ACSIA XDR Plus Kurulum ve Kullanıcı Yönetim Kılavuzu - v5.0.0 ve üzeri

Bu kılavuz yalnızca ACSIA XDR Plus sürüm 5.0.0 ve üzeri için geçerlidir

1. Önsöz

Bu kılavuz, ACSIA'yı yüklemek için ön koşullar, ürün yükleme ve yapılandırma ayrıntıları, yönetim, sorun giderme dağıtımı ve Sık Sorulan Sorular konusunda size yol gösterecektir.

2. ACSIA XDR Plus nedir?

ACSIA (Automated Cyber Security Intelligence Application) kuruluşların kendilerini kötü niyetli saldırılara ve verilerini hedefleyen yetkisiz kuruluşlara karşı korumalarını sağlayan bir Otomatik Siber Güvenlik İstihbarat Uygulamasıdır.

3. Kurulum ve Yapılandırma

Diğer tüm yazılım uygulamaları gibi, ACSIA'nın da bağlı istemcilerle iletişim kurmak ve görevlerini yerine getirmek için bazı ön gereksinimlere ihtiyacı vardır.

3.1. Öngereksinimler

3.1.1. Minimum Gereksinimler

ACSIA Sunucu platformu aşağıdaki minimum özellikleri gerektirir:

Sunucu, fiziksel veya sanal bir ortamda konuşlandırılabilir
Sanal bir ortam söz konusu olduğunda, sunucunun bir Sanal Makineye ihtiyacı olacaktır ve bu, tercih edilen her hiper yöneticide (VMWare, HyperV, VirtualBox, Proxmox, vb...) çalışabilir, ancak konteynerlarda değil (Docker, Kubernetes, LXD, vb.) LXC, Vagrant, vb...)
Herhangi bir Linux dağıtımı kullanılabilir.
16 GB RAM (sanal ortamlarda tahsis edilmelidir)
8 vCPU
200 GB Depolama SSD (en az saklama politikasına bağlı olarak)
Ağ bağlantısı (sunucuyu indirip kurmak, tehdit istihbaratı beslemelerimizi almak, istemcilerle bağlantı kurmak, sistemi yükseltmek ve lisansı doğrulamak için)
Bölümleme: ACSIA VM için belirli bir bölümleme gerekli değildir; ancak, ACSIA şirket içinde (bulut platformları dışında) barındırıldığında, depolamanın kolayca genişletilebilmesi için bir LVM bölümü kurulması şiddetle önerilir.

Kurulumu gerçekleştirmek için tam internet bağlantısı gereklidir. Kurulum tamamlandıktan sonra, bağlantıyı yalnızca aşağıdaki tabloda belirtilen URL'lere azaltabilirsiniz.

Kaynak	Hedef	Protokol	Port	Not
ACSIA Sunucusu	wimi.xdrplus.com	TCP	443	Genel (Public) IP ve En Son Sürüm
ACSIA Sunucusu	license.acsia.io	TCP	5150	Lisans Etkinleştirme (TLS Etkin)
ACSIA Sunucusu	nexus.acsia.io	TCP	443	Güncellemeleri İndir

ACSIA, lisanssız bir duruma girmeden önce 48 saate kadar bağlantı kaybına izin verse de, bağlantı her zaman gereklidir (lisans için özel ve genel anahtar çifti doğrulaması). Bu gereksinimin tek istisnası, ACSIA'nın Amazon AWS Marketplace'ten dağıtılmasıdır.

Yukarıdaki spesifikasyon, 100'den fazla izlenen ana bilgisayarın tipik bir standart iş yükünü destekleyecektir. ACSIA nispeten doğrusal olarak ölçeklenir, bu nedenle ek kaynaklar daha büyük istemci ortamlarını destekleyecektir.

ACSIA Client'ı (agent ile birlikte) aşağıdaki minimum özellikleri gerektirir:

Aracı her işletim sisteminde (VM'lerde bile) konuşlandırılabilir, ancak güncellenmiş sistemlerin kullanılmasını ve desteğimizin, saygın satıcıların resmi olarak desteklemediği işletim sistemleriyle sınırlı olabileceği şiddetle tavsiye ederiz.
Şu anda CPU, RAM ve Depolama için herhangi bir minimum gereksinimimiz yok çünkü aracılarımız donanım tüketimi açısından oldukça hafif. Kurulumu en az 2 GB boş alana sahip bir makinede gerçekleştirmenizi öneririz.
Her işletim sistemi ile çalışır (Çekirdeğe sahip Linux, 2.6 sürümünden sonra ve her Windows ve macOS sürümünden sonra)
ACSIA Sunucusuna ağ bağlantısı (aşağıda belirtildiği gibi)

3.1.2. Web UI Ağ bağlantı noktaları

ACSIA'nın Web Kullanıcı Arayüzüne erişmek için iş istasyonunuz (Dizüstü/Masaüstü/PC) ile ACSIA sunucusu arasında aşağıdaki bağlantı noktalarını açmanız gerekecektir:

Kaynak	Hedef	Protokol	Port	Not
ACSIA'yı yöneten herhangi bir bilgisayar	ACSIA Sunucusunun IP'si	TCP	443	HTTPS için kullanılır
ACSIA Sunucusunun IP'si	license.acsia.io	TCP	5150	Lisans Aktivasyonu

3.1.3. Agent yüklemesini kullanan ACSIA istemci-sunucu bağlantı noktaları

ACSIA aracısını istemcilere (sunucular veya iş istasyonları) dağıtmayı seçerseniz, aracının ACSIA sunucusuyla iletişim kurabilmesi için tek gereksinim 443 numaralı TCP bağlantı noktası (HTTPS) ve 444'tür (TCP/UDP). Bu portlar açık değilse, lütfen açık olduğundan emin olun.

Kaynak	Hedef	Protokol	Port	Not
ACSIA Agent ile herhangi bir ana bilgisayar	ACSIA Sunucusunun IP'si	TCP	443	Bağlantılar için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar	ACSIA Sunucusunun IP'si	TCP & UDP	444	Pulls için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar	wimi.xdrplus.com	TCP	443	IP'yi çekmek için kullanılır

3.1.4. ACSIA istemci-sunucu bağlantı noktaları aracısız dağıtım

ACSIA Server, istemcilerle aşağıdaki iletişim portları aracılığıyla iletişim kurar; bu nedenle, aracısız dağıtımı seçerseniz güvenlik duvarınızı aşağıdaki kuralları etkinleştirmeniz gerekir:

Kaynak	Hedef	Protokol	Port	Not
ACSIA Agent ile herhangi bir ana bilgisayar	ACSIA Sunucusunun IP'si	TCP	1515	Bağlantılar için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar	ACSIA Sunucusunun IP'si	UDP	1514	Bağlantılar için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar	ACSIA Sunucusunun IP'si	TCP	5044	Bağlantılar için kullanılır
ACSIA Sunucusunun IP'si	Herhangi bir Windows ana bilgisayarı	TCP	5986	İtme için kullanılır
ACSIA Sunucusunun IP'si	Herhangi bir Linux ana bilgisayarı	TCP	22	İtme için kullanılır

3.1.5. ACSIA Proxy yapılandırması - Yalnızca Proxy'niz varsa

Sunucularınızın internete çıkması için proxy ve sunucularınız (ACSIA VM ve izlenecek sunucunuz) varsa lütfen aşağıdaki yönergeleri uygulayınız.

3.1.5.1 Tüm Kullanıcılar için Kalıcı Proxy Ayarlama

Tüm kullanıcılar için kalıcı olarak proxy erişimi ayarlamak için /etc/environment dosyasını düzenlemeniz gerekir.

Adım 1 - İlk önce dosyayı bir metin düzenleyicide açın:

sudo nano /etc/environment

Adım 2 - Ardından, önceki senaryoda .bashrc dosyasına eklediğiniz bilgilerle dosyayı güncelleyin:

export HTTP_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export HTTPS_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export FTP_PROXY="[username]:[password]@ [proxy-web-or-IP-address]:[port-number]"
...
export NO_PROXY="localhost,127.0.0.1,::1"

Adım 3 - Dosyayı kaydedin ve çıkın. Değişiklikler, bir sonraki oturum açışınızda uygulanacaktır.

3.1.5.2 APT için Proxy Ayarlama

Bazı sistemlerde, apt komut satırı yardımcı programı, sistem ortamı değişkenlerini kullanmadığından ayrı bir proxy yapılandırması gerektirir.

Adım 1 - apt için proxy ayarlarını belirlemek için /etc/apt dizininde apt.conf adlı bir dosya oluşturun veya (zaten varsa) düzenleyin:

sudo nano /etc/apt/apt.conf

Adım 2 - Dosyaya aşağıdaki satırları ekleyin:

Acquire::http::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";
Acquire::https::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";

Adım 3 - Dosyayı kaydedin ve çıkın. Yapılandırma, yeniden başlatmanın ardından uygulanacaktır.

NO_PROXY seçeneği, yukarıda parametre olarak belirtilenlere ek olarak, izlenen cihazların (sunucularınız veya PC'lerinizin ağı) bulunduğu dahili ağlarınızı ve alt ağlarınızı eklemeniz gerekir. Aksi takdirde, ACSIA tarafından izlenecek servislere eklemeye çalıştığınızda, ACSIA ile bu ağlar arasında bağlantı sorunları yaşarsınız. Bunun nedeni, proxy'nin bu ağlara erişme olasılığının düşük olmasıdır.

Yukarıdaki değişkenleri etkileyen herhangi bir değişiklik, configureHttpProxy komutu ve ardından acsia_restart (bu, ACSIA kurulumu zaten tamamlandığında geçerlidir) aracılığıyla ACSIA'ya bildirilmelidir.

3.2. ACSIA Sunucu kurulumu

ACSIA sunucusunu barındırmak ve sistemin güncel olduğundan emin olmak için bir Linux VM hazırlayın (Ubuntu 20.04 şu anda desteklenmektedir, lütfen ACSIA için sürüm notlarını kontrol edin).

Tüm ön koşullarınız yerine getirildikten sonra ACSIA kurulumu başlayabilir. Kurulum gereksinimleri karşılanmazsa kurulum başarısız olur ve hangi ön koşulların karşılanmadığına dair bir açıklama size sunulur.

Geçerli bir ACSIA lisansına sahip müşteriler, acsia_prepare ana kurulum komut dosyasını indirmeleri için 4Securitas Destek ekibinden bir kurulum paketi ve lisans dahil kimlik bilgilerini içeren ek bir dosya alacaktır.

ACSIA Sunucu-istemci konfigürasyonunu kurmak için lütfen bu kılavuzda verilen talimatları kesinlikle takip edin.

3.2.1. ACSIA Sunucusunun Kurulumuna Başlarken

ACSIA sunucusu için yeni sağlanan sanal makinede oturum açın, root kullanıcıya geçin, size sağlanan acsia_prepare ve credentials.txt dosyasını kopyalayın.

acsia_prepare dosyasını aşağıdaki şekilde yürütün, komut dosyasının şu komutu kullanarak yürütülebilir olduğundan emin olun:

chmod +x acsia_prepare

ve ardından aşağıdaki gibi scripti çalıştırın:

./acsia_prepare

Ekranınızda verilen talimatları izleyin ve tamamlandığında aşağıdakileri uygulayın:

./acsia_app/bin/acsia_install

Yönergelere göre tüm ön gereksinimler karşılanırsa, ACSIA sunucusu yaklaşık ~5-6 dakika içinde tamamen kurulacaktır.

Herhangi bir sorun olması durumunda lütfen bu kılavuzdaki Sorun Giderme bölümüne bakın, Bilgi Tabanımızdaki gelişmiş sorun giderme kılavuzlarımıza bakın veya bu portaldan bir bilet oluşturarak destek ekibimizle iletişime geçin. Destek talep ederken lütfen mümkün olduğunca fazla bilgi sağlayın (ör. ekran görüntüleri, günlükler vb.); her ayrıntı, olayınızı daha hızlı gidermemize yardımcı olacaktır.

Yükleme işleminin sonunda, terminalinizde ilk yönetici kullanıcının web kullanıcı arayüzünde oturum açması için aşağıdakine benzer kimlik bilgilerine sahip olmalısınız:

ACSIA web and Dashboards
Admin interface: https://192.168.1.246:443
Username: admin@acsia.io
Password: kzuh21ybnsdy1=ui12b5!2iutRIf123kjojb

Sunucu kurulumu tamamlandığında, istemci kurulumu arka planda devam eder (ACSIA sunucusu izlenecek ilk istemci olur). Lütfen istemci yüklemesi tamamlandıktan sonra motorun başlatılmasını bekleyin.

Oluşturulan şifrelerin bir an önce yenileriyle değiştirilmesini ve uygun şekilde saklanmasını önemle tavsiye ederiz.

ACSIA çalıştırmasının başlatılması için ilerleme durumunu kontrol etmek için:

acsia_tail_f

acsia_tail_f: command not found hatasını alıyorsanız, bu doğru kullanıcıyı kullanmadığınız anlamına gelir, bu yüzden lütfen şunu çalıştırın:

sudo su - acsia

Bu, acsia'daki hesabınızı değiştirecek ve gerekli tüm komutları çalıştırmanıza izin verecektir.

İstemcinin kurulumu tamamlandıktan sonra acsia_tail_f içinde aşağıdaki mesajı görmelisiniz:

2022-07-10 15:52:21.254 INFO 29440 --- [main] com.forsecuritas.AcsiaLauncher : *************** SPRING APPLICATION RUNNING *************************

Yukarıdaki mesaj, motorun hazır ve çalışır durumda olduğunu gösterir. Artık sağlanan kimlik bilgileriyle web kullanıcı arayüzüne giriş yapabilir ve oturum açar açmaz ilk iş olarak lisansı etkinleştirebilirsiniz.

Kurulum tamamlandıktan sonra, tüm ortam değişkenlerinin yüklenebilmesi için, çalışan oturumdan çıkış yapmak ve tekrar oturum açmak için tüm ACSIA servis komutlarının hazır olması kesinlikle gereklidir.

4. ACSIA Servis Komutları

Yukarıda bahsedildiği gibi, başlatma/durdurma hizmetleri ve sorun giderme ipuçları dahil olmak üzere ACSIA'nın tüm hizmet komutları, $ACSIA_HOME içindeki /acsia_app/bin klasöründe bulunabilir.

Aşağıda sık kullanılan bazı servis komutları verilmiştir.

Tüm ACSIA hizmetlerinin çalışıp çalışmadığını kontrol edin:

acsia_stack_status

ACSIA tüm hizmetlerini başlatın:

acsia_stack_start

ACSIA'nın tüm hizmetlerini durdurun:

acsia_stack_stop

Yalnızca ACSIA motorunu çalıştırın:

acsia_start

4.1. Servis Komutlarının Tam Listesi

ACSIA'nın mevcut tüm hizmet komutlarını /home/acsia/acsia_app/bin adresinde bulabilirsiniz.

Tüm komutları açıklamalarıyla birlikte içeren tablo aşağıdadır:

Komut	Tanım
acsia_adapter_beanstalk.py	ACSIA için AWS Elasticbeanstalk adaptörü
acsia_adapter_ips.sh	AWS elasticbeanstalk için IPS bileşen adaptörü
acsia_admin_check_requirements.sh	ACSIA ön koşullarını kontrol edin
acsia_admin_docker_subnet	Docker alt ağını değiştir
acsia_admin_health.sh	ACSIA sağlık durumunu kontrol edin
acsia_admin_logs	ACSIA bileşen günlüklerini göster
acsia_admin_query	MySQL DB sorgusunu çalıştırın
acsia_admin_reset_password	Sıfırlamak için ACSIA kullanıcı kimlik bilgileri bağlantısını alın
acsia_admin_unlock_indices	ACSIA diski boş alan nedeniyle doymuşsa, dizinlerin kilidini açın
acsia_ban_script	IP adresini yasakla
acsia_beanstalk_ban	AWS Elasticbeanstalk aracılığıyla IP'yi yasaklayın
acsia_beanstalk_find_banned_ip_rule	AWS Elasticbeanstalk'ta yasaklı IP adreslerini listeleyin veya bulun
acsia_beanstalk_manage_service	AWS Elasticbeanstalk'ta ACSIA hizmetlerini ve yapılandırmasını yönetin
acsia_beanstalk_unban	AWS Elasticbeanstalk'ta IP adresi yasağını kaldırın
acsia_change_ip	ACSIA sunucusu IP adresini değiştir
acsia_deploy_ssl_certs	Alt etki alanı atanmışsa, ACSIA sunucusuna SSL/TLS sertifikası yükleyin
acsia_download	Kurulum için ACSIA paketini indirin (v4'te kullanımdan kaldırıldı)
acsia_elastic_restart	Elasticsearch'ü yeniden başlatın
acsia_elastic_start	Elasticsearch'ü başlat
acsia_elastic_status	Elasticsearch durumunu kontrol edin
acsia_elastic_stop	Elasticsearch'ü durdur
acsia_elastic_tail_f	Elasticsearch günlüklerini kontrol edin
acsia_export_logs	ACSIA günlüklerini dışa aktar
acsia_fix_kernel_inspector_wrong_version	Çekirdek uyumsuz sürümünü düzeltin
acsia_install	ACSIA'yı yükleyin
acsia_ip	ACSIA sunucusu IP adresini al
install_acm_app.sh	İstemci dağıtımları sırasında başarısız olduğunda ACM modülünü kurun
acsia_normal_ban	IP adresini yasakla
acsia_normal_manage_service	Hizmetleri yapılandırın ve yönetin
acsia_normal_unban	Bir IP adresinin yasağını kaldırma
acsia_reconfigure_acm	Belirli IP için ACSIA istemcisi için ACM modülünü yeniden yapılandırın
acsia_reconfigure_acm_all	Tüm bağlı istemciler için ACSIA için ACM modülünü yeniden yapılandırın
acsia_report	ACSIA için olay raporları oluşturun ve dışa aktarın
acsia_restart	Yalnızca ACSIA motorunu yeniden başlatın
acsia_set_private_ip	ACSIA sunucusuna özel bir IP adresi atayın
acsia_stack_restart	Motor dahil tüm bileşenlerle tüm yığınları yeniden başlatın
acsia_stack_start	Motor dahil tüm bileşenlerle tüm yığını başlatın
acsia_stack_status	Motor dahil tüm bileşenlerle birlikte tüm yığınların durumunu kontrol edin
acsia_stack_stop	Motor dahil tüm bileşenlerle tüm yığını durdurun
acsia_start_bg	ACSIA'yı arka planda başlatın
acsia_status	ACSIA durumunu göster
acsia_stop	Yalnızca ACSIA motorunu durdur
acsia_tail_f	Gerçek zamanlı ACSIA günlüklerini göster
acsia_unban_script	Bir IP adresinin yasağını kaldırma
acsia_uninstall	ACSIA'yı Kaldır
acsia_update	ACSIA'yı güncelle
acsia_insert_admin_user	Yeni bir ACSIA yönetici hesabı oluşturur
install_falco	Falco çekirdek modülünü yükleyin
kibana_default_index	Kibana varsayılan endekslerine sıfırla
kibana_import_saved_objects	Kaydedilmiş nesneleri içe aktarın, Kibana'da özelleştirme
mfa_acsia_install	2FA/MFA'yı aktifleştirin ve etkinleştirin
mfa_acsia_uninstall	2FA/MFA'yı devre dışı bırak
mfa_ssh_install	Sunucuda acsia kullanıcısı olarak SSH girişi için 2FA/MFA'yı etkinleştirin
mfa_ssh_qrcode	2FA/MFA için SSH QR kodu oluşturun veya gösterin
mfa_ssh_uninstall	SSH 2FA/MFA'yı devre dışı bırak
setInternalIP	ACSIA sunucusu için dahili IP ayarlayın
ssl_configuration	SSL/TLS'yi kontrol edin ve yapılandırın
winrm_remote	Windows istemcileri için Ansible WinRM'yi kontrol edin

ACSIA XDR Plus ürünü, birden fazla açık kaynaklı araçla oluşturulmuş modüler bir tasarımdır. Her bileşen için birkaç hizmet komut dosyasına nadiren ihtiyaç duyulacaktır (bazı sorunlarla karşılaşmadığınız sürece). Yukarıda gösterilen hizmet komut dosyaları, ACSIA'da bazı sorun giderme işlemleri gerçekleştirmesi gereken çoğunuz için yeterli olacaktır.

5. ACSIA'nın E-posta Göndermesini Yapılandırma ve Etkinleştirme

ACSIA'nın yönetici hesabı kurulumu için e-posta da dahil olmak üzere e-posta bildirimleri gönderebilmesi için, posta sunucunuzla iletişim kurabilmesi gerekir. Bunu yapmak için, ACSIA sunucusundan gelen e-postaların posta sunucunuzda beyaz listede olması ve spam filtreleri (varsa) vb.

ACSIA sunucusundan gelen e-postaları beyaz listeye almazsanız, muhtemelen geri dönecekler veya bir spam klasörüne yerleştirilecekler (bunun nedeni, e-postanın gerçek bir e-posta hesabından değil bir sunucudan gelmesidir), bu nedenle e-posta almayın, aşağıdaki yönergeleri deneyin veya bu kılavuzun sorun giderme bölümüne bakın.

Kullanıcılar hesap oluşturma e-postalarını alma konusunda sorun yaşıyorsa yönetici, kimlik bilgilerini sıfırlamalarını sağlamak üzere bağlantıyı almak üzere acsia_admin_reset_password komutunu çalıştırabilir.

5.1. Gönderen olarak gerçek bir e-posta hesabı ayarlayın ve yapılandırın

Orijinal bir e-posta hesabı (yani iş e-postası, özel Gmail, Yahoo, vb.) kullanmak ve posta yoluyla bildirimleri almak için gönderen olarak ayarlamak (bu, ACSIA'dan gelen e-posta bildirimlerinin geri dönmesini veya spam filtrelerine yerleştirilmesini önler) sorunsuz bir şekilde mümkündür.

ACSIA'da bir e-posta hesabı ayarlamak ve yapılandırmak için Settings→Email bölümüne gidin ve e-posta hesabı ayrıntılarınızı ekleyin.

6. ACSIA Web Uygulaması için SSL sertifikasının yapılandırılması

Varsayılan olarak ACSIA, güvenli tarama için kendinden imzalı SSL sertifikaları oluşturur. Kendinden imzalı sertifikalar, ACSIA IP adresleri (varsa harici veya yerel) kullanılarak yapılandırılır. ACSIA'yı uygun bir CA ile yapılandırmak ve kendi SSL sertifikanıza sahip olmak istiyorsanız, bunu ACSIA'nın kurulumu sırasında veya daha sonraki bir aşamada yapabilirsiniz. ACSIA, sertifikanın ve anahtarın iki dosyada sağlanmasını gerektirir - özel anahtar ve genel sertifika (her ikisi de .pem biçiminde olmalıdır).

Sertifikayı kurulum sırasında dağıtın: ACSIA'yı kurarken, acsia_install'ı kullanarak komut dosyası aşağıdaki gibi ek komut satırı parametrelerini ekler: --certificate /path/to/cert.pem, --key /path/to/key.pem ve --domain my.domain.com. Üçünün de mevcut olması gerekir, aksi takdirde yükleyici bir hatayla çıkacaktır.
Yükleme sonrası dağıtım: acsia_deploy_ssl_certs adlı yeni bir komut dosyası sağlanmıştır ve önceki adımla aynı parametreleri kabul eder --certificate, --key ve --domain. Bunlar dağıtıldıktan sonra, yeni eklenen bu sertifikaları almak için tüm bileşenler için acsia_stack_restart'ı çalıştırmanız gerekir.

SSL sertifikası almak istemiyorsanız Certbot ile Let's Encrypt'i kullanabilirsiniz; ancak bu talimatlar bu kılavuzda sağlanmamıştır, bu nedenle ilgili web sitelerini kontrol etmenizi öneririz.

6.1. Amazon AWS Elastic Beanstalk Entegrasyonu

ACSIA, Elastic Beanstalk içinde çalışan uygulamaları izlemek için AWS Elastic Beanstalk Entegrasyonu özelliğiyle birlikte gelir.

Elasticbeanstalk üzerinde çalışan uygulamalarınız varsa ve ACSIA'nın bunları izlemesini ve korumasını istiyorsanız, terminalde şu komutu çalıştırın: acsia_adapter_beanstalk.py

AWS ortamınızdan aşağıdaki bilgileri sağlamanız istenecektir:

AWS Erişim Anahtarı Kimliği (IAM Kullanıcısı)
AWS Gizli Erişim Anahtarı (IAM Kullanıcı sırrı)
Varsayılan bölge adı (Beanstalk'ın bulunduğu bölge)
Varsayılan çıktı formatı: (JSON veya text olabilir, ancak JSON tercih edilir)
ACL (Beanstalk VPC'de ağ erişim kontrol listesi kimliği)

Yukarıdaki dağıtımdan sonra size bir IP adresi (dahili/özel IP) verilecektir. IP adresi daha sonra şu komut çalıştırılarak alınabilir: acsia_adapter_ip.sh.

ACSIA Web UI Konsolunda oturum açın ve daha önce verilen IP adresini kullanarak Linux ana bilgisayarını ekleyin (Getting Started->Start->Linux).

Lütfen dağıtımın bazı uyarılar ve kısmi yapılandırma ile sona erebileceğini unutmayın. Panik yapma; bu uyarılar ciddi olmayabilir ve izleme genellikle çalışır.

Elasticbeanstalk uygulama başlangıç paketinize (Kickstarter paketi) sağlanan acsia.config dosyasını eklediğinizden emin olun.

Yukarıdaki tüm adımları tamamladıktan sonra, ACSIA sunucusunda yeni bir terminale giriş yapın ve acsia_restart komutunu çalıştırarak ACSIA'yı yeniden başlatın. Bu, ACSIA'nın tüm değişiklikleri ve yapılandırma dosyalarını aldığından emin olmak içindir.

7. ACSIA'nın Güncellenmesi

ACSIA'yı güncellemek oldukça kolay ve basittir.

Güncellemek için tek yapmanız gereken terminalde acsia kullanıcısı olarak aşağıdaki komutu çalıştırmak:

acsia_update

Güncellemeleri almak için ACSIA kullanıcı adınıza ve şifrelerinize ihtiyacınız olacak. Bu kimlik bilgileri genellikle lisans talimatlarınızı aldığınız aynı e-postada sağlanır.

Web UI güncelleme özelliğini kullanmak yerine ACSIA güncellemelerini terminalden gerçekleştirmenizi öneririz. Bu, daha ayrıntılı hata kodu bilgileriyle işlemin daha fazla netlik ve kontrolünü sağlar. ACSIA'nın ana sürümleri genellikle temel araç yükseltmelerini içerecektir. Bu nedenle, bu yükseltmeleri gerçekleştirirken tam yığın durdurma ve başlatma öneririz. Bunu şu komutu çalıştırarak yapabilirsiniz: acsia_stack_stop && acsia_stack_start

8. Lisans Aktivasyonu

Kurulumu tamamladıktan sonra, bir web tarayıcısı üzerinden ACSIA uygulamasına erişebilmelisiniz. İlk eylem, lisansı etkinleştirmektir.

Lisansı etkinleştirmezseniz, uygulama minimum kapasitede çalışacağı veya hiç çalışmayacağı için hiçbir şey yapamazsınız. Lisansı etkinleştirmek için, sağlanan license code'nu kopyalayın ve menüden Settings'ı tıklayarak (e-posta adresiniz veya adınızdır) kullanıcı menüsüne (sağ üstte) gidin ve ardından License'ı seçip ekleyebileceğiniz/ lisansı etkinleştirin.

Lisans, https://support.4securitas.com destek portalımızdaki bilet formu aracılığıyla talep edilebilir veya erişimde sorun yaşıyorsanız support@acsia.io adresinden e-posta yoluyla desteğe başvurun.

9. ACSIA'da Kullanılan Kimlik Doğrulama Yöntemleri

ACSIA, entegre çoklu kimlik doğrulama mekanizmalarıyla birlikte gelir.

ACSIA, kullanıcı adı ve parola ve çok faktörlü kimlik doğrulama (aka 2FA) gibi geleneksel kimlik doğrulama yöntemlerine sahiptir.

9.1. İki Faktörlü Kimlik Doğrulama

ACSIA, daha iyi güvenlik için kurulum sırasında ve sonrasında uygulanabilen bir 2FA yöntemi sunar. İki Faktörlü Kimlik Doğrulama (2FA), SSH ve ACSIA Web UI oturum açma işlemleri için kullanılabilir.

2FA, Web kullanıcı arayüzünden Settings→2FA'ya gidilerek tüm kullanıcılar için etkinleştirilebilir.

Yukarıdaki resimden de görebileceğiniz gibi, giriş sayfasının yüklenme süresi bir dakika kadar sürebilir, bu nedenle lütfen bekleyin ve sayfayı yenilemeyin.

9.2. Komut satırından SSH için 2FA'yı etkinleştirme

SSH girişleri için acsia kullanıcısına 2FA uygulamak istiyorsanız, bunu kurulum istemleri sırasında yapabilirsiniz. 2FA özellikleri, sırasıyla mfa_ssh_install ve mfa_ssh_uninstall komutları aracılığıyla herhangi bir zamanda etkinleştirilebilir veya devre dışı bırakılabilir. Etkinleştirildiğinde, acsia sistem kullanıcısının oluşturulan bir Zamana Dayalı Tek Kullanımlık Şifre (TOTP) gizli anahtarı olacaktır. Google Authenticator veya FreeOTP gibi 2FA belirteç işleyici araçlarını kullanmanızı öneririz. Bu özellik etkinleştirilirse, kurulum sırasında ekrana bir QR kodu yazdırılır.

Bu etkinleştirildiğinde, oturum kimlik doğrulaması için yalnızca anahtar tabanlı kimlik doğrulama (ssh-key) kullanılabilir. Parola + 2FA, istenmeyen yan etkilere neden olduğundan desteklenmez.

Yükleme tamamlandıktan sonra veya mfa_ssh_qrcode yürütülürken QR kodu terminalde görüntülenecektir ve tercih ettiğiniz 2FA belirteç işleyicisiyle taranabilir.

9.3. ACSIA Web UI Login için 2FA'yı komut satırından etkinleştirme

SSH 2FA isteğe bağlı olarak etkinleştirilebilir veya devre dışı bırakılabilse de, özellikle ACSIA kullanıcıları UI'ye internetten erişiyorsa, UI için 2FA'nın etkinleştirilmesini şiddetle öneririz. WebApp girişi için 2FA etkinleştirilirse, tüm kullanıcılara bir QR kodu verilir (ör. kullanıcı adı ve parola gibi geleneksel erişim kimlik bilgileriyle.

9.4. OpenDashboard'a Erişim ve Kimlik Doğrulama

OpenSearch görselleştiricisi OpenDashboard, ACSIA yığınının bir parçasıdır. OpenDashboard uygulamalarına ve gösterge tablolarına erişmek için parola kullanıcısı ve kimlik doğrulama etkinleştirilir. Kullanıcılar, Gösterge Tablolarını görüntülemeye çalıştıklarında ACSIA kullanıcı adlarını/şifrelerini göstermelidir. Kullanıcı adı ve parola, ACSIA Web UI oturum açma kimlik bilgilerinden otomatik olarak oluşturulur.

10. Sunucularınızı ACSIA'ya Bağlanmaya Hazırlama

ACSIA hem Linux, Windows hem de MAC OS işletim sistemlerini destekler.

10.1. Ön Gereklilikler

ACSIA Agent (aracısız mod) kullanmadan sistemlerinizi izlemeyi düşünüyorsanız, yönetici ayrıcalıklarına sahip bir hizmet kullanıcı hesabı gibi bazı ön gereksinimler vardır. Bu hizmet kullanıcısı bir yerel yönetici hesabı, bir Etki Alanı Denetleyicisi (Windows sistemleri için) veya bir LDAP hesabı (Linux sistemleri için) olabilir. Aracı modunu seçiyorsanız, aracıyı uç noktada çalıştırmak yeterli olacaktır.

BT altyapınız Google Cloud'da (Metadata Page) barındırılıyorsa, projenize Google konsolundan ACSIA ssh anahtarları ekleyerek aşağıdaki adımları atlayabilirsiniz. AWS, OpsWorks aracılığıyla yapılabilecek benzer bir kuruluma sahiptir.

10.2. Bir Linux İstemcisini Bağlama

10.2.1. Gereksinimler

Kernel 2.6 veya üstü
Python 2.7 veya üstü
Sudo ayrıcalıklarına sahip ve şifresiz kullanıcı hesabı acsia (yalnızca aracısız için)

10.2.2. ACSIA'yı bir aracı aracılığıyla dağıtma

Client Agent'ı yüklemeyi seçtiğiniz tüm Linux, Windows ve MAC OS istemcileri için tek yapmanız gereken ACSIA Web UI Hosts→Add Host'ta gezinmek, işletim sistemini, yani Linux, Windows veya MAC'i seçmek ve Use The Agent'yi seçmektir.

Aracıların tek bir istemci için indirilebileceğini lütfen unutmayın; bu, kullanıcı arabiriminden indirilen aynı aracının ikinci bir ana bilgisayar için kullanılamayacağı anlamına gelir. Her ana bilgisayar için yeni bir aracı indirmeniz gerekir çünkü her aracının kendi belirteci vardır (bu güvenlik nedeniyledir). Birden fazla istemci için bir aracı indirmek istiyorsanız, istemci sayısını seçebileceğiniz Bulk Agent Deployment kullanabilirsiniz, tek aracıyı dağıtmak istersiniz.

İndirilen aracıyı kurulum için istemci cihaza kopyalayın ve PowerShell kullanarak Linux/MAC'de root ve Windows'ta Administrator olarak çalıştırın. Linux/MAC aracısına yürütme izni eklediğinizden emin olun.

Aracıyı istemcilerinize yükledikten sonra tüm ön koşullar yerine getirildiyse, İstemcilerin Hosts bölümünde ACSIA kullanıcı arayüzünde otomatik olarak listelendiğini (doldurulduğunu) görürsünüz.

ACSIA sunucusuna bir API aracılığıyla bağlanan istemci aracıları, kullanıcı oluşturma gereksinimleri veya güvenlik duvarında açılacak birden çok bağlantı noktası yoktur (tüm bağlantı noktaları, 443 (TCP) ve 444 (UDP/TCP) olmak üzere 2 bağlantı noktasında birleştirilir. ajanı seçerken gereksinimler).

UI'den indirilen ACSIA aracılarının süresi yedi gün sonra sona eren jetonlara sahiptir ve her indirme tek bir cihaz için geçerlidir (yani her cihaz için yeni bir aracı indirmeniz veya tek bir indirme kullanmak istiyorsanız toplu aracı yükleme seçeneğini seçmeniz gerekir). birden fazla cihaz için). Size sağlanan aracı çalışmıyorsa, lütfen yeni bir aracı oluşturmanızı sağlayın, çünkü bu büyük olasılıkla bir belirteç süre sonu sorunudur.

10.2.3. ACSIA'yı Linux sistemlerinde aracısız modda dağıtma

ACSIA'yı bir aracı olmadan istemcilerinize dağıtmak istiyorsanız, dağıtıma bağlı olarak aşağıdaki adımlar önerilir:

CentOS / RHEL Linux için

CentOS veya RHEL sistemlerinde ACSIA Hizmet Kullanıcısı oluşturma

useradd -m -d /home/acsia -c "ACSIA Service User" -G wheel acsia

Yukarıdaki komutta bir acsia kullanıcısı oluşturuyoruz, bir giriş dizini sağlıyoruz, bir adla etiketliyoruz ve onu "tekerlek" yönetim grubuna atayacağız.

Ardından, /etc/sudoers dosyasını düzenleyerek ve aşağıdaki dizeden # yorumunu kaldırarak yapılan Sudo passwordless permissions etkinleştirin:

%wheel ALL=(ALL:ALL) NOPASSWD:ALL

Debian / Ubuntu Linux için

Debian veya Ubuntu sistemlerinde ACSIA Hizmet Kullanıcısı oluşturma

useradd -m -d /home/acsia -s /bin/bash -G sudo acsia

Ardından /etc/sudoers'ı kontrol edin ve aşağıdaki dizeyi # kaldırın (yoksa ekleyin):

%sudo ALL=(ALL:ALL) NOPASSWD:ALL

10.2.4. SSH Anahtarı

Linux sunucularınızda hizmet kullanıcısı oluşturma işlemi tamamlandıktan sonraki adım, ACSIA Web UI'den ssh-anahtarını almaktır. Anahtarı almak için Hosts→Add Host'ye gidin, Linux'u seçin; ssh anahtarını görebilir/kopyalayabilirsiniz.

SSH anahtarını kopyalayın/dışa aktarın ve .ssh ve authorized_keys dosya izinleriyle ilgili adımlara dikkat ederek, daha önce Kullanıcı tarafından oluşturulan (her sunucuda) ACSIA Hizmetine içe aktarın.

Bunu yapmanın tipik bir yolu (acsia kullanıcısı olarak):

echo "paste here the key" > .ssh/authorized_keys
  
  chmod 700 .ssh && chmod 600 .ssh/authorized_keys

Bu ACSIA hizmeti kullanıcısı 2 farklı amaç için kullanılır:

Elastik yığın göndericileri (filebeat, auditbeat, packagebeat), ossec/wazuh aracısı ve falco çekirdek modülünü dağıtmak için.
ACSIA'yı etkinleştirmek için tehditleri ve saldırıları yerinde otomatik olarak yasaklayın ve kullanıcı tarafından gerçekleştirilen düzeltme seçeneklerini uygulayın.

Yukarıdaki her iki adım, ACSIA sunucusundan istemcilere otomatik olarak gönderilen Ansible playbook'ları aracılığıyla gerçekleştirilir (bu, her bir istemcide kurulumu manuel olarak tamamlama gereksinimini ortadan kaldırır).

Bahsettiğimiz ssh anahtarı, kurulum sırasında ACSIA tarafından rastgele oluşturulan 4096 bittir. Bu anahtar, kendi anahtarlarınızla değiştirilebilir, yeni bir tane oluşturabilir veya başka herhangi bir anahtar çiftiyle (örneğin, AWS EC2 keypair.pem) değiştirebilirsiniz. Tamamen kullanıcının insiyatifindedir.

10.3. Aracısız bir Windows İstemcisini Bağlama

Windows sunucularını aracısız modda yönetmek için WinRM'nin yüklenmiş, Windows sunucularında çalışıyor ve dinliyor olması gerekir. Aşağıdaki talimatlar, Ansible tarafından sağlanan örneklerdir.

10.3.1. Gereksinimler

PowerShell 4.0+
Windows Server 2008 SP1+ (yada Windows 7 SP1)
Yerel veya etki alanı acsia, yönetici ayrıcalıklarına veya eşdeğerine sahip bir hesap
WinRM hizmeti etkin ve çalışıyor

10.3.2. Etki Alanı Denetleyicisi (Domain Controller) - Active Directory (Ajansız)

Windows sistemleriniz AD/DC'nin bir parçasıysa, ACSIA'nın Etki Alanı Denetleyicileri için bir entegrasyon özelliği vardır. Tek yapmanız gereken, birincil DC'de aşağıdaki PowerShell betiğini çalıştırmaktır:

ForEach ($COMPUTER in (Get-ADComputer -Filter '*' | Select -ExpandProperty DNSHostName))
{
  if(!(Test-Connection -Cn $computer -BufferSize 16 -Count 1 -ea 0 -quiet))
    {
        write-host "cannot reach $computer" -f red
    }else {
        write-host "executing script on $computer" -f green Invoke-Command -ComputerName $computer -ScriptBlock {
            [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
            $url = "https://raw.githubusercontent.com/ansible/ansible/devel/examples/scripts/ConfigureRemotingForAnsible.ps1"
            $file = "$env:temp\ConfigureRemotingForAnsible.ps1"
            (New-Object -TypeName System.Net.WebClient).DownloadFile($url, $file)
            powershell.exe -ExecutionPolicy ByPass -File $file
        }
    }
}

Yukarıdaki komut dosyasını yürütürken, DC istemcilerinden bazılarına DNS adıyla erişilemediğini fark ederseniz, DNSHostName'i Name ile değiştirmeniz yeterlidir.

Yukarıdaki komut dosyası başarıyla yürütüldüğünde, ACSIA UI Getting Started gidin ve Etki Alanı Denetleyicisinin keşif adımı sırasında alan denetleyicinizi ekleyin, Add all "yourdomain.local servers" bir seçenek görünür.

acsia.local'ın alan denetleyicinizin FQDN'si olduğu aşağıdaki ekran görüntüsüne benzer bir şey:

Bu, Etki Alanı Denetleyicinizdeki tüm kayıtlı istemcileri yoklayacak ve bunları bir kerede dağıtılmak/izlenmek üzere ACSIA UI'sine yerleştirecektir.

lütfen alan denetleyicinizi username@fqdn, ör. user1@acsia.io biçiminde girdiğinizden emin olun

10.3.3. Windows İstemcisi AD/DC'ye Bağlı Değil (Ajansız)

Windows sunucularınız herhangi bir Etki Alanı Denetleyicisine bağlı değilse, Ansible için kullanılan winRM hizmetini etkinleştirmek için Windows istemcilerinde aşağıdaki komut dosyasının yürütülmesi gerekir.

WinRM yapılandırma komut dosyası

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$url = "https://raw.githubusercontent.com/ansible/ansible/devel/examples/scripts/ConfigureRemotingForAnsible.ps1"
$file = "$env:TEMP\ConfigureRemotingForAnsible.ps1"
(New-Object -TypeName System.Net.WebClient).DownloadFile($url, $file)
powershell.exe -ExecutionPolicy ByPass -File $file

lütfen kopyala/yapıştır işlemi sırasında URL'nin bölünmediğinden emin olun.

10.3.4. PC'leri ve İş İstasyonlarını ACSIA'ya Bağlama (Ajansız)

PC'ler ve İş İstasyonları, yukarıdaki talimatlar izlenerek ACSIA tarafından da bağlanabilir ve izlenebilir. Lütfen yerel yönlendiricilerin arkasındaki uç noktaların (PC'ler ve İş İstasyonları gibi) ACSIA'ya bağlanması amaçlanan uç nokta için bağlantı noktası 5986'da NATting'in etkinleştirilmesini gerektireceğini unutmayın (Bunun gibi senaryolar için aracı aracılığıyla yükleme önerilir)

Sürüm <4 ise lütfen Powershell sürümünüzü yükseltin ve Windows güvenlik duvarının etkin olduğundan emin olun.

10.4. ACSIA Web UI aracılığıyla Ana Bilgisayar Ekleme (yalnızca aracısız mod)

ACSIA Web Kullanıcı Arayüzü'ne giriş yapın ve Hosts sayfasındaki sol kenar çubuğundaki menüden Add Host'yi tıklayın. Bağlanmak istediğiniz istemcinin işletim sistemini seçin ve bir CSV dosyası kullanarak (aşağıda daha iyi açıklanmıştır) veya aracı aracılığıyla (aracıyı indirerek) IP veya Ana Bilgisayar Adı temelinde ana bilgisayar ekleyebileceğiniz sonraki pencereye yönlendirileceksiniz. ). Ana bilgisayar adı da dahil olmak üzere ana bilgisayarların kalan ayrıntıları ACSIA tarafından otomatik olarak alınıp yerleştirileceğinden, sunucunuzu eklemek için IP adreslerini kullanmak en iyi uygulamadır.

Hosts Setup'nu tamamladıktan sonraki adım, özel web sunucunuzu veya web uygulaması günlüklerinizi ekleyebileceğiniz Logs Configuration ekranıdır (her zaman günlüklerin mutlak yolunu kullanın). Bir sonraki adım, girilen günlüklerin doğrulanmasıdır, eğer mevcut değilse, bir hata veya yazım hatası olup olmadığını düzeltebilmeniz veya kaldırabilmeniz için bu vurgulanacaktır.

yollar, günlük dosyalarının kendilerine olmalıdır; dosyalara symlinks desteklenmez.

Örneğin, Nginx Web Sunucusunda (Apache ile aynı şekilde) çalışan bir web uygulamanız varsa, istemci dağıtımı sırasında Nginx günlüklerinizi manuel olarak eklemeniz gerekir (daha sonra düzenleme seçeneği kullanılarak yapılabilir), vs /var/log/nginx/access.log

Web uygulaması günlükleri tipik olarak ACSIA tarafından otomatik olarak algılanır. Ancak herhangi bir nedenle algılanmazlarsa, önerilen işlem, ana bilgisayarların listelendiği (Hosts sayfasında) Edit Host Details'yi kullanarak bunları manuel olarak eklemektir.

Tüm günlük dosyalarının yapılandırması tamamlandıktan sonra, her şeyi girdiğinizden emin olmak için bir sonraki ekranda bir Summary gösterilir ve ardından ACSIA'yı gerçekten dağıtmaya ve sunucularınıza bağlanmaya başladığınız yere Deploy gelir. Bu birkaç dakika sürecektir (istemciler ve sunucu arasındaki ağ bağlantınıza bağlı olarak) ve sonunda kayıt prosedürünün tamamlandığını bildiren bir diyalog mesajı gösterilecektir.

10.4.1. CSV Dosya biçimi

ACSIA, yalnızca CSV dosyasını içe aktarabileceğiniz tüm sunucu ayrıntılarınızın ayrıntılarını içeren bir CSV dosyası kullanma seçeneği sunar.

Aşağıdaki ekran görüntüsü, ACSIA için CSV dosyasının biçimini sağlar:

Tek bir ana makine için birden fazla günlüğünüz varsa, her günlüğü noktalı virgülle ; ayırabilirsiniz.

Bir istemcinin dağıtımı tamamlandığında, sunucularınız güvenlik sorunları, tehditler ve anormallikler için gerçek zamanlı olarak sürekli izlenecek şekilde ayarlanır.

10.4.2. Konteyner yapılarına özel ayrıntılar

ACSIA kapsayıcı farkındadır ve kaplar içindeki çekirdek olaylarını otomatik olarak izler. Ancak, kapsayıcılarda uygulama/web sunucuları çalıştırıyorsanız ve bu günlüklerin izlenmesini istiyorsanız, bunların ana bilgisayar tarafından kullanılabilir hale getirilmesi gerekir. ACSIA, günlük dosyalarına yönelik sembolik bağlantıları desteklemez - verilen günlük dosyasının tam yolu olmalıdır.

Linux kapsayıcı günlükleri, docker seçenekleri --volume veya --mount kullanılarak ACSIA'ya sunulabilir. Resmi liman işçisi belgelerine göre burada veya burada docker-compose kullanıyorsanız burada.

11. Kullanıcı Yönetimi

Kullanıcı yönetimi bölümü, giriş yaptığınız kullanıcı adına ve ardından Settings'a tıklayarak sağ üstteki çubukta bulunabilir.

11.1. ACSIA Web UI'ye Yeni Kullanıcı Ekleme

Kullanıcı eklemek hiç bu kadar kolay olmamıştı. Sağ üst çubuktaki username tıklamanız ve menüden Settings'ı seçmeniz yeterlidir.

Ardından "ADD USER" ye tıklayın ve tüm alanları doldurun, ayrıca bu Bölümde Kullanıcıları Silebilir veya Düzenleyebilirsiniz. Lütfen gerçek kullanıcı adının bir e-posta adresi olması gerektiğini unutmayın.

11.2. Dağıtım listesi (Distribution Lists)

ACSIA, her gruba üye ekleyebileceğiniz ve her bir dağıtım listesine gönderilecek bildirim türlerini ayarlayabileceğiniz dağıtım listeleri oluşturmanıza olanak tanır. Örneğin, yalnızca Critical veya High veya Medium/Low öncelikli güvenlik uyarılarını almak için bir dağıtım listesi ayarlayabilirsiniz. C Düzeyi yönetiminiz, Critical olaylar dışında uyarı almak istemeyebilir ve bu nedenle bu gereksinimi karşılamak için bir dağıtım listesi oluşturulabilir.

Sol kenar çubuğu menüsünde Distribution List'ni bulacaksınız. Yeni bir dağıtım listesi oluşturmak için "ADD NEW LIST"yi tıklamanız yeterlidir.

gif dist.gif

Oluşturulan Distribution List'ne bir ad verin ve grubun almasını istediğiniz etkinlik türünü (Kritik, Yüksek veya Orta/Düşük) seçerek üyeleri listeye ekleyerek seçin.

Artık dağıtım listesi aracılığıyla bildirim almaya hazırsınız.

11.3. Email Ayarları

E-posta ayarları, e-postalar aracılığıyla ACSIA sunucu tarafı bildirimleriyle ilgilidir. Bu ayar, Settings menüsü Email sekmesinin sağ üst köşesinde bulunabilir.

Burada gönderen e-postasını ve adını ayarlayabilirsiniz. Örneğin, kuruluşunuzun alan adı example.com ise, e-postayı no-reply@example.com olarak ve adı da Acsia Alerts ve beyaz liste olarak ayarlayabilirsiniz.

Bunu ayarlar kurmaz, kuruluma göre bildirim e-postaları almaya başlayacaksınız.

E-posta alma konusunda sorun yaşıyorsanız, önerilen eylem gerçek bir gerçek e-posta hesabı oluşturmak ve yapılandırmaktır. E-posta bildirimi altında, basit bir e-posta ve etiket ayarlamak yerine, SMTP'yi ve aşağıdaki bilgileri doldurabileceğiniz Kimlik Doğrulama yöntemlerini etkinleştirebilirsiniz. gönderen olarak kullanmak istediğiniz e-postanın ayrıntıları.

11.4. Slack ve/veya Microsoft Teams aracılığıyla bildirim alma

E-posta bildirimine benzer şekilde, Slack ve/veya Microsoft Teams aracılığıyla alınacak bildirimleri de etkinleştirebilirsiniz. Bunu, istediğiniz web kancasını (Microsoft Teams veya Slack) kopyalayabileceğiniz entegrasyon altındaki Settings bölümünde etkinleştirebilir ve gerçek zamanlı mesajlaşma yoluyla bildirim almak için etkinleştirebilirsiniz.

11.4.1. Slack kurulum talimatları (Microsoft Teams ile hemen hemen aynıdır)

Slack'inize gelen webhook'nı yükleyin

Uygulamalara Git
Uygulama dizinini Görüntüle'ye gidin
Gelen incoming-webhook arayın
Yapılandırma Ekle'ye gidin
Kanala Gönder'de: bildirimin gönderileceği kanalı/grubu seçin
Gelen WebHooks Entegrasyonunu Ekle'ye tıklayın
Adı Özelleştir'e gidin: Ad ekleyin, ör. ACSIA Notifier
WebHook URL'sini kopyalayın

ACSIA kullanıcı arayüzünde yapılandırın

Web kullanıcı arayüzüne erişim
Ayarlar -> Entegrasyon'a gidin
Slack veya Microsoft Teams'i etkinleştirin
Kopyalanan URL'yi yapıştırın

11.5. Çekirdek Seviyesi Bildirimleri

Çekirdek düzeyinde izleme etkinleştirildiğinde, ACSIA, çekirdeğe yapılan her sistem çağrısının akışını, sistem çağrılarını yakalayarak ve gerçek zamanlı olarak anormallikleri/tehditleri arayarak engelleme yeteneğine sahiptir (bu yalnızca Linux sistemleri içindir).

Çekirdek düzeyinde bildirim almak istiyorsanız, bu özelliği etkin tutmanız önerilir. Bunu yapmak isteyenler için Setting'a gidip Notification sekmesini tıklayarak istedikleri zaman devre dışı bırakılabilir.

11.6. Otomatik Yasaklamayı Etkinleştirme

ACSIA'nın kuruluşunuzun dışından kaynaklanan tehditlerin çoğunu (yani BotNet, Bruteforce, Sözlük, SQL enjeksiyonları, XSS saldırıları vb. İnternet kaynaklı saldırılar) ele almasını istiyorsanız, bu özelliğin etkinleştirilmesi gerekir.

Etkinleştirilirse, ACSIA, yerinde IP adreslerinin yasaklanması gibi düzeltme eylemlerini otomatik olarak gerçekleştirir. Settings alanında gezinerek ve Notification sekmesini tıklayarak Automatic Ban'yı etkinleştirebilirsiniz.

11.7. Yerel/Özel (Local/Private) IP Adresleri için Manuel Yasaklamayı Etkinleştirme

ACSIA varsayılan olarak yerel IP adreslerini yasaklayamaz, bu, işi etkileyecek herhangi bir iş kesintisini veya benzer olayları önlemek içindir. Ancak, yerel IP adreslerini yasaklamak istiyorsanız, bunu Settings→Notification sekmesi altında bu özelliği etkinleştirerek yapabilirsiniz.

11.8. Günlük Tutma (Log Retention)

ACSIA, sunuculardan gelen tüm günlükleri OpenSearch ve MySQL veritabanları arasında saklar. Günlüklerin ömrü (saklama süresi), Settings'a gidip Günlük Tutma sekmesi tıklanarak yapılandırılabilir. ACSIA, kullanıcıların farklı günlük türleri (aşağıda listelenmiştir) için farklı saklama süreleri ayarlamasına olanak tanır:

11.8.1. Erişim Günlükleri (Access Logs)

Bu günlükler, tüm sistem günlüklerini ve olay günlüklerini içerir.

11.8.2. Web Günlükleri (Web Logs)

Web günlükleri, web uygulamaları günlükleridir (apache, Nginx, tomcat, IIS, vb.)

11.8.3. Denetim Günlükleri (Audit Logs)

Bunlar çok yaygın olarak bilinen Linux denetim günlükleridir.

11.8.4. Ağ Günlüğü (Network Log)

Bu günlükler, sunucu düzeyinde (gelen ve giden) yakalanan ağ trafiğidir.

11.8.5. ACM Günlükleri (ACM Logs)

ACM, Gelişmiş Uyumluluk Azaltma anlamına gelir ve bu nedenle bunlar uyumlulukla ilgili günlüklerdir (sistem, uygulama, güvenlik olayları vb.)

12. Ana Gösterge Tablosu (Main Dashboard)

ACSIA XDR Plus, v5.0'dan itibaren artık yeni arayüzünde bir Ana Gösterge Tablosuna (Main Dashborad) sahiptir. Bu gösterge panosunda veriler sayısal, grafiksel ve haritalama görselleri ile aktif olarak incelenebilir. İlk bakışta son 10 güne ilişkin veriler sunulmaktadır. Sol üst köşedeki filtreleme aracı ile bu verileri belirli bir zaman dilimine göre filtreleyebilirsiniz.

Genel olarak, gösterge tablosunda aşağıdaki sayısal veriler gösterilir;

Kritik Uyarı (Critical Alert)
Yüksek Uyarı (High Alert)
Orta Uyarı (Medium Alert)
Düşük Uyarı (Low Alert)
Engellenen Saldırı (Attack Blocked)
Kötü IP Engellendi (Bad IP Blocked)

Grafiksel olarak görüntülenen veriler;

Saldırı Trendleri Çizgi Grafiği (Attack Trends Line Graph)
En İyi 10 Suçlu Set Grafiği (Top 10 Offenders Set Graph)
Engellenen ana bilgisayarlar (Prisma) Set Grafiği (Blocked hosts (Prisma) Set Graph)
Kategoriye göre saldırı Set Grafiği (Attack by category Set Graph)
En çok saldırıya uğrayan 10 host Sütun Grafik (Top 10 attacked hosts Bar Graph)
En iyi 10 yetkilendirme erişimi Sütun Grafiği Top 10 authorization access Bar Graph
İlk 10 yetkilendirme hatası Sütun (GrafikTop 10 authorization failure Bar Graph)
En iyi 10 destinasyon Sütun Grafik (Top 10 destinations Bar Graph)

Son 10 gündeki coğrafi konumlu saldırı eğilimleri dünya haritasında gösterilir.

13. Host Listesi Bölümü

Ana bilgisayar (host) listesi sayfası, tablet modunda ACSIA'ya bağlı tüm cihazların envanterini gösterir ve her bir tablo hücresinin ayrıntıları aşağıda kısaca listelenmiştir:

Ana Bilgisayar (Host) Takma Adı (Alias): Ana makinenizi daha iyi tanımak için bir takma ad atayabileceğiniz yer
Ana bilgisayar adı (Hostname): bu değer ana bilgisayardan otomatik olarak alınır ancak kullanıcı adı değiştirebilir
Host IP: İstemcinin bağlı olduğu IP adresi
İşletim Sistemi: İstemcinin hangi işletim sistemine sahip olduğunu gösterir
Durum: istemci günlüklerini ACSIA sunucusuna aktaran tüm göndericilerin listesini ve durumunu içerir
Eylemler: Bu alanda eyleme geçirilebilir 3 alt bölüm vardır:
Ayrıntıları Görüntüle: ana bilgisayar, yani işletim sistemi, çekirdek, IP adresi, izlenen günlükler ve daha fazlası hakkındaki ayrıntıları gösterin
Ana Bilgisayar (host) Ayrıntılarını Düzenle: Kullanıcının takma ad ekleme, ana bilgisayar adını, IP adresini değiştirme, izlenecek özel günlükler ekleme ve günlük göndericilerini (streamer) manuel olarak başlatma/durdurma gibi ana bilgisayar ayrıntılarını düzenleyebildiği alandır.
Ana Bilgisayarı (host) Kaldır: bağlı ana bilgisayarı kaldırabileceğiniz yer

IMG_20220824_235314 (1).jpg

14. Etkinlikler Bölümü

14.1. Canlı Bildirimler (Live Notifications)

Sol taraftaki menüde, henüz harekete geçmemiş tüm canlı etkinliklerin bir listesini içeren Live Notifications de var. Gelen tüm güvenlik uyarıları bu bölümde listelenecek ve bu alandaki her bildirimin üzerindeki Details okuna tıklayarak ACSIA tarafından oluşturulan tek bir olay/uyarıya ilişkin tüm ayrıntılara göz atabilecek ve bunları keşfedebileceksiniz.

Ayrıca olayların filtrelenebileceği ve kriterlere göre aranabileceği filtrelerimiz de var.

14.2. Canlı Bildirim Kenar Çubuğu

Ekranın sağ tarafında bir Live Events kenar çubuğumuz var. Bu kenar çubuğu, statik ve kalıcı olarak sağ tarafta olması dışında Live Notifications benzer; bu, ACSIA'nın işlevlerinde gezinirken etkinlikleri izlerken kullanışlıdır.

Her olay, kullanıcının gelen bir güvenlik olayını veya olayını anında harekete geçirmesine ve düzeltmesine olanak sağlamak için Acil İşlemler (Immediate Actions) ile birlikte kısa bir açıklama ile gösterilir.

15. İçgörüler (Insights)

Alanın Analizleri, sol taraftaki kenar çubuğu menüsünde bulunabilir. Bu bölüm, ACSIA'nın olayların derinlemesine araştırılması ve hatta raporlar ve analizler oluşturmak için sunduğu birden fazla gösterge panosu içerir. Her pano, OpenSearch Stack tarafından sunulan bir web uygulaması olan OpenDashboard kullanılarak görselleştirilir. OpenSearch Kontrol Paneli, OpenSearch'e entegre edilmiştir, burada bir şeyler bulabilirsiniz: Opensearch

Her bir gösterge tablosu, Insights alanında bulacağınız için kendi kendini açıklar.

15.1. Uyumluluk (Compliance)

Compliance alanı, öncelikle aşağıda kısaca listelenen uyumluluk ve düzenleyici çerçevelerle ilgili gösterge tablolarını/raporları içerir:

Güvenlik Bilgi Yönetimi
Güvenlik olayları raporu
Bütünlük izleme raporu
Tehdit Algılama ve Müdahale
Güvenlik açıkları raporu
Mitre Att&ck
Denetim ve Politika İzleme
Politika izleme kontrol paneli
Sistem denetleme panosu
Mevzuata uygunluk
GDPR
PCI DSS
HIPAA
NIST 800-53
TSC

Güvenlik ve bilgi yönetimi, güvenlik olayları hakkında görünürlük ve raporlama sağlar ve dosya bütünlüğü izlemeyi içerir. Tehdit algılama ve yanıt, bağlı sistemler için keşfedilen güvenlik açıkları hakkında raporlar sağlar.

Denetim ve politika izleme, denetim kontrollerinin ve standart politika gereksinimlerinin tam görünürlüğünü sağlar.

Düzenleyici uyumluluk gösterge panoları, GDPR, PCI DSS, NIST 800-53, HIPAA, TSC ve Mitre Att&ck çerçevesinden küresel düzenleyici rejimleri kapsar. ACSIA, BT sistemlerinin uyumluluğu konusunda gerçek zamanlı olarak tam kontrol ve görünürlük sağlar ve sistemler uyumlu değilse, kolayca ele alınabilmesi için tam arıza noktasını sağlar.

16. Politikalar (Policies)

ACSIA'nın Policies, izlenen istemcilerde nelere izin verilip nelere verilmediğinin bir envanterini sağlar. ACSIA trafiği engellediğinde, bireysel istemcilerin yerel güvenlik duvarlarını kullanır (Windows güvenlik duvarı ve Linux sistemlerinde yönlendirme tablosu vb.). Politikalar bölümü aşağıdaki gibi 4 alt bölüme ayrılmıştır:

IP Kara Listesi (IP Blacklist)
IP Beyaz Listesi (IP Whitelist)
Kilitli Kullanıcılar (Locked Users)
Erişim Konumu (Access Location)
Sessiz Bildirimler (Muted Notifications)

16.1. IP Kara Listesi (IP Blacklist)

IP Blacklist, kötü amaçlı ve yetkisiz olarak işaretlenmiş ve bu nedenle kara listeye alınmış (ana bilgisayarlar tarafından yasaklanmış) tüm kaynak IP adreslerini içerir. Bir IP adresi bir kullanıcı tarafından yanlışlıkla yasaklanmışsa, bir eylemi geri alabilirsiniz. Otomatik yasaklama (autoban) özelliği etkinleştirilirse, ACSIA kuruluşun dışından (örneğin internetten) kaynaklanan tüm olası saldırıları ve tehditleri otomatik olarak ele alırken, son kararı vermesi için dahili tehditler her zaman ACSIA yöneticisine bildirilir.

16.2. IP Beyaz Listesi (IP Whitelist)

IP Whitelist, güvenilir olarak işaretlenmiş tüm kaynak IP adreslerini içerir. Bir IP adresinin beyaz listeye alınmasının, web uygulaması düzeyindeki erişimlere hassasiyet verilmesi nedeniyle web isteklerini içermediğini unutmayın. Bu nedenle, web istekleri için geçerli olmayan bir IP adresini beyaz listeye aldığınızda ve o belirli IP adresinden kaynaklanan trafik potansiyel bir tehdit belirlerse, bildirime ve uyarıya tabi olacaktır.

16.3. Kilitli Kullanıcılar (Locked Users)

Locked Users, kilitli olarak işaretlenmiş belirli kullanıcıları içerir. Yetkilendirilmemiş alanlara erişmeye çalışan meşru kullanıcılar olabilirler. Alternatif olarak, bir kullanıcının yasal hesap ayrıntılarını ele geçirmiş ve bu nedenle kilitlenmiş kötü niyetli kullanıcılar olabilirler. ACSIA, meşru kullanıcıları otomatik olarak engellemez, her zaman kullanıcı girişi gerektirir, bu nedenle bu aramayı yapmak ACSIA yöneticisinin takdirinde olacaktır.

16.4. Erişim Konumu (Access Location)

Access Location, meşru erişimin bir coğrafi konumdan veya ACSIA'da yetkilendirilmemiş bir IP adresinden kaynaklandığı güvenlik olaylarını ifade eder. Bu nedenle onay, yetkili veya yetkisiz olmayı beklemek. Bir kullanıcı için konum tabanlı bir IP adresi yetkilendirirseniz, bu kullanıcıyı yalnızca o IP adresi için beyaz listeye almak gibi olur. Öte yandan, bir kullanıcıyı yetkisiz olarak işaretlerseniz, o kullanıcı yine de erişebilir ve denemeler yapabilir ancak her seferinde size bilgi verilir. Bu nedenle, IP'yi manuel olarak kara listeye eklemediğiniz sürece Access Location, bir IP'yi kara listeye almaktan farklıdır.

16.5. Sessiz Bildirimler (Muted Notifications)

Sessize Alınan Bildirimler (Muted Notifications), ACSIA yöneticileri ve/veya güvenlik analistleri tarafından yasal olarak kabul edilen güvenlik olaylarını ifade eder. Bir olay sessize alındı olarak işaretlendiğinde, ACSIA artık bu tür bir olayı bildirmeyecektir. Sessize alınan tüm etkinliklerin sesi herhangi bir zamanda açılabilir.

17. Acil Eylemler - Düzeltme Seçenekleri

Acil İşlemlerin (Immediate Actions), kullanıcıları tarafından ACSIA'nın en sık kullanılan özellikleri olması muhtemeldir. Bu eylemleri genellikle tüm gelen güvenlik olaylarına veya e-posta bildirimlerine gömülü olarak bulacaksınız. Oradan hemen harekete geçebilir ve düzeltilmesi için olayı etkileşimli olarak azaltabilirsiniz.

Bu, ACSIA'nın, olayların ve tehditlerin düzeltilmesi için kullanıcı girişinin gerekli olduğu Etkileşimli (Interactive) özelliğidir:

Bildirimlerle sağlanan Acil İşlemlerin - Immediate Actions (bazen Düzeltme Seçenekleri - Remediation Options olarak da adlandırılır) sırası, etkinliğin önem düzeyine ve etkinliğin türüne göre dinamik olarak değişir. Örneğin, olası bir hesap güvenliği ihlali uyarısı varsa, en üstte görünen seçeneğin en mantıklı seçim olacağı ve ardından listede ikincisinin geleceği, düzeltme eyleminin sırası öncelikli olarak belirlenir. ACSIA kullanıcıları, siber güvenlik bilgisine sahip olmasalar veya sınırlı teknik becerilere sahip olsalar bile bu özellikten büyük ölçüde faydalanacaklardır.

17.1. ACSIA tarafından sunulan Acil Eylemler veya İyileştirme Seçenekleri:

17.1.1. Bu bağlantıyı Kes (Kill this connection)

Bu eylemi seçerek, ACSIA kullanıcısı bu kötü niyetli IP adresi için ağ trafiğini (gerçek zamanlı olarak) öldürecek ve sonraki 15 dakika boyunca bu IP adresi için tüm trafiği askıya alacaktır. Herhangi bir kurulan bağlantı ve yeni bağlantı istekleri, yayın yapmaya çalışırken öldürülecektir.

17.1.2. Kullanıcıyı/Konumu Onaylayın ve Yetkilendirin (Acknowledge and Authorize User/Location)

Bu eylemi seçerek, o belirli kullanıcıya ve ilgili IP adresine kalıcı olarak tesislerinize erişme yetkisi vermiş olursunuz. Bu IP adresi, ACSIA için beyaz listeye alınacak ve bu nedenle, artık kullanıcısıyla ilişkili IP adresinden kaynaklanan bir uyarı almayacaksınız.

17.1.3. Bu Kullanıcıyı/Konumu Yetkisiz Olarak İşaretle (Mark This User/Location as Unauthorized)

Bu eylemi seçerek, siz bir karar verene kadar ACSIA'dan kullanıcıları bu olay hakkında bilgilendirmeye devam etmesini istersiniz. Bunu, bir IP adresinden yapılan erişimi yasaklamaya veya yetkilendirmeye henüz karar vermediğiniz durumlar için kullanın.

17.1.4. Bu IP'yi Yasakla (Ban This IP)

Bu eylemi seçerek IP adresini kalıcı olarak yasaklamış olursunuz ve bu nedenle artık sistemlerinize ulaşamaz.

17.1.5. Kullanıcıyı Kilitle (Lock User)

Bu eylemi seçerek, kullanıcı hesabını sistemlerinizde kilitlersiniz.

17.1.6. Bu IP'yi İzle (Track This IP)

Bu işlem sizi, neler olup bittiğine dair tam bir görünürlük sağlamak için söz konusu IP adresinin tüm ağ ve sunucu etkinliğinin doldurulacağı OpenDashboard uygulama Dashboard'ne götürecektir.

17.1.7. Bu Kullanıcıyı İzle (Track This User)

Bu işlem sizi, kullanıcı etkinliğinin meşruiyetini belirlemenizi sağlayarak, tüm ağ ve sunucu etkinliğinin o belirli kullanıcı için doldurulacağı OpenDashboard uygulaması Dashboard 'a götürecektir.

17.1.8. Whois Sorgusu (Whois Query)

Bu, whois veritabanında alan ve IP kayıt bilgilerini aramak için bir alan adı arama hizmetidir. Kötü niyetli kullanıcının kaynak IP adresinin sahipliği hakkında ilgili bilgileri verir.

17.1.9. Detayları Göster (View Details)

Bu, kaynak IP adresinin coğrafi konumu ve coğrafi koordinatlar dahil olmak üzere olayın doğru ayrıntılarını sağlar.

17.1.10. Olayı Kapat (Close Incident)

Bu, olayı göz ardı etmek içindir ve tekrarlanırsa ACSIA tekrar bilgilendirecektir.

17.1.11. Bildirimi Kapat (Mute Notification)

Bu eylem, ACSIA'ya söz konusu olay yeniden meydana geldiğinde dikkate almamasını ve artık bildirimde bulunmamasını söylemek içindir.

17.1.12. Komut Oturumunu İzle (Track Command Session) - Yalnızca Linux istemcileri için

Bu, ACSIA içinde, Çekirdek düzeyi izlememiz tarafından etkinleştirilen son derece güçlü bir özelliktir. Şüpheli etkinlik algılandığı veya bir kullanıcının hassas verileri veya dosyaları okumaya veya yazmaya çalıştığı andan itibaren, uyarı tetiklenecek ve gerçek zamanlı düzeltme eylemleri sağlanacaktır. Bu Track Command Session tıkladığınızda, yalnızca uyarıyı tetikleyen belirli kullanıcı etkinliği değil, aynı zamanda yeniden oynatma modunda kullanıcının tüm oturumu sunulur. Bu adli düzeyde ayrıntı, kullanıcı tarafından gerçekleştirilen tüm etkinliği görüntülemenize ve dolayısıyla o kullanıcının neden hassas dosyaları ve verileri değiştirmeye çalıştığını ve hızlı bir şekilde bir düzeltme eylemi gerçekleştirmeye çalıştığını anlamanıza olanak tanır.

18. Audit Logs

Audit Logs, üzerinde işlem yapılan veya değiştirilen tüm olayları ve kim tarafından (ACSIA kullanıcıları, kim ne yaptı web arayüzünde) bulabileceğiniz bölümdür.

19. Email Bildirimi

Bir e-posta ve Slack bildirimi örneği aşağıda gösterilmiştir:

Yukarıdaki ekran görüntüsünde gördüğümüz gibi, üretim öncesi sunucumuzu hedefleyen acsia kullanıcısını kullanarak başarılı erişim hakkında bir bildirim aldık. Artık meşru bir kullanıcının oturum açtığını biliyoruz, ancak ACSIA haklı olarak bunun potansiyel bir hesap ihlali olduğunu bildirdi.

Bu kullanıcı ve konum, yalnızca kullanıcıyı ilişkili konumla meşru olarak yetkilendirdiğimizde ACSIA için meşru hale gelecektir. ACSIA kullanıcıları, bunun gibi meşru erişimler söz konusu olduğunda ACSIA makine öğrenimi modülünü eğitmelidir. Bu, çoğunlukla kullanıcı girişinin ACSIA tarafından isteneceği yerdir. Bu nedenle ACSIA kullanıcılarının, bu kullanıcının yetkili ve meşru olduğunu ilk kez kullanmaları gerekecektir. O andan itibaren ACSIA bu kalıptan haberdar olacak ve artık bildirimde bulunmayacaktır (hesap gerçekten tehlikeye girmediği sürece).

Daha fazla bilgi ve sorularınız için lütfen destek portalımız (https://support.4securitas.com) aracılığıyla bizimle iletişime geçerek destek ekibimizle iletişime geçin.

ACSIA, 4Securitas Ltd.'nin bir ürünüdür.

Telif Hakkı 2022 4Securitas Ltd

ACSIA Yardım Merkezi

Ara