Bu kılavuz yalnızca ACSIA XDR Plus sürüm 5.0.0 ve üzeri için geçerlidir
1. Önsöz
Bu kılavuz, ACSIA'yı yüklemek için ön koşullar, ürün yükleme ve yapılandırma ayrıntıları, yönetim, sorun giderme dağıtımı ve Sık Sorulan Sorular konusunda size yol gösterecektir.
2. ACSIA XDR Plus nedir?
ACSIA (Automated Cyber Security Intelligence Application) kuruluşların kendilerini kötü niyetli saldırılara ve verilerini hedefleyen yetkisiz kuruluşlara karşı korumalarını sağlayan bir Otomatik Siber Güvenlik İstihbarat Uygulamasıdır.
3. Kurulum ve Yapılandırma
Diğer tüm yazılım uygulamaları gibi, ACSIA'nın da bağlı istemcilerle iletişim kurmak ve görevlerini yerine getirmek için bazı ön gereksinimlere ihtiyacı vardır.
3.1. Öngereksinimler
3.1.1. Minimum Gereksinimler
ACSIA Sunucu platformu aşağıdaki minimum özellikleri gerektirir:
- Sunucu, fiziksel veya sanal bir ortamda konuşlandırılabilir
- Sanal bir ortam söz konusu olduğunda, sunucunun bir Sanal Makineye ihtiyacı olacaktır ve bu, tercih edilen her hiper yöneticide (VMWare, HyperV, VirtualBox, Proxmox, vb...) çalışabilir, ancak konteynerlarda değil (Docker, Kubernetes, LXD, vb.) LXC, Vagrant, vb...)
-
Herhangi bir Linux dağıtımı kullanılabilir.
-
16 GB RAM (sanal ortamlarda tahsis edilmelidir)
-
8 vCPU
-
200 GB Depolama SSD (en az saklama politikasına bağlı olarak)
- Ağ bağlantısı (sunucuyu indirip kurmak, tehdit istihbaratı beslemelerimizi almak, istemcilerle bağlantı kurmak, sistemi yükseltmek ve lisansı doğrulamak için)
-
Bölümleme: ACSIA VM için belirli bir bölümleme gerekli değildir; ancak, ACSIA şirket içinde (bulut platformları dışında) barındırıldığında, depolamanın kolayca genişletilebilmesi için bir LVM bölümü kurulması şiddetle önerilir.
Kurulumu gerçekleştirmek için tam internet bağlantısı gereklidir. Kurulum tamamlandıktan sonra, bağlantıyı yalnızca aşağıdaki tabloda belirtilen URL'lere azaltabilirsiniz.
Kaynak | Hedef | Protokol | Port | Not |
ACSIA Sunucusu | wimi.xdrplus.com | TCP | 443 | Genel (Public) IP ve En Son Sürüm |
ACSIA Sunucusu | license.acsia.io | TCP | 5150 | Lisans Etkinleştirme (TLS Etkin) |
ACSIA Sunucusu | nexus.acsia.io | TCP | 443 | Güncellemeleri İndir |
ACSIA, lisanssız bir duruma girmeden önce 48 saate kadar bağlantı kaybına izin verse de, bağlantı her zaman gereklidir (lisans için özel ve genel anahtar çifti doğrulaması). Bu gereksinimin tek istisnası, ACSIA'nın Amazon AWS Marketplace'ten dağıtılmasıdır.
Yukarıdaki spesifikasyon, 100'den fazla izlenen ana bilgisayarın tipik bir standart iş yükünü destekleyecektir. ACSIA nispeten doğrusal olarak ölçeklenir, bu nedenle ek kaynaklar daha büyük istemci ortamlarını destekleyecektir.
ACSIA Client'ı (agent ile birlikte) aşağıdaki minimum özellikleri gerektirir:
- Aracı her işletim sisteminde (VM'lerde bile) konuşlandırılabilir, ancak güncellenmiş sistemlerin kullanılmasını ve desteğimizin, saygın satıcıların resmi olarak desteklemediği işletim sistemleriyle sınırlı olabileceği şiddetle tavsiye ederiz.
- Şu anda CPU, RAM ve Depolama için herhangi bir minimum gereksinimimiz yok çünkü aracılarımız donanım tüketimi açısından oldukça hafif. Kurulumu en az 2 GB boş alana sahip bir makinede gerçekleştirmenizi öneririz.
- Her işletim sistemi ile çalışır (Çekirdeğe sahip Linux, 2.6 sürümünden sonra ve her Windows ve macOS sürümünden sonra)
- ACSIA Sunucusuna ağ bağlantısı (aşağıda belirtildiği gibi)
3.1.2. Web UI Ağ bağlantı noktaları
Kaynak | Hedef | Protokol | Port | Not |
ACSIA'yı yöneten herhangi bir bilgisayar | ACSIA Sunucusunun IP'si | TCP | 443 | HTTPS için kullanılır |
ACSIA Sunucusunun IP'si | license.acsia.io | TCP | 5150 | Lisans Aktivasyonu |
3.1.3. Agent yüklemesini kullanan ACSIA istemci-sunucu bağlantı noktaları
ACSIA aracısını istemcilere (sunucular veya iş istasyonları) dağıtmayı seçerseniz, aracının ACSIA sunucusuyla iletişim kurabilmesi için tek gereksinim 443 numaralı TCP bağlantı noktası (HTTPS) ve 444'tür (TCP/UDP). Bu portlar açık değilse, lütfen açık olduğundan emin olun.
Kaynak | Hedef | Protokol | Port | Not |
ACSIA Agent ile herhangi bir ana bilgisayar | ACSIA Sunucusunun IP'si | TCP | 443 | Bağlantılar için kullanılır |
ACSIA Agent ile herhangi bir ana bilgisayar | ACSIA Sunucusunun IP'si | TCP & UDP | 444 | Pulls için kullanılır |
ACSIA Agent ile herhangi bir ana bilgisayar | wimi.xdrplus.com | TCP | 443 | IP'yi çekmek için kullanılır |
3.1.4. ACSIA istemci-sunucu bağlantı noktaları aracısız dağıtım
ACSIA Server, istemcilerle aşağıdaki iletişim portları aracılığıyla iletişim kurar; bu nedenle, aracısız dağıtımı seçerseniz güvenlik duvarınızı aşağıdaki kuralları etkinleştirmeniz gerekir:
Kaynak | Hedef | Protokol | Port | Not |
ACSIA Agent ile herhangi bir ana bilgisayar | ACSIA Sunucusunun IP'si | TCP | 1515 | Bağlantılar için kullanılır |
ACSIA Agent ile herhangi bir ana bilgisayar | ACSIA Sunucusunun IP'si | UDP | 1514 | Bağlantılar için kullanılır |
ACSIA Agent ile herhangi bir ana bilgisayar | ACSIA Sunucusunun IP'si | TCP | 5044 | Bağlantılar için kullanılır |
ACSIA Sunucusunun IP'si | Herhangi bir Windows ana bilgisayarı | TCP | 5986 | İtme için kullanılır |
ACSIA Sunucusunun IP'si | Herhangi bir Linux ana bilgisayarı | TCP | 22 | İtme için kullanılır |
3.1.5. ACSIA Proxy yapılandırması - Yalnızca Proxy'niz varsa
Sunucularınızın internete çıkması için proxy ve sunucularınız (ACSIA VM ve izlenecek sunucunuz) varsa lütfen aşağıdaki yönergeleri uygulayınız.
3.1.5.1 Tüm Kullanıcılar için Kalıcı Proxy Ayarlama
Tüm kullanıcılar için kalıcı olarak proxy erişimi ayarlamak için /etc/environment
dosyasını düzenlemeniz gerekir.
Adım 1 - İlk önce dosyayı bir metin düzenleyicide açın:
sudo nano /etc/environment
Adım 2 - Ardından, önceki senaryoda .bashrc dosyasına eklediğiniz bilgilerle dosyayı güncelleyin:
export HTTP_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export HTTPS_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export FTP_PROXY="[username]:[password]@ [proxy-web-or-IP-address]:[port-number]"
...
export NO_PROXY="localhost,127.0.0.1,::1"
Adım 3 - Dosyayı kaydedin ve çıkın. Değişiklikler, bir sonraki oturum açışınızda uygulanacaktır.
3.1.5.2 APT için Proxy Ayarlama
Bazı sistemlerde, apt komut satırı yardımcı programı, sistem ortamı değişkenlerini kullanmadığından ayrı bir proxy yapılandırması gerektirir.
Adım 1 - apt için proxy ayarlarını belirlemek için /etc/apt
dizininde apt.conf
adlı bir dosya oluşturun veya (zaten varsa) düzenleyin:
sudo nano /etc/apt/apt.conf
Adım 2 - Dosyaya aşağıdaki satırları ekleyin:
Acquire::http::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";
Acquire::https::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";
Adım 3 - Dosyayı kaydedin ve çıkın. Yapılandırma, yeniden başlatmanın ardından uygulanacaktır.
NO_PROXY
seçeneği, yukarıda parametre olarak belirtilenlere ek olarak, izlenen cihazların (sunucularınız veya PC'lerinizin ağı) bulunduğu dahili ağlarınızı ve alt ağlarınızı eklemeniz gerekir. Aksi takdirde, ACSIA tarafından izlenecek servislere eklemeye çalıştığınızda, ACSIA ile bu ağlar arasında bağlantı sorunları yaşarsınız. Bunun nedeni, proxy'nin bu ağlara erişme olasılığının düşük olmasıdır.
Yukarıdaki değişkenleri etkileyen herhangi bir değişiklik, configureHttpProxy
komutu ve ardından acsia_restart
(bu, ACSIA kurulumu zaten tamamlandığında geçerlidir) aracılığıyla ACSIA'ya bildirilmelidir.
3.2. ACSIA Sunucu kurulumu
ACSIA sunucusunu barındırmak ve sistemin güncel olduğundan emin olmak için bir Linux VM hazırlayın (Ubuntu 20.04 şu anda desteklenmektedir, lütfen ACSIA için sürüm notlarını kontrol edin).
Tüm ön koşullarınız yerine getirildikten sonra ACSIA kurulumu başlayabilir. Kurulum gereksinimleri karşılanmazsa kurulum başarısız olur ve hangi ön koşulların karşılanmadığına dair bir açıklama size sunulur.
Geçerli bir ACSIA lisansına sahip müşteriler, acsia_prepare
ana kurulum komut dosyasını indirmeleri için 4Securitas Destek ekibinden bir kurulum paketi ve lisans dahil kimlik bilgilerini içeren ek bir dosya alacaktır.
ACSIA Sunucu-istemci konfigürasyonunu kurmak için lütfen bu kılavuzda verilen talimatları kesinlikle takip edin.
3.2.1. ACSIA Sunucusunun Kurulumuna Başlarken
root
kullanıcıya geçin, size sağlanan acsia_prepare
ve credentials.txt
dosyasını kopyalayın.acsia_prepare
dosyasını aşağıdaki şekilde yürütün, komut dosyasının şu komutu kullanarak yürütülebilir olduğundan emin olun:chmod +x acsia_prepare
./acsia_prepare
Ekranınızda verilen talimatları izleyin ve tamamlandığında aşağıdakileri uygulayın:
./acsia_app/bin/acsia_install
Yönergelere göre tüm ön gereksinimler karşılanırsa, ACSIA sunucusu yaklaşık ~5-6 dakika içinde tamamen kurulacaktır.
Herhangi bir sorun olması durumunda lütfen bu kılavuzdaki Sorun Giderme bölümüne bakın, Bilgi Tabanımızdaki gelişmiş sorun giderme kılavuzlarımıza bakın veya bu portaldan bir bilet oluşturarak destek ekibimizle iletişime geçin. Destek talep ederken lütfen mümkün olduğunca fazla bilgi sağlayın (ör. ekran görüntüleri, günlükler vb.); her ayrıntı, olayınızı daha hızlı gidermemize yardımcı olacaktır.
Yükleme işleminin sonunda, terminalinizde ilk yönetici kullanıcının web kullanıcı arayüzünde oturum açması için aşağıdakine benzer kimlik bilgilerine sahip olmalısınız:
ACSIA web and Dashboards
Admin interface: https://192.168.1.246:443
Username: admin@acsia.io
Password: kzuh21ybnsdy1=ui12b5!2iutRIf123kjojb
Sunucu kurulumu tamamlandığında, istemci kurulumu arka planda devam eder (ACSIA sunucusu izlenecek ilk istemci olur). Lütfen istemci yüklemesi tamamlandıktan sonra motorun başlatılmasını bekleyin.
Oluşturulan şifrelerin bir an önce yenileriyle değiştirilmesini ve uygun şekilde saklanmasını önemle tavsiye ederiz.
ACSIA çalıştırmasının başlatılması için ilerleme durumunu kontrol etmek için:
acsia_tail_f
acsia_tail_f: command not found
hatasını alıyorsanız, bu doğru kullanıcıyı kullanmadığınız anlamına gelir, bu yüzden lütfen şunu çalıştırın:
sudo su - acsia
Bu, acsia'daki hesabınızı değiştirecek ve gerekli tüm komutları çalıştırmanıza izin verecektir.
İstemcinin kurulumu tamamlandıktan sonra acsia_tail_f
içinde aşağıdaki mesajı görmelisiniz:
2022-07-10 15:52:21.254 INFO 29440 --- [main] com.forsecuritas.AcsiaLauncher : *************** SPRING APPLICATION RUNNING *************************
Yukarıdaki mesaj, motorun hazır ve çalışır durumda olduğunu gösterir. Artık sağlanan kimlik bilgileriyle web kullanıcı arayüzüne giriş yapabilir ve oturum açar açmaz ilk iş olarak lisansı etkinleştirebilirsiniz.
Kurulum tamamlandıktan sonra, tüm ortam değişkenlerinin yüklenebilmesi için, çalışan oturumdan çıkış yapmak ve tekrar oturum açmak için tüm ACSIA servis komutlarının hazır olması kesinlikle gereklidir.
4. ACSIA Servis Komutları
Yukarıda bahsedildiği gibi, başlatma/durdurma hizmetleri ve sorun giderme ipuçları dahil olmak üzere ACSIA'nın tüm hizmet komutları, $ACSIA_HOME
içindeki /acsia_app/bin
klasöründe bulunabilir.
Aşağıda sık kullanılan bazı servis komutları verilmiştir.
acsia_stack_status
acsia_stack_start
acsia_stack_stop
acsia_start
4.1. Servis Komutlarının Tam Listesi
ACSIA'nın mevcut tüm hizmet komutlarını /home/acsia/acsia_app/bin
adresinde bulabilirsiniz.
Tüm komutları açıklamalarıyla birlikte içeren tablo aşağıdadır:
Komut | Tanım |
acsia_adapter_beanstalk.py | ACSIA için AWS Elasticbeanstalk adaptörü |
acsia_adapter_ips.sh | AWS elasticbeanstalk için IPS bileşen adaptörü |
acsia_admin_check_requirements.sh | ACSIA ön koşullarını kontrol edin |
acsia_admin_docker_subnet | Docker alt ağını değiştir |
acsia_admin_health.sh | ACSIA sağlık durumunu kontrol edin |
acsia_admin_logs | ACSIA bileşen günlüklerini göster |
acsia_admin_query | MySQL DB sorgusunu çalıştırın |
acsia_admin_reset_password | Sıfırlamak için ACSIA kullanıcı kimlik bilgileri bağlantısını alın |
acsia_admin_unlock_indices | ACSIA diski boş alan nedeniyle doymuşsa, dizinlerin kilidini açın |
acsia_ban_script | IP adresini yasakla |
acsia_beanstalk_ban | AWS Elasticbeanstalk aracılığıyla IP'yi yasaklayın |
acsia_beanstalk_find_banned_ip_rule | AWS Elasticbeanstalk'ta yasaklı IP adreslerini listeleyin veya bulun |
acsia_beanstalk_manage_service | AWS Elasticbeanstalk'ta ACSIA hizmetlerini ve yapılandırmasını yönetin |
acsia_beanstalk_unban | AWS Elasticbeanstalk'ta IP adresi yasağını kaldırın |
acsia_change_ip | ACSIA sunucusu IP adresini değiştir |
acsia_deploy_ssl_certs | Alt etki alanı atanmışsa, ACSIA sunucusuna SSL/TLS sertifikası yükleyin |
acsia_download | Kurulum için ACSIA paketini indirin (v4'te kullanımdan kaldırıldı) |
acsia_elastic_restart | Elasticsearch'ü yeniden başlatın |
acsia_elastic_start | Elasticsearch'ü başlat |
acsia_elastic_status | Elasticsearch durumunu kontrol edin |
acsia_elastic_stop | Elasticsearch'ü durdur |
acsia_elastic_tail_f | Elasticsearch günlüklerini kontrol edin |
acsia_export_logs | ACSIA günlüklerini dışa aktar |
acsia_fix_kernel_inspector_wrong_version | Çekirdek uyumsuz sürümünü düzeltin |
acsia_install | ACSIA'yı yükleyin |
acsia_ip | ACSIA sunucusu IP adresini al |
install_acm_app.sh | İstemci dağıtımları sırasında başarısız olduğunda ACM modülünü kurun |
acsia_normal_ban | IP adresini yasakla |
acsia_normal_manage_service | Hizmetleri yapılandırın ve yönetin |
acsia_normal_unban | Bir IP adresinin yasağını kaldırma |
acsia_reconfigure_acm | Belirli IP için ACSIA istemcisi için ACM modülünü yeniden yapılandırın |
acsia_reconfigure_acm_all | Tüm bağlı istemciler için ACSIA için ACM modülünü yeniden yapılandırın |
acsia_report | ACSIA için olay raporları oluşturun ve dışa aktarın |
acsia_restart | Yalnızca ACSIA motorunu yeniden başlatın |
acsia_set_private_ip | ACSIA sunucusuna özel bir IP adresi atayın |
acsia_stack_restart | Motor dahil tüm bileşenlerle tüm yığınları yeniden başlatın |
acsia_stack_start | Motor dahil tüm bileşenlerle tüm yığını başlatın |
acsia_stack_status | Motor dahil tüm bileşenlerle birlikte tüm yığınların durumunu kontrol edin |
acsia_stack_stop | Motor dahil tüm bileşenlerle tüm yığını durdurun |
acsia_start_bg | ACSIA'yı arka planda başlatın |
acsia_status | ACSIA durumunu göster |
acsia_stop | Yalnızca ACSIA motorunu durdur |
acsia_tail_f | Gerçek zamanlı ACSIA günlüklerini göster |
acsia_unban_script | Bir IP adresinin yasağını kaldırma |
acsia_uninstall | ACSIA'yı Kaldır |
acsia_update | ACSIA'yı güncelle |
acsia_insert_admin_user | Yeni bir ACSIA yönetici hesabı oluşturur |
install_falco | Falco çekirdek modülünü yükleyin |
kibana_default_index | Kibana varsayılan endekslerine sıfırla |
kibana_import_saved_objects | Kaydedilmiş nesneleri içe aktarın, Kibana'da özelleştirme |
mfa_acsia_install | 2FA/MFA'yı aktifleştirin ve etkinleştirin |
mfa_acsia_uninstall | 2FA/MFA'yı devre dışı bırak |
mfa_ssh_install | Sunucuda acsia kullanıcısı olarak SSH girişi için 2FA/MFA'yı etkinleştirin |
mfa_ssh_qrcode | 2FA/MFA için SSH QR kodu oluşturun veya gösterin |
mfa_ssh_uninstall | SSH 2FA/MFA'yı devre dışı bırak |
setInternalIP | ACSIA sunucusu için dahili IP ayarlayın |
ssl_configuration | SSL/TLS'yi kontrol edin ve yapılandırın |
winrm_remote | Windows istemcileri için Ansible WinRM'yi kontrol edin |
5. ACSIA'nın E-posta Göndermesini Yapılandırma ve Etkinleştirme
ACSIA'nın yönetici hesabı kurulumu için e-posta da dahil olmak üzere e-posta bildirimleri gönderebilmesi için, posta sunucunuzla iletişim kurabilmesi gerekir. Bunu yapmak için, ACSIA sunucusundan gelen e-postaların posta sunucunuzda beyaz listede olması ve spam filtreleri (varsa) vb.
ACSIA sunucusundan gelen e-postaları beyaz listeye almazsanız, muhtemelen geri dönecekler veya bir spam klasörüne yerleştirilecekler (bunun nedeni, e-postanın gerçek bir e-posta hesabından değil bir sunucudan gelmesidir), bu nedenle e-posta almayın, aşağıdaki yönergeleri deneyin veya bu kılavuzun sorun giderme bölümüne bakın.
Kullanıcılar hesap oluşturma e-postalarını alma konusunda sorun yaşıyorsa yönetici, kimlik bilgilerini sıfırlamalarını sağlamak üzere bağlantıyı almak üzere acsia_admin_reset_password
komutunu çalıştırabilir.
5.1. Gönderen olarak gerçek bir e-posta hesabı ayarlayın ve yapılandırın
Orijinal bir e-posta hesabı (yani iş e-postası, özel Gmail, Yahoo, vb.) kullanmak ve posta yoluyla bildirimleri almak için gönderen olarak ayarlamak (bu, ACSIA'dan gelen e-posta bildirimlerinin geri dönmesini veya spam filtrelerine yerleştirilmesini önler) sorunsuz bir şekilde mümkündür.
ACSIA'da bir e-posta hesabı ayarlamak ve yapılandırmak için Settings→Email
bölümüne gidin ve e-posta hesabı ayrıntılarınızı ekleyin.
6. ACSIA Web Uygulaması için SSL sertifikasının yapılandırılması
Varsayılan olarak ACSIA, güvenli tarama için kendinden imzalı SSL sertifikaları oluşturur. Kendinden imzalı sertifikalar, ACSIA IP adresleri (varsa harici veya yerel) kullanılarak yapılandırılır. ACSIA'yı uygun bir CA ile yapılandırmak ve kendi SSL sertifikanıza sahip olmak istiyorsanız, bunu ACSIA'nın kurulumu sırasında veya daha sonraki bir aşamada yapabilirsiniz. ACSIA, sertifikanın ve anahtarın iki dosyada sağlanmasını gerektirir - özel anahtar ve genel sertifika (her ikisi de .pem biçiminde olmalıdır).
- Sertifikayı kurulum sırasında dağıtın: ACSIA'yı kurarken,
acsia_install
'ı kullanarak komut dosyası aşağıdaki gibi ek komut satırı parametrelerini ekler:--certificate /path/to/cert.pem
,--key /path/to/key.pem
ve--domain my.domain.com
. Üçünün de mevcut olması gerekir, aksi takdirde yükleyici bir hatayla çıkacaktır. - Yükleme sonrası dağıtım:
acsia_deploy_ssl_certs
adlı yeni bir komut dosyası sağlanmıştır ve önceki adımla aynı parametreleri kabul eder--certificate
,--key
ve--domain
. Bunlar dağıtıldıktan sonra, yeni eklenen bu sertifikaları almak için tüm bileşenler içinacsia_stack_restart
'ı çalıştırmanız gerekir.
SSL sertifikası almak istemiyorsanız Certbot ile Let's Encrypt'i kullanabilirsiniz; ancak bu talimatlar bu kılavuzda sağlanmamıştır, bu nedenle ilgili web sitelerini kontrol etmenizi öneririz.
6.1. Amazon AWS Elastic Beanstalk Entegrasyonu
ACSIA, Elastic Beanstalk içinde çalışan uygulamaları izlemek için AWS Elastic Beanstalk Entegrasyonu özelliğiyle birlikte gelir.
Elasticbeanstalk üzerinde çalışan uygulamalarınız varsa ve ACSIA'nın bunları izlemesini ve korumasını istiyorsanız, terminalde şu komutu çalıştırın: acsia_adapter_beanstalk.py
AWS ortamınızdan aşağıdaki bilgileri sağlamanız istenecektir:
-
AWS Erişim Anahtarı Kimliği (IAM Kullanıcısı)
-
AWS Gizli Erişim Anahtarı (IAM Kullanıcı sırrı)
-
Varsayılan bölge adı (Beanstalk'ın bulunduğu bölge)
-
Varsayılan çıktı formatı: (JSON veya text olabilir, ancak JSON tercih edilir)
-
ACL (Beanstalk VPC'de ağ erişim kontrol listesi kimliği)
Yukarıdaki dağıtımdan sonra size bir IP adresi (dahili/özel IP) verilecektir. IP adresi daha sonra şu komut çalıştırılarak alınabilir: acsia_adapter_ip.sh
.
ACSIA Web UI Konsolunda oturum açın ve daha önce verilen IP adresini kullanarak Linux ana bilgisayarını ekleyin (Getting Started->Start->Linux
).
Lütfen dağıtımın bazı uyarılar ve kısmi yapılandırma ile sona erebileceğini unutmayın. Panik yapma; bu uyarılar ciddi olmayabilir ve izleme genellikle çalışır.
Elasticbeanstalk uygulama başlangıç paketinize (Kickstarter paketi) sağlanan acsia.config
dosyasını eklediğinizden emin olun.
Yukarıdaki tüm adımları tamamladıktan sonra, ACSIA sunucusunda yeni bir terminale giriş yapın ve acsia_restart
komutunu çalıştırarak ACSIA'yı yeniden başlatın. Bu, ACSIA'nın tüm değişiklikleri ve yapılandırma dosyalarını aldığından emin olmak içindir.
7. ACSIA'nın Güncellenmesi
ACSIA'yı güncellemek oldukça kolay ve basittir.
Güncellemek için tek yapmanız gereken terminalde acsia
kullanıcısı olarak aşağıdaki komutu çalıştırmak:
acsia_update
Güncellemeleri almak için ACSIA kullanıcı adınıza ve şifrelerinize ihtiyacınız olacak. Bu kimlik bilgileri genellikle lisans talimatlarınızı aldığınız aynı e-postada sağlanır.
Web UI güncelleme özelliğini kullanmak yerine ACSIA güncellemelerini terminalden gerçekleştirmenizi öneririz. Bu, daha ayrıntılı hata kodu bilgileriyle işlemin daha fazla netlik ve kontrolünü sağlar. ACSIA'nın ana sürümleri genellikle temel araç yükseltmelerini içerecektir. Bu nedenle, bu yükseltmeleri gerçekleştirirken tam yığın durdurma ve başlatma öneririz. Bunu şu komutu çalıştırarak yapabilirsiniz: acsia_stack_stop && acsia_stack_start
8. Lisans Aktivasyonu
Kurulumu tamamladıktan sonra, bir web tarayıcısı üzerinden ACSIA uygulamasına erişebilmelisiniz. İlk eylem, lisansı etkinleştirmektir.
Lisansı etkinleştirmezseniz, uygulama minimum kapasitede çalışacağı veya hiç çalışmayacağı için hiçbir şey yapamazsınız. Lisansı etkinleştirmek için, sağlanan license code
'nu kopyalayın ve menüden Settings
'ı tıklayarak (e-posta adresiniz veya adınızdır) kullanıcı menüsüne (sağ üstte) gidin ve ardından License
'ı seçip ekleyebileceğiniz/ lisansı etkinleştirin.
Lisans, https://support.4securitas.com destek portalımızdaki bilet formu aracılığıyla talep edilebilir veya erişimde sorun yaşıyorsanız support@acsia.io adresinden e-posta yoluyla desteğe başvurun.
9. ACSIA'da Kullanılan Kimlik Doğrulama Yöntemleri
ACSIA, entegre çoklu kimlik doğrulama mekanizmalarıyla birlikte gelir.
ACSIA, kullanıcı adı ve parola ve çok faktörlü kimlik doğrulama (aka 2FA) gibi geleneksel kimlik doğrulama yöntemlerine sahiptir.
9.1. İki Faktörlü Kimlik Doğrulama
ACSIA, daha iyi güvenlik için kurulum sırasında ve sonrasında uygulanabilen bir 2FA yöntemi sunar. İki Faktörlü Kimlik Doğrulama (2FA), SSH ve ACSIA Web UI oturum açma işlemleri için kullanılabilir.
2FA, Web kullanıcı arayüzünden Settings→2FA
'ya gidilerek tüm kullanıcılar için etkinleştirilebilir.
Yukarıdaki resimden de görebileceğiniz gibi, giriş sayfasının yüklenme süresi bir dakika kadar sürebilir, bu nedenle lütfen bekleyin ve sayfayı yenilemeyin.
9.2. Komut satırından SSH için 2FA'yı etkinleştirme
SSH girişleri için acsia
kullanıcısına 2FA uygulamak istiyorsanız, bunu kurulum istemleri sırasında yapabilirsiniz. 2FA özellikleri, sırasıyla mfa_ssh_install
ve mfa_ssh_uninstall
komutları aracılığıyla herhangi bir zamanda etkinleştirilebilir veya devre dışı bırakılabilir. Etkinleştirildiğinde, acsia
sistem kullanıcısının oluşturulan bir Zamana Dayalı Tek Kullanımlık Şifre (TOTP) gizli anahtarı olacaktır. Google Authenticator veya FreeOTP gibi 2FA belirteç işleyici araçlarını kullanmanızı öneririz. Bu özellik etkinleştirilirse, kurulum sırasında ekrana bir QR kodu yazdırılır.
Bu etkinleştirildiğinde, oturum kimlik doğrulaması için yalnızca anahtar tabanlı kimlik doğrulama (ssh-key) kullanılabilir. Parola + 2FA, istenmeyen yan etkilere neden olduğundan desteklenmez.
Yükleme tamamlandıktan sonra veya mfa_ssh_qrcode
yürütülürken QR kodu terminalde görüntülenecektir ve tercih ettiğiniz 2FA belirteç işleyicisiyle taranabilir.
9.3. ACSIA Web UI Login için 2FA'yı komut satırından etkinleştirme
SSH 2FA isteğe bağlı olarak etkinleştirilebilir veya devre dışı bırakılabilse de, özellikle ACSIA kullanıcıları UI'ye internetten erişiyorsa, UI için 2FA'nın etkinleştirilmesini şiddetle öneririz. WebApp girişi için 2FA etkinleştirilirse, tüm kullanıcılara bir QR kodu verilir (ör. kullanıcı adı ve parola gibi geleneksel erişim kimlik bilgileriyle.
9.4. OpenDashboard'a Erişim ve Kimlik Doğrulama
OpenSearch görselleştiricisi OpenDashboard, ACSIA yığınının bir parçasıdır. OpenDashboard uygulamalarına ve gösterge tablolarına erişmek için parola kullanıcısı ve kimlik doğrulama etkinleştirilir. Kullanıcılar, Gösterge Tablolarını görüntülemeye çalıştıklarında ACSIA kullanıcı adlarını/şifrelerini göstermelidir. Kullanıcı adı ve parola, ACSIA Web UI oturum açma kimlik bilgilerinden otomatik olarak oluşturulur.
10. Sunucularınızı ACSIA'ya Bağlanmaya Hazırlama
ACSIA hem Linux, Windows hem de MAC OS işletim sistemlerini destekler.
10.1. Ön Gereklilikler
ACSIA Agent (aracısız mod) kullanmadan sistemlerinizi izlemeyi düşünüyorsanız, yönetici ayrıcalıklarına sahip bir hizmet kullanıcı hesabı gibi bazı ön gereksinimler vardır. Bu hizmet kullanıcısı bir yerel yönetici hesabı, bir Etki Alanı Denetleyicisi (Windows sistemleri için) veya bir LDAP hesabı (Linux sistemleri için) olabilir. Aracı modunu seçiyorsanız, aracıyı uç noktada çalıştırmak yeterli olacaktır.
BT altyapınız Google Cloud'da (Metadata Page) barındırılıyorsa, projenize Google konsolundan ACSIA ssh anahtarları ekleyerek aşağıdaki adımları atlayabilirsiniz. AWS, OpsWorks aracılığıyla yapılabilecek benzer bir kuruluma sahiptir.
10.2. Bir Linux İstemcisini Bağlama
10.2.1. Gereksinimler
-
Kernel 2.6 veya üstü
-
Python 2.7 veya üstü
-
Sudo ayrıcalıklarına sahip ve şifresiz kullanıcı hesabı
acsia
(yalnızca aracısız için)
10.2.2. ACSIA'yı bir aracı aracılığıyla dağıtma
Client Agent'ı yüklemeyi seçtiğiniz tüm Linux, Windows ve MAC OS istemcileri için tek yapmanız gereken ACSIA Web UI Hosts→Add Host
'ta gezinmek, işletim sistemini, yani Linux, Windows veya MAC'i seçmek ve Use The Agent
'yi seçmektir.
Aracıların tek bir istemci için indirilebileceğini lütfen unutmayın; bu, kullanıcı arabiriminden indirilen aynı aracının ikinci bir ana bilgisayar için kullanılamayacağı anlamına gelir. Her ana bilgisayar için yeni bir aracı indirmeniz gerekir çünkü her aracının kendi belirteci vardır (bu güvenlik nedeniyledir). Birden fazla istemci için bir aracı indirmek istiyorsanız, istemci sayısını seçebileceğiniz Bulk Agent Deployment
kullanabilirsiniz, tek aracıyı dağıtmak istersiniz.
İndirilen aracıyı kurulum için istemci cihaza kopyalayın ve PowerShell kullanarak Linux/MAC'de root ve Windows'ta Administrator olarak çalıştırın. Linux/MAC aracısına yürütme izni eklediğinizden emin olun.
Aracıyı istemcilerinize yükledikten sonra tüm ön koşullar yerine getirildiyse, İstemcilerin Hosts
bölümünde ACSIA kullanıcı arayüzünde otomatik olarak listelendiğini (doldurulduğunu) görürsünüz.
ACSIA sunucusuna bir API aracılığıyla bağlanan istemci aracıları, kullanıcı oluşturma gereksinimleri veya güvenlik duvarında açılacak birden çok bağlantı noktası yoktur (tüm bağlantı noktaları, 443 (TCP) ve 444 (UDP/TCP) olmak üzere 2 bağlantı noktasında birleştirilir. ajanı seçerken gereksinimler).
UI'den indirilen ACSIA aracılarının süresi yedi gün sonra sona eren jetonlara sahiptir ve her indirme tek bir cihaz için geçerlidir (yani her cihaz için yeni bir aracı indirmeniz veya tek bir indirme kullanmak istiyorsanız toplu aracı yükleme seçeneğini seçmeniz gerekir). birden fazla cihaz için). Size sağlanan aracı çalışmıyorsa, lütfen yeni bir aracı oluşturmanızı sağlayın, çünkü bu büyük olasılıkla bir belirteç süre sonu sorunudur.
10.2.3. ACSIA'yı Linux sistemlerinde aracısız modda dağıtma
ACSIA'yı bir aracı olmadan istemcilerinize dağıtmak istiyorsanız, dağıtıma bağlı olarak aşağıdaki adımlar önerilir:
CentOS / RHEL Linux için
CentOS
veya RHEL
sistemlerinde ACSIA Hizmet Kullanıcısı oluşturma
useradd -m -d /home/acsia -c "ACSIA Service User" -G wheel acsia
Yukarıdaki komutta bir acsia
kullanıcısı oluşturuyoruz, bir giriş dizini sağlıyoruz, bir adla etiketliyoruz ve onu "tekerlek" yönetim grubuna atayacağız.
Ardından, /etc/sudoers
dosyasını düzenleyerek ve aşağıdaki dizeden #
yorumunu kaldırarak yapılan Sudo passwordless permissions etkinleştirin:
%wheel ALL=(ALL:ALL) NOPASSWD:ALL
Debian / Ubuntu Linux için
Debian
veya Ubuntu
sistemlerinde ACSIA Hizmet Kullanıcısı oluşturma
useradd -m -d /home/acsia -s /bin/bash -G sudo acsia
Ardından /etc/sudoers
'ı kontrol edin ve aşağıdaki dizeyi #
kaldırın (yoksa ekleyin):
%sudo ALL=(ALL:ALL) NOPASSWD:ALL
10.2.4. SSH Anahtarı
Linux
sunucularınızda hizmet kullanıcısı oluşturma işlemi tamamlandıktan sonraki adım, ACSIA Web UI'den ssh-anahtarını almaktır. Anahtarı almak için Hosts→Add Host
'ye gidin, Linux'u seçin; ssh anahtarını görebilir/kopyalayabilirsiniz.
SSH anahtarını kopyalayın/dışa aktarın ve .ssh
ve authorized_keys
dosya izinleriyle ilgili adımlara dikkat ederek, daha önce Kullanıcı tarafından oluşturulan (her sunucuda) ACSIA Hizmetine içe aktarın.
Bunu yapmanın tipik bir yolu (acsia
kullanıcısı olarak):
echo "paste here the key" > .ssh/authorized_keys
chmod 700 .ssh && chmod 600 .ssh/authorized_keys
Bu ACSIA hizmeti kullanıcısı 2 farklı amaç için kullanılır:
- Elastik yığın göndericileri (filebeat, auditbeat, packagebeat), ossec/wazuh aracısı ve falco çekirdek modülünü dağıtmak için.
- ACSIA'yı etkinleştirmek için tehditleri ve saldırıları yerinde otomatik olarak yasaklayın ve kullanıcı tarafından gerçekleştirilen düzeltme seçeneklerini uygulayın.
Yukarıdaki her iki adım, ACSIA sunucusundan istemcilere otomatik olarak gönderilen Ansible playbook'ları aracılığıyla gerçekleştirilir (bu, her bir istemcide kurulumu manuel olarak tamamlama gereksinimini ortadan kaldırır).
Bahsettiğimiz ssh anahtarı, kurulum sırasında ACSIA tarafından rastgele oluşturulan 4096 bittir. Bu anahtar, kendi anahtarlarınızla değiştirilebilir, yeni bir tane oluşturabilir veya başka herhangi bir anahtar çiftiyle (örneğin, AWS EC2 keypair.pem) değiştirebilirsiniz. Tamamen kullanıcının insiyatifindedir.
10.3. Aracısız bir Windows İstemcisini Bağlama
Windows sunucularını aracısız modda yönetmek için WinRM'nin yüklenmiş, Windows sunucularında çalışıyor ve dinliyor olması gerekir. Aşağıdaki talimatlar, Ansible tarafından sağlanan örneklerdir.
10.3.1. Gereksinimler
-
PowerShell 4.0+
-
Windows Server 2008 SP1+ (yada Windows 7 SP1)
-
Yerel veya etki alanı
acsia
, yönetici ayrıcalıklarına veya eşdeğerine sahip bir hesap -
WinRM hizmeti etkin ve çalışıyor
10.3.2. Etki Alanı Denetleyicisi (Domain Controller) - Active Directory (Ajansız)
Windows sistemleriniz AD/DC'nin bir parçasıysa, ACSIA'nın Etki Alanı Denetleyicileri için bir entegrasyon özelliği vardır. Tek yapmanız gereken, birincil DC'de aşağıdaki PowerShell betiğini çalıştırmaktır:
ForEach ($COMPUTER in (Get-ADComputer -Filter '*' | Select -ExpandProperty DNSHostName)) { if(!(Test-Connection -Cn $computer -BufferSize 16 -Count 1 -ea 0 -quiet)) { write-host "cannot reach $computer" -f red }else { write-host "executing script on $computer" -f green Invoke-Command -ComputerName $computer -ScriptBlock { [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 $url = "https://raw.githubusercontent.com/ansible/ansible/devel/examples/scripts/ConfigureRemotingForAnsible.ps1" $file = "$env:temp\ConfigureRemotingForAnsible.ps1" (New-Object -TypeName System.Net.WebClient).DownloadFile($url, $file) powershell.exe -ExecutionPolicy ByPass -File $file } } }
Yukarıdaki komut dosyasını yürütürken, DC istemcilerinden bazılarına DNS adıyla erişilemediğini fark ederseniz, DNSHostName
'i Name
ile değiştirmeniz yeterlidir.
Yukarıdaki komut dosyası başarıyla yürütüldüğünde, ACSIA UI Getting Started
gidin ve Etki Alanı Denetleyicisinin keşif adımı sırasında alan denetleyicinizi ekleyin, Add all "yourdomain.local servers"
bir seçenek görünür.
acsia.local
'ın alan denetleyicinizin FQDN'si olduğu aşağıdaki ekran görüntüsüne benzer bir şey:
Bu, Etki Alanı Denetleyicinizdeki tüm kayıtlı istemcileri yoklayacak ve bunları bir kerede dağıtılmak/izlenmek üzere ACSIA UI'sine yerleştirecektir.
lütfen alan denetleyicinizi username@fqdn, ör. user1@acsia.io biçiminde girdiğinizden emin olun
10.3.3. Windows İstemcisi AD/DC'ye Bağlı Değil (Ajansız)
Windows sunucularınız herhangi bir Etki Alanı Denetleyicisine bağlı değilse, Ansible için kullanılan winRM hizmetini etkinleştirmek için Windows istemcilerinde aşağıdaki komut dosyasının yürütülmesi gerekir.
WinRM yapılandırma komut dosyası
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 $url = "https://raw.githubusercontent.com/ansible/ansible/devel/examples/scripts/ConfigureRemotingForAnsible.ps1" $file = "$env:TEMP\ConfigureRemotingForAnsible.ps1" (New-Object -TypeName System.Net.WebClient).DownloadFile($url, $file) powershell.exe -ExecutionPolicy ByPass -File $file
lütfen kopyala/yapıştır işlemi sırasında URL'nin bölünmediğinden emin olun.
10.3.4. PC'leri ve İş İstasyonlarını ACSIA'ya Bağlama (Ajansız)
PC'ler ve İş İstasyonları, yukarıdaki talimatlar izlenerek ACSIA tarafından da bağlanabilir ve izlenebilir. Lütfen yerel yönlendiricilerin arkasındaki uç noktaların (PC'ler ve İş İstasyonları gibi) ACSIA'ya bağlanması amaçlanan uç nokta için bağlantı noktası 5986'da NATting'in etkinleştirilmesini gerektireceğini unutmayın (Bunun gibi senaryolar için aracı aracılığıyla yükleme önerilir)
Sürüm <4 ise lütfen Powershell sürümünüzü yükseltin ve Windows güvenlik duvarının etkin olduğundan emin olun.
10.4. ACSIA Web UI aracılığıyla Ana Bilgisayar Ekleme (yalnızca aracısız mod)
ACSIA Web Kullanıcı Arayüzü'ne giriş yapın ve Hosts sayfasındaki sol kenar çubuğundaki menüden Add Host
'yi tıklayın. Bağlanmak istediğiniz istemcinin işletim sistemini seçin ve bir CSV dosyası kullanarak (aşağıda daha iyi açıklanmıştır) veya aracı aracılığıyla (aracıyı indirerek) IP veya Ana Bilgisayar Adı temelinde ana bilgisayar ekleyebileceğiniz sonraki pencereye yönlendirileceksiniz. ). Ana bilgisayar adı da dahil olmak üzere ana bilgisayarların kalan ayrıntıları ACSIA tarafından otomatik olarak alınıp yerleştirileceğinden, sunucunuzu eklemek için IP adreslerini kullanmak en iyi uygulamadır.
Hosts Setup
'nu tamamladıktan sonraki adım, özel web sunucunuzu veya web uygulaması günlüklerinizi ekleyebileceğiniz Logs Configuration
ekranıdır (her zaman günlüklerin mutlak yolunu kullanın). Bir sonraki adım, girilen günlüklerin doğrulanmasıdır, eğer mevcut değilse, bir hata veya yazım hatası olup olmadığını düzeltebilmeniz veya kaldırabilmeniz için bu vurgulanacaktır.
yollar, günlük dosyalarının kendilerine olmalıdır; dosyalara symlinks desteklenmez.
Örneğin, Nginx Web Sunucusunda (Apache ile aynı şekilde) çalışan bir web uygulamanız varsa, istemci dağıtımı sırasında Nginx günlüklerinizi manuel olarak eklemeniz gerekir (daha sonra düzenleme seçeneği kullanılarak yapılabilir), vs /var/log/nginx/access.log
Web uygulaması günlükleri tipik olarak ACSIA tarafından otomatik olarak algılanır. Ancak herhangi bir nedenle algılanmazlarsa, önerilen işlem, ana bilgisayarların listelendiği (Hosts
sayfasında) Edit Host Details
'yi kullanarak bunları manuel olarak eklemektir.
Tüm günlük dosyalarının yapılandırması tamamlandıktan sonra, her şeyi girdiğinizden emin olmak için bir sonraki ekranda bir Summary
gösterilir ve ardından ACSIA'yı gerçekten dağıtmaya ve sunucularınıza bağlanmaya başladığınız yere Deploy
gelir. Bu birkaç dakika sürecektir (istemciler ve sunucu arasındaki ağ bağlantınıza bağlı olarak) ve sonunda kayıt prosedürünün tamamlandığını bildiren bir diyalog mesajı gösterilecektir.
10.4.1. CSV Dosya biçimi
ACSIA, yalnızca CSV dosyasını içe aktarabileceğiniz tüm sunucu ayrıntılarınızın ayrıntılarını içeren bir CSV dosyası kullanma seçeneği sunar.
Aşağıdaki ekran görüntüsü, ACSIA için CSV dosyasının biçimini sağlar:
Tek bir ana makine için birden fazla günlüğünüz varsa, her günlüğü noktalı virgülle ;
ayırabilirsiniz.
Bir istemcinin dağıtımı tamamlandığında, sunucularınız güvenlik sorunları, tehditler ve anormallikler için gerçek zamanlı olarak sürekli izlenecek şekilde ayarlanır.
10.4.2. Konteyner yapılarına özel ayrıntılar
ACSIA kapsayıcı farkındadır ve kaplar içindeki çekirdek olaylarını otomatik olarak izler. Ancak, kapsayıcılarda uygulama/web sunucuları çalıştırıyorsanız ve bu günlüklerin izlenmesini istiyorsanız, bunların ana bilgisayar tarafından kullanılabilir hale getirilmesi gerekir. ACSIA, günlük dosyalarına yönelik sembolik bağlantıları desteklemez - verilen günlük dosyasının tam yolu olmalıdır.
Linux kapsayıcı günlükleri, docker seçenekleri --volume
veya --mount
kullanılarak ACSIA'ya sunulabilir. Resmi liman işçisi belgelerine göre burada veya burada docker-compose kullanıyorsanız burada.
11. Kullanıcı Yönetimi
Kullanıcı yönetimi bölümü, giriş yaptığınız kullanıcı adına ve ardından Settings
'a tıklayarak sağ üstteki çubukta bulunabilir.
11.1. ACSIA Web UI'ye Yeni Kullanıcı Ekleme
Kullanıcı eklemek hiç bu kadar kolay olmamıştı. Sağ üst çubuktaki username
tıklamanız ve menüden Settings
'ı seçmeniz yeterlidir.
Ardından "ADD USER" ye tıklayın ve tüm alanları doldurun, ayrıca bu Bölümde Kullanıcıları Silebilir veya Düzenleyebilirsiniz. Lütfen gerçek kullanıcı adının bir e-posta adresi olması gerektiğini unutmayın.
11.2. Dağıtım listesi (Distribution Lists)
ACSIA, her gruba üye ekleyebileceğiniz ve her bir dağıtım listesine gönderilecek bildirim türlerini ayarlayabileceğiniz dağıtım listeleri oluşturmanıza olanak tanır. Örneğin, yalnızca Critical
veya High
veya Medium/Low
öncelikli güvenlik uyarılarını almak için bir dağıtım listesi ayarlayabilirsiniz. C Düzeyi yönetiminiz, Critical
olaylar dışında uyarı almak istemeyebilir ve bu nedenle bu gereksinimi karşılamak için bir dağıtım listesi oluşturulabilir.
Sol kenar çubuğu menüsünde Distribution List
'ni bulacaksınız. Yeni bir dağıtım listesi oluşturmak için "ADD NEW LIST"yi tıklamanız yeterlidir.
Oluşturulan Distribution List
'ne bir ad verin ve grubun almasını istediğiniz etkinlik türünü (Kritik, Yüksek veya Orta/Düşük) seçerek üyeleri listeye ekleyerek seçin.
Artık dağıtım listesi aracılığıyla bildirim almaya hazırsınız.
11.3. Email Ayarları
E-posta ayarları, e-postalar aracılığıyla ACSIA sunucu tarafı bildirimleriyle ilgilidir. Bu ayar, Settings
menüsü Email
sekmesinin sağ üst köşesinde bulunabilir.
Burada gönderen e-postasını ve adını ayarlayabilirsiniz. Örneğin, kuruluşunuzun alan adı example.com
ise, e-postayı no-reply@example.com
olarak ve adı da Acsia Alerts
ve beyaz liste olarak ayarlayabilirsiniz.
Bunu ayarlar kurmaz, kuruluma göre bildirim e-postaları almaya başlayacaksınız.
E-posta alma konusunda sorun yaşıyorsanız, önerilen eylem gerçek bir gerçek e-posta hesabı oluşturmak ve yapılandırmaktır. E-posta bildirimi altında, basit bir e-posta ve etiket ayarlamak yerine, SMTP'yi ve aşağıdaki bilgileri doldurabileceğiniz Kimlik Doğrulama yöntemlerini etkinleştirebilirsiniz. gönderen olarak kullanmak istediğiniz e-postanın ayrıntıları.
11.4. Slack ve/veya Microsoft Teams aracılığıyla bildirim alma
E-posta bildirimine benzer şekilde, Slack ve/veya Microsoft Teams aracılığıyla alınacak bildirimleri de etkinleştirebilirsiniz. Bunu, istediğiniz web kancasını (Microsoft Teams veya Slack) kopyalayabileceğiniz entegrasyon altındaki Settings
bölümünde etkinleştirebilir ve gerçek zamanlı mesajlaşma yoluyla bildirim almak için etkinleştirebilirsiniz.
11.4.1. Slack kurulum talimatları (Microsoft Teams ile hemen hemen aynıdır)
Slack'inize gelen webhook'nı yükleyin
-
Uygulamalara Git
-
Uygulama dizinini Görüntüle'ye gidin
-
Gelen
incoming-webhook
arayın -
Yapılandırma Ekle'ye gidin
-
Kanala Gönder'de: bildirimin gönderileceği kanalı/grubu seçin
-
Gelen WebHooks Entegrasyonunu Ekle'ye tıklayın
-
Adı Özelleştir'e gidin: Ad ekleyin, ör.
ACSIA Notifier
-
WebHook URL'sini kopyalayın
ACSIA kullanıcı arayüzünde yapılandırın
-
Web kullanıcı arayüzüne erişim
-
Ayarlar -> Entegrasyon'a gidin
-
Slack veya Microsoft Teams'i etkinleştirin
-
Kopyalanan URL'yi yapıştırın
11.5. Çekirdek Seviyesi Bildirimleri
Çekirdek düzeyinde izleme etkinleştirildiğinde, ACSIA, çekirdeğe yapılan her sistem çağrısının akışını, sistem çağrılarını yakalayarak ve gerçek zamanlı olarak anormallikleri/tehditleri arayarak engelleme yeteneğine sahiptir (bu yalnızca Linux sistemleri içindir).
Çekirdek düzeyinde bildirim almak istiyorsanız, bu özelliği etkin tutmanız önerilir. Bunu yapmak isteyenler için Setting
'a gidip Notification
sekmesini tıklayarak istedikleri zaman devre dışı bırakılabilir.
11.6. Otomatik Yasaklamayı Etkinleştirme
ACSIA'nın kuruluşunuzun dışından kaynaklanan tehditlerin çoğunu (yani BotNet, Bruteforce, Sözlük, SQL enjeksiyonları, XSS saldırıları vb. İnternet kaynaklı saldırılar) ele almasını istiyorsanız, bu özelliğin etkinleştirilmesi gerekir.
Etkinleştirilirse, ACSIA, yerinde IP adreslerinin yasaklanması gibi düzeltme eylemlerini otomatik olarak gerçekleştirir. Settings
alanında gezinerek ve Notification
sekmesini tıklayarak Automatic Ban
'yı etkinleştirebilirsiniz.
11.7. Yerel/Özel (Local/Private) IP Adresleri için Manuel Yasaklamayı Etkinleştirme
ACSIA varsayılan olarak yerel IP adreslerini yasaklayamaz, bu, işi etkileyecek herhangi bir iş kesintisini veya benzer olayları önlemek içindir. Ancak, yerel IP adreslerini yasaklamak istiyorsanız, bunu Settings→Notification
sekmesi altında bu özelliği etkinleştirerek yapabilirsiniz.
11.8. Günlük Tutma (Log Retention)
ACSIA, sunuculardan gelen tüm günlükleri OpenSearch ve MySQL veritabanları arasında saklar. Günlüklerin ömrü (saklama süresi), Settings
'a gidip Günlük Tutma sekmesi tıklanarak yapılandırılabilir. ACSIA, kullanıcıların farklı günlük türleri (aşağıda listelenmiştir) için farklı saklama süreleri ayarlamasına olanak tanır:
11.8.1. Erişim Günlükleri (Access Logs)
Bu günlükler, tüm sistem günlüklerini ve olay günlüklerini içerir.
11.8.2. Web Günlükleri (Web Logs)
Web günlükleri, web uygulamaları günlükleridir (apache, Nginx, tomcat, IIS, vb.)
11.8.3. Denetim Günlükleri (Audit Logs)
Bunlar çok yaygın olarak bilinen Linux denetim günlükleridir.
11.8.4. Ağ Günlüğü (Network Log)
Bu günlükler, sunucu düzeyinde (gelen ve giden) yakalanan ağ trafiğidir.
11.8.5. ACM Günlükleri (ACM Logs)
ACM, Gelişmiş Uyumluluk Azaltma anlamına gelir ve bu nedenle bunlar uyumlulukla ilgili günlüklerdir (sistem, uygulama, güvenlik olayları vb.)
12. Ana Gösterge Tablosu (Main Dashboard)

- Kritik Uyarı (Critical Alert)
- Yüksek Uyarı (High Alert)
- Orta Uyarı (Medium Alert)
- Düşük Uyarı (Low Alert)
- Engellenen Saldırı (Attack Blocked)
- Kötü IP Engellendi (Bad IP Blocked)
- Saldırı Trendleri Çizgi Grafiği (Attack Trends Line Graph)
- En İyi 10 Suçlu Set Grafiği (Top 10 Offenders Set Graph)
- Engellenen ana bilgisayarlar (Prisma) Set Grafiği (Blocked hosts (Prisma) Set Graph)
- Kategoriye göre saldırı Set Grafiği (Attack by category Set Graph)
- En çok saldırıya uğrayan 10 host Sütun Grafik (Top 10 attacked hosts Bar Graph)
- En iyi 10 yetkilendirme erişimi Sütun Grafiği Top 10 authorization access Bar Graph
- İlk 10 yetkilendirme hatası Sütun (GrafikTop 10 authorization failure Bar Graph)
- En iyi 10 destinasyon Sütun Grafik (Top 10 destinations Bar Graph)
Son 10 gündeki coğrafi konumlu saldırı eğilimleri dünya haritasında gösterilir.
13. Host Listesi Bölümü
Ana bilgisayar (host) listesi sayfası, tablet modunda ACSIA'ya bağlı tüm cihazların envanterini gösterir ve her bir tablo hücresinin ayrıntıları aşağıda kısaca listelenmiştir:
-
Ana Bilgisayar (Host) Takma Adı (Alias): Ana makinenizi daha iyi tanımak için bir takma ad atayabileceğiniz yer
-
Ana bilgisayar adı (Hostname): bu değer ana bilgisayardan otomatik olarak alınır ancak kullanıcı adı değiştirebilir
-
Host IP: İstemcinin bağlı olduğu IP adresi
-
İşletim Sistemi: İstemcinin hangi işletim sistemine sahip olduğunu gösterir
-
Durum: istemci günlüklerini ACSIA sunucusuna aktaran tüm göndericilerin listesini ve durumunu içerir
-
Eylemler: Bu alanda eyleme geçirilebilir 3 alt bölüm vardır:
-
Ayrıntıları Görüntüle: ana bilgisayar, yani işletim sistemi, çekirdek, IP adresi, izlenen günlükler ve daha fazlası hakkındaki ayrıntıları gösterin
-
Ana Bilgisayar (host) Ayrıntılarını Düzenle: Kullanıcının takma ad ekleme, ana bilgisayar adını, IP adresini değiştirme, izlenecek özel günlükler ekleme ve günlük göndericilerini (streamer) manuel olarak başlatma/durdurma gibi ana bilgisayar ayrıntılarını düzenleyebildiği alandır.
-
Ana Bilgisayarı (host) Kaldır: bağlı ana bilgisayarı kaldırabileceğiniz yer
14. Etkinlikler Bölümü
14.1. Canlı Bildirimler (Live Notifications)
Sol taraftaki menüde, henüz harekete geçmemiş tüm canlı etkinliklerin bir listesini içeren Live Notifications
de var. Gelen tüm güvenlik uyarıları bu bölümde listelenecek ve bu alandaki her bildirimin üzerindeki Details
okuna tıklayarak ACSIA tarafından oluşturulan tek bir olay/uyarıya ilişkin tüm ayrıntılara göz atabilecek ve bunları keşfedebileceksiniz.
Ayrıca olayların filtrelenebileceği ve kriterlere göre aranabileceği filtrelerimiz de var.
14.2. Canlı Bildirim Kenar Çubuğu
Ekranın sağ tarafında bir Live Events
kenar çubuğumuz var. Bu kenar çubuğu, statik ve kalıcı olarak sağ tarafta olması dışında Live Notifications
benzer; bu, ACSIA'nın işlevlerinde gezinirken etkinlikleri izlerken kullanışlıdır.
Her olay, kullanıcının gelen bir güvenlik olayını veya olayını anında harekete geçirmesine ve düzeltmesine olanak sağlamak için Acil İşlemler (Immediate Actions
) ile birlikte kısa bir açıklama ile gösterilir.
15. İçgörüler (Insights)
Alanın Analizleri, sol taraftaki kenar çubuğu menüsünde bulunabilir. Bu bölüm, ACSIA'nın olayların derinlemesine araştırılması ve hatta raporlar ve analizler oluşturmak için sunduğu birden fazla gösterge panosu içerir. Her pano, OpenSearch Stack tarafından sunulan bir web uygulaması olan OpenDashboard
kullanılarak görselleştirilir. OpenSearch Kontrol Paneli, OpenSearch'e entegre edilmiştir, burada bir şeyler bulabilirsiniz: Opensearch
Her bir gösterge tablosu, Insights
alanında bulacağınız için kendi kendini açıklar.
15.1. Uyumluluk (Compliance)
Compliance
alanı, öncelikle aşağıda kısaca listelenen uyumluluk ve düzenleyici çerçevelerle ilgili gösterge tablolarını/raporları içerir:
-
Güvenlik Bilgi Yönetimi
-
Güvenlik olayları raporu
-
Bütünlük izleme raporu
-
Tehdit Algılama ve Müdahale
-
Güvenlik açıkları raporu
-
Mitre Att&ck
-
Denetim ve Politika İzleme
-
Politika izleme kontrol paneli
-
Sistem denetleme panosu
-
Mevzuata uygunluk
-
GDPR
-
PCI DSS
-
HIPAA
-
NIST 800-53
-
TSC
Güvenlik ve bilgi yönetimi, güvenlik olayları hakkında görünürlük ve raporlama sağlar ve dosya bütünlüğü izlemeyi içerir. Tehdit algılama ve yanıt, bağlı sistemler için keşfedilen güvenlik açıkları hakkında raporlar sağlar.
Denetim ve politika izleme, denetim kontrollerinin ve standart politika gereksinimlerinin tam görünürlüğünü sağlar.
Düzenleyici uyumluluk gösterge panoları, GDPR, PCI DSS, NIST 800-53, HIPAA, TSC ve Mitre Att&ck çerçevesinden küresel düzenleyici rejimleri kapsar. ACSIA, BT sistemlerinin uyumluluğu konusunda gerçek zamanlı olarak tam kontrol ve görünürlük sağlar ve sistemler uyumlu değilse, kolayca ele alınabilmesi için tam arıza noktasını sağlar.
16. Politikalar (Policies)
ACSIA'nın Policies
, izlenen istemcilerde nelere izin verilip nelere verilmediğinin bir envanterini sağlar. ACSIA trafiği engellediğinde, bireysel istemcilerin yerel güvenlik duvarlarını kullanır (Windows güvenlik duvarı ve Linux sistemlerinde yönlendirme tablosu vb.). Politikalar bölümü aşağıdaki gibi 4 alt bölüme ayrılmıştır:
-
IP Kara Listesi (IP Blacklist)
-
IP Beyaz Listesi (IP Whitelist)
-
Kilitli Kullanıcılar (Locked Users)
-
Erişim Konumu (Access Location)
-
Sessiz Bildirimler (Muted Notifications)
16.1. IP Kara Listesi (IP Blacklist)
IP Blacklist
, kötü amaçlı ve yetkisiz olarak işaretlenmiş ve bu nedenle kara listeye alınmış (ana bilgisayarlar tarafından yasaklanmış) tüm kaynak IP adreslerini içerir. Bir IP adresi bir kullanıcı tarafından yanlışlıkla yasaklanmışsa, bir eylemi geri alabilirsiniz. Otomatik yasaklama (autoban
) özelliği etkinleştirilirse, ACSIA kuruluşun dışından (örneğin internetten) kaynaklanan tüm olası saldırıları ve tehditleri otomatik olarak ele alırken, son kararı vermesi için dahili tehditler her zaman ACSIA yöneticisine bildirilir.
16.2. IP Beyaz Listesi (IP Whitelist)
IP Whitelist
, güvenilir olarak işaretlenmiş tüm kaynak IP adreslerini içerir. Bir IP adresinin beyaz listeye alınmasının, web uygulaması düzeyindeki erişimlere hassasiyet verilmesi nedeniyle web isteklerini içermediğini unutmayın. Bu nedenle, web istekleri için geçerli olmayan bir IP adresini beyaz listeye aldığınızda ve o belirli IP adresinden kaynaklanan trafik potansiyel bir tehdit belirlerse, bildirime ve uyarıya tabi olacaktır.
16.3. Kilitli Kullanıcılar (Locked Users)
Locked Users
, kilitli olarak işaretlenmiş belirli kullanıcıları içerir. Yetkilendirilmemiş alanlara erişmeye çalışan meşru kullanıcılar olabilirler. Alternatif olarak, bir kullanıcının yasal hesap ayrıntılarını ele geçirmiş ve bu nedenle kilitlenmiş kötü niyetli kullanıcılar olabilirler. ACSIA, meşru kullanıcıları otomatik olarak engellemez, her zaman kullanıcı girişi gerektirir, bu nedenle bu aramayı yapmak ACSIA yöneticisinin takdirinde olacaktır.
16.4. Erişim Konumu (Access Location)
Access Location
, meşru erişimin bir coğrafi konumdan veya ACSIA'da yetkilendirilmemiş bir IP adresinden kaynaklandığı güvenlik olaylarını ifade eder. Bu nedenle onay, yetkili veya yetkisiz olmayı beklemek. Bir kullanıcı için konum tabanlı bir IP adresi yetkilendirirseniz, bu kullanıcıyı yalnızca o IP adresi için beyaz listeye almak gibi olur. Öte yandan, bir kullanıcıyı yetkisiz olarak işaretlerseniz, o kullanıcı yine de erişebilir ve denemeler yapabilir ancak her seferinde size bilgi verilir. Bu nedenle, IP'yi manuel olarak kara listeye eklemediğiniz sürece Access Location
, bir IP'yi kara listeye almaktan farklıdır.
16.5. Sessiz Bildirimler (Muted Notifications)
Sessize Alınan Bildirimler (Muted Notifications
), ACSIA yöneticileri ve/veya güvenlik analistleri tarafından yasal olarak kabul edilen güvenlik olaylarını ifade eder. Bir olay sessize alındı olarak işaretlendiğinde, ACSIA artık bu tür bir olayı bildirmeyecektir. Sessize alınan tüm etkinliklerin sesi herhangi bir zamanda açılabilir.
17. Acil Eylemler - Düzeltme Seçenekleri
Acil İşlemlerin (Immediate Actions
), kullanıcıları tarafından ACSIA'nın en sık kullanılan özellikleri olması muhtemeldir. Bu eylemleri genellikle tüm gelen güvenlik olaylarına veya e-posta bildirimlerine gömülü olarak bulacaksınız. Oradan hemen harekete geçebilir ve düzeltilmesi için olayı etkileşimli olarak azaltabilirsiniz.
Bu, ACSIA'nın, olayların ve tehditlerin düzeltilmesi için kullanıcı girişinin gerekli olduğu Etkileşimli (Interactive
) özelliğidir:
Bildirimlerle sağlanan Acil İşlemlerin - Immediate Actions
(bazen Düzeltme Seçenekleri - Remediation Options
olarak da adlandırılır) sırası, etkinliğin önem düzeyine ve etkinliğin türüne göre dinamik olarak değişir. Örneğin, olası bir hesap güvenliği ihlali uyarısı varsa, en üstte görünen seçeneğin en mantıklı seçim olacağı ve ardından listede ikincisinin geleceği, düzeltme eyleminin sırası öncelikli olarak belirlenir. ACSIA kullanıcıları, siber güvenlik bilgisine sahip olmasalar veya sınırlı teknik becerilere sahip olsalar bile bu özellikten büyük ölçüde faydalanacaklardır.
17.1. ACSIA tarafından sunulan Acil Eylemler veya İyileştirme Seçenekleri:
17.1.1. Bu bağlantıyı Kes (Kill this connection)
Bu eylemi seçerek, ACSIA kullanıcısı bu kötü niyetli IP adresi için ağ trafiğini (gerçek zamanlı olarak) öldürecek ve sonraki 15 dakika boyunca bu IP adresi için tüm trafiği askıya alacaktır. Herhangi bir kurulan bağlantı ve yeni bağlantı istekleri, yayın yapmaya çalışırken öldürülecektir.
17.1.2. Kullanıcıyı/Konumu Onaylayın ve Yetkilendirin (Acknowledge and Authorize User/Location)
Bu eylemi seçerek, o belirli kullanıcıya ve ilgili IP adresine kalıcı olarak tesislerinize erişme yetkisi vermiş olursunuz. Bu IP adresi, ACSIA için beyaz listeye alınacak ve bu nedenle, artık kullanıcısıyla ilişkili IP adresinden kaynaklanan bir uyarı almayacaksınız.
17.1.3. Bu Kullanıcıyı/Konumu Yetkisiz Olarak İşaretle (Mark This User/Location as Unauthorized)
Bu eylemi seçerek, siz bir karar verene kadar ACSIA'dan kullanıcıları bu olay hakkında bilgilendirmeye devam etmesini istersiniz. Bunu, bir IP adresinden yapılan erişimi yasaklamaya veya yetkilendirmeye henüz karar vermediğiniz durumlar için kullanın.
17.1.4. Bu IP'yi Yasakla (Ban This IP)
Bu eylemi seçerek IP adresini kalıcı olarak yasaklamış olursunuz ve bu nedenle artık sistemlerinize ulaşamaz.
17.1.5. Kullanıcıyı Kilitle (Lock User)
Bu eylemi seçerek, kullanıcı hesabını sistemlerinizde kilitlersiniz.
17.1.6. Bu IP'yi İzle (Track This IP)
Bu işlem sizi, neler olup bittiğine dair tam bir görünürlük sağlamak için söz konusu IP adresinin tüm ağ ve sunucu etkinliğinin doldurulacağı OpenDashboard
uygulama Dashboard
'ne götürecektir.
17.1.7. Bu Kullanıcıyı İzle (Track This User)
Bu işlem sizi, kullanıcı etkinliğinin meşruiyetini belirlemenizi sağlayarak, tüm ağ ve sunucu etkinliğinin o belirli kullanıcı için doldurulacağı OpenDashboard
uygulaması Dashboard
'a götürecektir.
17.1.8. Whois Sorgusu (Whois Query)
Bu, whois veritabanında alan ve IP kayıt bilgilerini aramak için bir alan adı arama hizmetidir. Kötü niyetli kullanıcının kaynak IP adresinin sahipliği hakkında ilgili bilgileri verir.
17.1.9. Detayları Göster (View Details)
Bu, kaynak IP adresinin coğrafi konumu ve coğrafi koordinatlar dahil olmak üzere olayın doğru ayrıntılarını sağlar.
17.1.10. Olayı Kapat (Close Incident)
Bu, olayı göz ardı etmek içindir ve tekrarlanırsa ACSIA tekrar bilgilendirecektir.
17.1.11. Bildirimi Kapat (Mute Notification)
Bu eylem, ACSIA'ya söz konusu olay yeniden meydana geldiğinde dikkate almamasını ve artık bildirimde bulunmamasını söylemek içindir.
17.1.12. Komut Oturumunu İzle (Track Command Session) - Yalnızca Linux istemcileri için
Bu, ACSIA içinde, Çekirdek düzeyi izlememiz tarafından etkinleştirilen son derece güçlü bir özelliktir. Şüpheli etkinlik algılandığı veya bir kullanıcının hassas verileri veya dosyaları okumaya veya yazmaya çalıştığı andan itibaren, uyarı tetiklenecek ve gerçek zamanlı düzeltme eylemleri sağlanacaktır. Bu Track Command Session
tıkladığınızda, yalnızca uyarıyı tetikleyen belirli kullanıcı etkinliği değil, aynı zamanda yeniden oynatma modunda kullanıcının tüm oturumu sunulur. Bu adli düzeyde ayrıntı, kullanıcı tarafından gerçekleştirilen tüm etkinliği görüntülemenize ve dolayısıyla o kullanıcının neden hassas dosyaları ve verileri değiştirmeye çalıştığını ve hızlı bir şekilde bir düzeltme eylemi gerçekleştirmeye çalıştığını anlamanıza olanak tanır.
18. Audit Logs
Audit Logs, üzerinde işlem yapılan veya değiştirilen tüm olayları ve kim tarafından (ACSIA kullanıcıları, kim ne yaptı web arayüzünde) bulabileceğiniz bölümdür.
19. Email Bildirimi
Bir e-posta ve Slack bildirimi örneği aşağıda gösterilmiştir:
Yukarıdaki ekran görüntüsünde gördüğümüz gibi, üretim öncesi sunucumuzu hedefleyen acsia
kullanıcısını kullanarak başarılı erişim hakkında bir bildirim aldık. Artık meşru bir kullanıcının oturum açtığını biliyoruz, ancak ACSIA haklı olarak bunun potansiyel bir hesap ihlali olduğunu bildirdi.
Bu kullanıcı ve konum, yalnızca kullanıcıyı ilişkili konumla meşru olarak yetkilendirdiğimizde ACSIA için meşru hale gelecektir. ACSIA kullanıcıları, bunun gibi meşru erişimler söz konusu olduğunda ACSIA makine öğrenimi modülünü eğitmelidir. Bu, çoğunlukla kullanıcı girişinin ACSIA tarafından isteneceği yerdir. Bu nedenle ACSIA kullanıcılarının, bu kullanıcının yetkili ve meşru olduğunu ilk kez kullanmaları gerekecektir. O andan itibaren ACSIA bu kalıptan haberdar olacak ve artık bildirimde bulunmayacaktır (hesap gerçekten tehlikeye girmediği sürece).
Daha fazla bilgi ve sorularınız için lütfen destek portalımız (https://support.4securitas.com) aracılığıyla bizimle iletişime geçerek destek ekibimizle iletişime geçin.
ACSIA, 4Securitas Ltd.'nin bir ürünüdür.
Telif Hakkı 2022 4Securitas Ltd