ACSIA Yardım Merkezi

ACSIA XDR Plus Mimarisi V5.0

Maide UYGUR
Maide UYGUR
  • Güncellenme

Teknik Bileşenler

Bu belge, ACSIA XDR Plus güvenlik çözümünün tasarımını ve mimarisini ve içindeki ana bileşenleri açıklar. 

 

Temel Platform

ACSIA uygulama motoru, aşağıdaki büyük Linux dağıtımlarından herhangi birinde çalışır ve fiziksel, sanal, kapsayıcı veya bulut platformuna dağıtılabilir.  


ACSIA Motoru

ACSIA'nın temel analitik motoru, Spring Boot, Spring Data ve Spring Rest'i içeren Java Spring çerçevesinde yazılmıştır. 

 

ACSIA Frontend

Frontend, React.js ve 'Materyal Tasarımı' dilinin bir kombinasyonunu kullanarak backend'e çağrı yapan bir REST API arayüzüdür.

 

ACSIA XDR Plus Güvenliği

ACSIA, aşağıdaki entegre güvenlik bileşenleriyle birlikte gelir:

  • OAuth2 - Güvenli yetki verilmiş erişim 
  • Çok faktörlü kimlik doğrulama - 2 faktörlü kimlik doğrulama
  • İstemciler arasında güvenli iletişim için TLS
  • Pwgen - Güçlü rastgele şifre üreticisi


ACSIA Açık Kaynak Araç Takımı

ACSIA analitik motoru tarafından kullanılan, aşağıdakileri içeren birkaç açık kaynak aracı vardır:

  • Whois
  • Postfix
  • Python pip
  • Binds-utils
  • Wget
  • Dsnif
  • Bc
  • Sysstat
  • Httpd-tools
  • Wazuh
  • OSSec
  • Logstash
  • Lucene
  • MySQL
  • RabbitMQ
  • Docker
  • Falco
  • ElasticBeats
  • Ansible
  • OpenSearch
  • OpenDashboard


ACSIA Sanallaştırma Yöntemi

ACSIA, tek bir Linux çekirdeği kullanan bir kontrol ana bilgisayarında birden çok yalıtılmış Linux sistemini (container'ı) çalıştırmak için işletim sistemi düzeyinde bir sanallaştırma yöntemi olan Docker'ı (Linux Container'ları) kullanır.


ACSIA Konfigürasyon Yönetim Sistemi

ACSIA uses Ansible for automating software provisioning, configuration management, and application deployment.


ACSIA Veritabanları

CSIA, güvenlik tasarımı nedenleriyle aşağıdaki gibi ayrılmış iki ayrı veritabanı kullanır:

  • MariaDB/MySQL
  • MongoDB (Elastic)


ACSIA Mesaj Aracısı

ACSIA mimarisi, en yaygın olarak kullanılan açık kaynaklı mesaj aracısı olan RabbitMQ'yu içerir.


SIEM Ortamı

ACSIA, SIEM (Güvenlik Bilgileri ve Olay Yönetimi) merkezi günlük toplayıcısı için aşağıdaki araçlarla birlikte Elastik Yığın araçlarını kullanır:

  • OpenSearch
  • OpenDashboard
  • Lucene
  • Logstash
  • Wazuh
  • ElasticBeats (günlük göndericileri)
  • OSSEC aracıları (günlük gönderici)


ACSIA Güvenlik Duvarı

ACSIA, yerleşik bir ana bilgisayar tabanlı güvenlik duvarı ile birlikte gelir. Güvenlik duvarı, kurulu TCP bağlantılarını öldürme, yönlendirme tablosunda IP adreslerini yasaklama, dolayısıyla IP adreslerini kara listeye alma ve beyaz listeye alma ve ayrıca bireysel kullanıcıları kilitleme (host tabanlı) gibi yenilikçi özelliklere sahiptir.

"Kill Connection" (ana bilgisayar tabanlı) özelliği, veri bağlantı katmanlarına ham bir arayüz sağlayan, ham bağlantı katmanı paketlerinin gönderilmesine ve alınmasına ve dolayısıyla istenmeyen paketleri durdurma yeteneği sağlayan Berkeley Paket Filtresi (BPF) TCP yığınında kullanılarak uygulanır.


İstemciler, Aracılar kullanılarak veya Aracısız modda dağıtılabilir

ACSIA XDR Plus, bir istemci sunucu mimarisidir ve bir Aracı kullanılarak veya Aracısız modda dağıtılabilir. Uygulama motorunun kendisinde yerleşik bir Elastic yığını (Elasticsearch, Logstash ve Kibana) bulunur ve günlük göndericiler olarak Elasticsearch tarafından sağlanan Beats'i kullanır.

Bir aracıyla veya aracısız bir istemciyle çalışmak arasındaki fark nedir?

Aracıyı dağıtırken, bağlantı noktaları ve hizmet kullanıcısı gereksinimleri açısından ön koşullar minimumdur, yani hizmet kullanıcısı ön koşulu yoktur ve bağlantı noktaları 443 (https) olan tek bir bağlantı noktasında birleştirilir. Ayrıca, cihazın ACSIA motoruna/sunucusuna ulaşamaması durumunda aracı özerk olarak çalışacaktır.

Diğer bir fark, aracısız dağıtımın güvenlik duvarlarında (hem gelen hem de giden) birden çok bağlantı noktasının açılmasını ve ayrıca bağlı cihazlarda ayrıcalıklara sahip bir hizmet kullanıcısı oluşturulmasını gerektirmesidir.

ACSIA XDR Plus'ı bir Aracı ile dağıtırken veya Aracısız modda çalışırken, Beats'in işlevi aşağıdaki günlükleri ACSIA uygulamasına göndermektir:

  • System Günlükleri
  • Web Application Günlükleri 
  • Audit Günlükleri
  • Network Trafiği
  • Kernel/Registry Günlükleri
  • Uyumlulukla İlgili Günlükler

Hem Aracı hem de Aracısız çalışma modları aşağıda açıklanmıştır:


Aracısız İstemci Dağıtımı

ACSIA XDR Plus'ın bağlı bir istemciyle etkileşime girdiği tek durum, uygulamanın kötü amaçlı bir IP adresini yasaklamak istediği veya son kullanıcının uyarılarla sağlanan bir düzeltme seçeneğini (anında eylemler) seçmesidir. Bu, ACSIA tarafından hizmet hesabı (SSH veya RDP) aracılığıyla yapılır, bu nedenle müşteri tarafında böyle bir eylemi gerçekleştirmesi için herhangi bir aracı gerekmez.

ACSIA, istemcilerden günlükleri ve trafiği almak için elastik yığın göndericileri ve OSSEC/Wazuh aracılarını kullanır. Göndericilere atım denir ve şunları içerir:

  • winlogbeat (windows event günlükleri)
  • falco (kernel trafik günlükleri)
  • filebeat (ana sistem günlükleri ve web uygulaması günlükleri)
  • packetbeat (network trafiği)
  • auditbeat (audit günlükleri)
  • ossec (güvenlik ve denetimle ilgili günlükler)

ACSIA sunucusu ve istemciler arasındaki aşağıdaki bağlantı noktaları açılmalıdır: ACSIA sunucusu ile istemciler arasındaki 22 TCP (Linux istemcileri için) ve 5986 TCP (Windows İstemcileri için) bağlantı noktaları, istemcilerin yanı sıra rahatsız edici IP adreslerinin engellenmesi, kullanıcıları kilitleme vb. gibi düzeltme eylemlerinin yürütülmesi vs.  İstemciler ile ACSIA sunucusu arasındaki aşağıdaki bağlantı noktalarının 1514 UDP, 1515 TCP ve 5044 TCP açılması gerekir.

ACSIA, Ansible playbookları göndermek için her istemcide (varsa LDAP veya AD kullanılarak merkezileştirilebilir) bir hizmet kullanıcısının oluşturulmasını gerektirir.


İstemci Agent'ı 

ACSIA XDR Plus v4'ten başlayarak bir istemci aracısı (agent'ı) mevcuttur. Aracı modu dağıtımıyla, yukarıda bahsedilen Beats, Windows, Linux ve MAC OS işletim sistemleri için tek bir pakette toplanır. Paketler ACSIA UI'dan indirilebilir (ayrıntılar için resmi kılavuza bakın) ve indirilen yürütülebilir dosya çalıştırıldığında otomatik olarak yüklenir. Aracısız modun aksine, ACSIA aracısı tüm iletişim bağlantı noktalarını birleştirilmiş 443 (HTTPS) ve 444 (TCP/UDP) bağlantı noktasında birleştirir. Aracı, ACSIA için bir hizmet kullanıcısına ihtiyaç duymaz.


Günlük Gönderimi

Elastic search tarafından sağlanan vuruşlar, çeşitli günlük dosyalarını ACSIA'daki Security Information Event Manager'a aktarmak için günlük gönderici olarak kullanılır. İlgili veri hacimleri çok küçüktür (kilobit olarak ölçülür), bu nedenle ACSIA'yı dağıtırken istemci veya ağ üzerinde herhangi bir performans yükü yoktur.

Tüm istemci trafiği, istemci sunucu sertifikaları kullanılarak Aktarım Katmanı Güvenliği (TLS V1.2 veya üstü) kullanılarak şifrelenir.


Mimari Tasarım

Üst Düzey Mimari Blok Görünümü

ACSIA XDR Plus ürünü, İzinsiz Girişi Önleme (IPS) ve İzinsiz Giriş Tespit Sistemleri (IDS) ile Uç Nokta Algılama ve Yanıt (EDR) özelliklerini tek bir platformda birleştirir ve bunların tümü gerçek zamanlı Güvenlik Bilgileri ve Olay Yönetimimiz (SIEM) tarafından desteklenir. sistem.

Ardından, kötü IP Adreslerini, anonim çıkış düğümlerini ve kötü amaçlı yazılım kaynaklarının ağa erişmesini yasaklayan bir tahmine dayalı Tehdit İstihbaratı beslemesi ekleyerek bu Genişletilmiş Algılama ve Yanıtı (XDR) geliştirdik. Bu tehdit kaynaklarını, ağ altyapınızı bile görüntüleyemeden ortadan kaldırmak. Bu nedenle ürüne ACSIA XDR Plus adını veriyoruz.

img_3.jpg

Şekil 1: Mimari Blok Görünümü

 

Tahmine Dayalı, Proaktif, EDR, IDS ve IPS işlevlerini tek bir Uygulama Motoruna entegre etmek, Yapay Zeka ve Makine Öğrenimi aracılığıyla üstün analitik algılama, otomatik iyileştirme ve sürekli iyileştirme için birden çok olay türünün yakalanmasını ve ilişkilendirilmesini kolaylaştırır.


ACSIA XDR Plus Dahili İş Akışı Şeması

İş akışı diyagramı (Şekil 2), ACSIA'nın mimari iş akışını ve bu belgede daha önce açıklanan açık kaynak bileşenleriyle entegrasyon noktalarını göstermektedir.

Ayrıca, istemcilerden gelen verilerin "logstash" tarafından alındığı ve yapılandırılmamış bir biçimde "elasticsearch" veritabanında depolandığı ACSIA sunucu iş akışını da gösterir. Veri akışı, ACSIA çekirdek motorunu içeren analizöre hizmet eden ileti aracısı 'RabbitMQ' tarafından kuyruğa alınır ve yönetilir.

Analiz edilen veriler ACSIA Web UI'de (uyarılar, mesajlaşma, bildirimler vb.) zenginleştirilip görselleştirilir ve bir MySQL veritabanında saklanır.

Kibana, tüm elasticsearch verilerini formatlar ve son kullanıcıya sunar.

 

Grafico_per_articolo.jpg

 

Şekil 2: Dahili İş Akışı Şeması

 

ACSIA XDR Plus Aracısız İstemci Veri Akışı Şeması

Aşağıdaki akış şeması (Şekil 3), Ajansız İstemcilerin günlüklerini gerçek zamanlı olarak göndererek ACSIA ile nasıl etkileşime girdiğini gösterir. ACSIA tarafından kullanılan tüm açık kaynak bileşenleri, ACSIA analitik motoru dışında, docker kapsayıcılarında çalışır.

 

img_AGENTLESS.jpg
     Şekil 3: İstemci Veri akışı Şeması

 

Yukarıdaki şekil, OpenSearch, OpenDashboard, Logstash, OSSEC, RabbitMQ ve MySQL'in Docker kapsayıcı görüntüleri olarak dağıtıldığını gösteren ACSIA yığınını gösterirken, çekirdek Motor ve UI, VM'de kuruludur.


ACSIA XDR Plus İstemci Aracısı Veri Akışı Şeması

Aşağıdaki akış şeması (şekil 4), ajan dağıtımının günlüklerini 443 gibi birleştirilmiş güvenli bağlantı noktası aracılığıyla gerçek zamanlı olarak göndererek ACSIA ile nasıl etkileşime girdiğini gösterir ACSIA analitik motoru.

img_AGENT.jpg

Şekil 4: İstemci Agent'lı Veri akışı Şeması