ACSIA XDR Plus Guida all'installazione e all'amministrazione dell'utente - v6.x.x

Questa guida si applica solo ad ACSIA XDR Plus versione 6.0.0 e successive

1. Introduzione

Il server può essere distribuito in un ambiente fisico o virtuale. Questa guida ti mostrerà i prerequisiti per l'installazione di ACSIA, i dettagli dell'installazione e della configurazione del prodotto, l'amministrazione, la risoluzione dei problemi di deployment e le domande frequenti.

2. Cos'è ACSIA XDR Plus?

ACSIA è un'applicazione automatizzata di intelligence sulla sicurezza informatica che consente alle organizzazioni di proteggersi da attacchi dannosi e entità non autorizzate che prendono di mira i propri dati.

3. Installazione e configurazione

Come qualsiasi altra applicazione software, ACSIA richiede l'esecuzione di alcuni prerequisiti prima di iniziare l'installazione.

3.1.Prerequisiti

Non devi avere OSSEC e WAZUH già installati sulle tue macchine prima dell'installazione di ACSIA. ACSIA si occuperà di installare correttamente WAZUH sulle tue macchine. Inoltre, finché ACSIA sarà installato sulle tue macchine, non devi installare WAZUH. Inoltre, devi assicurarti che non venga installato da software di terze parti.

3.1.1. Requisiti minimi

La piattaforma ACSIA Server richiede le seguenti specifiche minime:

Il server può essere distribuito in un ambiente fisico o virtuale
Nel caso di un ambiente virtuale, il server avrà bisogno di una Macchina Virtuale, e potrà funzionare su qualsiasi hypervisor scelto (VMWare, HyperV, VirtualBox, Proxmox, ecc...) ma non su container (Docker, Kubernetes, LXD, LXC, Vagrant, ecc...)
È possibile utilizzare una qualsiasi delle seguenti distribuzioni Linux: è preferibile Ubuntu 20.04
È necessario utilizzare Ubuntu Server 20.04 LTS
16GB RAM (negli ambienti virtuali, devono essere dedicati)
8 vCPU
200 GB SSD Storage (come minimo a seconda della politica di conservazione dei log + spazio addizionale dedicato al sistema)
È richiesta Connettività di rete (per scaricare e installare il server, ricevere i nostri feed di intelligence sulle minacce, connettersi con i client, aggiornare il sistema e verificare la licenza)
Partizionamento: non è richiesto un partizionamento specifico per ACSIA VM; tuttavia, se vuoi configurare una partizione LVM (Logical Volume Manager) è necessario dare al volume /var almeno 200 GB (dedicati).

Le specifiche di cui sopra supportano un carico di lavoro standard tipico di 100+ host monitorati. ACSIA scala in modo relativamente lineare, quindi le risorse aggiuntive supporteranno ambienti client più grandi.

Per eseguire l'installazione è necessaria la piena connettività a Internet. Una volta completata l'installazione, devono rimanere aperte solo le seguenti porte per i seguenti domini.

Source	Destination	Protocol	Port	Note
ACSIA Server	wimi.xdrplus.com	TCP	443	Public IP and Latest Release
ACSIA Server	license.acsia.io	TCP	5150	Attivazione della Licenza (TLS Enabled)
ACSIA Server	nexus.acsia.io	TCP	443	Download Updates

I domini e le porte sopra elencate devono rimanere sempre aperti (per la verifica delle chiavi pubbliche e private della licenza), anche se ACSIA consente fino a 48 ore di perdita di connessione prima di entrare in uno stato di "assenza di licenza". L'unica eccezione a questo requisito è quando ACSIA viene installato da Amazon AWS Marketplace.

Assicurarsi che i seguenti domini siano raggiungibili:

packages.wazuh.com
github.com
dl.fedoraproject.org
mirror.centos.org
mirrors.kernel.org
falco.org
download.falco.org
raw.githubusercontent.com
nmap.org
npcap.com
https://www.docker.elastic.co/

ACSIA Client (con l'agente) richiede le seguenti specifiche minime:

L'agente può essere installato su ogni tipo di sistema operativo supportato. Consigliamo vivamente di utilizzare solo sistemi operativi ancora supportati dai rispettivi fornitori.
Attualmente non abbiamo requisiti minimi per la CPU e la RAM, perché i nostri agenti sono estremamente leggeri in termini di consumo di hardware. Suggeriamo di eseguire l'installazione su un computer con almeno 2 GB di spazio libero.
Connettività di rete verso l'ACSIA Server (come specificato nella sezione seguente)

3.1.2. Interfaccia utente Web porte di rete

Per accedere all'interfaccia utente Web di ACSIA, dovrai aprire le seguenti porte tra la tua workstation (Laptop/Desktop/PC) e il server ACSIA:

Sorgente	Destinazione	Protocollo	Porta	Note
Qualsiasi PC che gestisce ACSIA	IP del server ACSIA	TCP	443	Usato per HTTPS
IP del server ACSIA	license.acsia.io	TCP	5150	Attivazione della licenza

3.1.3. Porte client-server ACSIA con installazione dell'agente

Se si sceglie di configurare l'agente ACSIA sui client (server o workstation), l'unico requisito affinché l'agente possa comunicare con il server ACSIA è la porta TCP 443 (HTTPS) e 444 (TCP/UDP). Se queste porte non sono aperte, assicurarsi che siano aperte.

Sorgente	Destinazione	Protocollo	Porta	Note
Qualsiasi host con l'agente ACSIA	IP del server ACSIA	TCP	443	Utilizzato per le connessioni
Qualsiasi host con l'agente ACSIA	IP del server ACSIA	TCP & UDP	444	Used per i pull
Qualsiasi host con l'agente ACSIA	wimi.xdrplus.com	TCP	443	Used per il pull dell'IP

3.1.4. Configurazione del Proxy ACSIA - Solo se si dispone di Proxy

Se nel vostro ambiente è presente un server proxy, applicate le seguenti istruzioni.

3.1.4.1 Impostazione del Proxy in modo permanente per tutti gli utenti

Per impostare in modo permanente l'accesso proxy per tutti gli utenti, è necessario modificare il file /etc/environment .

Step 1 - Per prima cosa, aprire il file in un editor di testo:

sudo nano /etc/environment

Step 2 - Aggiungere, quindi, le seguenti informazioni al file:

Attenzione: utilizzare lettere maiuscole come indicato sotto.

export HTTP_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export HTTPS_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export FTP_PROXY="[username]:[password]@ [proxy-web-or-IP-address]:[port-number]"
...
export NO_PROXY="localhost,127.0.0.1,::1"

Step 3 - Aggiornare il file .bashrc con le stesse informazioni riportate di seguito:

export HTTP_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export HTTPS_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export FTP_PROXY="[username]:[password]@ [proxy-web-or-IP-address]:[port-number]"
...
export NO_PROXY="localhost,127.0.0.1,::1"

3.1.4.2 Impostazione del proxy per APT

Su alcuni sistemi, la command-line APT necessita di una configurazione proxy separata, perché non utilizza le variabili d'ambiente del sistema.

Step 1 - Per definire le impostazioni del proxy per APT, creare o modificare (se esiste già) un file chiamato apt.conf nella directory /etc/apt :

sudo nano /etc/apt/apt.conf

Step 2 - Aggiungere le seguenti righe al file:

Acquire::http::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";
Acquire::https::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";

Step 3 - Salvare il file e uscire. La configurazione verrà applicata dopo un riavvio.

Nell'opzione NO_PROXY, oltre ai parametri specificati sopra, è necessario aggiungere le reti e le sottoreti interne in cui si trovano i dispositivi monitorati (la rete dei server o dei PC). In caso contrario, si verificheranno problemi di connettività tra ACSIA e tali reti quando si cercherà di aggiungerle ai servizi monitorati da ACSIA. È infatti improbabile che il proxy riesca a raggiungere tali reti.

Qualsiasi modifica che riguardi le variabili di cui sopra deve essere comunicata ad ACSIA tramite il comando configure_http_proxy.py seguito da acsia_restart (questo è per quando l'installazione di ACSIA è stata completata).

3.2. Installazione del Server ACSIA

Preparare una macchina virtuale Linux (ad esempio, Ubuntu Server 20.04 è attualmente supportato, controllare le note di rilascio di ACSIA) per ospitare il server ACSIA e assicurarsi che il sistema sia aggiornato.

Per installare ACSIA è necessario soddisfare alcuni prerequisiti. È possibile eseguire il nostro script ARM per assicurarsi che tutti i prerequisiti siano rispettati. Ulteriori informazioni sono disponibili nel nostro articolo: Pre-ACSIA Installation Minimum Requirements Check with AMR.

Una volta soddisfatti tutti i prerequisiti, l'installazione di ACSIA può iniziare. Se i requisiti per l'installazione non sono soddisfatti, l'installazione fallirà e verrà fornita una spiegazione dei prerequisiti non soddisfatti.

I clienti con una licenza ACSIA valida riceveranno dal team di supporto 4Securitas un pacchetto di installazione per scaricare lo script di installazione principale acsia_preparee un file aggiuntivo contenente le credenziali, compresa la licenza.

Assicuratevi che lo script acsia_prepare.sh da eseguire sia quello fornito in questo articolo. Qualsiasi versione precedente di questo file non è supportata.

Seguire le istruzioni passo-passo fornite in questa guida per installare la configurazione server-client di ACSIA.

3.2.1. Guida all'installazione del server ACSIA

Effettuare il login nella nuova macchina virtuale per il server ACSIA, passare all'utente root , copiare acsia_prepare.sh e le credentials.txt che vi abbiamo fornito.

Eseguire il file acsia_prepare.sh nel modo seguente, assicurandosi che lo script sia eseguibile con il comando:

chmod +x acsia_prepare.sh

e poi eseguire:

./acsia_prepare.sh

Seguire le istruzioni fornite sullo schermo e, al termine, eseguire quanto segue:

./install_package

Se tutti i requisiti preliminari sono soddisfatti secondo le linee guida, il server ACSIA sarà completamente installato in circa 5-6 minuti.

In caso di problemi, consultare la sezione Risoluzione dei problemi di questa guida, consultare le nostre guide avanzate alla risoluzione dei problemi nella nostra Knowledge Base o contattare il nostro team di supporto inviando un ticket da questo portale. Quando si richiede assistenza, si prega di fornire il maggior numero di informazioni possibili (ad esempio, screenshot, registri, ecc.); ogni dettaglio ci aiuterà a risolvere più rapidamente il problema.

Al termine del processo di installazione, dovreste avere sul vostro terminale le credenziali per il primo utente amministratore per accedere all'interfaccia web, qualcosa di simile a quanto segue:

ACSIA web and Dashboards
Admin interface: https://192.168.1.246:443
Username: admin@acsia.io
Password: kzuh21ybnsdy1=ui12b5!2iutRIf123kjojb

Una volta terminata l'installazione del server, l'installazione del client continuerà in background (il server ACSIA diventa il primo client da monitorare). Attendere l'inizializzazione del motore al termine dell'installazione del client.

Si consiglia vivamente di cambiare al più presto le password generate con altre nuove e di conservarle correttamente.

A questo punto, è necessario uscire dall'account acsia e rientrare per abilitare le variabili d'ambiente e avere a disposizione tutti i comandi del servizio ACSIA.

Per controllare lo stato di avanzamento dell'inizializzazione di ACSIA, eseguire:

acsia_tail_f

Se si riceve l'errore acsia_tail_f: command not found significa che non si sta utilizzando l'utente corretto, quindi eseguire:

sudo su - acsia

Questo cambierà il vostro account in quello di acsia, permettendovi di eseguire tutti i comandi necessari.

Al termine dell'installazione del client, dovrebbe essere visualizzato il seguente messaggio in acsia_tail_f:

2022-07-10 15:52:21.254 INFO 29440 --- [main] com.forsecuritas.AcsiaLauncher : *************** SPRING APPLICATION RUNNING *************************

Il messaggio sopra riportato indica che il motore è pronto e funzionante. Ora è possibile accedere all'interfaccia web con le credenziali fornite e attivare la licenza subito dopo l'accesso. Sarà inoltre necessario inserire il codice licenza subito dopo il nome utente e la password. Verrai reindirizzato, quindi, alla dashboard.

In seguito dovrete modificare immediatamente l’utente admin. Dovrete creare un nuovo utente (per farlo, inserire la propria e-mail e dare i permessi di admin), e creare una nuova password (direttamente nella UI).. Fate il log out, riconnettetevi con il nuovo utente creato ed eliminate l’utente admin già presente nell’interfaccia utente.

Al termine dell'installazione, è strettamente necessario avere a disposizione tutti i comandi di servizio di ACSIA per uscire dalla sessione in esecuzione e rientrare, in modo che le variabili d'ambiente possano essere tutte caricate.

4. Comandi di servizio ACSIA

Come già menzionato, tutti i comandi di servizio di ACSIA, compresi i servizi di avvio/arresto e i suggerimenti per la risoluzione dei problemi, si trovano nella cartella /acsia_app/bin in $ACSIA_HOME.

Di seguito sono riportati alcuni comandi di servizio utilizzati di frequente.

Per controllare che tutti i servizi ACSIA siano in esecuzione:

acsia_stack_status

Per avviare tutti i servizi ACSIA:

acsia_stack_start

Per arrestare tutti i servizi ACSIA:

acsia_stack_stop

Per far partire solo l'ACSIA engine:

acsia_start

Per fare il restart dell'ACSIA engine e dei servizi:

acsia_stack_restart

Per fare il restart dell'ACSIA engine:
acsia_restart

5. Configurazione del certificato SSL per l'applicativo Web ACSIA

Per impostazione predefinita, ACSIA genera certificati SSL autofirmati per la navigazione sicura. I certificati autofirmati sono configurati utilizzando gli indirizzi IP di ACSIA (esterni o locali, se forniti). Se si desidera configurare ACSIA con una CA adeguata e avere un proprio certificato SSL, è possibile farlo durante l'installazione di ACSIA o in una fase successiva. ACSIA richiede che il certificato e la chiave siano forniti in due file: la chiave privata e il certificato pubblico (entrambi in formato .pem).

Configurare il certificato durante l'installazione: durante l'installazione di ACSIA, utilizzando lo script acsia_install aggiungere semplicemente i parametri aggiuntivi: --certificate /path/to/cert.pem, --key /path/to/key.pem e --domain my.domain.com. Tutti e tre devono essere presenti, altrimenti il programma di installazione mostrerà un errore.
Configurazione post-installazione: è stato fornito un nuovo script acsia_deploy_ssl_certs che accetta gli stessi parametri dello step precedente: --certificate, --key, e--domain. Una volta configurato il tutto, sarà necessario eseguire acsia_stack_restart per tutti i componenti, in modo che questi nuovi certificati vengano acquisiti.

Se non volete acquistare certificati SSL, potete utilizzare Let's Encrypt con Certbot; tuttavia, queste istruzioni non sono fornite in questa guida, perché sono soggette a modifiche, quindi vi consigliamo di controllare i rispettivi siti web.

6. Aggiornamento di ACSIA

L'aggiornamento di ACSIA è ragionevolmente semplice e immediato.
Per effettuare l'aggiornamento, tutto ciò che occorre fare è eseguire il seguente comando nel terminale

come user acsia :

acsia_update

Questo comando è valido solo per l’aggiornamento dalla versione 6.x.x. alla versione 6.x.x. Per aggiornare dalla versione 5.x.x. alla versione 6.x.x è necessario seguire i passi indicati in questa quida qui.

Per ottenere gli aggiornamenti sono necessari il nome utente e la password di ACSIA. Queste credenziali sono solitamente fornite nella stessa e-mail con cui si ricevono le istruzioni per la licenza.

Si consiglia di eseguire gli aggiornamenti ACSIA dal terminale invece di utilizzare la funzione di aggiornamento dell'interfaccia Web. In questo modo si ottiene una maggiore chiarezza e controllo del processo, con informazioni più dettagliate sui codici di errore. Le versioni più importanti di ACSIA includono generalmente aggiornamenti dello strumento principale. Per questo motivo, quando si eseguono questi aggiornamenti, si consiglia di eseguire un arresto e un avvio di tutto lo stack. È possibile farlo eseguendo il comando: acsia_stack_stop && acsia_stack_start

7. Accesso a OpenDashboard

Il visualizzatore OpenSearch "OpenDashboard" fa parte dello stack di ACSIA. Per accedere alle applicazioni e a OpenDashboard, viene richiesta la password utente e l'autenticazione. Gli utenti devono indicare il proprio nome utente/password ACSIA ogni volta che tentano di visualizzare le dashboard. Il nome utente e la password sono le stesse usate per accedere all'interfaccia web di ACSIA.

8. Preparazione dei server per la connessione ad ACSIA

ACSIA supporta i sistemi operativi Linux, Windows e MAC OS.

8.1. Requisiti preliminari

Se la vostra infrastruttura IT è ospitata su Google Cloud (Metadata Page), potete saltare i passaggi seguenti aggiungendo le chiavi SSH ACSIA al vostro progetto dalla console di Google. AWS ha una configurazione simile che può essere eseguita tramite OpsWorks.

8.2. Deployment degli Agent su ACSIA

Per tutti gli agenti client Linux, Windows e MAC OS, è sufficiente navigare nella UI di ACSIA Devices→Add device, selezionare il sistema operativo, ossia Linux, Windows o MAC, e scaricarlo.

Tenere presente che gli agenti non sono legati a un singolo client, quindi lo stesso agente scaricato dall'interfaccia utente può essere utilizzato per più host. L'agente durerà 7 giorni dal download. Trascorsi questi giorni, sarà necessario scaricarlo nuovamente.

8.2.1. Deployment di un client Linux/Mac

Requisiti:

Kernel 2.6 o successivo
Python 2.7 o successivo
Account utente acsia con privilegi Sudo

Copiare l'agente scaricato sul dispositivo per l'installazione ed eseguirlo come root su Linux/MAC.

Per installare il client, la procedura è la seguente:

Scaricare un file .txt (Acsia-Linux-Agent.txt o Acsia-Mac-Agent.txt) dall'interfaccia utente.
Per farlo, fare clic su "Add Host +" e in seguito selezionare "Linux"/"Mac".
Creare nella shell il file Acsia-Linux-Agent.txt/Acsia-Mac-Agent.txt (con nano o vim) e renderlo eseguibile con questo comando:
```
chmod +x Acsia-Linux-Agent.txt 
```
o
```
chmod +x Acsia-Mac-Agent.txt
```
Ed eseguirlo:
```
sudo ./Acsia-Linux-Agent.txt 
```
o
```
sudo ./Acsia-Mac-Agent.txt
```

8.2.2. Deployment di un client Windows

Per scaricare un client Windows seguire la stessa procedura di Linux, ma selezionare "Add Windows".

Collegarsi a un computer con istanza RDP, cercare "Windows Powershell ISE" ma PRIMA di aprirlo, fare clic con il pulsante destro del mouse e selezionare "Esegui come amministratore".
Premete CTRL + R, incollate il contenuto dell'Agente nello spazio appena aperto e poi fate clic sull'icona verde "Esegui script".
Attendere che l'installazione sia terminata e ricevere l'output che mostra l'avvenuta installazione.

8.2.3. Controllare gli host installati

Dopo aver installato l'agente sui client, si vedranno i client automaticamente elencati (popolati) nell'interfaccia utente di ACSIA nella sezione Devices se tutti i prerequisiti sono stati soddisfatti.

Gli agenti client si collegano al server ACSIA tramite un'API (tutte le porte sono consolidate in due porte, 443 (TCP) e 444 (UDP/TCP), come nei prerequisiti).

Gli agenti ACSIA scaricati dall'interfaccia utente hanno token che scadono dopo sette giorni e ogni download è valido per più dispositivi. Se l'agente fornito non funziona, si prega di generare un nuovo agente perché molto probabilmente il problema è legato alla scadenza del token.

9. User Administration

La sezione User Administration si trova in fondo alla pagina, a sinistra, cliccando su Settings.

9.1 Preferences

9.1.1 Automatic Ban

Se si desidera che ACSIA gestisca la maggior parte delle minacce provenienti dall'esterno dell'organizzazione (cioè gli attacchi provenienti da Internet come BotNet, Bruteforce, Dictionary, SQL injections, attacchi XSS, ecc.) deve essere abilitata questa funzione.

Se abilitata, ACSIA adotterà automaticamente azioni correttive, come il ban in real time degli indirizzi IP. È possibile attivare l'Automatic Ban navigando in Settings e facendo clic sulla scheda Preferences.

9.1.2 Private IP Ban

ACSIA, per impostazione predefinita, non banna gli indirizzi IP locali; questo per evitare interruzioni dell'attività o incidenti simili che potrebbero avere un impatto sull'attività. Tuttavia, se si desidera bannare gli indirizzi IP locali, è possibile attivare questa funzione nella scheda Settings > Preferences.

9.1.3 Sysmon

Questa nuova funzione blocca automaticamente la scrittura di file eseguibili portabili (PE) su disco (solo per client e server Windows). Questa funzionalità deve essere abilitata dalla interfaccia grafica di ACSIA.

9.2. Notifications

9.2.1 Legitimate User Access

Questa funzionalità, se abilitata, consente di ricevere una notifica ogni volta che un utente legittimo sta accedendo al sistema.

9.2.2 Kernel Notifications

Con il monitoraggio a livello di kernel, una volta abilitato, ACSIA intercetterà il flusso di ogni chiamata di sistema fatta al kernel, intercettando le `syscalls e cercando anomalie/minacce in tempo reale (questo solo per i sistemi Linux).

Se si desidera ricevere notifiche a livello di kernel, si consiglia di mantenere questa funzione abilitata. Per coloro che lo desiderano, è possibile disattivarla in qualsiasi momento andando su Settings e facendo clic su Notifications.

9.3. Integrations

Acsia ha un elenco crescente di integrazioni di terze parti disponibili; si prega di controllare laACSIA XDR Plus Integrations Guide - v6.x.x per maggiori informazioni.

9.4. DNS Shield and DNSSEC

9.4.1 DNS Shield

Questa funzionalità, se abilitata, blocca le connessioni degli utenti contenenti domini dannosi. Quando un utente riceve un messaggio di posta elettronica e fa clic sull'IP/allegato, se questo viene riconosciuto da ACSIA come malevolo, al posto del link viene visualizzata una pagina di cortesia.
Questa pagina informa l'utente che si tratta di malware e blocca l'accesso in modo proattivo.

Questa feature al momento non è supportata su MacOS.

9.4.2 DNSSEC

Il protocollo DNSSEC autentica le risposte alle ricerche di domini. Le connessioni ai siti web che non utilizzano la funzionalità DNSSEC verranno bloccate.

9.5. Log Retention

ACSIA archivia tutti i log in arrivo dai server tra i database OpenSearch e MySQL. La durata (periodo di conservazione) dei registri può essere configurata navigando in Settings e facendo clic su Log Retention.

ACSIA consente agli utenti di impostare periodi di conservazione diversi per i vari tipi di file di log (elencati di seguito):

Access Logs: Questi registri comprendono tutti i log di sistema e i log degli eventi.
Web Logs: I web log sono i log delle applicazioni web (ad esempio apache, Nginx, tomcat, IIS, ecc.).
Audit Logs: Si tratta di log di audit di Linux molto noti.
Network Log: Questi log sono il traffico di rete catturato a livello di server (in entrata e in uscita).
ACM Logs: ACM è l'acronimo di Advanced Compliance Mitigation e quindi si tratta di log relativi alla conformità (sistema, applicazione, eventi di sicurezza, ecc.).

9.6. Attivazione della Licenza

Dopo aver completato l'installazione, si dovrebbe essere in grado di accedere all'applicazione ACSIA tramite il browser. La prima azione da compiere è l'attivazione della licenza.

Se non si attiva la licenza, non si potrà fare nulla perché l'applicazione non funzionerà. Per attivare la licenza, copiare il license code fornito e accedere al menu utente (in alto a destra, o è l'indirizzo e-mail o il nome) facendo clic su Settings dal menu e quindi selezionare la scheda "Licenza", dove è possibile aggiungere/attivare la licenza.

Qui vengono visualizzate tutte le informazioni sulla licenza: data di scadenza, host client sull'istanza, istanze attive. Facendo clic su "Disattiva" è possibile disattivare la licenza.

La licenza può essere richiesta tramite ticket dal nostro portale di supporto https://support.4securitas.com o, in caso di problemi di accesso, contattate il supporto via e-mail all'indirizzo support@acsia.io.

9.7. Users

Aggiungere un utente non è mai stato così semplice. Basta cliccare Settings in basso a sinistra e poi Users.

Quindi cliccare su "Add User" e compilare tutti i campi; in questa sezione è anche possibile cancellare o modificare gli utenti. Tenete presente che il nome utente effettivo deve essere un indirizzo e-mail.

La password può essere reimpostata direttamente dall'interfaccia Web, si può, inoltre, modificare l'utente, inviare l'e-mail di reimpostazione della password ed eliminare l'utente.

9.8 E-mail

Le impostazioni della posta elettronica si riferiscono alle notifiche via e-mail del server di ACSIA. Questa impostazione si trova in Settings, nella scheda Email.

Qui è possibile impostare l'e-mail del mittente e il suo nome. Ad esempio, se il dominio della vostra organizzazione si chiama example.com, potete impostare l'e-mail come no-reply@example.com e il nome come Acsia Alerts e inserire l'account nella white-list dei filtri anti-spam per assicurarvi di ricevere le notifiche da quell'account e-mail.

Una volta configurato il tutto, inizierete a ricevere le e-mail di notifica come da impostazione.

Se si riscontrano problemi nella ricezione delle e-mail, l'azione consigliata è quella di impostare un vero account di posta elettronica e configurarlo. Sotto "Email Notification" invece di impostare una semplice e-mail ed etichetta, è possibile attivare i metodi SMTP e di Autenticazione in cui è possibile inserire i dettagli dell'e-mail che si desidera utilizzare come mittente.

Se doveste riscontrare dei problemi nel settaggio, potete consultare il seguente articolo sulla risoluzione dei problemi: Configurazione Email (SMTP) V5.0+

9.9 Two-Factor Authentication

ACSIA offre un metodo 2FA che può essere implementato durante o dopo l'installazione per una maggiore sicurezza. Si consiglia vivamente di abilitare la 2FA per tutti gli utenti, passando dall'interfaccia Web a Settings > Two-Factor Authentication.

9.9.1 Abilitazione della 2FA per l'accesso alla UI di ACSIA

Si consiglia vivamente di attivare la 2FA per l'interfaccia utente, soprattutto se gli utenti ACSIA accedono all'interfaccia da Internet. Se la 2FA è abilitata per l'accesso alla WebApp, tutti gli utenti riceveranno un codice QR (che dovrà essere scansionato da, ad esempio, Google Authenticator, FreeOTP, ecc.) e dovranno presentare la chiave TOTP ogni volta che accederanno all'applicazione insieme alle credenziali di accesso tradizionali, come nome utente e password.

9.10. Software Updates

In questa sezione riceverete una notifica ogni volta che un nuovo aggiornamento è disponibile. È necessario aggiornare ACSIA dalla command line.

9.11. Clients Uninstall

Questa sezione consente all'utente di disinstallare ACSIA (l'azione rimuoverà tutte le regole del firewall, i data shipper e gli agenti da tutti gli host attivi, compreso ACSIA stesso). L'azione non può essere annullata). Questa procedura deve essere eseguita solo se si desidera rimuovere completamente ACSIA da un server e reinstallarlo da zero su un altro (compresa la reinstallazione di tutti gli host). È inoltre necessario liberare la licenza di ACSIA, altrimenti la reinstallazione non sarà possibile.

10. Overview

10.1. Main Dashboard

A partire dalla versione 6.0.0, ACSIA XDR Plus dispone di una nuova Dashboard nella sua nuova interfaccia. In questa dashboard, i dati possono essere esaminati attivamente con visualizzazioni numeriche, grafiche e cartografiche. A prima vista, vengono presentati i dati relativi agli ultimi 10 giorni. I dati possono essere filtrati in base a un determinato periodo utilizzando lo strumento di filtraggio nell'angolo superiore sinistro.

In generale, sulla scheda sono riportati i seguenti dati numerici;

Critical Alert
High Alert
Medium Alert
Low Alert
IoCs Blocked by ACSIA
Attacks Blocked (IP Banned)

Dati visualizzati graficamente;

Attack Trends Line Graph
Top 10 Attacks by Category Graph
Top 10 Blocked Hosts (Prisma) Graph
Top 10 Offenders Graph
Top 10 Attacked Hosts Bar Graph
Top 10 Failed Logins Bar Graph
Top 10 Successful Logins Bar Graph
Top 10 Destinations Bar Graph

Le tendenze degli attacchi geolocalizzati negli ultimi 10 giorni sono mostrate nella mappa del mondo.
La dashboard può essere personalizzata in base alle proprie esigenze.

10.2. Insights

L'area Insights si trova nel menu della barra laterale di sinistra, alla voce "Overview". Questa sezione contiene diverse dashboard che ACSIA offre per indagini approfondite sugli eventi o anche per generare report e analisi. Ogni dashboard viene visualizzata utilizzando OpenDashboard, un'applicazione web offerta da OpenSearch Stack.

Ogni dashboard è ben descritta nelle sue funzioni nell'area Insights.

I risultati di ciascuna sezione possono essere filtrati per includere un arco di tempo più o meno ampio.

11. Devices

11.1 Sezione Host List

La pagina dell'elenco degli host mostra l'inventario di tutti i dispositivi collegati ad ACSIA in modalità tablet. I dettagli di ciascuna cella della tabella sono brevemente elencati di seguito:

Alias: dove è possibile assegnare un alias per riconoscere meglio l'host.
Hostname: questo valore viene recuperato automaticamente dall'host, ma l'utente può cambiare il nome
Host IP: l'indirizzo IP attraverso il quale il client è connesso
OS (Operating System): indica il sistema operativo del client
Agent Version: indica la versione dell'agente (se è la più recente si vedrà "latest" tra parentesi accanto alla versione dell'agente)
Last seen: indica quando l'agente ha contattato per l'ultima volta il server ACSIA
Stato: contiene l'elenco e lo stato di tutti gli shippers che trasmettono i log del client al server ACSIA
Esistono cinque diversi stati:
- Active - quando l'Agente è attivo e funzionante
- Inactive: quando l'Agente e il Central Manager non hanno comunicato per più di 1 ora.
- Disconnected- quando non hanno comunicato per 24 ore
- Error - quando gli Shipper non sono in funzione
- Shipper Stopped - quando gli Shipper sono stati fermati manualmente
- Isolated: quando l'Host è isolato
Profiles: qui viene visualizzato il Profilo di ogni Host che è stato aggiunto
Risks: questa sezione mostra i risultati dei controlli di sicurezza di base eseguiti su ciascun host.

Nella sezione Host List, gli host possono essere filtrati in base al loro sistema operativo facendo clic sulla scheda relativa.

12. Events Section

12.1. Live Notifications

Nel menu di sinistra, le Live Notifications contengono un elenco di tutti gli eventi in tempo reale che non sono ancora stati attivati. Tutti gli avvisi di sicurezza in arrivo saranno elencati in questa sezione e facendo clic sulla freccia Details di ogni notifica in quest'area sarà possibile sfogliare ed esplorare i dettagli completi di un singolo incidente/avviso generato da ACSIA.

Ci sono, inoltre, dei filtri in cui gli eventi possono essere filtrati e ricercati per IP del client, severity, categoria e tipo di evento.

13. Profiles

13.1 Host Insight

Host Insight è una nuova funzionalità della V6.x.x che offre una rapida panoramica della posizione di sicurezza dei client gestiti, mediante una valutazione effettuata utilizzando controlli di conformità e sicurezza.

14. Compliance

La sezione Compliance contiene principalmente dashboard/report relativi alla conformità e ai quadri normativi elencati di seguito:

Gestione delle informazioni sulla sicurezza
Rapporto sugli eventi di sicurezza
Rapporto di monitoraggio dell'integrità
Rilevamento e risposta alle minacce
Rapporto sulle vulnerabilità
Mitre Att&ck
Auditing e monitoraggio delle Policy
Dashboard di monitoraggio delle Policy
Dashboard di controllo del sistema
Conformità normativa
GDPR
PCI DSS
HIPAA
NIST 800-53
TSC

Ogni dashboard presenta la propria descrizione nella scheda.

Le dashboard di conformità normativa includono tutti i regimi normativi globali da GDPR, PCI DSS, NIST 800-53, HIPAA, TSC a Mitre Att&ck framework. ACSIA fornisce un controllo completo e una visibilità in tempo reale sulla conformità dei sistemi IT e, nel caso in cui i sistemi non siano conformi, fornisce l'esatto punto di non conformità in modo da poterlo affrontare facilmente. Facendo clic su "View", verrete reindirizzati a OpenDashboard, dove troverete informazioni più dettagliate in base alla tipologia di Compliance selezionata.

15. Policies

Le Policy di ACSIA forniscono un inventario di ciò che è consentito e non consentito sui client monitorati. Quando ACSIA blocca il traffico, utilizza i firewall locali dei singoli client (firewall di Windows e tabella di routing sui sistemi Linux, ecc.). La sezione "Policy" è suddivisa in 4 sottosezioni:

IP Blacklist
IP Whitelist
Utenti bloccati
Luogo di accesso
Notifiche silenziate

15.1. IP Blacklist

La sezione IP Blacklist contiene tutti gli indirizzi IP che sono stati contrassegnati come dannosi e non autorizzati e quindi inseriti nella blacklist (bannati dagli host). È possibile annullare un'azione se un indirizzo IP viene erroneamente bannato da un utente. Se la funzione di autoban è abilitata, ACSIA gestirà automaticamente tutti i potenziali attacchi e le minacce provenienti dall'esterno dell'organizzazione (ad esempio da Internet), mentre le minacce interne saranno sempre notificate affinché l'amministratore di ACSIA prenda la decisione finale.

15.2. IP Whitelist

La sezione IP Whitelist contiene tutti gli indirizzi IP che sono stati contrassegnati come attendibili. Notare che la whitelist di un indirizzo IP non include le richieste web (a causa della sensibilità agli accessi a livello di applicazione web). Pertanto, quando un indirizzo IP viene inserito nella whitelist, la whitelist NON SI APPLICA alle applicazioni Web. Pertanto, se il traffico proveniente da quell'indirizzo IP specifico viene identificato come una potenziale minaccia, sarà soggetto a notifica e avviso.

15.3. Utenti bloccati

La sezione Locked Users contiene utenti specifici che sono contrassegnati come bloccati. Possono essere utenti legittimi che tentano di accedere ad aree non autorizzate. In alternativa, potrebbero essere utenti malintenzionati che hanno compromesso i dati dell'account legittimo di un utente e sono stati quindi bloccati. ACSIA non blocca automaticamente gli utenti legittimi, ma richiede sempre l'intervento dell'utente, per cui la decisione spetta all'amministratore di ACSIA.

15.4. Luogo di accesso

La sezione Access Location si riferisce a quegli eventi di sicurezza in cui l'accesso legittimo proviene da una posizione geografica o da un indirizzo IP non autorizzato da ACSIA. Queste richieste di accesso devono essere autorizzate o negate manualmente. Se si autorizza un indirizzo IP basato sulla posizione di un utente, è come se l'utente fosse inserito nella whitelist solo per quell'indirizzo IP. D'altro canto, se si contrassegna un utente come non autorizzato, quest'ultimo potrà comunque accedere ed effettuare tentativi, ma arriverà ogni volta un avviso. Pertanto, il luogo di accesso è diverso dalla blacklist di un IP, a meno che non si aggiunga manualmente l'IP alla blacklist.

15.5. Notifiche silenziate

La sezioneMuted Notifications si riferisce agli eventi di sicurezza che sono stati riconosciuti legittimamente dagli amministratori e/o dagli analisti di sicurezza di ACSIA. Una volta che un evento è stato contrassegnato come silenziato, ACSIA non notificherà più quel tipo di evento. Tutti gli eventi silenziati possono essere disattivati in qualsiasi momento.

16. Audit Logs

Audit Logs è la sezione in cui è possibile trovare tutti gli eventi che sono stati modificati e da chi (utenti ACSIA, chi ha fatto cosa sull'interfaccia web).

17. Distribution Lists

ACSIA consente di creare liste di distribuzione, è quindi possibile aggiungere membri a ciascun gruppo e impostare i tipi di notifica da inviare a ciascuna lista di distribuzione. Ad esempio, è possibile impostare una lista di distribuzione per ricevere solo avvisi di sicurezza a priorità Critical , High o Medium/Low. I dirigenti di livello C potrebbero non voler ricevere avvisi al di fuori degli eventi Critical e quindi è possibile creare una lista di distribuzione per soddisfare questo requisito.

La Distribution List si trova nel menu della barra laterale sinistra. Per creare una nuova lista di distribuzione è sufficiente fare clic su "AGGIUNGI NUOVA LISTA".

Assegnare un nome alla Distribution List creata e selezionare i membri aggiungendoli all'elenco insieme alla scelta del tipo di evento (Critico, Alto o Medio/Basso) che si desidera far ricevere al gruppo.

Ora è tutto pronto per ricevere le notifiche attraverso la lista di distribuzione.

18. Azioni immediate - Opzioni di remediation

È molto probabile che le Immediate Actions siano le funzioni di ACSIA più utilizzate dagli utenti. Spesso queste azioni sono incorporate in tutti gli eventi di sicurezza in arrivo o nelle notifiche e-mail. Da qui è possibile intraprendere un'azione immediata e mitigare interattivamente l'evento per porvi rimedio.

Questa è la funzione interattiva di ACSIA, che richiede l'input dell'utente per la correzione di eventi e minacce:

L'ordine delle Azioni immediate (talvolta indicate come Remediation Options), fornite con le notifiche, cambia dinamicamente in base al livello di gravità dell'evento e al tipo di evento. Ad esempio, in presenza di un avviso di potenziale compromissione dell'account, l'ordine delle azioni di rimedio sarà impostato sulla priorità, dove l'opzione che appare in cima sarà la scelta più logica, seguita dalla seconda dell'elenco e così via. Gli utenti di ACSIA trarranno grandi benefici da questa funzione anche se non hanno conoscenze di cybersecurity o hanno competenze tecniche limitate.

18.1. Azioni immediate o opzioni di remediation offerte da ACSIA:

18.1.1. Kill This Connection

Scegliendo questa azione, l'utente di ACSIA eliminerà il traffico di rete (in tempo reale) per quell'indirizzo IP dannoso e sospenderà tutto il traffico per quell'indirizzo IP per i successivi 15 minuti. Tutte le connessioni stabilite e le nuove richieste di connessione saranno eliminate durante il tentativo di trasmissione.

18.1.2. Acknowledge and Authorize User/Location

Scegliendo questa azione si autorizza quell'utente specifico e l'indirizzo IP associato in modo permanente ad accedere al proprio ambiente. L'indirizzo IP in questione sarà inserito nella whitelist di ACSIA e pertanto non si riceveranno più segnalazioni provenienti da quell'indirizzo IP associato all'utente.

18.1.3. Mark This User/Location as Unauthorized

Scegliendo questa azione si chiede ad ACSIA di continuare a notificare agli utenti questo evento fino a quando non si deciderà definitivamente di bloccarne l'autorizzazione. Utilizzare questa opzione per gli incidenti in cui non si è ancora deciso di vietare o autorizzare l'accesso da un indirizzo IP.

18.1.4. Ban This IP

Scegliendo questa azione, l'indirizzo IP viene definitivamente bannato e quindi non sarà più in grado di raggiungere i vostri sistemi.

18.1.5. Lock User

Scegliendo questa azione si blocca l'account utente all'interno del sistema.

18.1.6. Track This IP

Questa azione porta alla Dashboard dell'applicazione OpenDashboard, dove tutte le attività di rete e di server di quell'indirizzo IP specifico saranno popolate per dare piena visibilità a ciò che sta accadendo.

18.1.7. Track This User

Questa azione porta alla Dashboard dell'applicazione OpenDashboard , dove tutte le attività della rete e del server vengono visualizzate per quell'utente specifico, consentendo di stabilire la legittimità dell'attività dell'utente.

18.1.8. Whois Query

Si tratta di un servizio di ricerca di nomi di dominio per cercare nel database Whois informazioni sulla registrazione di domini e IP. Fornisce informazioni rilevanti sulla proprietà dell'indirizzo IP di origine.

18.1.9. View Details

Questo fornisce dettagli precisi sull'evento, compresa la posizione geografica dell'indirizzo IP di origine e le coordinate geografiche.

18.1.10. Close Incident

Questo è una semplice richiesta di ignorare l'evento e, se si ripresenta, ACSIA lo comunicherà nuovamente.

18.1.11. Mute Notification

Questa azione indica ad ACSIA di ignorare e non notificare più il ripetersi di quell'evento specifico.

18.1.12. Track Command Session - Solo per i client Linux

Si tratta di una funzione estremamente potente di ACSIA, abilitata dal monitoraggio a livello di kernel. Nel momento in cui viene rilevata un'attività sospetta o un utente ha tentato di leggere o scrivere su dati o file sensibili, viene attivato l'avviso e vengono fornite azioni correttive in tempo reale. Quando si fa clic su "Traccia sessione di comando" (Track Command Session), viene presentata non solo l'attività specifica dell'utente che ha attivato l'avviso, ma l'intera sessione dell'utente in modalità replay. Questo livello di dettaglio forense consente di visualizzare l'intera attività svolta dall'utente e quindi di comprendere ogni azione di battitura eseguita dall'utente, quali file sono stati consultati, le modifiche apportate ecc...

18.1.13 Isolate This Server

Questa azione metterà il server in insolamento e lo troverete nella sezione Host List, nella scheda "Quarantined Host".

18.1.14 Close All Similar Events on This Server

Questa opzione chiude tutti gli eventi simili sullo stesso server.

18.1.15 Close All Similar Events on All Servers

Questa opzione chiude tutti gli eventi simili su tutti i server.

19. Dettagli Container-Specific

ACSIA è container-aware e tiene automaticamente traccia degli eventi del kernel all'interno dei container. Tuttavia, se si eseguono applicazioni/web server all'interno di container e si desidera monitorare i log, questi devono essere resi disponibili all'host. ACSIA non supporta i symlinks ai file di log: deve esserci il percorso completo del file di log indicato.

I log dei container Linux possono essere presentati ad ACSIA utilizzando le opzioni docker --volume o --mount. Come da documentazione ufficiale di docker qui or qui se si usa docker-compose.

For any further information and queries please get in touch with our support team by contacting us via our support portal (https://support.4securitas.com).

ACSIA is a product of 4Securitas Ltd.

acsia_prepare.sh6 KB

Centro Assistenza ACSIA

Ricerca