartDashboard дважды щелкните по рассматриваемому шлюзу.

Будет отображено окно свойств шлюза.

2. В разделе Log switch (Переключение файла регистрации) страницы Logs and Masters (Файлы регистрации и главные узлы) определите, когда выполнить переключение файла регистрации:

• Чтобы определить размер файла, который должен вызвать переключение файла регистрации, отметьте флажком Log switch when file size is xMByte (Переключить файл регистрации, когда размер файла равен Х МБ) и задайте соответствующий размер.

• Чтобы установить расписание переключения файла регистрации, отметьте флажком Schedule log switch to (Переключение файла регистрации по расписанию) и выберите подходящий временной объект из раскрывающегося списка.

Когда вы зададите обе опции, переключение файла регистрации будет выполнено при удовлетворении первому критерию.


Ручное переключение файла регистрации1. В SmartView Tracker выберите в меню File > Switch Active File (Файл > Переключиться


Сопровождение SmartView Tracker

на Открытый файл).

Будет отображено окно Switch active Log File (Переключение к открытому файлу регистрации).

2. По умолчанию, текущий файл системного журнала назван исходя из текущей даты и времени.

Чтобы задать другое имя, снимите отметку Default (Значение по умолчанию) и введите соответствующее имя в поле Log File Name (Имя файла журнала).

Управление параметрами настройки циклической регистрации

Чтобы сконфигурировать циклический процесс регистрации:

1. В SmartDashboard дважды щелкните по рассматриваемому шлюзу.

Будет отображено окно свойств шлюза.

2. В разделе Disk Space Management (Управление дисковым пространством) страницы Logs and Masters, определите следующее:

• Измерять ли свободное пространство на диске (Measure free disk space) в мегабайтах (Mbytes) или процентах (Percent).

• Поставьте отметку Required Free Disk Space (Необходимое свободное пространство на диске) и введите соответствующее значение.

• Чтобы не допустить удаления новых журналов, находящихся среди ваших старых журналов, поставьте отметку Do not delete log files from the last (Не удалять файлы системного журнал, созданные позднее) и задайте соответствующее число дней в поле Days.

Очистка файла журналаЧтобы удалить все записи в активном файле журнала fw.log, отобразите режим Log или Audit и выберите Purge Active File (Очистка файла журнала) в меню File.

Локальное хранение файла журналов регистрацииЧтобы сохранить журналы регистрации в локальном файле (вместо того, чтобы отправить их на сервер Управления Безопасностью или на сервер Регистрации событий):

1. В SmartDashboard дважды щелкните по рассматриваемому шлюзу, чтобы отобразить его окно свойств.

2. На странице Log Servers (Серверы Регистрации событий) (при переходе Logs and Masters), поставьте отметку Define Log Servers (Определить серверы Регистрации событий) и затем поставьте отметку Save logs locally, on this machine (<machine hostname>) (Сохранить файлы регистрации локально, на этой машине (<имя машины хоста>)).

3. Вы можете либо задать расписание для отправки локального файла на соответствующую машину (сервер Управления Безопасностью или сервер Регистрации событий), либо вручную импортировать эти файлы, используя SmartView Tracker.

Чтобы задать расписание отправки файла системного журнала:

• Отобразить страницу Additional Logging Configuration (Дополнительная конфигурация регистрации событий) (при переходе Logs and Masters).

• В разделе Log forwarding settings (Параметры настройки отправки файла регистрации), установите следующее:



— Поставьте отметку Forward log files to Security Management server (Отправить файлы журнала на сервер Управления Безопасностью) и выберите сервер Регистрации событий из раскрывающегося списка.

— Установите Log forwarding schedule (Расписание отправки журналов регистрации), выбирая подходящий временной объект из раскрывающегося списка.

Чтобы просмотреть локальный файл, используя SmartView Tracker:

1. Выберите Tools > Remote Files Management (Инструментарий > Удаленное управление файлами).

Будет отображено окно Remote Files Management, перечисляющее все Шлюзы Безопасности, из которых вы можете выбрать файлы регистрации событий (Log files).

2. Выберите заданный Шлюз Безопасности (Security Gateway) и щелкните Get File List (Получить список файлов).

Будет отображено окно Files on <Gateway Name> (Файлы на <Имя шлюза>), перечисляющее все файлы регистрации событий, найденные на выбранном Шлюзе Безопасности.

3. Выберите один или несколько файлов, которые будут вызваны.

Примечание — Вы не можете выбрать активный файл журнала. Если хотите выбрать текущий файл, вы должны сначала выполнить переключение файла регистрации.

4. Щелкните Fetch Files (Вызвать файлы).

Будет отображено окно Files Fetch Progress, показывающее процесс выполнеия операции передачи файла.

Работа с серверами Регистрации событийЧтобы снизить нагрузку на сервера Управления Безопасностью через серверы Регистрации событий:

1. Установите программное обеспечение сервера Регистрации событий на машине, которую вы хотите выделить для журналирования.

Примечание — Для надлежащего выполнения операций сервера Регистрации событий, на сервере Регистрации событий также должны быть установлены дополнения к программе, которые уже установлены на сервере Управления Безопасностью.

2. Запустите SmartDashboard и добавьте сервер Регистрации событий, который вы установили как сетевой объект Check Point:

• Выберите в меню Manage > Network Objects > New > Check Point > Host (Управление > Сетевые объекты > Новый > Check Point > Хост).

Будет отображено окно Check Point Host.

• На странице General Properties (Общие свойства) определите стандартные свойства сетевого объекта, включая:

— Поставьте отметку Log Server в списке Check Point Products (Продукты Check Point).

— Установите Secure Internal Communication (Безопасная внутренняя связь) между сервером Регистрации событий и сервером Управления Безопасностью.

• Определите дополнительные свойства в соответствии с необходимостью и нажмите OK.

3. Установите объект База данных Check Point на объекте сервер Регистрации событий:

• Выберите в меню Policy > Install Database (Политика > Установить Базу данных).

Будет отображено окно Install Database.



• В списке Install Database поставьте отметку Log Server object (Объект сервер Регистрации событий) и нажмите OK.

4. Чтобы установить шлюз для отправки его журналов регистрации на сервер Регистрации событий, дважды щелкните по шлюзу для отображения его окна свойств.

5. Вы можете либо отправлять записи в журнал регистрации в режиме онлайн, одну за другой; либо сохранять записи локально, и затем отправлять их в файле согласно определенному расписанию.

Чтобы отправлять записи в журнал регистрации в режиме онлайн:

• Отобразите страницу Log Servers (при переходе Logs and Masters).

• Поставьте отметку Define Log Servers (Определить серверы Регистрации событий).

• Добавьте этот сервер Регистрации событий в таблицу Always send logs to (Всегда отправлять журналы регистрации на…) (нажмите Add (Добавить), чтобы отобразить окно Add Logging Servers (Добавить серверы Регистрации событий), и переместите сервер Регистрации событий из списка Available Log Servers (Доступные серверы Регистрации событий) в список Select Log Servers (Выбрать сервер Регистрации событий)).

Чтобы задать расписание отправки файла системного журнала:

• Отобразить страницу Additional Logging Configuration (Дополнительная конфигурация регистрации событий) (при переходе Logs and Masters).

• В разделе Log forwarding settings (Параметры настройки отправки файла регистрации), установите следующее:

— Поставьте отметку Forward log files to Security Management server (Отправить файлы журнала на сервер Управления Безопасностью) и выберите сервер Регистрации событий из раскрывающегося списка.

— Установите Log forwarding schedule (Расписание отправки журналов регистрации), выбирая подходящий временной объект из раскрывающегося списка.

6. По умолчанию, если выбранный сервер Регистрации событий недоступен, файлы регистрации переписываются в локальный файл. В качестве варианта, вы можете выбрать резервный (backup) сервер Регистрации событий следующим образом:

• Отобразите страницу Log Servers (при переходе Logs and Masters).

• При выборе опции When a Log Server is unreachable, send logs to section (Если сервер Регистрации событий недоступен, отправлять файлы регистрации в раздел), нажмите Add, чтобы отобразить окно Add Logging Servers (Добавить серверы Регистрации событий).

• Переместите сервер Регистрации событий из списка Available Log Servers в список Select Log Servers и щелкните OK.

7. Повторите шаги от 4 до 6 для всех соответствующих шлюзов.

8. Запустите SmartView Tracker и войдите в систему на этом сервере Регистрации событий (вместо сервера Управления Безопасностью).

Команды, устанавливаемые пользователемЧтобы настроить команды, которые вы можете запустить через SmartView Tracker:

1. Выберите в меню Tools > Custom Commands (Инструментарий > Пользовательские команды).

Будет отображено окно Custom Commands.

2. Щелкните Add.

Будет отображено окно Add New Command (Добавить новую команду).



3. Задайте следующие свойства команды:

• Menu Text (Текст меню), определяет, как эта команда должна быть отображена в меню по правой кнопке (например. утилита ping).

• Command, определяющее имя команды (например ping.exe).

• Arguments (Параметры), которые будут использоваться командой.

• IP Columns only (Только Столбцы IP), позволяющее применить эту команду только к столбцам, в которых имеется значение адреса IP (например, Origin (Первоисточник), Source (Источник), Destination (Назначение) и т. д.).

Примечание — рекомендуется не использовать полное имя пути в поле Executable (Исполняемый), так как исполняемый файл может быть найден в различных каталогах различных клиентов SmartView Tracker. Администратор должен гарантировать, что команда может быть выполнена из каталога установки SmartView Tracker. Команды, требующие полного пути, могут быть выполнены сценарием, который сохраняется всеми администраторами в том же самом каталоге, но каждый администратор может редактировать его согласно своим потребностям.

Пример:

1. Используйте окно Add New Command, чтобы добавить Menu Content TELNET (Содержимое меню — протокол работы с удаленной машиной через эмулируемый терминал), которое выполняет команду TELNET, используя <Cell Value> (<Значение ячейки>) как ее Параметр (Parameter).

2. В области окна Records щелкните правой кнопкой мыши по записи, адрес IP которой 192.0.2.2 и выберите Telnet в меню.

Исполняемая команда: telnet 192.0.2.2

Блокирование вторжения злоумышленника SmartView Tracker позволяет вам разрывать активное подключение и блокировать дальнейшие подключения от и до определенных IP адресов. Функция блокирования вторжения злоумышленника работает только с подключениями по TCP и UDP. Действуйте следующим образом:

1. Выберите подключение, которое вы хотите блокировать, щелкая по нему в области окна Records режима Active.

2. В меню Tools, выберите Block Intruder (Блокировать вторжение злоумышленника).

Будет отображено окно Block Intruder.

3. В разделе Blocking Scope (Возможности блокирования) выберите подключения, которые вы хотели бы блокировать:

• Block all connections with the same source, destination and service — блокируют выбранное подключение или любое другое подключение с такой же службой, источником или назначением.

• Block access from this source — блокирует доступ из этого источника. Блокирует все подключения, которые исходят из машины, указанной в поле Source (Источник).

• Block access to this destination — блокирует доступ к этому назначению. Блокирует все подключения, которые направлены на машину, указанную в поле Destination (Назначение).

4. В разделе Blocking Timeout (Время ожидания блокировки), выберите одно из следующего:

• Indefinite (Неопределенное) блокирует весь дальнейший доступ



• For x minutes (На x минут) блокирует все дальнейшие попытки доступа на определенное количество минут

5. В разделе Force this blocking (Инициировать эту блокировку), выберите одно из следующего:

• Only on (Только на) блокирует попытки доступа через указанный Шлюз Безопасности.

• On any Security Gateway (На любом Шлюзе Безопасности) блокирует попытки доступа через все Шлюзы Безопасности, определенные как шлюзы или хосты на сервере Регистрации событий.


Чтобы очистить блокированные подключения с дисплея, выберите Clear Blocking (Очистить установки блокировки) в меню Tools (Инструментарии).

Конфигурирование команд аварийного состоянияКогда вы задаете установку в столбце правила Track на Alert (Оповещение), SNMP Trap (Ловушка SNMP), Mail (Почтовое сообщение) или UserDefined (Определяемый пользователем), запись регистрации события, соответствующего правилу, записывается в активный файл журнала, и сервер Управления Безопасностью выполняет соответствующий аварийный сценарий.

Команды оповещения определяются через SmartDashboard, на странице Alert Commands (Команды оповещения) окна Global Properties. Вы можете использовать сценарии оповещения с сообщением по почте, применяемые по умолчанию, и сценарии оповещения с прерыванием SNMP, вводя соответствующие IP-адреса. В качестве варианта, определите свое собственное предупреждение(я) в трех полях UserDefined.

Активирование предупреждающих диалогов При работе с SmartView Tracker сообщения появляются во многих ситуациях. У некоторых из этих сообщений есть опция «Don’t show this dialog box again» («не показывать это диалоговое окно снова»). Последовательность Tools > Enable Warning Dialogs (Инструментарии > Разрешить предупреждающие диалоги) дает вам возможность просмотреть все диалоговые окна, для которых вы выбрали опцию «Don’t show this dialog box again».

Documents

SmartView Tracker - RRC · Действия DLP Конкретные действия в отношении инцидентов DLP включают в себя: Действие