Centro Assistenza ACSIA

ACSIA XDR Plus Guida all'installazione e all'amministrazione dell'utente - v6.0.0

Nadia Riccardi
Nadia Riccardi
  • Aggiornato

Questa guida si applica solo ad ACSIA XDR Plus versione 6.0.0 e successive

 

1. Introduzione

Il server può essere distribuito in un ambiente fisico o virtuale. Questa guida ti mostrerà i prerequisiti per l'installazione di ACSIA, i dettagli dell'installazione e della configurazione del prodotto, l'amministrazione, la risoluzione dei problemi di deployment e le domande frequenti.

 


 

2. Cos'è ACSIA XDR Plus?

ACSIA è un'applicazione automatizzata di intelligence sulla sicurezza informatica che consente alle organizzazioni di proteggersi da attacchi dannosi e entità non autorizzate che prendono di mira i propri dati.

 


3. Installazione e configurazione

Come qualsiasi altra applicazione software, ACSIA ha bisogno di alcuni requisiti preliminari per comunicare con i clienti connessi e svolgere i suoi compiti.

3.1.Prerequisiti

3.1.1. Requisiti minimi

La piattaforma ACSIA Server richiede le seguenti specifiche minime:

  • Il server può essere distribuito in un ambiente fisico o virtuale
  • Nel caso di un ambiente virtuale, il server avrà bisogno di una Macchina Virtuale, e potrà funzionare su qualsiasi hypervisor scelto (VMWare, HyperV, VirtualBox, Proxmox, ecc...) ma non su container (Docker, Kubernetes, LXD, LXC, Vagrant,  ecc...)
  • È possibile utilizzare una qualsiasi delle seguenti distribuzioni Linux: è preferibile Ubuntu 20.04
  • 16GB RAM (negli ambienti virtuali, devono essere dedicati)

  • 8 vCPU

  • 200 GB SSD Storage (come minimo a seconda della politica di conservazione dei log)

  • Connettività di rete (per scaricare e installare il server, ricevere i nostri feed di intelligence sulle minacce, connettersi con i client, aggiornare il sistema e verificare la licenza)

  • Partizionamento: non è richiesto un partizionamento specifico per ACSIA VM; tuttavia, quando ACSIA è ospitato in locale (al di fuori delle piattaforme cloud), si consiglia vivamente di configurare una partizione LVM in modo che lo spazio di archiviazione possa essere facilmente esteso

Per eseguire l'installazione è necessaria la piena connettività a Internet. Una volta completata l'installazione, è possibile ridurre la connettività solo agli URL indicati nella tabella seguente.

 

Source Destination Protocol Port Note
ACSIA Server wimi.xdrplus.com TCP 443 Public IP and Latest Release
ACSIA Server license.acsia.io TCP 5150 Attivazione della Licenza (TLS Enabled)
ACSIA Server nexus.acsia.io TCP 443 Download Updates


La connettività è richiesta in ogni momento, anche se ACSIA consente fino a 48 ore di perdita di connessione prima di entrare in uno stato di "assenza di licenza". L'unica eccezione a questo requisito è quando ACSIA viene installato da Amazon AWS Marketplace.

La specifica precedente supporterebbe un carico di lavoro standard tipico di oltre 100 host monitorati. ACSIA scala in modo relativamente lineare, quindi risorse aggiuntive supporteranno ambienti client più grandi.

ACSIA Client (con l'agente) richiede le seguenti specifiche minime:

  • L'agente può essere distribuito su tutti i sistemi operativi (anche nelle macchine virtuali), ma consigliamo vivamente di utilizzare sistemi aggiornati e che il nostro supporto può essere limitato su sistemi operativi che non sono ufficialmente supportati dai fornitori.
  • Al momento, non abbiamo requisiti minimi per CPU, RAM e Storage perché i nostri agenti sono estremamente leggeri in termini di consumo di hardware. Suggeriamo di eseguire l'installazione su una macchina con almeno 2GB di spazio libero
  • Funziona su qualsiasi piattaforma Linux con kernel superiori alla versione 2.6, Windows e macOS con qualsiasi distribuzione.
  • Connettività di rete verso ACSIA Server (come di seguito specificato)

 

3.1.2. Interfaccia utente Web porte di rete

Per accedere all'interfaccia utente Web di ACSIA, dovrai aprire le seguenti porte tra la tua workstation (Laptop/Desktop/PC) e il server ACSIA:

 

Sorgente Destinazione Protocollo Porta Note
Qualsiasi PC che gestisce ACSIA IP del server ACSIA TCP 443
Usato per HTTPS
IP del server ACSIA license.acsia.io TCP 5150
Attivazione della licenza

 

3.1.3. Porte client-server ACSIA con installazione dell'agente

Se si sceglie di configurare l'agente ACSIA sui client (server o workstation), l'unico requisito affinché l'agente possa comunicare con il server ACSIA è la porta TCP 443 (HTTPS) e 444 (TCP/UDP). Se queste porte non sono aperte, assicurarsi che siano aperte. 

 

Sorgente Destinazione Protocollo Porta Note
Qualsiasi host con l'agente ACSIA IP del server ACSIA TCP 443 Utilizzato per le connessioni
Qualsiasi host con l'agente ACSIA IP del server ACSIA TCP & UDP 444 Used per i pull
Qualsiasi host con l'agente ACSIA wimi.xdrplus.com TCP 443 Used per il pull dell'IP

 

3.1.4. Configurazione del Proxy ACSIA - Solo se si dispone di Proxy

Se avete un proxy e i vostri server (ACSIA VM e il vostro server da monitorare) per uscire su Internet, applicate le seguenti istruzioni.

 

3.1.4.1 Impostazione del Proxy in modo permanente per tutti gli utenti

Per impostare in modo permanente l'accesso proxy per tutti gli utenti, è necessario modificare il file /etc/environment .

 

Step 1 - Per prima cosa, aprire il file in un editor di testo:

sudo nano /etc/environment

Step 2 - Quindi, aggiornate il file con le stesse informazioni aggiunte al file .bashrc nello scenario precedente:

export HTTP_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export HTTPS_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export FTP_PROXY="[username]:[password]@ [proxy-web-or-IP-address]:[port-number]"
...
export NO_PROXY="localhost,127.0.0.1,::1"

Step 3 - Salvare il file e uscire. Le modifiche verranno applicate all'accesso successivo.

 

3.1.4.2 Impostazione del proxy per APT

Su alcuni sistemi, la command-line APT necessita di una configurazione proxy separata, perché non utilizza le variabili d'ambiente del sistema.

Step 1 - Per definire le impostazioni del proxy per APT, creare o modificare (se esiste già) un file chiamato apt.conf nella directory /etc/apt :

sudo nano /etc/apt/apt.conf 

Step 2 - Aggiungere le seguenti righe al file:

Acquire::http::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";
Acquire::https::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";

Step 3 - Salvare il file e uscire. La configurazione verrà applicata dopo un riavvio.

 

Nell'opzione NO_PROXY, oltre ai parametri specificati sopra, è necessario aggiungere le reti e le sottoreti interne in cui si trovano i dispositivi monitorati (la rete dei server o dei PC). In caso contrario, si verificheranno problemi di connettività tra ACSIA e tali reti quando si cercherà di aggiungerle ai servizi monitorati da ACSIA. È infatti improbabile che il proxy riesca a raggiungere tali reti.

Qualsiasi modifica che riguardi le variabili di cui sopra deve essere comunicata ad ACSIA tramite il comando configureHttpProxy seguito da acsia_restart (questo è per quando l'installazione di ACSIA è già stata completata).

 

3.2. Installazione del Server ACSIA

Preparare una macchina virtuale Linux (ad esempio, Ubuntu 20.04 è attualmente supportato, controllare le note di rilascio di ACSIA) per ospitare il server ACSIA e assicurarsi che il sistema sia aggiornato.

Per installare ACSIA è necessario soddisfare alcuni prerequisiti. È possibile eseguire il nostro script ARM per assicurarsi che tutti i prerequisiti siano rispettati. Ulteriori informazioni sono disponibili nel nostro articolo: Pre-ACSIA Installation Minimum Requirements Check with AMR.

Una volta soddisfatti tutti i prerequisiti, l'installazione di ACSIA può iniziare. Se i requisiti per l'installazione non sono soddisfatti, l'installazione fallirà e verrà fornita una spiegazione dei prerequisiti non soddisfatti.

I clienti con una licenza ACSIA valida riceveranno dal team di supporto 4Securitas un pacchetto di installazione per scaricare lo script di installazione principale acsia_preparee un file aggiuntivo contenente le credenziali, compresa la licenza.

Assicuratevi che lo script acsia_prepare.sh da eseguire sia quello fornito in questo articolo. Quello precedente non è supportato.

Seguire scrupolosamente le istruzioni fornite in questa guida per installare la configurazione server-client di ACSIA.

 

3.2.1. Guida all'installazione del server ACSIA

Effettuare il login nella nuova macchina virtuale per il server ACSIA, passare all'utente root , copiare acsia_prepare.sh e le credentials.txt che vi sono state fornite.
Esegui acsia_prepare come segue, assicurarsi che lo script sia eseguibile utilizzando il comando:
chmod +x acsia_prepare
e poi eseguire:
./acsia_prepare

 

Seguite le istruzioni fornite sullo schermo e, al termine, eseguite quanto segue:

./acsia_app/bin/acsia_install

Se tutti i requisiti preliminari sono soddisfatti secondo le linee guida, il server ACSIA sarà completamente installato in circa 5-6 minuti.

In caso di problemi, consultare la sezione Risoluzione dei problemi di questa guida, consultare le nostre guide avanzate alla risoluzione dei problemi nella nostra Knowledge Base o contattare il nostro team di supporto inviando un ticket da questo portale. Quando si richiede assistenza, si prega di fornire il maggior numero di informazioni possibili (ad esempio, screenshot, registri, ecc.); ogni dettaglio ci aiuterà a risolvere più rapidamente il problema.

Al termine del processo di installazione, dovreste avere sul vostro terminale le credenziali per il primo utente amministratore per accedere all'interfaccia web, qualcosa di simile a quanto segue:

ACSIA web and Dashboards
Admin interface: https://192.168.1.246:443
Username: admin@acsia.io
Password: kzuh21ybnsdy1=ui12b5!2iutRIf123kjojb

Una volta terminata l'installazione del server, l'installazione del client continuerà in background (il server ACSIA diventa il primo client da monitorare). Attendere l'inizializzazione del motore al termine dell'installazione del client.

 

Si consiglia vivamente di cambiare al più presto le password generate con altre nuove e di conservarle correttamente.

Per controllare lo stato di avanzamento dell'inizializzazione di ACSIA, eseguire:

acsia_tail_f

Se si riceve l'errore acsia_tail_f: command not found significa che non si sta utilizzando l'utente corretto, quindi eseguire:

sudo su - acsia

Questo cambierà il vostro account in quello di acsia, permettendovi di eseguire tutti i comandi necessari.

 

Al termine dell'installazione del client, dovrebbe essere visualizzato il seguente messaggio in acsia_tail_f:

2022-07-10 15:52:21.254 INFO 29440 --- [main] com.forsecuritas.AcsiaLauncher : *************** SPRING APPLICATION RUNNING *************************

Il messaggio sopra riportato indica che il motore è pronto e funzionante. Ora è possibile accedere all'interfaccia web con le credenziali fornite e attivare la licenza subito dopo l'accesso.

acsia-tail-f.gif

Per farlo, cliccare su Settings > License > Insert activation code. In seguito è necessario modificare immediatamente l’utente admin. Si deve creare un nuovo utente (inserire la propria e-mail e dare i permessi di admin), creare una nuova password (direttamente nella UI), fare il log out, riconnettersi con il nuovo utente creato ed eliminare l’utente admin già presente nell’interfaccia utente.

Al termine dell'installazione, è strettamente necessario avere a disposizione tutti i comandi di servizio di ACSIA per uscire dalla sessione in esecuzione e rientrare, in modo che le variabili d'ambiente possano essere tutte caricate.

 


 

4. Comandi di servizio ACSIA

Come già menzionato, tutti i comandi di servizio di ACSIA, compresi i servizi di avvio/arresto e i suggerimenti per la risoluzione dei problemi, si trovano nella cartella /acsia_app/bin in $ACSIA_HOME.

Di seguito sono riportati alcuni comandi di servizio utilizzati di frequente.

Per controllare che tutti i servizi ACSIA siano in esecuzione:
acsia_stack_status
 
Per avviare tutti i servizi ACSIA:
acsia_stack_start
 
Per arrestare tutti i servizi ACSIA:
acsia_stack_stop
 
Per far partire solo l'ACSIA engine:
acsia_start

 

Per fare il restart dell'ACSIA engine e dei servizi:
acsia_stack_restart

 

Per fare il restart dell'ACSIA engine:
acsia_restart

 


 

5. Configurazione del certificato SSL per l'applicativo Web ACSIA

Per impostazione predefinita, ACSIA genera certificati SSL autofirmati per la navigazione sicura. I certificati autofirmati sono configurati utilizzando gli indirizzi IP di ACSIA (esterni o locali, se forniti). Se si desidera configurare ACSIA con una CA adeguata e avere un proprio certificato SSL, è possibile farlo durante l'installazione di ACSIA o in una fase successiva. ACSIA richiede che il certificato e la chiave siano forniti in due file: la chiave privata e il certificato pubblico (entrambi in formato .pem).

  1. Configurare il certificato durante l'installazione: durante l'installazione di ACSIA, utilizzando lo script acsia_install aggiungere semplicemente i parametri aggiuntivi: --certificate /path/to/cert.pem--key /path/to/key.pem--domain my.domain.com. Tutti e tre devono essere presenti, altrimenti il programma di installazione mostrerà un errore.
  2. Configurazione post-installazione: è stato fornito un nuovo script acsia_deploy_ssl_certs che accetta gli stessi parametri dello step precedente: --certificate--key, e--domain. Una volta configurato il tutto, sarà necessario eseguire acsia_stack_restart per tutti i componenti, in modo che questi nuovi certificati vengano acquisiti.

Se non volete acquistare certificati SSL, potete utilizzare Let's Encrypt con Certbot; tuttavia, queste istruzioni non sono fornite in questa guida, quindi vi consigliamo di controllare i rispettivi siti web.

 


 

6. Aggiornamento di ACSIA

L'aggiornamento di ACSIA è ragionevolmente semplice e immediato.
Per effettuare l'aggiornamento, tutto ciò che occorre fare è eseguire il seguente comando nel terminale

come user acsia : acsia_update

Questo comando è valido solo per l’aggiornamento dalla versione 5 fino alla 5.9.9. Per aggiornare alla versione 6.0.0. è necessario eseguire lo script di pre-aggiornamento fornito nel capitolo 3.2.

Per ottenere gli aggiornamenti sono necessari il nome utente e la password di ACSIA. Queste credenziali sono solitamente fornite nella stessa e-mail con cui si ricevono le istruzioni per la licenza.

Si consiglia di eseguire gli aggiornamenti ACSIA dal terminale invece di utilizzare la funzione di aggiornamento dell'interfaccia Web. In questo modo si ottiene una maggiore chiarezza e controllo del processo, con informazioni più dettagliate sui codici di errore. Le versioni più importanti di ACSIA includono generalmente aggiornamenti dello strumento principale. Per questo motivo, quando si eseguono questi aggiornamenti, si consiglia di eseguire un arresto e un avvio di tutto lo stack. È possibile farlo eseguendo il comando:  acsia_stack_stop && acsia_stack_start

 


 

7. Accesso a OpenDashboard

Il visualizzatore OpenSearch "OpenDashboard" fa parte dello stack di ACSIA. Per accedere alle applicazioni e a OpenDashboard, viene richiesta la password utente e l'autenticazione. Gli utenti devono indicare il proprio nome utente/password ACSIA ogni volta che tentano di visualizzare le dashboard. Il nome utente e la password sono le stesse usate per accedere all'interfaccia web di ACSIA.

 


 

8. Preparazione dei server per la connessione ad ACSIA

ACSIA supporta i sistemi operativi Linux, Windows e MAC OS.

8.1. Requisiti preliminari

Se la vostra infrastruttura IT è ospitata su Google Cloud (Metadata Page), potete saltare i passaggi seguenti aggiungendo le chiavi SSH ACSIA al vostro progetto dalla console di Google. AWS ha una configurazione simile che può essere eseguita tramite OpsWorks.

8.2. Deployment degli Agent su ACSIA

Per tutti i client Linux, Windows e MAC OS in cui si è scelto di installare il client con l'agente, è sufficiente navigare nella UI di ACSIA Hosts→Add Host, selezionare il sistema operativo, ossia Linux, Windows o MAC, e scaricarlo.

Tenere presente che gli agenti non sono legati a un singolo client, quindi lo stesso agente scaricato dall'interfaccia utente può essere utilizzato per più host. L'agente durerà 7 giorni dal download. Trascorsi questi giorni, sarà necessario scaricarlo nuovamente.

8.2.1. Deployment di un client Linux/Mac

Requisiti:

  • Kernel 2.6 o successivo
  • Python 2.7 o successivo
  • Account utente acsia con privilegi Sudo

linux_agent.gif

Copiare l'agente scaricato sul dispositivo per l'installazione ed eseguirlo come root su Linux/MAC.

Per installare il client, la procedura è la seguente:

  • Scaricare un file .txt (Acsia-Linux-Agent.txt o Acsia-Mac-Agent.txt) dall'interfaccia utente.
    Per farlo, fare clic su "Add Linux"/"AddMac", quindi su "Use the Agent" e "Download the Agent".
  • Creare il file Acsia-Linux-Agent.txt/Acsia-Mac-Agent.txt (con nano o vim) e renderlo eseguibile con questo comando:
    chmod +x Acsia-Linux-Agent.txt 
    o
    chmod +x Acsia-Mac-Agent.txt
    Ed eseguirlo:
    sudo ./Acsia-Linux-Agent.txt 
    o
    sudo ./Acsia-Mac-Agent.txt

8.2.2. Deployment di un client Windows

Per scaricare un client Windows seguire la stessa procedura di Linux, ma selezionare "Add Windows".

windows_agent2.gif


Collegarsi a un computer con istanza RDP, cercare "Windows Powershell ISE" ma PRIMA di aprirlo, fare clic con il pulsante destro del mouse e selezionare "Esegui come amministratore".
Premete CTRL + R, incollate il contenuto dell'Agente nello spazio appena aperto e poi fate clic sull'icona verde "Esegui script".
Attendere che l'installazione sia terminata e ricevere l'output che mostra l'avvenuta installazione.


8.2.3. Controllare gli host installati

Se tutti i prerequisiti sono stati soddisfatti dopo l'installazione dell'agente sui client, si vedranno i client automaticamente elencati (popolati) nell'interfaccia utente di ACSIA nella sezione Hosts.

Gli agenti client si connettono al server ACSIA tramite un'API, senza requisiti di creazione da parte dell'utente o porte multiple da aprire sul firewall (tutte le porte sono consolidate in 2 porte, 443 (TCP) e 444 (UDP/TCP), come richiesto al momento della scelta dell'agente).

Gli agenti ACSIA scaricati dall'interfaccia utente hanno token che scadono dopo sette giorni e ogni download è valido per più dispositivi. Se l'agente fornito non funziona, si prega di generare un nuovo agente perché molto probabilmente il problema è legato alla scadenza del token. 

 


 

9. User Administration

La sezione User Administration si trova in fondo alla pagina, a sinistra, cliccando su Settings.

9.1 Preferences

9.1.1 Automatic Ban

Se si desidera che ACSIA gestisca la maggior parte delle minacce provenienti dall'esterno dell'organizzazione (cioè gli attacchi provenienti da Internet come BotNet, Bruteforce, Dictionary, SQL injections, attacchi XSS, ecc.) deve essere abilitata questa funzione.

Se abilitata, ACSIA adotterà automaticamente azioni correttive come il ban degli indirizzi IP sul posto. È possibile attivare l'Automatic Ban navigando in Settings e facendo clic sulla scheda Preferences.

9.1.2 Private IP Ban

Per impostazione predefinita, ACSIA non può bannare gli indirizzi IP locali, per evitare interruzioni dell'attività o incidenti simili che potrebbero avere un impatto sull'attività. Tuttavia, se si desidera bannare gli indirizzi IP locali, è possibile farlo abilitando questa funzione nella scheda Settings > Preferences.

9.1.3 Sysmon - Phase 2

Questa nuova funzione blocca automaticamente la scrittura di file eseguibili portabili (PE) su disco (solo per client e server Windows). Questa funzionalità deve essere abilitata dalla interfaccia grafica di ACSIA.

 

automaticban2.gif

 

9.2. Notifications

9.2.1 Legitimate User Access

Questa funzionalità, se abilitata, consente di ricevere una notifica ogni volta che un utente legittimo accede.

9.2.2 Kernel Notifications

Con il monitoraggio a livello di kernel, una volta abilitato, ACSIA ha la capacità di intercettare il flusso di ogni chiamata di sistema fatta al kernel, intercettando le `syscalls e cercando anomalie/minacce in tempo reale (questo solo per i sistemi Linux).

Se si desidera ricevere notifiche a livello di kernel, si consiglia di mantenere questa funzione abilitata. Per coloro che lo desiderano, è possibile disattivarla in qualsiasi momento andando su Settings e facendo clic su Notifications.

 

kernel.png

 

9.3. Integrations

Analogamente alla notifica via e-mail, è possibile attivare le notifiche da ricevere tramite Slack e/o Microsoft Teams. È possibile attivare questa funzione nella sezione Settings, alla voce Integrazione, dove è sufficiente copiare il webhook desiderato (Microsoft Teams o Slack) e attivarlo per ricevere le notifiche tramite messaggistica in tempo reale.

In questa sezione è possibile anche attivare/disattivare l'integrazione con l'antivirus (BitDefender).

 

9.3.1. Istruzioni per l'installazione di Slack (Microsoft Teams ha una procedura simile)

  1. Andare in "Applicazioni"

  2. Andare alla directory "View App"

  3. Cercare incoming-webhook

  4. Andare su "Aggiungi configurazione"

  5. In "Post to Channel": scegliere il canale/gruppo a cui inviare la notifica

  6. Fare clic su "Aggiungi integrazione WebHook in entrata"

  7. Andare su "Personalizza nome": Aggiungere il nome, ad esempio: ACSIA Notifier

  8. Copiare l'URLA del WebHook 

 

Configurazione sull'interfaccia utente ACSIA:

  1. Accedere all'interfaccia Web

  2. Andare su Impostazioni -> Integrazione

  3. Attivare Slack o Microsoft Teams

  4. Incollare l'URL copiato

Di seguito è riportato un esempio di notifica via e-mail e Slack:

blobid2.png

blobid3.png

Come si può vedere nella schermata precedente, abbiamo ricevuto una notifica di accesso riuscito tramite l'utente acsia al nostro server di pre-produzione. Ora sappiamo che un utente legittimo ha effettuato l'accesso, ma ACSIA ha giustamente notificato che si tratta di una potenziale compromissione dell'account.

L'utente e la posizione diventeranno legittimi per ACSIA solo se autorizzeremo l'utente con la posizione associata come legittima. Gli utenti di ACSIA devono addestrare il modulo di apprendimento automatico di ACSIA quando si tratta di accessi legittimi come questo. È qui che ACSIA richiederà principalmente l'input dell'utente. Pertanto, gli utenti ACSIA dovranno indicare per la prima volta, che questo utente è autorizzato e legittimo. Da quel momento in poi ACSIA sarà a conoscenza di questo modello e non lo comunicherà più (a meno che l'account non sia realmente compromesso).

9.3.2. BitDefender Integration 

Bitdefender previene e rileva le infezioni da malware. Questa nuova funzionalità consente ad ACSIA di implementare automaticamente Bitdefender sugli host e orchestrare il rilevamento.

Per abilitare questa integrazione sarà necessario acquistare una licenza aggiuntiva. Una volta che BitDefender è stato integrato, non può essere applicato agli agenti che sono già stati installati. Devi disinstallare l'agente, reinstallarlo e quindi puoi attivare l'antivirus. 

 

integrations2.png


9.3.3. 
Integrazione di Amazon AWS Elastic Beanstalk

ACSIA è dotato della funzione AWS Elastic Beanstalk Integration per monitorare le applicazioni in esecuzione su Elastic Beanstalk.

Se si dispone di applicazioni in esecuzione su Elasticbeanstalk e si desidera che ACSIA le monitorizzi e le protegga, eseguire il seguente comando nel terminale: acsia_adapter_beanstalk.py

Vi verrà richiesto di fornire le seguenti informazioni dal vostro ambiente AWS:

  • ID della chiave di accesso AWS (IAM User)

  • Chiave di accesso segreta AWS (IAM User Secret)

  • Nome della regione predefinita (regione in cui si trova Beanstalk)

  • Formato di output predefinito: (può essere JSON o testo, ma JSON è preferibile)

  • ACL (ID della lista di controllo degli accessi alla rete nella VPC di Beanstalk)

Dopo l'installazione di cui sopra, vi verrà assegnato un indirizzo IP (IP interno/privato). L'indirizzo IP può essere recuperato in seguito eseguendo il comando: acsia_adapter_ip.sh.

 

Accedere alla Console Web UI di ACSIA e aggiungere l'host Linux utilizzando l'indirizzo IP fornito in precedenza. (Getting Started->Start->Linux).

L'installazione potrebbe terminare con alcuni avvisi e una configurazione parziale. Non fatevi prendere dal panico; questi avvisi potrebbero non essere gravi e il monitoraggio in genere funzionerà.

Assicurarsi di includere il file acsia.config fornito nel pacchetto di avvio dell'applicazione elasticbeanstalk (pacchetto Kickstarter).

Dopo aver completato tutti i passaggi sopra descritti, accedere a un nuovo terminale sul server ACSIA e riavviare ACSIA eseguendo il comando acsia_restart . Questo per assicurarsi che ACSIA raccolga tutte le modifiche e i file di configurazione.

9.4. DNS Shield

9.4.1 DNS Shield - Phase 2

Questa funzionalità, se abilitata, blocca le query verso domini dannosi. Quando un utente riceve un'e-mail e fa clic sull'IP/allegato, se questo viene riconosciuto come malevolo, al posto del link viene visualizzata una pagina di cortesia.
Questa pagina informa l'utente che si tratta di un malware e lo blocca preventivamente. Inoltre, rileva la lingua dell'utente e la seleziona automaticamente.

This feature is currently not supported on MacOS.

9.4.2 DNSSEC

Il protocollo DNSSEC autentica le risposte alle ricerche di domini.

dnsshield.png


9.5. Log Retention

ACSIA archivia tutti i log in arrivo dai server tra i database OpenSearch e MySQL. La durata (periodo di conservazione) dei registri può essere configurata navigando in Settings e facendo clic su Log Retention.

logretention.png

 

ACSIA consente agli utenti di impostare diversi periodi di conservazione per diversi tipi di log (elencati di seguito):

  • Access Logs: Questi registri comprendono tutti i log di sistema e i log degli eventi.
  • Web Logs: I web log sono i log delle applicazioni web (ad esempio apache, Nginx, tomcat, IIS, ecc.).
  • Audit Logs: Si tratta di log di audit di Linux molto noti.
  • Network Log: Questi log sono il traffico di rete catturato a livello di server (in entrata e in uscita).
  • ACM Logs: ACM è l'acronimo di Advanced Compliance Mitigation e quindi si tratta di log relativi alla conformità (sistema, applicazione, eventi di sicurezza, ecc.).

 

9.6. Attivazione della Licenza

Dopo aver completato l'installazione, si dovrebbe essere in grado di accedere all'applicazione ACSIA tramite il browser. La prima azione da compiere è l'attivazione della licenza.

Se non si attiva la licenza, non si potrà fare nulla perché l'applicazione funzionerà al minimo delle sue capacità o non funzionerà affatto. Per attivare la licenza, copiare il license code fornito e accedere al menu utente (in alto a destra, o è l'indirizzo e-mail o il nome) facendo clic su Settings dal menu e quindi selezionare la scheda "Licenza", dove è possibile aggiungere/attivare la licenza.

Qui vengono visualizzate tutte le informazioni sulla licenza: data di scadenza, host client sull'istanza, istanze attive. Facendo clic su "Disattiva" è possibile disattivare la licenza.

 

license2.gif

 

La licenza può essere richiesta tramite ticket dal nostro portale di supporto  https://support.4securitas.com o, in caso di problemi di accesso, contattate il supporto via e-mail all'indirizzo support@acsia.io.

 

9.7. Users 

Aggiungere un utente non è mai stato così semplice. Basta cliccare Settings in basso a sinistra e poi Users

Quindi cliccare su "Add User" e compilare tutti i campi; in questa sezione è anche possibile cancellare o modificare gli utenti. Tenete presente che il nome utente effettivo deve essere un indirizzo e-mail.

È inoltre possibile reimpostare la password direttamente dall'interfaccia Web, modificare l'utente, inviare l'e-mail di reimpostazione della password ed eliminare l'utente.

 

adduser3.gif

 

9.8 E-mail

Le impostazioni della posta elettronica si riferiscono alle notifiche via e-mail del server di ACSIA. Questa impostazione si trova in Settings, nella scheda Email.

Qui è possibile impostare l'e-mail del mittente e il suo nome. Ad esempio, se il dominio della vostra organizzazione si chiama example.com, potete impostare l'e-mail come no-reply@example.com e il nome come Acsia Alerts e inserire l'account nella white-list dei filtri anti-spam per assicurarvi di ricevere le notifiche da quell'account e-mail.

Una volta configurato il tutto, inizierete a ricevere le e-mail di notifica come da impostazione.

 

Se si riscontrano problemi nella ricezione delle e-mail, l'azione consigliata è quella di impostare un vero account di posta elettronica e configurarlo. Sotto "Email Notification" invece di impostare una semplice e-mail ed etichetta, è possibile attivare i metodi SMTP e di Autenticazione in cui è possibile inserire i dettagli dell'e-mail che si desidera utilizzare come mittente.

Se doveste riscontrare dei problemi nel settaggio, potete consultare il seguente articolo sulla risoluzione dei problemi: Configurazione Email (SMTP) V5.0+

 

emailsmtp.gif

 

9.9 Two-Factor Authentication

 

ACSIA offre un metodo per l'autenticazione a due fattori che può essere implementato durante e dopo l'installazione per una maggiore sicurezza. Il 2FA può essere abilitato per tutti gli utenti navigando dall'interfaccia Web a Settings > 2FA.

2fa2.gif

 

9.9.1 Abilitazione della 2FA per l'accesso alla UI di ACSIA


Si consiglia vivamente di attivare la 2FA per l'interfaccia utente, soprattutto se gli utenti ACSIA accedono all'interfaccia da Internet. Se la 2FA è abilitata per l'accesso alla WebApp, tutti gli utenti riceveranno un codice QR (che dovrà essere scansionato da, ad esempio, Google Authenticator, FreeOTP, ecc.) e dovranno presentare la chiave TOTP ogni volta che accederanno all'applicazione insieme alle credenziali di accesso tradizionali, come nome utente e password.

 

9.10. Software Updates

In questa sezione riceverete una notifica ogni volta che un nuovo aggiornamento è disponibile. Sarà inoltre possibile aggiornare ACSIA direttamente dall'interfaccia utente, anziché dalla shell.


9.11. Clients Uninstall

Questa sezione consente all'utente di disinstallare ACSIA (l'azione rimuoverà tutte le regole del firewall, i data shipper e gli agenti da tutti gli host attivi, compreso ACSIA stesso. L'azione non può essere annullata).

 


 

10. Overview

10.1. Main Dashboard

A partire dalla versione 6.0.0, ACSIA XDR Plus dispone di una nuova Dashboard nella sua nuova interfaccia. In questa dashboard, i dati possono essere esaminati attivamente con visualizzazioni numeriche, grafiche e cartografiche. A prima vista, vengono presentati i dati relativi agli ultimi 10 giorni. È possibile filtrare questi dati in base a un determinato periodo di tempo con lo strumento di filtraggio nell'angolo superiore a sinistra.

 

dashboard3.png

 

In generale, sulla scheda sono riportati i seguenti dati numerici;
  • Critical Alert
  • High Alert
  • Medium Alert
  • Low Alert
  • IoCs Blocked by ACSIA
  • Attacks Blocked (IP Banned)
Dati visualizzati graficamente;
  • Attack Trends Line Graph
  • Top 10 Attacks by Category Graph
  • Top 10 Blocked Hosts (Prisma) Graph
  • Top 10 Offenders Graph
  • Top 10 Attacked Hosts Bar Graph
  • Top 10 Failed Logins Bar Graph
  • Top 10 Successful Logins Bar Graph
  • Top 10 Destinations Bar Graph

Le tendenze degli attacchi geolocalizzati negli ultimi 10 giorni sono mostrate nella mappa del mondo.
La dashboard può essere personalizzata in base alle proprie esigenze.

 

10.2. Insights

La sezione Insight si trova nel menu della barra laterale di sinistra. Questa sezione contiene diverse dashboard che ACSIA offre per indagini approfondite sugli eventi o anche per generare report e analisi. Ogni dashboard viene visualizzata utilizzando OpenDashboard, un'applicazione web offerta da OpenSearch Stack. La Dashboard OpenSearch è integrata in OpenSearch, potete trovare qualcosa quiOpensearch.

Ogni dashboard è ben descritta nelle sue funzioni nell'area Insights.

 

insights.png

 

I risultati di ciascuna sezione possono essere filtrati per includere un arco di tempo più o meno ampio.


 

11. Hosts

11.1 Sezione Host List

La pagina dell'elenco degli host mostra l'inventario di tutti i dispositivi collegati ad ACSIA in modalità tablet. I dettagli di ciascuna cella della tabella sono brevemente elencati di seguito:

 

  • Host Alias: dove è possibile assegnare un alias per riconoscere meglio l'host.
  • Hostname: questo valore viene recuperato automaticamente dall'host, ma l'utente può cambiare il nome
  • Host IP: l'indirizzo IP attraverso il quale il client è connesso
  • OS (Operating System): indica il sistema operativo del client
  • Agent Version: indica la versione dell'agente (se è la più recente si vedrà "latest" tra parentesi accanto alla versione dell'agente)
  • Last seen: indica quando l'agente ha contattato per l'ultima volta il server ACSIA
  • Stato: contiene l'elenco e lo stato di tutti gli shippers che trasmettono i log del client al server ACSIA
    Esistono cinque diversi stati:
    - Active - quando l'Agente è attivo e funzionante
    - Inactive: quando l'Agente e il Central Manager non hanno comunicato per più di 1 ora.
    - Disconnected- quando non hanno comunicato per 24 ore
    - Error - quando gli Shipper non sono in funzione
    - Shipper stopped - quando gli Shipper sono stati fermati manualmente
    - Isolated: quando l'host è isolato

  • Profiles: qui viene visualizzato il profilo in cui è stato aggiunto l'host

  • Risks: questa sezione vi porta alla query in cui è stato aggiunto l'host
  • Se si fa clic sul segno "+", vengono visualizzate le sottosezioni in cui vengono mostrati i dettagli dell'host, ad esempio il sistema operativo, il kernel, l'indirizzo IP, i log  monitorati e altro ancora. È anche possibile modificare l'alias dell'host, avviare/arrestare gli shipper ecc.

host.png

 

Nella sezione Host List, gli host possono essere filtrati in base al loro sistema operativo facendo clic sulla scheda relativa.

 


 

12. Events Section

12.1. Live Notifications

Nel menu di sinistra sono presenti anche le Live Notifications che contengono un elenco di tutti gli eventi in tempo reale che non sono ancora stati attivati. Tutti gli avvisi di sicurezza in arrivo saranno elencati in questa sezione e facendo clic sulla freccia Details di ogni notifica in quest'area sarà possibile sfogliare ed esplorare i dettagli completi di un singolo incidente/avviso generato da ACSIA.

 

livenotification.png

 

Abbiamo anche dei filtri in cui gli eventi possono essere filtrati e ricercati per IP del client, severity, categoria e tipo di evento.

 


 

13. Profiles

13.1 Host Insight

Host Insight è una nuova funzionalità che offre una rapida panoramica della posizione di sicurezza dei client gestiti, mediante una valutazione effettuata utilizzando controlli di conformità e sicurezza.

 


14. Compliance

La sezione Compliance contiene principalmente dashboard/report relativi alla conformità e ai quadri normativi elencati brevemente di seguito:

  • Gestione delle informazioni sulla sicurezza

  • Rapporto sugli eventi di sicurezza

  • Rapporto di monitoraggio dell'integrità

  • Rilevamento e risposta alle minacce

  • Rapporto sulle vulnerabilità

  • Mitre Att&ck

  • Auditing e monitoraggio delle Policy

  • Dashboard di monitoraggio delle Policy

  • Dashboard di controllo del sistema

  • Conformità normativa

  • GDPR

  • PCI DSS

  • HIPAA

  • NIST 800-53

  • TSC

compliance.png


Ogni dashboard presenta la propria descrizione nella scheda.

Le dashboard di conformità normativa includono tutti i regimi normativi globali da GDPR, PCI DSS, NIST 800-53, HIPAA, TSC a Mitre Att&ck framework. ACSIA fornisce un controllo completo e una visibilità in tempo reale sulla conformità dei sistemi IT e, nel caso in cui i sistemi non siano conformi, fornisce l'esatto punto di non conformità in modo da poterlo affrontare facilmente. Facendo clic su "View", si verrà reindirizzati a OpenDashboard. Qui troverete informazioni più dettagliate in base alla tipologia di Compliance selezionata.


 

15. Policies

Le Policy di ACSIA forniscono un inventario di ciò che è consentito e non consentito sui client monitorati. Quando ACSIA blocca il traffico, utilizza i firewall locali dei singoli client (firewall di Windows e tabella di routing sui sistemi Linux, ecc.). La sezione "Policy" è suddivisa in 4 sottosezioni:

  • IP Blacklist

  • IP Whitelist

  • Utenti bloccati

  • Luogo di accesso

  • Notifiche silenziate

policies.png

 

15.1. IP Blacklist

La sezione IP Blacklist contiene tutti gli indirizzi IP che sono stati contrassegnati come dannosi e non autorizzati e quindi inseriti nella blacklist (bannati dagli host). È possibile annullare un'azione se un indirizzo IP viene erroneamente bannato da un utente. Se la funzione di autoban è abilitata, ACSIA gestirà automaticamente tutti i potenziali attacchi e le minacce provenienti dall'esterno dell'organizzazione (ad esempio da Internet), mentre le minacce interne saranno sempre notificate affinché l'amministratore di ACSIA prenda la decisione finale.

15.2. IP Whitelist

La sezione IP Whitelist contiene tutti gli indirizzi IP che sono stati contrassegnati come attendibili. Si noti che la whitelist di un indirizzo IP non include le richieste web, in quanto è sensibile agli accessi a livello di applicazione web. Pertanto, quando si mette in whitelist un indirizzo IP che non si applica alle richieste web e se il traffico proveniente da quell'indirizzo IP specifico identifica una potenziale minaccia, sarà soggetto a notifica e avviso.

15.3. Utenti bloccati

La sezione Locked Users contiene utenti specifici che sono contrassegnati come bloccati. Può trattarsi di utenti legittimi che tentano di accedere ad aree non autorizzate. In alternativa, possono essere utenti malintenzionati che hanno compromesso i dettagli dell'account legittimo di un utente e quindi sono stati bloccati. ACSIA non blocca automaticamente gli utenti legittimi, ma richiede sempre l'input dell'utente, per cui la decisione spetta all'amministratore di ACSIA.

15.4. Luogo di accesso

La sezione Access Location si riferisce a quegli eventi di sicurezza in cui l'accesso legittimo proviene da una posizione geografica o da un indirizzo IP non autorizzato da ACSIA. Pertanto, è in attesa di approvazione, per essere autorizzato o non autorizzato. Se si autorizza un indirizzo IP basato sulla posizione di un utente, è come se l'utente fosse inserito nella whitelist solo per quell'indirizzo IP. D'altro canto, se si contrassegna un utente come non autorizzato, quest'ultimo potrà comunque accedere ed effettuare tentativi, ma arriverà ogni volta un avviso. Pertanto, il luogo di accesso è diverso dalla blacklist di un IP, a meno che non si aggiunga manualmente l'IP alla blacklist.

15.5. Notifiche silenziate

La sezioneMuted Notifications si riferisce agli eventi di sicurezza che sono stati riconosciuti legittimamente dagli amministratori e/o dagli analisti di sicurezza di ACSIA. Una volta che un evento è stato contrassegnato come silenziato, ACSIA non notificherà più quel tipo di evento. Tutti gli eventi silenziati possono essere disattivati in qualsiasi momento.

 


 

16. Audit Logs

Audit Logs è la sezione in cui è possibile trovare tutti gli eventi che sono stati modificati e da chi (utenti ACSIA, chi ha fatto cosa sull'interfaccia web).

 


 

17. Distribution Lists

ACSIA consente di creare liste di distribuzione, è quindi possibile aggiungere membri a ciascun gruppo e impostare i tipi di notifica da inviare a ciascuna lista di distribuzione. Ad esempio, è possibile impostare una lista di distribuzione per ricevere solo avvisi di sicurezza a priorità Critical , High o Medium/Low. I dirigenti di livello C potrebbero non voler ricevere avvisi al di fuori degli eventi Critical e quindi è possibile creare una lista di distribuzione per soddisfare questo requisito.


La Distribution List si trova nel menu della barra laterale sinistra. Per creare una nuova lista di distribuzione è sufficiente fare clic su "AGGIUNGI NUOVA LISTA".

 

distributionlist2.gif

 

Assegnare un nome alla Distribution List creata e selezionare i membri aggiungendoli all'elenco insieme alla scelta del tipo di evento (Critico, Alto o Medio/Basso) che si desidera far ricevere al gruppo.

Ora è tutto pronto per ricevere le notifiche attraverso la lista di distribuzione.

 


 

18. Azioni immediate - Opzioni di remediation

È molto probabile che le Immediate Actions siano le funzioni di ACSIA più utilizzate dagli utenti. Spesso queste azioni sono incorporate in tutti gli eventi di sicurezza in arrivo o nelle notifiche e-mail. Da qui è possibile intraprendere un'azione immediata e mitigare interattivamente l'evento per porvi rimedio. 

Questa è la funzione interattiva di ACSIA, che richiede l'input dell'utente per la correzione di eventi e minacce:

L'ordine delle Azioni immediate (talvolta indicate come Remediation Options), fornite con le notifiche, cambia dinamicamente in base al livello di gravità dell'evento e al tipo di evento. Ad esempio, in presenza di un avviso di potenziale compromissione dell'account, l'ordine delle azioni di rimedio sarà impostato sulla priorità, dove l'opzione che appare in cima sarà la scelta più logica, seguita dalla seconda dell'elenco e così via. Gli utenti di ACSIA trarranno grandi benefici da questa funzione anche se non hanno conoscenze di cybersecurity o hanno competenze tecniche limitate.

 

18.1. Azioni immediate o opzioni di remediation offerte da ACSIA:

18.1.1. Kill This Connection

Scegliendo questa azione, l'utente di ACSIA eliminerà il traffico di rete (in tempo reale) per quell'indirizzo IP dannoso e sospenderà tutto il traffico per quell'indirizzo IP per i successivi 15 minuti. Tutte le connessioni stabilite e le nuove richieste di connessione saranno eliminate durante il tentativo di trasmissione.

18.1.2. Acknowledge and Authorize User/Location

Scegliendo questa azione si autorizza quell'utente specifico e l'indirizzo IP associato in modo permanente ad accedere alla propria sede. L'indirizzo IP in questione sarà inserito nella whitelist di ACSIA e pertanto non si riceveranno più segnalazioni provenienti da quell'indirizzo IP associato all'utente.

18.1.3. Mark This User/Location as Unauthorized

Scegliendo questa azione si chiede ad ACSIA di continuare a notificare agli utenti questo evento fino a quando non si prende una decisione. Utilizzare questa opzione per gli incidenti in cui non si è ancora deciso di vietare o autorizzare l'accesso da un indirizzo IP.

18.1.4. Ban This IP

Scegliendo questa azione, l'indirizzo IP viene definitivamente bannato e quindi non sarà più in grado di raggiungere i vostri sistemi.

18.1.5. Lock User

Scegliendo questa azione si blocca l'account utente all'interno del sistema.

18.1.6. Track This IP

Questa azione porta alla Dashboard dell'applicazione OpenDashboard, dove tutte le attività di rete e di server di quell'indirizzo IP specifico saranno popolate per dare piena visibilità a ciò che sta accadendo.

18.1.7. Track This User

Questa azione porta alla Dashboard dell'applicazione OpenDashboard , dove tutte le attività della rete e del server vengono visualizzate per quell'utente specifico, consentendo di stabilire la legittimità dell'attività dell'utente. 

18.1.8. Whois Query

Si tratta di un servizio di ricerca di nomi di dominio per cercare nel database Whois informazioni sulla registrazione di domini e IP. Fornisce informazioni rilevanti sulla proprietà dell'indirizzo IP di origine dell'utente malintenzionato.

18.1.9. View Details

Questo fornisce dettagli precisi sull'evento, compresa la posizione geografica dell'indirizzo IP di origine e le coordinate geografiche.

18.1.10. Close Incident

Questo è una semplice richiesta di ignorare l'evento e, se si ripresenta, ACSIA lo comunicherà nuovamente.

18.1.11. Mute Notification

Questa azione indica ad ACSIA di ignorare e non notificare più il ripetersi di quell'evento specifico.

18.1.12. Track Command Session - Solo per i client Linux

Si tratta di una funzione estremamente potente di ACSIA, abilitata dal monitoraggio a livello di kernel. Nel momento in cui viene rilevata un'attività sospetta o un utente ha tentato di leggere o scrivere su dati o file sensibili, viene attivato l'avviso e vengono fornite azioni correttive in tempo reale. Quando si fa clic su "Traccia sessione di comando" (Track Command Session), viene presentata non solo l'attività specifica dell'utente che ha attivato l'avviso, ma l'intera sessione dell'utente in modalità replay. Questo livello di dettaglio forense consente di visualizzare l'intera attività svolta dall'utente e quindi di capire perché l'utente ha cercato di alterare i file e i dati sensibili e di intraprendere rapidamente un'azione correttiva.

18.1.13 Isolate This Server

Questa azione metterà il server in insolamento e lo troverete nella sezione Host List, nella scheda "Quarantined Host".

18.1.14 Close All Similar Events on This Server

Questa opzione chiude tutti gli eventi simili sullo stesso server.

18.1.15 Close All Similar Events on All Servers

Questa opzione chiude tutti gli eventi simili su tutti i server.

 


 

19. Dettagli Container-Specific

ACSIA è container-aware e tiene automaticamente traccia degli eventi del kernel all'interno dei container. Tuttavia, se si eseguono applicazioni/web server all'interno di container e si desidera monitorare i log, questi devono essere resi disponibili all'host. ACSIA non supporta i symlinks ai file di log: deve esserci il percorso completo del file di log indicato.

I log dei container Linux possono essere presentati ad ACSIA utilizzando le opzioni docker --volume o --mount. Come da documentazione ufficiale di docker qui or qui se si usa docker-compose.

 

For any further information and queries please get in touch with our support team by contacting us via our support portal (https://support.4securitas.com).

ACSIA is a product of 4Securitas Ltd.

Copyright 2022 4Securitas Ltd