ACSIA Yardım Merkezi

ACSIA XDR Plus Kurulum ve Kullanıcı Yönetim Kılavuzu - v5.0.0 ve üzeri

Maide UYGUR
Maide UYGUR
  • Güncellenme

 Bu kılavuz yalnızca ACSIA XDR Plus sürüm 5.0.0 ve üzeri için geçerlidir

 

1. Önsöz

Bu kılavuz, ACSIA'yı yüklemek için ön koşullar, ürün yükleme ve yapılandırma ayrıntıları, yönetim, sorun giderme dağıtımı ve Sık Sorulan Sorular konusunda size yol gösterecektir.

 


 

2. ACSIA XDR Plus nedir?

ACSIA (Automated Cyber Security Intelligence Application) kuruluşların kendilerini kötü niyetli saldırılara ve verilerini hedefleyen yetkisiz kuruluşlara karşı korumalarını sağlayan bir Otomatik Siber Güvenlik İstihbarat Uygulamasıdır.

 


3. Kurulum ve Yapılandırma

Diğer tüm yazılım uygulamaları gibi, ACSIA'nın da bağlı istemcilerle iletişim kurmak ve görevlerini yerine getirmek için bazı ön gereksinimlere ihtiyacı vardır.

 

3.1. Öngereksinimler

3.1.1. Minimum Gereksinimler

ACSIA Sunucu platformu aşağıdaki minimum özellikleri gerektirir:

  • Sunucu, fiziksel veya sanal bir ortamda konuşlandırılabilir
  • Sanal bir ortam söz konusu olduğunda, sunucunun bir Sanal Makineye ihtiyacı olacaktır ve bu, tercih edilen her hiper yöneticide (VMWare, HyperV, VirtualBox, Proxmox, vb...) çalışabilir, ancak konteynerlarda değil (Docker, Kubernetes, LXD, vb.) LXC, Vagrant, vb...)
  • Aşağıdaki Linux dağıtımlarından herhangi biri kullanılabilir: Ubuntu 20.04 tercih edilir

  • 16 GB RAM (sanal ortamlarda tahsis edilmelidir)

  • 8 vCPU

  • 200 GB Depolama SSD (en az saklama politikasına bağlı olarak)

  • Ağ bağlantısı (sunucuyu indirip kurmak, tehdit istihbaratı beslemelerimizi almak, istemcilerle bağlantı kurmak, sistemi yükseltmek ve lisansı doğrulamak için)
  • Bölümleme: ACSIA VM için belirli bir bölümleme gerekli değildir; ancak, ACSIA şirket içinde (bulut platformları dışında) barındırıldığında, depolamanın kolayca genişletilebilmesi için bir LVM bölümü kurulması şiddetle önerilir.

Yukarıdaki spesifikasyon, 100'den fazla izlenen ana bilgisayarın tipik bir standart iş yükünü destekleyecektir. ACSIA nispeten doğrusal olarak ölçeklenir, bu nedenle ek kaynaklar daha büyük istemci ortamlarını destekleyecektir.

ACSIA Müşterisi (agent ile birlikte) aşağıdaki minimum özellikleri gerektirir:

  • Aracı her işletim sisteminde (sanal makinelerde bile) konuşlandırılabilir, ancak güncellenmiş sistemlerin kullanılmasını ve desteğimizin saygın satıcılar tarafından resmi olarak desteklenmeyen işletim sistemlerinde sınırlı olabileceğini şiddetle tavsiye ederiz.
  • Şu anda CPU, RAM ve Depolama için herhangi bir minimum gereksinimimiz yok çünkü aracılarımız donanım tüketimi açısından oldukça hafif. Kurulumu en az 2 GB boş alana sahip bir makinede gerçekleştirmenizi öneririz.
  • Linux sistemleri için en az 2.6 ve üzeri sürümlerden bir çekirdeğe ihtiyacımız var.
  • ACSIA Sunucusuna ağ bağlantısı (aşağıda belirtildiği gibi)

 

3.1.2. Web UI Ağ bağlantı noktaları

ACSIA'nın Web Kullanıcı Arayüzüne erişmek için iş istasyonunuz (Dizüstü/Masaüstü/PC) ile ACSIA sunucusu arasında aşağıdaki bağlantı noktalarını açmanız gerekecektir:

 

Kaynak Hedef Protokol Port Not
ACSIA'yı yöneten herhangi bir bilgisayar ACSIA Server's IP TCP 443 HTTPS için kullanılır
ACSIA Sunucusunun IP'si license.acsia.io TCP 5150 Lisans Aktivasyonu

ACSIA'nın kurulumdan önce ve sonra  ihtiyaç duyduğu tek internet bağlantısı,  license.acsia.io üzerindeki 5150 (TCP) numaralı bağlantı noktasına TLS'nin etkin olduğu bağlantıdır. ACSIA, lisanssız bir duruma girmeden önce 48 saate kadar bağlantı kaybına izin verse de, bu bağlantı her zaman gereklidir (lisans için özel ve genel anahtar çifti doğrulaması). Bu gereksinimin tek istisnası, ACSIA'nın Amazon AWS Marketplace'ten dağıtılmasıdır.

Ayrıca ACSIA, güncellemeler, tehdit istihbaratı beslemeleri ve lisans yükseltmeleri için kurulum sırasında internet erişimi gerektirir. 

 

3.1.3. Agent yüklemesini kullanan ACSIA istemci-sunucu bağlantı noktaları

 

ACSIA aracısını istemcilere (sunucular veya iş istasyonları) dağıtmayı seçerseniz, aracının ACSIA sunucusuyla iletişim kurabilmesi için tek gereksinim 443 numaralı TCP bağlantı noktası (HTTPS) ve 444'tür (TCP/UDP). Bu portlar açık değilse, lütfen açık olduğundan emin olun.

 

Kaynak Hedef Protokol Port Not
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si TCP 443 Bağlantılar için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si TCP & UDP 444 Pulls için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar wimi.xdrplus.com TCP 443 IP'yi çekmek için kullanılır

 

3.1.4. ACSIA istemci-sunucu bağlantı noktaları aracısız dağıtım

ACSIA Server, istemcilerle aşağıdaki iletişim portları aracılığıyla iletişim kurar; bu nedenle, aracısız dağıtımı seçerseniz güvenlik duvarınızı aşağıdaki kuralları etkinleştirmeniz gerekir:

 

Kaynak Hedef Protokol Port Not
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si TCP 1515 Bağlantılar için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si UDP 1514 Bağlantılar için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si TCP 5044 Bağlantılar için kullanılır
ACSIA Sunucusunun IP'si Herhangi bir Windows ana bilgisayarı TCP 5986 İtme için kullanılır
ACSIA Sunucusunun IP'si Herhangi bir Linux ana bilgisayarı TCP 22 İtme için kullanılır

 

3.1.5. ACSIA Proxy yapılandırması - Yalnızca Proxy'niz varsa

Sunucularınızın internete çıkması için proxy ve sunucularınız (ACSIA VM ve izlenecek sunucunuz) varsa lütfen aşağıdaki yönergeleri uygulayınız.

 

3.1.5.1 Tüm Kullanıcılar için Kalıcı Proxy Ayarlama

Tüm kullanıcılar için kalıcı olarak proxy erişimi ayarlamak için /etc/environment dosyasını düzenlemeniz gerekir.

 

Adım 1 - İlk önce dosyayı bir metin düzenleyicide açın:

sudo nano /etc/environment

Adım 2 - Ardından, önceki senaryoda .bashrc dosyasına eklediğiniz bilgilerle dosyayı güncelleyin:

export HTTP_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export HTTPS_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export FTP_PROXY="[username]:[password]@ [proxy-web-or-IP-address]:[port-number]"
...
export NO_PROXY="localhost,127.0.0.1,::1"

Adım 3 - Dosyayı kaydedin ve çıkın. Değişiklikler, bir sonraki oturum açışınızda uygulanacaktır.

 

3.1.5.2 APT için Proxy Ayarlama

Bazı sistemlerde, apt komut satırı yardımcı programı, sistem ortamı değişkenlerini kullanmadığından ayrı bir proxy yapılandırması gerektirir.

Adım 1 - apt için proxy ayarlarını belirlemek için /etc/apt dizininde apt.conf adlı bir dosya oluşturun veya (zaten varsa) düzenleyin:

sudo nano /etc/apt/apt.conf 

Adım 2 - Dosyaya aşağıdaki satırları ekleyin:

Acquire::http::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";
Acquire::https::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";

Adım 3 - Dosyayı kaydedin ve çıkın. Yapılandırma, yeniden başlatmanın ardından uygulanacaktır.

 

 

NO_PROXY seçeneği, yukarıda parametre olarak belirtilenlere ek olarak, izlenen cihazların (sunucularınız veya PC'lerinizin ağı) bulunduğu dahili ağlarınızı ve alt ağlarınızı eklemeniz gerekir. Aksi takdirde, ACSIA tarafından izlenecek servislere eklemeye çalıştığınızda, ACSIA ile bu ağlar arasında bağlantı sorunları yaşarsınız. Bunun nedeni, proxy'nin bu ağlara erişme olasılığının düşük olmasıdır.

 

Yukarıdaki değişkenleri etkileyen herhangi bir değişiklik, configureHttpProxy komutu ve ardından acsia_restart (bu, ACSIA kurulumu zaten tamamlandığında geçerlidir) aracılığıyla ACSIA'ya bildirilmelidir.

 

3.2. ACSIA Sunucu kurulumu

ACSIA sunucusunu barındırmak ve sistemin güncel olduğundan emin olmak için bir Linux VM hazırlayın (Ubuntu 20.04 şu anda desteklenmektedir, lütfen ACSIA için sürüm notlarını kontrol edin).

 

Tüm ön koşullarınız yerine getirildikten sonra ACSIA kurulumu başlayabilir. Kurulum gereksinimleri karşılanmazsa kurulum başarısız olur ve hangi ön koşulların karşılanmadığına dair bir açıklama size sunulur.

 

Geçerli bir ACSIA lisansına sahip müşteriler, acsia_prepare ana kurulum komut dosyasını indirmeleri için 4Securitas Destek ekibinden bir kurulum paketi ve lisans dahil kimlik bilgilerini içeren ek bir dosya alacaktır.

 

ACSIA Sunucu-istemci konfigürasyonunu kurmak için lütfen bu kılavuzda verilen talimatları kesinlikle takip edin.

 

3.2.1. ACSIA Sunucusunun Kurulumuna Başlarken

ACSIA sunucusu için yeni sağlanan sanal makinede oturum açın, root kullanıcıya geçin, size sağlanan acsia_prepare ve credentials.txt dosyasını kopyalayın.
acsia_prepare dosyasını aşağıdaki şekilde yürütün, komut dosyasının şu komutu kullanarak yürütülebilir olduğundan emin olun:
chmod +x acsia_prepare
ve ardından aşağıdaki gibi scripti çalıştırın:
./acsia_prepare

 

Ekranınızda verilen talimatları izleyin ve tamamlandığında aşağıdakileri uygulayın:

 

./acsia_app/bin/acsia_install

 

Yönergelere göre tüm ön gereksinimler karşılanırsa, ACSIA sunucusu yaklaşık ~5-6 dakika içinde tamamen kurulacaktır.

 

Herhangi bir sorun olması durumunda lütfen bu kılavuzdaki Sorun Giderme bölümüne bakın, Bilgi Tabanımızdaki gelişmiş sorun giderme kılavuzlarımıza bakın veya bu portaldan bir bilet oluşturarak destek ekibimizle iletişime geçin. Destek talep ederken lütfen mümkün olduğunca fazla bilgi sağlayın (ör. ekran görüntüleri, günlükler vb.); her ayrıntı, olayınızı daha hızlı gidermemize yardımcı olacaktır.

 

Yükleme işleminin sonunda, terminalinizde ilk yönetici kullanıcının web kullanıcı arayüzünde oturum açması için aşağıdakine benzer kimlik bilgilerine sahip olmalısınız:

ACSIA web and Dashboards
Admin interface: https://192.168.1.246:443
Username: admin@acsia.io
Password: kzuh21ybnsdy1=ui12b5!2iutRIf123kjojb

Sunucu kurulumu tamamlandığında, istemci kurulumu arka planda devam eder (ACSIA sunucusu izlenecek ilk istemci olur). Lütfen istemci yüklemesi tamamlandıktan sonra motorun başlatılmasını bekleyin.

Oluşturulan şifrelerin bir an önce yenileriyle değiştirilmesini ve uygun şekilde saklanmasını önemle tavsiye ederiz.

ACSIA çalıştırmasının başlatılması için ilerleme durumunu kontrol etmek için:

acsia_tail_f

acsia_tail_f: command not found hatasını alıyorsanız, bu doğru kullanıcıyı kullanmadığınız anlamına gelir, bu yüzden lütfen şunu çalıştırın:

sudo su - acsia

Bu, acsia'daki hesabınızı değiştirecek ve gerekli tüm komutları çalıştırmanıza izin verecektir.

İstemcinin kurulumu tamamlandıktan sonra acsia_tail_f içinde aşağıdaki mesajı görmelisiniz:

2022-07-10 15:52:21.254 INFO 29440 --- [main] com.forsecuritas.AcsiaLauncher : *************** SPRING APPLICATION RUNNING *************************

Yukarıdaki mesaj, motorun hazır ve çalışır durumda olduğunu gösterir. Artık sağlanan kimlik bilgileriyle web kullanıcı arayüzüne giriş yapabilir ve oturum açar açmaz ilk iş olarak lisansı etkinleştirebilirsiniz.

acsia-tail-f.gif

Kurulum tamamlandıktan sonra, tüm ortam değişkenlerinin yüklenebilmesi için, çalışan oturumdan çıkış yapmak ve tekrar oturum açmak için tüm ACSIA servis komutlarının hazır olması kesinlikle gereklidir.

 


 

4. ACSIA Servis Komutları

Yukarıda bahsedildiği gibi, başlatma/durdurma hizmetleri ve sorun giderme ipuçları dahil olmak üzere ACSIA'nın tüm hizmet komutları, $ACSIA_HOME içindeki /acsia_app/bin klasöründe bulunabilir.

 

Aşağıda sık kullanılan bazı servis komutları verilmiştir. 

 

Tüm ACSIA hizmetlerinin çalışıp çalışmadığını kontrol edin:
acsia_stack_status
 
ACSIA tüm hizmetlerini başlatın:
acsia_stack_start
 
ACSIA'nın tüm hizmetlerini durdurun:
acsia_stack_stop
 
Yalnızca ACSIA motorunu çalıştırın:
acsia_start

 

4.1. Servis Komutlarının Tam Listesi

ACSIA'nın mevcut tüm hizmet komutlarını /home/acsia/acsia_app/bin adresinde bulabilirsiniz.

Tüm komutları açıklamalarıyla birlikte içeren tablo aşağıdadır:

Komut Tanım
acsia_adapter_beanstalk.py ACSIA için AWS Elasticbeanstalk adaptörü
acsia_adapter_ips.sh AWS elasticbeanstalk için IPS bileşen adaptörü
acsia_admin_check_requirements.sh ACSIA ön koşullarını kontrol edin
acsia_admin_docker_subnet Docker alt ağını değiştir
acsia_admin_health.sh ACSIA sağlık durumunu kontrol edin
acsia_admin_logs ACSIA bileşen günlüklerini göster
acsia_admin_query MySQL DB sorgusunu çalıştırın
acsia_admin_reset_password Sıfırlamak için ACSIA kullanıcı kimlik bilgileri bağlantısını alın
acsia_admin_unlock_indices ACSIA diski boş alan nedeniyle doymuşsa, dizinlerin kilidini açın
acsia_ban_script IP adresini yasakla
acsia_beanstalk_ban AWS Elasticbeanstalk aracılığıyla IP'yi yasaklayın
acsia_beanstalk_find_banned_ip_rule AWS Elasticbeanstalk'ta yasaklı IP adreslerini listeleyin veya bulun
acsia_beanstalk_manage_service AWS Elasticbeanstalk'ta ACSIA hizmetlerini ve yapılandırmasını yönetin
acsia_beanstalk_unban AWS Elasticbeanstalk'ta IP adresi yasağını kaldırın
acsia_change_ip ACSIA sunucusu IP adresini değiştir
acsia_deploy_ssl_certs Alt etki alanı atanmışsa, ACSIA sunucusuna SSL/TLS sertifikası yükleyin
acsia_download Kurulum için ACSIA paketini indirin (v4'te kullanımdan kaldırıldı)
acsia_elastic_restart Elasticsearch'ü yeniden başlatın
acsia_elastic_start Elasticsearch'ü başlat
acsia_elastic_status Elasticsearch durumunu kontrol edin
acsia_elastic_stop Elasticsearch'ü durdur
acsia_elastic_tail_f Elasticsearch günlüklerini kontrol edin
acsia_export_logs ACSIA günlüklerini dışa aktar
acsia_fix_kernel_inspector_wrong_version Çekirdek uyumsuz sürümünü düzeltin
acsia_install ACSIA'yı yükleyin
acsia_ip ACSIA sunucusu IP adresini al
install_acm_app.sh İstemci dağıtımları sırasında başarısız olduğunda ACM modülünü kurun
acsia_normal_ban IP adresini yasakla
acsia_normal_manage_service Hizmetleri yapılandırın ve yönetin
acsia_normal_unban Bir IP adresinin yasağını kaldırma
acsia_reconfigure_acm Belirli IP için ACSIA istemcisi için ACM modülünü yeniden yapılandırın
acsia_reconfigure_acm_all Tüm bağlı istemciler için ACSIA için ACM modülünü yeniden yapılandırın
acsia_report ACSIA için olay raporları oluşturun ve dışa aktarın
acsia_restart Yalnızca ACSIA motorunu yeniden başlatın
acsia_set_private_ip ACSIA sunucusuna özel bir IP adresi atayın
acsia_stack_restart Motor dahil tüm bileşenlerle tüm yığınları yeniden başlatın
acsia_stack_start Motor dahil tüm bileşenlerle tüm yığını başlatın
acsia_stack_status Motor dahil tüm bileşenlerle birlikte tüm yığınların durumunu kontrol edin
acsia_stack_stop Motor dahil tüm bileşenlerle tüm yığını durdurun
acsia_start_bg ACSIA'yı arka planda başlatın
acsia_status ACSIA durumunu göster
acsia_stop Yalnızca ACSIA motorunu durdur
acsia_tail_f Gerçek zamanlı ACSIA günlüklerini göster
acsia_unban_script Bir IP adresinin yasağını kaldırma
acsia_uninstall ACSIA'yı Kaldır
acsia_update ACSIA'yı güncelle
acsia_insert_admin_user Yeni bir ACSIA yönetici hesabı oluşturur
install_falco Falco çekirdek modülünü yükleyin
kibana_default_index Kibana varsayılan endekslerine sıfırla
kibana_import_saved_objects Kaydedilmiş nesneleri içe aktarın, Kibana'da özelleştirme
mfa_acsia_install 2FA/MFA'yı aktifleştirin ve etkinleştirin
mfa_acsia_uninstall 2FA/MFA'yı devre dışı bırak
mfa_ssh_install Sunucuda acsia kullanıcısı olarak SSH girişi için 2FA/MFA'yı etkinleştirin
mfa_ssh_qrcode 2FA/MFA için SSH QR kodu oluşturun veya gösterin
mfa_ssh_uninstall SSH 2FA/MFA'yı devre dışı bırak
setInternalIP ACSIA sunucusu için dahili IP ayarlayın
ssl_configuration SSL/TLS'yi kontrol edin ve yapılandırın
winrm_remote Windows istemcileri için Ansible WinRM'yi kontrol edin
 
ACSIA XDR Plus ürünü, birden fazla açık kaynaklı araçla oluşturulmuş modüler bir tasarımdır. Her bileşen için birkaç hizmet komut dosyasına nadiren ihtiyaç duyulacaktır (bazı sorunlarla karşılaşmadığınız sürece). Yukarıda gösterilen hizmet komut dosyaları, ACSIA'da bazı sorun giderme işlemleri gerçekleştirmesi gereken çoğunuz için yeterli olacaktır.

 


 

5. ACSIA'nın E-posta Göndermesini Yapılandırma ve Etkinleştirme

 

ACSIA'nın yönetici hesabı kurulumu için e-posta da dahil olmak üzere e-posta bildirimleri gönderebilmesi için, posta sunucunuzla iletişim kurabilmesi gerekir. Bunu yapmak için, ACSIA sunucusundan gelen e-postaların posta sunucunuzda beyaz listede olması ve spam filtreleri (varsa) vb.

 

ACSIA sunucusundan gelen e-postaları beyaz listeye almazsanız, muhtemelen geri dönecekler veya bir spam klasörüne yerleştirilecekler (bunun nedeni, e-postanın gerçek bir e-posta hesabından değil bir sunucudan gelmesidir), bu nedenle e-posta almayın, aşağıdaki yönergeleri deneyin veya bu kılavuzun sorun giderme bölümüne bakın.

 

Kullanıcılar hesap oluşturma e-postalarını alma konusunda sorun yaşıyorsa yönetici, kimlik bilgilerini sıfırlamalarını sağlamak üzere bağlantıyı almak üzere acsia_admin_reset_password komutunu çalıştırabilir.

5.1. Gönderen olarak gerçek bir e-posta hesabı ayarlayın ve yapılandırın

Orijinal bir e-posta hesabı (yani iş e-postası, özel Gmail, Yahoo, vb.) kullanmak ve posta yoluyla bildirimleri almak için gönderen olarak ayarlamak (bu, ACSIA'dan gelen e-posta bildirimlerinin geri dönmesini veya spam filtrelerine yerleştirilmesini önler) sorunsuz bir şekilde mümkündür. 


ACSIA'da bir e-posta hesabı ayarlamak ve yapılandırmak için Settings→Email bölümüne gidin ve e-posta hesabı ayrıntılarınızı ekleyin.


step7.gif

 


 

6. ACSIA Web Uygulaması için SSL sertifikasının yapılandırılması

Varsayılan olarak ACSIA, güvenli tarama için kendinden imzalı SSL sertifikaları oluşturur. Kendinden imzalı sertifikalar, ACSIA IP adresleri (varsa harici veya yerel) kullanılarak yapılandırılır. ACSIA'yı uygun bir CA ile yapılandırmak ve kendi SSL sertifikanıza sahip olmak istiyorsanız, bunu ACSIA'nın kurulumu sırasında veya daha sonraki bir aşamada yapabilirsiniz. ACSIA, sertifikanın ve anahtarın iki dosyada sağlanmasını gerektirir - özel anahtar ve genel sertifika (her ikisi de .pem biçiminde olmalıdır).

  1. Sertifikayı kurulum sırasında dağıtın: ACSIA'yı kurarken, acsia_install'ı kullanarak komut dosyası aşağıdaki gibi ek komut satırı parametrelerini ekler: --certificate /path/to/cert.pem, --key /path/to/key.pem ve --domain my.domain.com. Üçünün de mevcut olması gerekir, aksi takdirde yükleyici bir hatayla çıkacaktır.
  2. Yükleme sonrası dağıtım: acsia_deploy_ssl_certs adlı yeni bir komut dosyası sağlanmıştır ve önceki adımla aynı parametreleri kabul eder --certificate, --key ve --domain. Bunlar dağıtıldıktan sonra, yeni eklenen bu sertifikaları almak için tüm bileşenler için acsia_stack_restart'ı çalıştırmanız gerekir.

SSL sertifikası almak istemiyorsanız Certbot ile Let's Encrypt'i kullanabilirsiniz; ancak bu talimatlar bu kılavuzda sağlanmamıştır, bu nedenle ilgili web sitelerini kontrol etmenizi öneririz.

 

6.1. Amazon AWS Elastic Beanstalk Entegrasyonu

ACSIA, Elastic Beanstalk içinde çalışan uygulamaları izlemek için AWS Elastic Beanstalk Entegrasyonu özelliğiyle birlikte gelir.

Elasticbeanstalk üzerinde çalışan uygulamalarınız varsa ve ACSIA'nın bunları izlemesini ve korumasını istiyorsanız, terminalde şu komutu çalıştırın: acsia_adapter_beanstalk.py 

AWS ortamınızdan aşağıdaki bilgileri sağlamanız istenecektir:

  • AWS Erişim Anahtarı Kimliği (IAM Kullanıcısı)

  • AWS Gizli Erişim Anahtarı (IAM Kullanıcı sırrı)

  • Varsayılan bölge adı (Beanstalk'ın bulunduğu bölge)

  • Varsayılan çıktı formatı: (JSON veya text olabilir, ancak JSON tercih edilir)

  • ACL (Beanstalk VPC'de ağ erişim kontrol listesi kimliği)

Yukarıdaki dağıtımdan sonra size bir IP adresi (dahili/özel IP) verilecektir. IP adresi daha sonra şu komut çalıştırılarak alınabilir: acsia_adapter_ip.sh.

 

ACSIA Web UI Konsolunda oturum açın ve daha önce verilen IP adresini kullanarak Linux ana bilgisayarını ekleyin (Getting Started->Start->Linux).

 

Lütfen dağıtımın bazı uyarılar ve kısmi yapılandırma ile sona erebileceğini unutmayın. Panik yapma; bu uyarılar ciddi olmayabilir ve izleme genellikle çalışır.

 

Elasticbeanstalk uygulama başlangıç ​​paketinize (Kickstarter paketi) sağlanan acsia.config dosyasını eklediğinizden emin olun.

 

Yukarıdaki tüm adımları tamamladıktan sonra, ACSIA sunucusunda yeni bir terminale giriş yapın ve acsia_restart komutunu çalıştırarak ACSIA'yı yeniden başlatın. Bu, ACSIA'nın tüm değişiklikleri ve yapılandırma dosyalarını aldığından emin olmak içindir.

 


 

7. ACSIA'nın Güncellenmesi

ACSIA'yı güncellemek oldukça kolay ve basittir.

Güncellemek için tek yapmanız gereken terminalde acsia kullanıcısı olarak aşağıdaki komutu çalıştırmak:

acsia_update

 

Güncellemeleri almak için ACSIA kullanıcı adınıza ve şifrelerinize ihtiyacınız olacak. Bu kimlik bilgileri genellikle lisans talimatlarınızı aldığınız aynı e-postada sağlanır.

Web UI güncelleme özelliğini kullanmak yerine ACSIA güncellemelerini terminalden gerçekleştirmenizi öneririz. Bu, daha ayrıntılı hata kodu bilgileriyle işlemin daha fazla netlik ve kontrolünü sağlar. ACSIA'nın ana sürümleri genellikle temel araç yükseltmelerini içerecektir. Bu nedenle, bu yükseltmeleri gerçekleştirirken tam yığın durdurma ve başlatma öneririz. Bunu şu komutu çalıştırarak yapabilirsiniz:  acsia_stack_stop && acsia_stack_start

 

8. Lisans Aktivasyonu

Kurulumu tamamladıktan sonra, bir web tarayıcısı üzerinden ACSIA uygulamasına erişebilmelisiniz. İlk eylem, lisansı etkinleştirmektir.

 

Lisansı etkinleştirmezseniz, uygulama minimum kapasitede çalışacağı veya hiç çalışmayacağı için hiçbir şey yapamazsınız. Lisansı etkinleştirmek için, sağlanan license code'nu kopyalayın ve menüden Settings'ı tıklayarak (e-posta adresiniz veya adınızdır) kullanıcı menüsüne (sağ üstte) gidin ve ardından License'ı seçip ekleyebileceğiniz/ lisansı etkinleştirin.

step12.gif

Lisans, https://support.4securitas.com destek portalımızdaki bilet formu aracılığıyla talep edilebilir veya erişimde sorun yaşıyorsanız support@acsia.io adresinden e-posta yoluyla desteğe başvurun.

 

9. ACSIA'da Kullanılan Kimlik Doğrulama Yöntemleri

ACSIA, entegre çoklu kimlik doğrulama mekanizmalarıyla birlikte gelir.

ACSIA, kullanıcı adı ve parola ve çok faktörlü kimlik doğrulama (aka 2FA) gibi geleneksel kimlik doğrulama yöntemlerine sahiptir.

 

9.1. İki Faktörlü Kimlik Doğrulama

ACSIA, daha iyi güvenlik için kurulum sırasında ve sonrasında uygulanabilen bir 2FA yöntemi sunar. İki Faktörlü Kimlik Doğrulama (2FA), SSH ve ACSIA Web UI oturum açma işlemleri için kullanılabilir.

 

2FA, Web kullanıcı arayüzünden Settings→2FA'ya gidilerek tüm kullanıcılar için etkinleştirilebilir.

step13.gif

Yukarıdaki resimden de görebileceğiniz gibi, giriş sayfasının yüklenme süresi bir dakika kadar sürebilir, bu nedenle lütfen bekleyin ve sayfayı yenilemeyin.

 

9.2. Komut satırından SSH için 2FA'yı etkinleştirme

SSH girişleri için acsia kullanıcısına 2FA uygulamak istiyorsanız, bunu kurulum istemleri sırasında yapabilirsiniz. 2FA özellikleri, sırasıyla mfa_ssh_install ve mfa_ssh_uninstall komutları aracılığıyla herhangi bir zamanda etkinleştirilebilir veya devre dışı bırakılabilir. Etkinleştirildiğinde, acsia sistem kullanıcısının oluşturulan bir Zamana Dayalı Tek Kullanımlık Şifre (TOTP) gizli anahtarı olacaktır. Google Authenticator veya FreeOTP gibi 2FA belirteç işleyici araçlarını kullanmanızı öneririz. Bu özellik etkinleştirilirse, kurulum sırasında ekrana bir QR kodu yazdırılır.

 

Bu etkinleştirildiğinde, oturum kimlik doğrulaması için yalnızca anahtar tabanlı kimlik doğrulama (ssh-key) kullanılabilir. Parola + 2FA, istenmeyen yan etkilere neden olduğundan desteklenmez.

Yükleme tamamlandıktan sonra veya mfa_ssh_qrcode yürütülürken QR kodu terminalde görüntülenecektir ve tercih ettiğiniz 2FA belirteç işleyicisiyle taranabilir.

 

9.3. ACSIA Web UI Login için 2FA'yı komut satırından etkinleştirme

SSH 2FA isteğe bağlı olarak etkinleştirilebilir veya devre dışı bırakılabilse de, özellikle ACSIA kullanıcıları UI'ye internetten erişiyorsa, UI için 2FA'nın etkinleştirilmesini şiddetle öneririz. WebApp girişi için 2FA etkinleştirilirse, tüm kullanıcılara bir QR kodu verilir (ör. kullanıcı adı ve parola gibi geleneksel erişim kimlik bilgileriyle.

 

9.4. OpenDashboard'a Erişim ve Kimlik Doğrulama

OpenSearch görselleştiricisi OpenDashboard, ACSIA yığınının bir parçasıdır. OpenDashboard uygulamalarına ve gösterge tablolarına erişmek için parola kullanıcısı ve kimlik doğrulama etkinleştirilir. Kullanıcılar, Gösterge Tablolarını görüntülemeye çalıştıklarında ACSIA kullanıcı adlarını/şifrelerini göstermelidir. Kullanıcı adı ve parola, ACSIA Web UI oturum açma kimlik bilgilerinden otomatik olarak oluşturulur.

 


 

10. Sunucularınızı ACSIA'ya Bağlanmaya Hazırlama

ACSIA hem Linux, Windows hem de MAC OS işletim sistemlerini destekler.

 

10.1. Ön Gereklilikler

ACSIA Agent (aracısız mod) kullanmadan sistemlerinizi izlemeyi düşünüyorsanız, yönetici ayrıcalıklarına sahip bir hizmet kullanıcı hesabı gibi bazı ön gereksinimler vardır. Bu hizmet kullanıcısı bir yerel yönetici hesabı, bir Etki Alanı Denetleyicisi (Windows sistemleri için) veya bir LDAP hesabı (Linux sistemleri için) olabilir. Aracı modunu seçiyorsanız, aracıyı uç noktada çalıştırmak yeterli olacaktır.

 

BT altyapınız Google Cloud'da (Metadata Page) barındırılıyorsa, projenize Google konsolundan ACSIA ssh anahtarları ekleyerek aşağıdaki adımları atlayabilirsiniz. AWS, OpsWorks aracılığıyla yapılabilecek benzer bir kuruluma sahiptir.

 

10.2. Bir Linux İstemcisini Bağlama

10.2.1. Gereksinimler

  • Kernel 2.6 veya üstü

  • Python 2.7 veya üstü

  • Sudo ayrıcalıklarına sahip ve şifresiz kullanıcı hesabı acsia (yalnızca aracısız için)

10.2.2. ACSIA'yı bir aracı aracılığıyla dağıtma

Client Agent'ı yüklemeyi seçtiğiniz tüm Linux, Windows ve MAC OS istemcileri için tek yapmanız gereken ACSIA Web UI Hosts→Add Host'ta gezinmek, işletim sistemini, yani Linux, Windows veya MAC'i seçmek ve Use The Agent'yi seçmektir. 

step14.gif

Aracıların tek bir istemci için indirilebileceğini lütfen unutmayın; bu, kullanıcı arabiriminden indirilen aynı aracının ikinci bir ana bilgisayar için kullanılamayacağı anlamına gelir. Her ana bilgisayar için yeni bir aracı indirmeniz gerekir çünkü her aracının kendi belirteci vardır (bu güvenlik nedeniyledir). Birden fazla istemci için bir aracı indirmek istiyorsanız, istemci sayısını seçebileceğiniz Bulk Agent Deployment kullanabilirsiniz, tek aracıyı dağıtmak istersiniz.

 

İndirilen aracıyı kurulum için istemci cihaza kopyalayın ve PowerShell kullanarak Linux/MAC'de root ve Windows'ta Administrator olarak çalıştırın. Linux/MAC aracısına yürütme izni eklediğinizden emin olun.

 

Aracıyı istemcilerinize yükledikten sonra tüm ön koşullar yerine getirildiyse, İstemcilerin Hosts bölümünde ACSIA kullanıcı arayüzünde otomatik olarak listelendiğini (doldurulduğunu) görürsünüz.

 

ACSIA sunucusuna bir API aracılığıyla bağlanan istemci aracıları, kullanıcı oluşturma gereksinimleri veya güvenlik duvarında açılacak birden çok bağlantı noktası yoktur (tüm bağlantı noktaları, 443 (TCP) ve 444 (UDP/TCP) olmak üzere 2 bağlantı noktasında birleştirilir. ajanı seçerken gereksinimler).

UI'den indirilen ACSIA aracılarının süresi yedi gün sonra sona eren jetonlara sahiptir ve her indirme tek bir cihaz için geçerlidir (yani her cihaz için yeni bir aracı indirmeniz veya tek bir indirme kullanmak istiyorsanız toplu aracı yükleme seçeneğini seçmeniz gerekir). birden fazla cihaz için). Size sağlanan aracı çalışmıyorsa, lütfen yeni bir aracı oluşturmanızı sağlayın, çünkü bu büyük olasılıkla bir belirteç süre sonu sorunudur.

10.2.3. ACSIA'yı Linux sistemlerinde aracısız modda dağıtma

ACSIA'yı bir aracı olmadan istemcilerinize dağıtmak istiyorsanız, dağıtıma bağlı olarak aşağıdaki adımlar önerilir:

 

CentOS / RHEL Linux için

CentOS veya RHEL sistemlerinde ACSIA Hizmet Kullanıcısı oluşturma

 

useradd -m -d /home/acsia -c "ACSIA Service User" -G wheel acsia

 

Yukarıdaki komutta bir acsia kullanıcısı oluşturuyoruz, bir giriş dizini sağlıyoruz, bir adla etiketliyoruz ve onu "tekerlek" yönetim grubuna atayacağız.

 

Ardından, /etc/sudoers dosyasını düzenleyerek ve aşağıdaki dizeden # yorumunu kaldırarak yapılan Sudo passwordless permissions etkinleştirin:

 

%wheel ALL=(ALL:ALL) NOPASSWD:ALL

 

Debian / Ubuntu Linux için

Debian veya Ubuntu sistemlerinde ACSIA Hizmet Kullanıcısı oluşturma

 

useradd -m -d /home/acsia -s /bin/bash -G sudo acsia

 

Ardından /etc/sudoers'ı kontrol edin ve aşağıdaki dizeyi # kaldırın (yoksa ekleyin):

 

%sudo ALL=(ALL:ALL) NOPASSWD:ALL

 

10.2.4. SSH Anahtarı

Linux sunucularınızda hizmet kullanıcısı oluşturma işlemi tamamlandıktan sonraki adım, ACSIA Web UI'den ssh-anahtarını almaktır. Anahtarı almak için Hosts→Add Host'ye gidin, Linux'u seçin; ssh anahtarını görebilir/kopyalayabilirsiniz.

 

SSH anahtarını kopyalayın/dışa aktarın ve .ssh ve authorized_keys dosya izinleriyle ilgili adımlara dikkat ederek, daha önce Kullanıcı tarafından oluşturulan (her sunucuda) ACSIA Hizmetine içe aktarın.

Bunu yapmanın tipik bir yolu (acsia kullanıcısı olarak):

 

echo "paste here the key" > .ssh/authorized_keys chmod 700 .ssh && chmod 600 .ssh/authorized_keys

 

Bu ACSIA hizmeti kullanıcısı 2 farklı amaç için kullanılır:

  • Elastik yığın göndericileri (filebeat, auditbeat, packagebeat), ossec/wazuh aracısı ve falco çekirdek modülünü dağıtmak için.
  • ACSIA'yı etkinleştirmek için tehditleri ve saldırıları yerinde otomatik olarak yasaklayın ve kullanıcı tarafından gerçekleştirilen düzeltme seçeneklerini uygulayın.

 

Yukarıdaki her iki adım, ACSIA sunucusundan istemcilere otomatik olarak gönderilen Ansible playbook'ları aracılığıyla gerçekleştirilir (bu, her bir istemcide kurulumu manuel olarak tamamlama gereksinimini ortadan kaldırır).

 

Bahsettiğimiz ssh anahtarı, kurulum sırasında ACSIA tarafından rastgele oluşturulan 4096 bittir. Bu anahtar, kendi anahtarlarınızla değiştirilebilir, yeni bir tane oluşturabilir veya başka herhangi bir anahtar çiftiyle (örneğin, AWS EC2 keypair.pem) değiştirebilirsiniz. Tamamen kullanıcının insiyatifindedir.

 

10.3. Aracısız bir Windows İstemcisini Bağlama

Windows sunucularını aracısız modda yönetmek için WinRM'nin yüklenmiş, Windows sunucularında çalışıyor ve dinliyor olması gerekir. Aşağıdaki talimatlar, Ansible tarafından sağlanan örneklerdir.

 

10.3.1. Gereksinimler

  • PowerShell 4.0+

  • Windows Server 2008 SP1+ (yada Windows 7 SP1)

  • Yerel veya etki alanı acsia, yönetici ayrıcalıklarına veya eşdeğerine sahip bir hesap

  • WinRM hizmeti etkin ve çalışıyor

 

10.3.2. Etki Alanı Denetleyicisi (Domain Controller) - Active Directory (Ajansız)

Windows sistemleriniz AD/DC'nin bir parçasıysa, ACSIA'nın Etki Alanı Denetleyicileri için bir entegrasyon özelliği vardır. Tek yapmanız gereken, birincil DC'de aşağıdaki PowerShell betiğini çalıştırmaktır:

ForEach ($COMPUTER in (Get-ADComputer -Filter '*' | Select -ExpandProperty DNSHostName))
{
  if(!(Test-Connection -Cn $computer -BufferSize 16 -Count 1 -ea 0 -quiet))
    {
        write-host "cannot reach $computer" -f red
    }else {
        write-host "executing script on $computer" -f green Invoke-Command -ComputerName $computer -ScriptBlock {
            [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
            $url = "https://raw.githubusercontent.com/ansible/ansible/devel/examples/scripts/ConfigureRemotingForAnsible.ps1"
            $file = "$env:temp\ConfigureRemotingForAnsible.ps1"
            (New-Object -TypeName System.Net.WebClient).DownloadFile($url, $file)
            powershell.exe -ExecutionPolicy ByPass -File $file
        }
    }
}

Yukarıdaki komut dosyasını yürütürken, DC istemcilerinden bazılarına DNS adıyla erişilemediğini fark ederseniz, DNSHostName'i Name ile değiştirmeniz yeterlidir.

 

Yukarıdaki komut dosyası başarıyla yürütüldüğünde, ACSIA UI Getting Started gidin ve Etki Alanı Denetleyicisinin keşif adımı sırasında alan denetleyicinizi ekleyin, Add all "yourdomain.local servers" bir seçenek görünür.

 

acsia.local'ın alan denetleyicinizin FQDN'si olduğu aşağıdaki ekran görüntüsüne benzer bir şey:

blobid0.png

Bu, Etki Alanı Denetleyicinizdeki tüm kayıtlı istemcileri yoklayacak ve bunları bir kerede dağıtılmak/izlenmek üzere ACSIA UI'sine yerleştirecektir.

 

lütfen alan denetleyicinizi username@fqdn, ör. user1@acsia.io biçiminde girdiğinizden emin olun

10.3.3. Windows İstemcisi AD/DC'ye Bağlı Değil (Ajansız)

Windows sunucularınız herhangi bir Etki Alanı Denetleyicisine bağlı değilse, Ansible için kullanılan winRM hizmetini etkinleştirmek için Windows istemcilerinde aşağıdaki komut dosyasının yürütülmesi gerekir.

 

WinRM yapılandırma komut dosyası
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$url = "https://raw.githubusercontent.com/ansible/ansible/devel/examples/scripts/ConfigureRemotingForAnsible.ps1"
$file = "$env:TEMP\ConfigureRemotingForAnsible.ps1"
(New-Object -TypeName System.Net.WebClient).DownloadFile($url, $file)
powershell.exe -ExecutionPolicy ByPass -File $file

lütfen kopyala/yapıştır işlemi sırasında URL'nin bölünmediğinden emin olun.

10.3.4. PC'leri ve İş İstasyonlarını ACSIA'ya Bağlama (Ajansız)

PC'ler ve İş İstasyonları, yukarıdaki talimatlar izlenerek ACSIA tarafından da bağlanabilir ve izlenebilir. Lütfen yerel yönlendiricilerin arkasındaki uç noktaların (PC'ler ve İş İstasyonları gibi) ACSIA'ya bağlanması amaçlanan uç nokta için bağlantı noktası 5986'da NATting'in etkinleştirilmesini gerektireceğini unutmayın (Bunun gibi senaryolar için aracı aracılığıyla yükleme önerilir)

 

Sürüm <4 ise lütfen Powershell sürümünüzü yükseltin ve Windows güvenlik duvarının etkin olduğundan emin olun.

10.4. ACSIA Web UI aracılığıyla Ana Bilgisayar Ekleme (yalnızca aracısız mod)

ACSIA Web Kullanıcı Arayüzü'ne giriş yapın ve Hosts sayfasındaki sol kenar çubuğundaki menüden Add Host'yi tıklayın. Bağlanmak istediğiniz istemcinin işletim sistemini seçin ve bir CSV dosyası kullanarak (aşağıda daha iyi açıklanmıştır) veya aracı aracılığıyla (aracıyı indirerek) IP veya Ana Bilgisayar Adı temelinde ana bilgisayar ekleyebileceğiniz sonraki pencereye yönlendirileceksiniz. ). Ana bilgisayar adı da dahil olmak üzere ana bilgisayarların kalan ayrıntıları ACSIA tarafından otomatik olarak alınıp yerleştirileceğinden, sunucunuzu eklemek için IP adreslerini kullanmak en iyi uygulamadır.

 

Hosts Setup'nu tamamladıktan sonraki adım, özel web sunucunuzu veya web uygulaması günlüklerinizi ekleyebileceğiniz Logs Configuration ekranıdır (her zaman günlüklerin mutlak yolunu kullanın). Bir sonraki adım, girilen günlüklerin doğrulanmasıdır, eğer mevcut değilse, bir hata veya yazım hatası olup olmadığını düzeltebilmeniz veya kaldırabilmeniz için bu vurgulanacaktır.

 

yollar, günlük dosyalarının kendilerine olmalıdır; dosyalara symlinks desteklenmez.

Örneğin, Nginx Web Sunucusunda (Apache ile aynı şekilde) çalışan bir web uygulamanız varsa, istemci dağıtımı sırasında Nginx günlüklerinizi manuel olarak eklemeniz gerekir (daha sonra düzenleme seçeneği kullanılarak yapılabilir), vs /var/log/nginx/access.log

 

Web uygulaması günlükleri tipik olarak ACSIA tarafından otomatik olarak algılanır. Ancak herhangi bir nedenle algılanmazlarsa, önerilen işlem, ana bilgisayarların listelendiği (Hosts sayfasında) Edit Host Details'yi kullanarak bunları manuel olarak eklemektir.

 

Tüm günlük dosyalarının yapılandırması tamamlandıktan sonra, her şeyi girdiğinizden emin olmak için bir sonraki ekranda bir Summary gösterilir ve ardından ACSIA'yı gerçekten dağıtmaya ve sunucularınıza bağlanmaya başladığınız yere Deploy gelir. Bu birkaç dakika sürecektir (istemciler ve sunucu arasındaki ağ bağlantınıza bağlı olarak) ve sonunda kayıt prosedürünün tamamlandığını bildiren bir diyalog mesajı gösterilecektir.

 

10.4.1. CSV Dosya biçimi

ACSIA, yalnızca CSV dosyasını içe aktarabileceğiniz tüm sunucu ayrıntılarınızın ayrıntılarını içeren bir CSV dosyası kullanma seçeneği sunar.

 

Aşağıdaki ekran görüntüsü, ACSIA için CSV dosyasının biçimini sağlar:

blobid1.png

Tek bir ana makine için birden fazla günlüğünüz varsa, her günlüğü noktalı virgülle ; ayırabilirsiniz. 

Bir istemcinin dağıtımı tamamlandığında, sunucularınız güvenlik sorunları, tehditler ve anormallikler için gerçek zamanlı olarak sürekli izlenecek şekilde ayarlanır.

 

10.4.2. Konteyner yapılarına özel ayrıntılar

ACSIA kapsayıcı farkındadır ve kaplar içindeki çekirdek olaylarını otomatik olarak izler. Ancak, kapsayıcılarda uygulama/web sunucuları çalıştırıyorsanız ve bu günlüklerin izlenmesini istiyorsanız, bunların ana bilgisayar tarafından kullanılabilir hale getirilmesi gerekir. ACSIA, günlük dosyalarına yönelik sembolik bağlantıları desteklemez - verilen günlük dosyasının tam yolu olmalıdır.

 

Linux kapsayıcı günlükleri, docker seçenekleri --volume veya --mount kullanılarak ACSIA'ya sunulabilir. Resmi liman işçisi belgelerine göre burada veya burada docker-compose kullanıyorsanız burada.

 


 

11. Kullanıcı Yönetimi

Kullanıcı yönetimi bölümü, giriş yaptığınız kullanıcı adına ve ardından Settings'a tıklayarak sağ üstteki çubukta bulunabilir.

 

11.1. ACSIA Web UI'ye Yeni Kullanıcı Ekleme

Kullanıcı eklemek hiç bu kadar kolay olmamıştı. Sağ üst çubuktaki username tıklamanız ve menüden Settings'ı seçmeniz yeterlidir.

 

Ardından "ADD USER" ye tıklayın ve tüm alanları doldurun, ayrıca bu Bölümde Kullanıcıları Silebilir veya Düzenleyebilirsiniz. Lütfen gerçek kullanıcı adının bir e-posta adresi olması gerektiğini unutmayın.

 

step2.gif

 

11.2. Dağıtım listesi (Distribution Lists)

ACSIA, her gruba üye ekleyebileceğiniz ve her bir dağıtım listesine gönderilecek bildirim türlerini ayarlayabileceğiniz dağıtım listeleri oluşturmanıza olanak tanır. Örneğin, yalnızca Critical veya High veya Medium/Low öncelikli güvenlik uyarılarını almak için bir dağıtım listesi ayarlayabilirsiniz. C Düzeyi yönetiminiz, Critical olaylar dışında uyarı almak istemeyebilir ve bu nedenle bu gereksinimi karşılamak için bir dağıtım listesi oluşturulabilir.

 

Sol kenar çubuğu menüsünde Distribution List'ni bulacaksınız. Yeni bir dağıtım listesi oluşturmak için "ADD NEW LIST"yi tıklamanız yeterlidir.

 

gif dist.gif

 

Oluşturulan Distribution List'ne bir ad verin ve grubun almasını istediğiniz etkinlik türünü (Kritik, Yüksek veya Orta/Düşük) seçerek üyeleri listeye ekleyerek seçin.

 

Artık dağıtım listesi aracılığıyla bildirim almaya hazırsınız.

 

11.3. Email Ayarları

E-posta ayarları, e-postalar aracılığıyla ACSIA sunucu tarafı bildirimleriyle ilgilidir. Bu ayar, Settings menüsü Email sekmesinin sağ üst köşesinde bulunabilir.

 

Burada gönderen e-postasını ve adını ayarlayabilirsiniz. Örneğin, kuruluşunuzun alan adı example.com ise, e-postayı no-reply@example.com olarak ve adı da Acsia Alerts ve beyaz liste olarak ayarlayabilirsiniz. 

 

Bunu ayarlar kurmaz, kuruluma göre bildirim e-postaları almaya başlayacaksınız.

 

E-posta alma konusunda sorun yaşıyorsanız, önerilen eylem gerçek bir gerçek e-posta hesabı oluşturmak ve yapılandırmaktır. E-posta bildirimi altında, basit bir e-posta ve etiket ayarlamak yerine, SMTP'yi ve aşağıdaki bilgileri doldurabileceğiniz Kimlik Doğrulama yöntemlerini etkinleştirebilirsiniz. gönderen olarak kullanmak istediğiniz e-postanın ayrıntıları.

 

step7.gif

 

11.4. Slack ve/veya Microsoft Teams aracılığıyla bildirim alma

E-posta bildirimine benzer şekilde, Slack ve/veya Microsoft Teams aracılığıyla alınacak bildirimleri de etkinleştirebilirsiniz. Bunu, istediğiniz web kancasını (Microsoft Teams veya Slack) kopyalayabileceğiniz entegrasyon altındaki Settings bölümünde etkinleştirebilir ve gerçek zamanlı mesajlaşma yoluyla bildirim almak için etkinleştirebilirsiniz.

 

11.4.1. Slack kurulum talimatları (Microsoft Teams ile hemen hemen aynıdır)

Slack'inize gelen webhook'nı yükleyin
  1. Uygulamalara Git

  2. Uygulama dizinini Görüntüle'ye gidin

  3. Gelen incoming-webhook arayın

  4. Yapılandırma Ekle'ye gidin

  5. Kanala Gönder'de: bildirimin gönderileceği kanalı/grubu seçin

  6. Gelen WebHooks Entegrasyonunu Ekle'ye tıklayın

  7. Adı Özelleştir'e gidin: Ad ekleyin, ör. ACSIA Notifier

  8. WebHook URL'sini kopyalayın

 

ACSIA kullanıcı arayüzünde yapılandırın
  1. Web kullanıcı arayüzüne erişim

  2. Ayarlar -> Entegrasyon'a gidin

  3. Slack veya Microsoft Teams'i etkinleştirin

  4. Kopyalanan URL'yi yapıştırın

 

11.5. Çekirdek Seviyesi Bildirimleri

Çekirdek düzeyinde izleme etkinleştirildiğinde, ACSIA, çekirdeğe yapılan her sistem çağrısının akışını, sistem çağrılarını yakalayarak ve gerçek zamanlı olarak anormallikleri/tehditleri arayarak engelleme yeteneğine sahiptir (bu yalnızca Linux sistemleri içindir).

 

Çekirdek düzeyinde bildirim almak istiyorsanız, bu özelliği etkin tutmanız önerilir. Bunu yapmak isteyenler için Setting'a gidip Notification sekmesini tıklayarak istedikleri zaman devre dışı bırakılabilir.

 

mceclip0.png

 

11.6. Otomatik Yasaklamayı Etkinleştirme

ACSIA'nın kuruluşunuzun dışından kaynaklanan tehditlerin çoğunu (yani BotNet, Bruteforce, Sözlük, SQL enjeksiyonları, XSS saldırıları vb. İnternet kaynaklı saldırılar) ele almasını istiyorsanız, bu özelliğin etkinleştirilmesi gerekir.

 

Etkinleştirilirse, ACSIA, yerinde IP adreslerinin yasaklanması gibi düzeltme eylemlerini otomatik olarak gerçekleştirir. Settings alanında gezinerek ve Notification sekmesini tıklayarak Automatic Ban'yı etkinleştirebilirsiniz.

 

noti.gif

 

11.7. Yerel/Özel (Local/Private) IP Adresleri için Manuel Yasaklamayı Etkinleştirme

ACSIA varsayılan olarak yerel IP adreslerini yasaklayamaz, bu, işi etkileyecek herhangi bir iş kesintisini veya benzer olayları önlemek içindir. Ancak, yerel IP adreslerini yasaklamak istiyorsanız, bunu Settings→Notification sekmesi altında bu özelliği etkinleştirerek yapabilirsiniz.

 

11.8. Günlük Tutma (Log Retention)

ACSIA, sunuculardan gelen tüm günlükleri  OpenSearch ve MySQL veritabanları arasında saklar. Günlüklerin ömrü (saklama süresi), Settings'a gidip Günlük Tutma sekmesi tıklanarak yapılandırılabilir. ACSIA, kullanıcıların farklı günlük türleri (aşağıda listelenmiştir) için farklı saklama süreleri ayarlamasına olanak tanır:

 

mceclip1.png

 

11.8.1. Erişim Günlükleri (Access Logs)

Bu günlükler, tüm sistem günlüklerini ve olay günlüklerini içerir.

 

11.8.2. Web Günlükleri (Web Logs)

Web günlükleri, web uygulamaları günlükleridir (apache, Nginx, tomcat, IIS, vb.)

 

11.8.3. Denetim Günlükleri (Audit Logs)

Bunlar çok yaygın olarak bilinen Linux denetim günlükleridir.

 

11.8.4. Ağ Günlüğü (Network Log)

Bu günlükler, sunucu düzeyinde (gelen ve giden) yakalanan ağ trafiğidir.

 

11.8.5. ACM Günlükleri (ACM Logs)

ACM, Gelişmiş Uyumluluk Azaltma anlamına gelir ve bu nedenle bunlar uyumlulukla ilgili günlüklerdir (sistem, uygulama, güvenlik olayları vb.)

 


 

12. Ana Gösterge Tablosu (Main Dashboard)

ACSIA XDR Plus, v5.0'dan itibaren artık yeni arayüzünde bir Ana Gösterge Tablosuna (Main Dashborad) sahiptir. Bu gösterge panosunda veriler sayısal, grafiksel ve haritalama görselleri ile aktif olarak incelenebilir. İlk bakışta son 10 güne ilişkin veriler sunulmaktadır. Sol üst köşedeki filtreleme aracı ile bu verileri belirli bir zaman dilimine göre filtreleyebilirsiniz.

 

image.jpg

 

Genel olarak, gösterge tablosunda aşağıdaki sayısal veriler gösterilir;
  • Kritik Uyarı (Critical Alert)
  • Yüksek Uyarı (High Alert)
  • Orta Uyarı (Medium Alert)
  • Düşük Uyarı (Low Alert)
  • Engellenen Saldırı (Attack Blocked)
  • Kötü IP Engellendi (Bad IP Blocked)
Grafiksel olarak görüntülenen veriler;
  • Saldırı Trendleri Çizgi Grafiği (Attack Trends Line Graph)
  • En İyi 10 Suçlu Set Grafiği (Top 10 Offenders Set Graph)
  • Engellenen ana bilgisayarlar (Prisma) Set Grafiği (Blocked hosts (Prisma) Set Graph)
  • Kategoriye göre saldırı Set Grafiği (Attack by category Set Graph)
  • En çok saldırıya uğrayan 10 host Sütun Grafik (Top 10 attacked hosts Bar Graph)
  • En iyi 10 yetkilendirme erişimi Sütun Grafiği Top 10 authorization access Bar Graph
  • İlk 10 yetkilendirme hatası Sütun (GrafikTop 10 authorization failure Bar Graph)
  • En iyi 10 destinasyon Sütun Grafik (Top 10 destinations Bar Graph)

Son 10 gündeki coğrafi konumlu saldırı eğilimleri dünya haritasında gösterilir.

 

 


 

 

13. Host Listesi Bölümü

Ana bilgisayar (host) listesi sayfası, tablet modunda ACSIA'ya bağlı tüm cihazların envanterini gösterir ve her bir tablo hücresinin ayrıntıları aşağıda kısaca listelenmiştir:

 

  • Ana Bilgisayar (Host) Takma Adı (Alias): Ana makinenizi daha iyi tanımak için bir takma ad atayabileceğiniz yer

  • Ana bilgisayar adı (Hostname): bu değer ana bilgisayardan otomatik olarak alınır ancak kullanıcı adı değiştirebilir

  • Host IP: İstemcinin bağlı olduğu IP adresi

  • İşletim Sistemi: İstemcinin hangi işletim sistemine sahip olduğunu gösterir

  • Durum: istemci günlüklerini ACSIA sunucusuna aktaran tüm göndericilerin listesini ve durumunu içerir

  • Eylemler: Bu alanda eyleme geçirilebilir 3 alt bölüm vardır:

  • Ayrıntıları Görüntüle: ana bilgisayar, yani işletim sistemi, çekirdek, IP adresi, izlenen günlükler ve daha fazlası hakkındaki ayrıntıları gösterin

  • Ana Bilgisayar (host) Ayrıntılarını Düzenle: Kullanıcının takma ad ekleme, ana bilgisayar adını, IP adresini değiştirme, izlenecek özel günlükler ekleme ve günlük göndericilerini (streamer) manuel olarak başlatma/durdurma gibi ana bilgisayar ayrıntılarını düzenleyebildiği alandır.

  • Ana Bilgisayarı (host) Kaldır: bağlı ana bilgisayarı kaldırabileceğiniz yer

 

IMG_20220824_235314 (1).jpg

 


 

14. Etkinlikler Bölümü

14.1. Canlı Bildirimler (Live Notifications)

Sol taraftaki menüde, henüz harekete geçmemiş tüm canlı etkinliklerin bir listesini içeren Live Notifications de var. Gelen tüm güvenlik uyarıları bu bölümde listelenecek ve bu alandaki her bildirimin üzerindeki Details okuna tıklayarak ACSIA tarafından oluşturulan tek bir olay/uyarıya ilişkin tüm ayrıntılara göz atabilecek ve bunları keşfedebileceksiniz.

 

IMG_20220825_003541.jpg

 

Ayrıca olayların filtrelenebileceği ve kriterlere göre aranabileceği filtrelerimiz de var.

 

14.2. Canlı Bildirim Kenar Çubuğu 

Ekranın sağ tarafında bir Live Events kenar çubuğumuz var. Bu kenar çubuğu, statik ve kalıcı olarak sağ tarafta olması dışında Live Notifications benzer; bu, ACSIA'nın işlevlerinde gezinirken etkinlikleri izlerken kullanışlıdır.

 

Her olay, kullanıcının gelen bir güvenlik olayını veya olayını anında harekete geçirmesine ve düzeltmesine olanak sağlamak için Acil İşlemler (Immediate Actions) ile birlikte kısa bir açıklama ile gösterilir.

 

IMG_20220825_004201.jpg

 

15. İçgörüler (Insights)

Alanın Analizleri, sol taraftaki kenar çubuğu menüsünde bulunabilir. Bu bölüm, ACSIA'nın olayların derinlemesine araştırılması ve hatta raporlar ve analizler oluşturmak için sunduğu birden fazla gösterge panosu içerir. Her pano, OpenSearch Stack tarafından sunulan bir web uygulaması olan OpenDashboard kullanılarak görselleştirilir. OpenSearch Kontrol Paneli, OpenSearch'e entegre edilmiştir, burada bir şeyler bulabilirsiniz: Opensearch

 

Her bir gösterge tablosu, Insights alanında bulacağınız için kendi kendini açıklar.

 

mceclip2.png

 

15.1. Uyumluluk (Compliance)

Compliance alanı, öncelikle aşağıda kısaca listelenen uyumluluk ve düzenleyici çerçevelerle ilgili gösterge tablolarını/raporları içerir:

 

  • Güvenlik Bilgi Yönetimi

  • Güvenlik olayları raporu

  • Bütünlük izleme raporu

  • Tehdit Algılama ve Müdahale

  • Güvenlik açıkları raporu

  • Mitre Att&ck

  • Denetim ve Politika İzleme

  • Politika izleme kontrol paneli

  • Sistem denetleme panosu

  • Mevzuata uygunluk

  • GDPR

  • PCI DSS

  • HIPAA

  • NIST 800-53

  • TSC

 

mceclip4.png

 

Güvenlik ve bilgi yönetimi, güvenlik olayları hakkında görünürlük ve raporlama sağlar ve dosya bütünlüğü izlemeyi içerir. Tehdit algılama ve yanıt, bağlı sistemler için keşfedilen güvenlik açıkları hakkında raporlar sağlar.

 

Denetim ve politika izleme, denetim kontrollerinin ve standart politika gereksinimlerinin tam görünürlüğünü sağlar.

Düzenleyici uyumluluk gösterge panoları, GDPR, PCI DSS, NIST 800-53, HIPAA, TSC ve Mitre Att&ck çerçevesinden küresel düzenleyici rejimleri kapsar. ACSIA, BT sistemlerinin uyumluluğu konusunda gerçek zamanlı olarak tam kontrol ve görünürlük sağlar ve sistemler uyumlu değilse, kolayca ele alınabilmesi için tam arıza noktasını sağlar.

 


 

16. Politikalar (Policies)

ACSIA'nın Policies, izlenen istemcilerde nelere izin verilip nelere verilmediğinin bir envanterini sağlar. ACSIA trafiği engellediğinde, bireysel istemcilerin yerel güvenlik duvarlarını kullanır (Windows güvenlik duvarı ve Linux sistemlerinde yönlendirme tablosu vb.). Politikalar bölümü aşağıdaki gibi 4 alt bölüme ayrılmıştır:

 

  • IP Kara Listesi (IP Blacklist)

  • IP Beyaz Listesi (IP Whitelist)

  • Kilitli Kullanıcılar (Locked Users)

  • Erişim Konumu (Access Location)

  • Sessiz Bildirimler (Muted Notifications)

 

IMG_20220825_005241.jpg

 

16.1. IP Kara Listesi (IP Blacklist)

IP Blacklist, kötü amaçlı ve yetkisiz olarak işaretlenmiş ve bu nedenle kara listeye alınmış (ana bilgisayarlar tarafından yasaklanmış) tüm kaynak IP adreslerini içerir. Bir IP adresi bir kullanıcı tarafından yanlışlıkla yasaklanmışsa, bir eylemi geri alabilirsiniz. Otomatik yasaklama (autoban) özelliği etkinleştirilirse, ACSIA kuruluşun dışından (örneğin internetten) kaynaklanan tüm olası saldırıları ve tehditleri otomatik olarak ele alırken, son kararı vermesi için dahili tehditler her zaman ACSIA yöneticisine bildirilir.

 

16.2. IP Beyaz Listesi (IP Whitelist)

IP Whitelist, güvenilir olarak işaretlenmiş tüm kaynak IP adreslerini içerir. Bir IP adresinin beyaz listeye alınmasının, web uygulaması düzeyindeki erişimlere hassasiyet verilmesi nedeniyle web isteklerini içermediğini unutmayın. Bu nedenle, web istekleri için geçerli olmayan bir IP adresini beyaz listeye aldığınızda ve o belirli IP adresinden kaynaklanan trafik potansiyel bir tehdit belirlerse, bildirime ve uyarıya tabi olacaktır.

 

16.3. Kilitli Kullanıcılar (Locked Users)

Locked Users, kilitli olarak işaretlenmiş belirli kullanıcıları içerir. Yetkilendirilmemiş alanlara erişmeye çalışan meşru kullanıcılar olabilirler. Alternatif olarak, bir kullanıcının yasal hesap ayrıntılarını ele geçirmiş ve bu nedenle kilitlenmiş kötü niyetli kullanıcılar olabilirler. ACSIA, meşru kullanıcıları otomatik olarak engellemez, her zaman kullanıcı girişi gerektirir, bu nedenle bu aramayı yapmak ACSIA yöneticisinin takdirinde olacaktır.

 

16.4. Erişim Konumu (Access Location)

Access Location, meşru erişimin bir coğrafi konumdan veya ACSIA'da yetkilendirilmemiş bir IP adresinden kaynaklandığı güvenlik olaylarını ifade eder. Bu nedenle onay, yetkili veya yetkisiz olmayı beklemek. Bir kullanıcı için konum tabanlı bir IP adresi yetkilendirirseniz, bu kullanıcıyı yalnızca o IP adresi için beyaz listeye almak gibi olur. Öte yandan, bir kullanıcıyı yetkisiz olarak işaretlerseniz, o kullanıcı yine de erişebilir ve denemeler yapabilir ancak her seferinde size bilgi verilir. Bu nedenle, IP'yi manuel olarak kara listeye eklemediğiniz sürece Access Location, bir IP'yi kara listeye almaktan farklıdır.

 

16.5. Sessiz Bildirimler (Muted Notifications)

Sessize Alınan Bildirimler (Muted Notifications), ACSIA yöneticileri ve/veya güvenlik analistleri tarafından yasal olarak kabul edilen güvenlik olaylarını ifade eder. Bir olay sessize alındı ​​olarak işaretlendiğinde, ACSIA artık bu tür bir olayı bildirmeyecektir. Sessize alınan tüm etkinliklerin sesi herhangi bir zamanda açılabilir.

 


 

17. Acil Eylemler - Düzeltme Seçenekleri

Acil İşlemlerin (Immediate Actions), kullanıcıları tarafından ACSIA'nın en sık kullanılan özellikleri olması muhtemeldir. Bu eylemleri genellikle tüm gelen güvenlik olaylarına veya e-posta bildirimlerine gömülü olarak bulacaksınız. Oradan hemen harekete geçebilir ve düzeltilmesi için olayı etkileşimli olarak azaltabilirsiniz.

 

Bu, ACSIA'nın, olayların ve tehditlerin düzeltilmesi için kullanıcı girişinin gerekli olduğu Etkileşimli (Interactive) özelliğidir:

 

Bildirimlerle sağlanan Acil İşlemlerin - Immediate Actions (bazen Düzeltme Seçenekleri - Remediation Options olarak da adlandırılır) sırası, etkinliğin önem düzeyine ve etkinliğin türüne göre dinamik olarak değişir. Örneğin, olası bir hesap güvenliği ihlali uyarısı varsa, en üstte görünen seçeneğin en mantıklı seçim olacağı ve ardından listede ikincisinin geleceği, düzeltme eyleminin sırası öncelikli olarak belirlenir. ACSIA kullanıcıları, siber güvenlik bilgisine sahip olmasalar veya sınırlı teknik becerilere sahip olsalar bile bu özellikten büyük ölçüde faydalanacaklardır.

 

17.1. ACSIA tarafından sunulan Acil Eylemler veya İyileştirme Seçenekleri:

17.1.1. Bu bağlantıyı Kes (Kill this connection)

Bu eylemi seçerek, ACSIA kullanıcısı bu kötü niyetli IP adresi için ağ trafiğini (gerçek zamanlı olarak) öldürecek ve sonraki 15 dakika boyunca bu IP adresi için tüm trafiği askıya alacaktır. Herhangi bir kurulan bağlantı ve yeni bağlantı istekleri, yayın yapmaya çalışırken öldürülecektir.

 

17.1.2. Kullanıcıyı/Konumu Onaylayın ve Yetkilendirin (Acknowledge and Authorize User/Location)

Bu eylemi seçerek, o belirli kullanıcıya ve ilgili IP adresine kalıcı olarak tesislerinize erişme yetkisi vermiş olursunuz. Bu IP adresi, ACSIA için beyaz listeye alınacak ve bu nedenle, artık kullanıcısıyla ilişkili IP adresinden kaynaklanan bir uyarı almayacaksınız.

 

17.1.3. Bu Kullanıcıyı/Konumu Yetkisiz Olarak İşaretle (Mark This User/Location as Unauthorized)

Bu eylemi seçerek, siz bir karar verene kadar ACSIA'dan kullanıcıları bu olay hakkında bilgilendirmeye devam etmesini istersiniz. Bunu, bir IP adresinden yapılan erişimi yasaklamaya veya yetkilendirmeye henüz karar vermediğiniz durumlar için kullanın.

 

17.1.4. Bu IP'yi Yasakla (Ban This IP)

Bu eylemi seçerek IP adresini kalıcı olarak yasaklamış olursunuz ve bu nedenle artık sistemlerinize ulaşamaz.

 

17.1.5. Kullanıcıyı Kilitle (Lock User)

Bu eylemi seçerek, kullanıcı hesabını sistemlerinizde kilitlersiniz.

 

17.1.6. Bu IP'yi İzle (Track This IP)

Bu işlem sizi, neler olup bittiğine dair tam bir görünürlük sağlamak için söz konusu IP adresinin tüm ağ ve sunucu etkinliğinin doldurulacağı OpenDashboard uygulama Dashboard'ne götürecektir.

 

17.1.7. Bu Kullanıcıyı İzle (Track This User)

Bu işlem sizi, kullanıcı etkinliğinin meşruiyetini belirlemenizi sağlayarak, tüm ağ ve sunucu etkinliğinin o belirli kullanıcı için doldurulacağı OpenDashboard uygulaması Dashboard 'a götürecektir.

 

17.1.8. Whois Sorgusu (Whois Query)

Bu, whois veritabanında alan ve IP kayıt bilgilerini aramak için bir alan adı arama hizmetidir. Kötü niyetli kullanıcının kaynak IP adresinin sahipliği hakkında ilgili bilgileri verir.

 

17.1.9. Detayları Göster (View Details)

Bu, kaynak IP adresinin coğrafi konumu ve coğrafi koordinatlar dahil olmak üzere olayın doğru ayrıntılarını sağlar.

 

17.1.10. Olayı Kapat (Close Incident)

Bu, olayı göz ardı etmek içindir ve tekrarlanırsa ACSIA tekrar bilgilendirecektir.

 

17.1.11. Bildirimi Kapat (Mute Notification)

Bu eylem, ACSIA'ya söz konusu olay yeniden meydana geldiğinde dikkate almamasını ve artık bildirimde bulunmamasını söylemek içindir.

 

17.1.12. Komut Oturumunu İzle (Track Command Session) - Yalnızca Linux istemcileri için 

Bu, ACSIA içinde, Çekirdek düzeyi izlememiz tarafından etkinleştirilen son derece güçlü bir özelliktir. Şüpheli etkinlik algılandığı veya bir kullanıcının hassas verileri veya dosyaları okumaya veya yazmaya çalıştığı andan itibaren, uyarı tetiklenecek ve gerçek zamanlı düzeltme eylemleri sağlanacaktır. Bu Track Command Session tıkladığınızda, yalnızca uyarıyı tetikleyen belirli kullanıcı etkinliği değil, aynı zamanda yeniden oynatma modunda kullanıcının tüm oturumu sunulur. Bu adli düzeyde ayrıntı, kullanıcı tarafından gerçekleştirilen tüm etkinliği görüntülemenize ve dolayısıyla o kullanıcının neden hassas dosyaları ve verileri değiştirmeye çalıştığını ve hızlı bir şekilde bir düzeltme eylemi gerçekleştirmeye çalıştığını anlamanıza olanak tanır.

 


 

18. Etkinlik Geçmişi (Event History)

Etkinlik geçmişi, üzerinde işlem yapılan veya değiştirilen tüm olayları ve kim tarafından (ACSIA kullanıcıları, kim ne yaptı web arayüzünde) bulabileceğiniz bölümdür.

 


 

19. Email Bildirimi

Bir e-posta ve Slack bildirimi örneği aşağıda gösterilmiştir:

blobid2.png

blobid3.png

Yukarıdaki ekran görüntüsünde gördüğümüz gibi, üretim öncesi sunucumuzu hedefleyen acsia kullanıcısını kullanarak başarılı erişim hakkında bir bildirim aldık. Artık meşru bir kullanıcının oturum açtığını biliyoruz, ancak ACSIA haklı olarak bunun potansiyel bir hesap ihlali olduğunu bildirdi.

 

Bu kullanıcı ve konum, yalnızca kullanıcıyı ilişkili konumla meşru olarak yetkilendirdiğimizde ACSIA için meşru hale gelecektir. ACSIA kullanıcıları, bunun gibi meşru erişimler söz konusu olduğunda ACSIA makine öğrenimi modülünü eğitmelidir. Bu, çoğunlukla kullanıcı girişinin ACSIA tarafından isteneceği yerdir. Bu nedenle ACSIA kullanıcılarının, bu kullanıcının yetkili ve meşru olduğunu ilk kez kullanmaları gerekecektir. O andan itibaren ACSIA bu kalıptan haberdar olacak ve artık bildirimde bulunmayacaktır (hesap gerçekten tehlikeye girmediği sürece).

 


 

20. Troubleshooting and Common Issues

Common issues and how to troubleshoot and fix them.

 

20.1. Changing ACSIA server IP address

Please be aware that if you change the IP address of ACSIA manually from the configuration file you will break all communications systems with the clients connected (if any are added). Also trying to change/amend manually the server IP address on individual clients connected to ACSIA will not help to restore the communication between the two since ACSIA generates SSL cert-based private and public keypair between the server and its clients for secure and end-to-end communication. Therefore, if you happen to change the IP address of the ACSIA server the easiest fix would be to run acsia_change_ip from the ACSIA server itself.

 

20.2. Packetbeat failing on Windows systems

If you experience a problem with the packetbeat component failing on Windows clients, it is most likely due to an antivirus or other similar software installed on the client and not permitting for ACSIA shippers (packetbeat) to be installed correctly. To solve this issue you’ll need to login into the windows client, open the file uninstall-service-packetbeat.ps1 located in C:\Program Files\Packetbeat with PowerShell and execute. After that, proceed with uninstalling Npcap software which should be listed among your programs using the windows uninstall feature available in the control panel.

 

Once you uninstall Npcap you need to reinstall it, so download from https://nmap.org/npcap/dist/npcap-1.00.exe and install. During the installation of Npcap, in the beginning, tick the options WinPcap API compatible mode and Legacy loopback. Once you have installed Npcap you will need to execute install-service-packetbeat.ps1 in PowerShell to complete the installation. You can either try to start the network shipper from ACSIA UI or it will start automatically after 5 or 10 minutes.

 

20.3. Recent versions of Ubuntu versions come without python2

Some of the most recent Ubuntu versions are not shipped with python2 by default so you may need to install it if problems arise during the deployment of an ubuntu client. apt install python2

 

20.4. User not receiving an email with the account details after the installation

If you are experiencing any issues in receiving the email containing user account details, it is likely the case that your email provider is bouncing the email, placing it into a spam or quarantine area or it may as well be that your network infrastructure is not allowing the server to dispatch emails. ACSIA uses postfix as the MTA, so please check your network infrastructure configuration to make sure that the VM hosting the ACSIA server is able to send emails. Also check the postfix logs at /var/logs/maillog, as well as your spam or quarantine area and/or whitelist on your mail server ACSIA email and the IP address.

 

20.5. Message “Deployment Failed” Kernel module

During the deployment of clients if you are experiencing an issue with the message from UI Deployment Failed this could be either the failure of the deployment partially or fully. To verify if the failure is partial just check the host's lists on ACSIA UI and if you see that host listed then it is a partial failure and most likely the kernel module failed due to missing requirements. In this case, ACSIA will be operational and working on that specific client with the exception of the kernel module that is failing.

To solve this issue:

 

  1. Open a terminal in the ACSIA server

  2. Switch to acsia user

  3. Execute the following command (replace both client_ip with the IP of the client):

    Please note that the client_ip is followed by , to distinguish it from a filename.

    ansible -i 'client_ip,' -m script -a "$ACSIA_BIN/install_falco" client_ip --become

     

    Example:

    ansible -i '11.22.33.44,' -m script -a "$ACSIA_BIN/install_falco" 11.22.33.44 --become

     

 

On some clients having Debian 8x Falco kernel modules may fail during deployment due to falco.yml file configuration not being placed correctly. To fix this issue you may run dpkg --configure -a.

 

If no output is given or an output containing a message W: Failed to fetch it means you are experiencing network issues to reach out to the server where the module is located. Please check your outbound connection i.e. firewall rules and make sure the server is allowed to reach the source as per requirements outlined in this guide.

 

20.6. Deployment failed with the message ImportError: No module named 'requests.packages.urllib3'

This is a common Fedora/RHEL/CentOS (RPM platforms) issue when a package or packages are installed using non-standard package management. (i.e. using pip or setuptools etc. rather than yum). the This issue can be addressed as follows:

 

sudo pip2 uninstall requests urllib3 sudo yum remove python-urllib3 python-requests sudo yum install python-urllib3 python-requests

 

20.7. Deployment failed ACM (Wazuh/OSSEC module)

If you experience a problem (for both Windows and Linux clients) where the ACM module of ACSIA is failing to start, it is most likely the communication port issue related. So make sure that the communication ports are opened between the ACSIA server and the clients as per requirements. If the ports are open and the issue still persists then run the following command(s) from the ACSIA server as acsia user:

 

acsia_reconfigure_acm --linux acsia_reconfigure_acm --windows

 

Use linux parameter if the issue occurs on a Linux client, else use the windows parameter if the client system is windows.

 

20.8. After the system update (patching) Kernel module stopped working on clients

It is not always the case but it may happen that during updates and patching activities on servers that are connected to ACSIA the kernel level monitoring may not function properly. If you experience any issues with kernel monitoring after updates all you need to do is to perform the following command as acsia user on all connected clients: cp -rf /etc/falco/falco.yaml.rpmnew /etc/falco/falco.yaml and restart the kernel module from ACSIA Web UI on clients.

 

20.9. Storage Saturation - Disk full on ACSIA Server

When storage saturation reaches 90% capacity on the ACSIA server, the elastic search component switches to read_only and it won’t allow new logs to be written on the disk. This means the storage capacity should always be below 90%. If the storage capacity exceeds 90% you will need to free up space or allocate more disk space. Once storage capacity is freed, restoring elastic search from read-only to read-write indexes requires some fix as follows.

 

20.9.1. Fixing Elasticsearch Index after disk storage saturation

After adding or freeing storage space execute the following script which will restore elastic search to its original state (read-write):

 

#!/bin/bash for i in $(curl -s -X GET http://localhost:9200/_cat/indices | awk -F ' ' '{print $3}' | sort) do echo Updating ${i}: $(curl -s -X PUT -H "Content-Type: application/json" \ -d '{"index.blocks.read_only_allow_delete": null}' \ "http://localhost:9200/${i}/_settings") done

 

20.10. Docker containers' IP addresses conflict with local IP addresses

The architecture of ACSIA and its components is primarily built in Linux containers using docker-compose. During ACSIA installation the way a container platform works is that it scans the network perimeter looking for available private networks to pick up and set network configuration automatically.

 

It may occur that some businesses have segmented their IT infrastructure and ACSIA is not aware of their presence because it is in a segregated network. When you open for the first time those subnets to ACSIA and if they happen to be the same subnet as the ACSIA docker environment the two will get in conflict with each other. You, therefore, have to choose another network and set it on ACSIA docker-compose configuration.

 

It is possible to do that as follows:

 

  • create/edit /etc/docker/daemon.json and add the chosen (new) subnet to assign as per the below snippet and restart services as shown:

    • { "bip": "192.168.1.5/24" }

    • acsia_stack_stop

    • sudo systemctl docker restart

    • acsia_stack_start

     

20.11. Falco fails with agent deployment

After deploying the agent on Linux if you happen to have Kernel (Falco) fails, to investigate proceed as follows (on client terminal): - Check first if Falco service is up and running systemctl status falco:

 

  • if the service is there but not running, just start the daemon from the UI using the Edit Host option

  • else, if the service does not exist proceed as follows

  • Check acsia_agent logs and trace down falco related logs: less /opt/acsia/agent/acsia_agent_proj/logs/agent.log or just use grep grep falco /opt/acsia/agent/acsia_agent_proj/logs/agent.log

 

If you see something like the following:

2022-03-01 11:37:46,034 acsia_agent.commands.operations INFO Failed Ephemeral [440efa1a-1ac3-40f8-a86c-b8944effd76d: [ansible -m script -a "/opt/acsia/agent/acsia_agent_proj/assets/install_falco 2> /dev/null" --become 127.0.0.1]

 

The above indicates that for some reason Falco installation is failed, we, therefore, need to reinstall it as follows (always on the client):

 

  • run the following commands:

    • sudo /opt/acsia/agent/acsia_agent_proj/assets/install_falco

 

This should install Falco, enable it and start the process automatically.

 

20.12. ACM fails with agent deployment

If you get an ACM failed on a Linux system, check first if the service for wazuh-agent is running systemctl status wazuh-agent. If the service exists or is running all you need to do is to start the shipper from UI ('Host Edit' section).

 

Else if the service doesn’t exist then just try to install wazuh-agent via yum service i.e. yum install wazuh-agent on the client-side.

 

From the ACSIA server terminal run the following steps as acsia user:

 

  • acsia_admin_query hosts (identify the host ID)

  • acsia_admin_query "update acsia_json_entry_ephemeral_command set status='NEW' where host_id=HOST_ID"

 

The above steps should activate the failing component.

 


Daha fazla bilgi ve sorularınız için lütfen destek portalımız (https://support.4securitas.com) aracılığıyla bizimle iletişime geçerek destek ekibimizle iletişime geçin.

ACSIA, 4Securitas Ltd.'nin bir ürünüdür.

Telif Hakkı 2022 4Securitas Ltd