ACSIA Yardım Merkezi

Ara

ACSIA XDR Plus Kurulum ve Kullanıcı Yönetim Kılavuzu - v6.x.x ve üzeri

Nadia Riccardi
Nadia Riccardi
  • Güncellenme

 Bu kılavuz yalnızca ACSIA XDR Plus sürüm 6.0.0 ve üzeri için geçerlidir

 

1. Önsöz

Bu kılavuz, ACSIA'yı yüklemek için ön koşullar, ürün yükleme ve yapılandırma ayrıntıları, yönetim, sorun giderme dağıtımı ve Sık Sorulan Sorular konusunda size yol gösterecektir.

 

 

2. ACSIA XDR Plus nedir?

ACSIA (Automated Cyber Security Intelligence Application) kuruluşların kendilerini kötü niyetli saldırılara ve verilerini hedefleyen yetkisiz kuruluşlara karşı korumalarını sağlayan bir Otomatik Siber Güvenlik İstihbarat Uygulamasıdır.

 

3. Kurulum ve Yapılandırma

 

Diğer herhangi bir yazılım uygulamasında olduğu gibi, ACSIA'nın da kurulumun başlayabilmesi için bazı ön koşulların yerine getirilmesi gerekir.

 

Şu anda temsilcimiz aşağıdaki önceliğe göre 3 noktayı kullanarak sunucuyla iletişim kuruyor:
  1. ACSIA sunucusunun özel IP adresi
  2. ACSIA sunucusunun genel IP adresi
  3. ACSIA sunucu URL'si (yapılandırılmışsa, aksi takdirde FQDN)
Bağlantı round-robin'de yalnızca bunlardan biri başarısız olduğunda gerçekleşir.

 

3.1. Öngereksinimler

ACSIA kurulumundan önce makinelerinizde OSSEC ve WAZUH kurulu olmamalıdır. ACSIA, WAZUH'u makinelerinize düzgün bir şekilde kurmaya özen gösterecektir. Ayrıca makinelerinizde ACSIA kurulu olduğu sürece WAZUH kurmamalısınız. Ayrıca, üçüncü taraf yazılımlar tarafından kurulmayacağından emin olmalısınız.

3.1.1. Minimum Gereksinimler

ACSIA Sunucu platformu aşağıdaki minimum özellikleri gerektirir:

  • Sunucu, fiziksel veya sanal bir ortamda konuşlandırılabilir
  • Sanal bir ortam söz konusu olduğunda, sunucunun bir Sanal Makineye ihtiyacı olacaktır ve bu, tercih edilen her hiper yöneticide (VMWare, HyperV, VirtualBox, Proxmox, vb...) çalışabilir, ancak konteynerlarda değil (Docker, Kubernetes, LXD, vb.) LXC, Vagrant, vb...)

  • Ubuntu Server 20.04 LTS kullanılmalı

  • 16 GB RAM (sanal ortamlarda tahsis edilmelidir)

  • 8 vCPU

  • 200 GB Depolama SSD (en az saklama politikasına bağlı olarak + sisteme ayrılmış ek alan)

  • Ağ bağlantısı gereklidir (sunucuyu indirip kurmak, tehdit istihbaratı akışlarımızı almak, istemcilerle bağlantı kurmak, sistemi yükseltmek ve lisansı doğrulamak için)

  • Bölümleme: ACSIA VM için belirli bir bölümleme gerekmez; ancak, bir LVM (Mantıksal Birim Yöneticisi) kurmak istiyorsanız, /var hacmine en az 200 GB (adanmış) vermeniz gerekir.

Yukarıdaki belirtim, 100'den fazla izlenen ana bilgisayardan oluşan tipik bir standart iş yükünü destekler. ACSIA nispeten doğrusal olarak ölçeklenir, bu nedenle ek kaynaklar daha büyük istemci ortamlarını destekler. Kurulumu gerçekleştirmek için tam internet bağlantısı gereklidir.
Yükleme tamamlandıktan sonra, aşağıdaki etki alanları için yalnızca aşağıdaki bağlantı noktalarının açık kalması gerekir.
Kaynak Hedef Protokol Port Not
ACSIA Sunucusu wimi.xdrplus.com TCP 443 Genel (Public) IP ve En Son Sürüm
ACSIA Sunucusu license.acsia.io TCP 5150 Lisans Etkinleştirme (TLS Etkin)
ACSIA Sunucusu nexus.acsia.io TCP 443 Güncellemeleri İndir

Yukarıda listelenen etki alanları ve bağlantı noktaları (lisans için özel ve genel anahtar çifti doğrulaması) için her zaman açık kalmalıdır, ancak ACSIA lisanssız duruma geçmeden önce 48 saate kadar bağlantı kaybına izin verir. Bu gereksinimin tek istisnası, ACSIA'nın Amazon AWS Marketplace'ten dağıtıldığı yerdir.

Make sure you are also able to reach the following domains:
  • packages.wazuh.com
  • github.com
  • dl.fedoraproject.org
  • mirror.centos.org
  • mirrors.kernel.org
  • falco.org
  • download.falco.org
  • raw.githubusercontent.com
  • nmap.org
  • npcap.com
  • https://www.docker.elastic.co/

ACSIA Client'ı (agent ile birlikte) aşağıdaki minimum özellikleri gerektirir:

  • Aracı, desteklenen her işletim sistemi türünde dağıtılabilir. Yalnızca ilgili satıcıları tarafından hala desteklenen işletim sistemlerini kullanmanızı şiddetle tavsiye ederiz.
  • Aracılarımız donanım tüketimi açısından son derece hafif olduğundan, şu anda CPU ve RAM için herhangi bir minimum gereksinimimiz yok. Kurulumu en az 2 GB boş alana sahip bir makinede gerçekleştirmenizi öneririz.
  • ACSIA Sunucusuna yönelik ağ bağlantısı (aşağıdaki bölümde belirtildiği gibi)

 

3.1.2. Web UI Ağ bağlantı noktaları

ACSIA'nın Web Kullanıcı Arayüzüne erişmek için iş istasyonunuz (Dizüstü/Masaüstü/PC) ile ACSIA sunucusu arasında aşağıdaki bağlantı noktalarını açmanız gerekecektir:

 

Kaynak Hedef Protokol Port Not
ACSIA'yı yöneten herhangi bir bilgisayar ACSIA Sunucusunun IP'si TCP 443 HTTPS için kullanılır
ACSIA Sunucusunun IP'si license.acsia.io TCP 5150 Lisans Aktivasyonu

 

3.1.3. Agent yüklemesini kullanan ACSIA istemci-sunucu bağlantı noktaları

 

ACSIA aracısını istemcilere (sunucular veya iş istasyonları) dağıtmayı seçerseniz, aracının ACSIA sunucusuyla iletişim kurabilmesi için tek gereksinim 443 numaralı TCP bağlantı noktası (HTTPS) ve 444'tür (TCP/UDP). Bu portlar açık değilse, lütfen açık olduğundan emin olun.

Kaynak Hedef Protokol Port Not
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si TCP 443 Bağlantılar için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si TCP & UDP 444 Pulls için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar wimi.xdrplus.com TCP 443 IP'yi çekmek için kullanılır

 

 

3.1.4. ACSIA Proxy yapılandırması - Yalnızca Proxy'niz varsa

Ortamınızda bir proxy sunucunuz varsa, lütfen aşağıdaki talimatları uygulayın.

 

3.1.4.1 Tüm Kullanıcılar için Kalıcı Proxy Ayarlama

Tüm kullanıcılar için kalıcı olarak proxy erişimi ayarlamak için /etc/environment dosyasını düzenlemeniz gerekir.

 

Adım 1 - İlk önce dosyayı bir metin düzenleyicide açın:

sudo nano /etc/environment

Adım 2 - Ardından, dosyaya aşağıdaki bilgileri ekleyin:

lütfen: aşağıda gösterildiği gibi büyük harf kullanın
export HTTP_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export HTTPS_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export FTP_PROXY="[username]:[password]@ [proxy-web-or-IP-address]:[port-number]"
...
export NO_PROXY="localhost,127.0.0.1,::1"

Adım 3 - .bashrc dosyasını aşağıdaki bilgilerle güncelleyin:

 

3.1.4.2 APT için Proxy Ayarlama

Bazı sistemlerde, apt komut satırı yardımcı programı, sistem ortamı değişkenlerini kullanmadığından ayrı bir proxy yapılandırması gerektirir.

Adım 1 - apt için proxy ayarlarını belirlemek için /etc/apt dizininde apt.conf adlı bir dosya oluşturun veya (zaten varsa) düzenleyin:

sudo nano /etc/apt/apt.conf 

Adım 2 - Dosyaya aşağıdaki satırları ekleyin:

Acquire::http::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";
Acquire::https::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";

Adım 3 - Dosyayı kaydedin ve çıkın. Yapılandırma, yeniden başlatmanın ardından uygulanacaktır.

 

 

NO_PROXY seçeneği, yukarıda parametre olarak belirtilenlere ek olarak, izlenen cihazların (sunucularınız veya PC'lerinizin ağı) bulunduğu dahili ağlarınızı ve alt ağlarınızı eklemeniz gerekir. Aksi takdirde, ACSIA tarafından izlenecek servislere eklemeye çalıştığınızda, ACSIA ile bu ağlar arasında bağlantı sorunları yaşarsınız. Bunun nedeni, proxy'nin bu ağlara erişme olasılığının düşük olmasıdır.

 

Yukarıdaki değişkenleri etkileyen herhangi bir değişiklik, configureHttpProxy configure_http_proxy.py komutu ve ardından acsia_restart (bu, ACSIA kurulumu zaten tamamlandığında geçerlidir) aracılığıyla ACSIA'ya bildirilmelidir.

 

3.2. ACSIA Sunucu kurulumu

ACSIA sunucusunu barındırmak ve sistemin güncel olduğundan emin olmak için bir Linux VM hazırlayın (Ubuntu Server 20.04 şu anda desteklenmektedir, lütfen ACSIA için sürüm notlarını kontrol edin).

ACSIA'yı yüklemek için bazı önkoşulların yerine getirilmesi gerekir. Tüm önkoşulların yerine getirildiğinden emin olmak için ARM betiğimizi çalıştırabilirsiniz. Makalemizde daha fazla bilgi bulabilirsiniz: AMR ile ACSIA Kurulum Öncesi Minimum Gereksinimleri Kontrol Edin.

 

Tüm ön koşullarınız yerine getirildikten sonra ACSIA kurulumu başlayabilir. Kurulum gereksinimleri karşılanmazsa kurulum başarısız olur ve hangi ön koşulların karşılanmadığına dair bir açıklama size sunulur.

 

Geçerli bir ACSIA lisansına sahip müşteriler, acsia_prepare ana kurulum komut dosyasını indirmeleri için 4Securitas Destek ekibinden bir kurulum paketi ve lisans dahil kimlik bilgilerini içeren ek bir dosya alacaktır.
Lütfen çalıştırmak istediğiniz acsia_prepare.sh komut dosyasının bu makalede sağlanan komut dosyası olduğundan emin olun. Bu dosyanın önceki sürümleri desteklenmiyor.

ACSIA Sunucu-istemci yapılandırmasını kurmak için lütfen bu kılavuzda verilen adım adım talimatları izleyin.

 

3.2.1. ACSIA Sunucusunun Kurulumuna Başlarken

ACSIA sunucusu için yeni sağlanan sanal makinede oturum açın, root kullanıcıya geçin, size sağlanan acsia_prepare.sh ve credentials.txt dosyasını kopyalayın.
acsia_prepare dosyasını aşağıdaki şekilde yürütün, komut dosyasının şu komutu kullanarak yürütülebilir olduğundan emin olun:
chmod +x acsia_prepare
ve ardından aşağıdaki gibi scripti çalıştırın:
./acsia_prepare

 

Ekranınızda verilen talimatları izleyin ve tamamlandığında aşağıdakileri uygulayın:

 

./install_package

 

Yönergelere göre tüm ön gereksinimler karşılanırsa, ACSIA sunucusu yaklaşık ~5-6 dakika içinde tamamen kurulacaktır.

 

Herhangi bir sorun olması durumunda lütfen bu kılavuzdaki Sorun Giderme bölümüne bakın, Bilgi Tabanımızdaki gelişmiş sorun giderme kılavuzlarımıza bakın veya bu portaldan bir bilet oluşturarak destek ekibimizle iletişime geçin. Destek talep ederken lütfen mümkün olduğunca fazla bilgi sağlayın (ör. ekran görüntüleri, günlükler vb.); her ayrıntı, olayınızı daha hızlı gidermemize yardımcı olacaktır.

 

Yükleme işleminin sonunda, terminalinizde ilk yönetici kullanıcının web kullanıcı arayüzünde oturum açması için aşağıdakine benzer kimlik bilgilerine sahip olmalısınız:

ACSIA web and Dashboards
Admin interface: https://192.168.1.246:443
Username: admin@acsia.io
Password: kzuh21ybnsdy1=ui12b5!2iutRIf123kjojb

Sunucu kurulumu tamamlandığında, istemci kurulumu arka planda devam eder (ACSIA sunucusu izlenecek ilk istemci olur). Lütfen istemci yüklemesi tamamlandıktan sonra motorun başlatılmasını bekleyin.

Oluşturulan şifreleri mümkün olan en kısa sürede yenileriyle değiştirmenizi ve doğru bir şekilde saklamanızı önemle tavsiye ederiz. Bu noktada, ortam değişkenlerini etkinleştirmek ve tüm ACSIA hizmet komutlarının kullanılabilir olmasını sağlamak için acsia hesabından çıkış yapmanız ve tekrar oturum açmanız gerekir.

ACSIA çalıştırmasının başlatılması için ilerleme durumunu kontrol etmek için:

acsia_tail_f

acsia_tail_f: command not found hatasını alıyorsanız, bu doğru kullanıcıyı kullanmadığınız anlamına gelir, bu yüzden lütfen şunu çalıştırın:

sudo su - acsia

Bu, acsia'daki hesabınızı değiştirecek ve gerekli tüm komutları çalıştırmanıza izin verecektir.

İstemcinin kurulumu tamamlandıktan sonra acsia_tail_f içinde aşağıdaki mesajı görmelisiniz:

2022-07-10 15:52:21.254 INFO 29440 --- [main] com.forsecuritas.AcsiaLauncher : *************** SPRING APPLICATION RUNNING *************************

Yukarıdaki mesaj, motorun hazır ve çalışır durumda olduğunu gösterir. Artık sağlanan kimlik bilgileriyle web kullanıcı arayüzüne giriş yapabilir ve oturum açar açmaz ilk iş olarak lisansı etkinleştirebilirsiniz. Ayrıca, kullanıcı adı ve paroladan hemen sonra lisans kodunu girmeniz gerekecektir. Ardından kontrol paneline yönlendirileceksiniz.

acsia-tail-f.gif

O halde yönetici kullanıcıyı hemen değiştirmeniz gerekir. Yeni bir kullanıcı oluşturmanız (kendi e-postanızı girin ve yönetici izni verin), yeni bir şifre oluşturmanız (doğrudan kullanıcı arayüzünde), oturumu kapatmanız, oluşturulan yeni kullanıcıyla tekrar oturum açmanız ve halihazırda mevcut olan yönetici kullanıcıyı silmeniz gerekir. kullanıcı arayüzü.

Kurulum tamamlandıktan sonra, tüm ortam değişkenlerinin yüklenebilmesi için, çalışan oturumdan çıkış yapmak ve tekrar oturum açmak için tüm ACSIA servis komutlarının hazır olması kesinlikle gereklidir.

 

 

4. ACSIA Servis Komutları

Yukarıda bahsedildiği gibi, başlatma/durdurma hizmetleri ve sorun giderme ipuçları dahil olmak üzere ACSIA'nın tüm hizmet komutları, $ACSIA_HOME içindeki /acsia_app/bin klasöründe bulunabilir.

 

Aşağıda sık kullanılan bazı servis komutları verilmiştir. 

 

Tüm ACSIA hizmetlerinin çalışıp çalışmadığını kontrol edin:
acsia_stack_status
 
ACSIA tüm hizmetlerini başlatın:
acsia_stack_start
 
ACSIA'nın tüm hizmetlerini durdurun:
acsia_stack_stop
 
Yalnızca ACSIA motorunu çalıştırın:
acsia_start


ACSIA motorunu ve hizmetlerini yeniden başlatın:
acsia_stack_restart

ACSIA motorunu yeniden başlatın:
acsia_restart

 

 

5. ACSIA Web Uygulaması için SSL sertifikasının yapılandırılması

Varsayılan olarak ACSIA, güvenli tarama için kendinden imzalı SSL sertifikaları oluşturur. Kendinden imzalı sertifikalar, ACSIA IP adresleri (varsa harici veya yerel) kullanılarak yapılandırılır. ACSIA'yı uygun bir CA ile yapılandırmak ve kendi SSL sertifikanıza sahip olmak istiyorsanız, bunu ACSIA'nın kurulumu sırasında veya daha sonraki bir aşamada yapabilirsiniz. ACSIA, sertifikanın ve anahtarın iki dosyada sağlanmasını gerektirir - özel anahtar ve genel sertifika (her ikisi de .pem biçiminde olmalıdır).

  1. Sertifikayı kurulum sırasında dağıtın: ACSIA'yı kurarken, acsia_install'ı kullanarak komut dosyası aşağıdaki gibi ek komut satırı parametrelerini ekler: --certificate /path/to/cert.pem, --key /path/to/key.pem ve --domain my.domain.com. Üçünün de mevcut olması gerekir, aksi takdirde yükleyici bir hatayla çıkacaktır.
  2. Yükleme sonrası dağıtım: acsia_deploy_ssl_certs adlı yeni bir komut dosyası sağlanmıştır ve önceki adımla aynı parametreleri kabul eder --certificate, --key ve --domain. Bunlar dağıtıldıktan sonra, yeni eklenen bu sertifikaları almak için tüm bileşenler için acsia_stack_restart'ı çalıştırmanız gerekir.
SSL sertifikası almak istemiyorsanız Let's Encrypt with Certbot'u kullanabilirsiniz; ancak, bu talimatlar değişikliğe tabi olduğundan bu kılavuzda verilmemiştir, bu nedenle ilgili web sitelerini kontrol etmenizi öneririz.

 

 

6. ACSIA'nın Güncellenmesi

ACSIA'yı güncellemek oldukça kolay ve basittir.

Güncellemek için tek yapmanız gereken terminalde acsia kullanıcısı olarak aşağıdaki komutu çalıştırmak:

acsia_update

 

Bu komut yalnızca 6.x.x sürümünden yükseltme için geçerlidir. 6.x.x sürümüne 5.x.x sürümünden yükseltmek için. 6.x.x sürümü için bu kılavuzda burada belirtilen işlemlerin yapılması gerekir.


Güncellemeleri almak için ACSIA kullanıcı adınıza ve şifrelerinize ihtiyacınız olacak. Bu kimlik bilgileri genellikle lisans talimatlarınızı aldığınız aynı e-postada sağlanır.

Web UI güncelleme özelliğini kullanmak yerine ACSIA güncellemelerini terminalden gerçekleştirmenizi öneririz. Bu, daha ayrıntılı hata kodu bilgileriyle işlemin daha fazla netlik ve kontrolünü sağlar. ACSIA'nın ana sürümleri genellikle temel araç yükseltmelerini içerecektir. Bu nedenle, bu yükseltmeleri gerçekleştirirken tam yığın durdurma ve başlatma öneririz. Bunu şu komutu çalıştırarak yapabilirsiniz:  acsia_stack_stop && acsia_stack_start

 

 

7. OpenDashboard erişimi

OpenSearch görselleştiricisi OpenDashboard, ACSIA yığınının bir parçasıdır. OpenDashboard uygulamalarına ve gösterge tablolarına erişmek için parola kullanıcısı ve kimlik doğrulama etkinleştirilir. Kullanıcılar, Gösterge Tablolarını görüntülemeye çalıştıklarında ACSIA kullanıcı adlarını/şifrelerini göstermelidir. Kullanıcı adı ve parola, ACSIA Web UI oturum açma kimlik bilgilerinden otomatik olarak oluşturulur.

 

 

8. Sunucularınızı ACSIA'ya Bağlanmaya Hazırlama

ACSIA hem Linux, Windows hem de MAC OS işletim sistemlerini destekler.

 

8.1. Ön Gereklilikler

BT altyapınız Google Cloud'da (Metadata Page) barındırılıyorsa, projenize Google konsolundan ACSIA ssh anahtarları ekleyerek aşağıdaki adımları atlayabilirsiniz. AWS, OpsWorks aracılığıyla yapılabilecek benzer bir kuruluma sahiptir.

 

8.2. Dağıtım ACSIA aracısı

Client Agent'ı kurmayı seçtiğiniz tüm Linux, Windows ve MAC OS istemcileri için tek yapmanız gereken ACSIA Web UI Devices→Add deviceta gezinmek, işletim sistemini, yani Linux, Windows veya MAC'ı seçmek ve Use'ı seçmektir. İndirebileceğiniz Ajan. VEDERE SE CAMBIARE
Aracıların tek bir müşteriyle ilişkili olmayacağını lütfen unutmayın; bu, kullanıcı arayüzünden indirilen aynı aracının birden çok ana bilgisayar için kullanılabileceği anlamına gelir. Ajan, indirme işleminden itibaren 7 gün sürecek. Bu günler geçtikten sonra tekrar indirmeniz gerekecek.


8.2.1. Bir Linux/Mac İstemcisini Bağlama
Gereksinimler:

  • Çekirdek 2.6 veya üstü
  • Python 2.7 veya üstü
  • Sudo ayrıcalıklarına sahip kullanıcı hesabı acsia

İndirilen aracıyı kurulum için istemci cihaza kopyalayın ve Linux/MAC üzerinde root olarak çalıştırın.

İstemciyi yüklemek için prosedür aşağıdaki gibi olmalıdır:

1-devices.jpeg

  • Kullanıcı arabiriminden bir .txt dosyası (Acsia-Linux-Agent.txt veya Acsia-Mac-Agent.txt) indirin.
    "Add Host +" seçeneğine tıkladıktan sonra "Linux"/"Mac" seçeneğini seçin.

  • Acsia-Linux-Agent.txt/Acsia-Mac-Agent.txt dosyasını oluşturun (nano veya vim ile), şu komutla yürütülebilir hale getirin: 
chmod +x Acsia-Linux-Agent.txt

veya

chmod +x Acsia-Mac-Agent.txt

Ve çalıştırın:

sudo ./Acsia-Linux-Agent.txt

veya

sudo ./Acsia-Mac-Agent.txt


8.2.2. Bir Windows İstemcisini Bağlama

Bir Windows istemcisini indirmek için, Linux'a göre aynı prosedürü izleyin, ancak "Windows Ekle"yi seçin.


Bir RDP örnek makinesine bağlanın, "Windows Powershell ISE"yi arayın ancak açmadan ÖNCE üzerine sağ tıklayın ve "Yönetici olarak çalıştır"ı seçin.
CTRL + R tuşlarına basın, Agent'ın içeriğini yeni açılan alana yapıştırın ve ardından yeşil renkli “Komut dosyasını çalıştır” simgesine tıklayın.
Kurulum bitene kadar bekleyin ve başarılı kurulumu gösteren çıktıyı alacaksınız.


8.2.3. Yüklü Ana Bilgisayarları kontrol edin

 

Aracıyı istemcilerinize yükledikten sonra, tüm önkoşullar yerindeyse istemcilerin Devices bölümünde ACSIA UI'de otomatik olarak listelendiğini (doldurulduğunu) göreceksiniz.
İstemci aracıları ACSIA sunucusuna bir API aracılığıyla bağlanır (tüm bağlantı noktaları, gereksinimlere göre 443 (TCP) ve 444 (UDP/TCP) olmak üzere iki bağlantı noktasında birleştirilir.
Kullanıcı arabiriminden indirilen ACSIA aracıları, yedi gün sonra sona eren belirteçlere sahiptir ve her indirme birden fazla cihaz için geçerlidir. Size sağlanan aracı çalışmıyorsa, büyük olasılıkla ilgili bir belirteç sona erme sorunu olduğundan, lütfen yeni bir aracı oluşturun.

 

 

9. Kullanıcı Yönetimi

The user administration section can be found at the bottom of the page, on the left, by clicking on Settings.

9.1. Tercihler

9.1.1 Otomatik Yasaklama

ACSIA'nın kuruluşunuzun dışından kaynaklanan tehditlerin (yani BotNet, Bruteforce, Dictionary, SQL enjeksiyonları, XSS saldırıları vb. internetten kaynaklanan saldırılar) çoğunu işlemesini istiyorsanız, bu özelliğin etkinleştirilmesi gerekir.

Etkinleştirilirse ACSIA, IP adreslerini gerçek zamanlı olarak yasaklamak gibi düzeltme eylemlerini otomatik olarak gerçekleştirir. Settings alanına gidip Preferences sekmesine tıklayarak Automatic Ban etkinleştirebilirsiniz.

 

9.1.2 Özel IP Yasağı

ACSIA varsayılan olarak yerel IP adreslerini yasaklamaz; bu, işi etkileyecek herhangi bir iş kesintisi veya benzeri olayı önlemek içindir. Ancak, yerel IP adreslerini yasaklamak istiyorsanız, bu özelliği Settings > Preferences sekmesi altında etkinleştirebilirsiniz.

 

9.1.3 Sysmon

Taşınabilir yürütülebilir dosyaların (PE) diske yazılmasını engelleyen yeni sürüme güncellendi. Bu özellik kullanıcılar tarafından etkinleştirilmelidir. (yalnızca Windows istemcileri ve sunucuları için). 

2-settings.jpeg

9.2. Bildirimler

9.2.1 Meşru Kullanıcı Erişimi

Bu işlevsellik, etkinleştirilirse, yasal bir kullanıcı sisteme her eriştiğinde bilgilendirilmenizi sağlar.

9.2.2 Çekirdek Bildirimleri
Çekirdek düzeyinde izleme etkinleştirildiğinde, ACSIA sistem çağrılarını yakalayarak ve gerçek zamanlı olarak anormallikleri/tehditleri arayarak çekirdeğe yapılan her sistem çağrısının akışını durduracaktır (bu yalnızca Linux sistemleri içindir).
Çekirdek düzeyinde bildirim almak istiyorsanız, bu özelliği etkin tutmanız önerilir. Bunu yapmak isteyenler için Settings'a gidip Notifications sekmesini tıklayarak istedikleri zaman devre dışı bırakılabilir.

 

3-notifications.jpeg

 

9.3. Entegrasyonlar

ACSIA, giderek artan bir 3. taraf entegrasyon listesine sahiptir; lütfen daha fazla bilgi için ACSIA XDR Plus Entegrasyon Kılavuzu - v6.x.x'e bakın.

 

9.4 DNS Shield and DNSSEC

9.4.1 DNS Shield

DNS Shield: Bu işlev etkinleştirilirse, kötü amaçlı alanlar içeren kullanıcı bağlantılarını engeller. Bir kullanıcı bir e-posta aldığında ve IP/ek'e tıkladığında, ACSIA tarafından kötü amaçlı olarak algılanırsa, bağlantı yerine bir nezaket sayfası görünecektir. Bu sayfa, kullanıcıya kötü amaçlı yazılım olduğunu ve proaktif olarak erişimi engellediğini bildirir.
Şu anda bu özellik macOS'ta desteklenmemektedir.

 

9.4.2 DNSSEC

DNSSEC, alan adı aramalarına verilen yanıtların kimliğini doğrular. DNSSEC işlevini kullanmayan web sitelerine yapılan bağlantılar engellenecektir.

 

4-dnsec.jpeg

 

9.5. Günlük Tutma (Log Retention)

ACSIA, sunuculardan gelen tüm günlükleri  OpenSearch ve MySQL veritabanları arasında saklar. Günlüklerin ömrü (saklama süresi), Settings'a gidip Günlük Tutma sekmesi tıklanarak yapılandırılabilir. ACSIA, kullanıcıların farklı günlük türleri (aşağıda listelenmiştir) için farklı saklama süreleri ayarlamasına olanak tanır:

 

5-log_retention.jpeg

ACSIA, kullanıcıların farklı günlük dosyası türleri için (aşağıda listelenmiştir) farklı saklama süreleri belirlemesine olanak tanır:
  • Erişim Günlükleri (Access Logs):Bu günlükler, tüm sistem günlüklerini ve olay günlüklerini içerir.
  • Web Günlükleri (Web Logs): Web günlükleri, web uygulamaları günlükleridir (apache, Nginx, tomcat, IIS, vb.)
  • Denetim Günlükleri (Audit Logs): Bunlar çok yaygın olarak bilinen Linux denetim günlükleridir.
  • Ağ Günlüğü (Network Log): Bu günlükler, sunucu düzeyinde (gelen ve giden) yakalanan ağ trafiğidir.
  • ACM Günlükleri (ACM Logs): ACM, Gelişmiş Uyumluluk Azaltma anlamına gelir ve bu nedenle bunlar uyumlulukla ilgili günlüklerdir (sistem, uygulama, güvenlik olayları vb.)


9.6 Lisans Aktivasyonu

Kurulumu tamamladıktan sonra, bir web tarayıcısı üzerinden ACSIA uygulamasına erişebilmelisiniz. İlk eylem, lisansı etkinleştirmektir.

 

Lisansı etkinleştirmezseniz, uygulama minimum kapasitede çalışacağı veya hiç çalışmayacağı için hiçbir şey yapamazsınız. Lisansı etkinleştirmek için, sağlanan license code'nu kopyalayın ve menüden Settings 'ı tıklayarak (e-posta adresiniz veya adınızdır) kullanıcı menüsüne (sağ üstte) gidin ve ardından License'ı seçip ekleyebileceğiniz/ lisansı etkinleştirin.

Burada lisansınızla ilgili tüm bilgileri göreceksiniz: sona erme tarihi, sunucudaki istemci ana bilgisayarları, etkin örnekler. "Devre Dışı Bırak" seçeneğine tıklayarak lisansınızı devre dışı bırakabilirsiniz.

 

6-license.jpeg

 

Lisans, https://support.4securitas.com destek portalımızdaki bilet formu aracılığıyla talep edilebilir veya erişimde sorun yaşıyorsanız support@acsia.io adresinden e-posta yoluyla desteğe başvurun.

 

9.7. Users

Users eklemek hiç bu kadar kolay olmamıştı. Menüden Settings'a ve ardından Kullanıcılar'a tıklamanız yeterlidir.

Ardından "ADD USER" ye tıklayın ve tüm alanları doldurun, ayrıca bu Bölümde Kullanıcıları Silebilir veya Düzenleyebilirsiniz.

Lütfen gerçek kullanıcı adının bir e-posta adresi olması gerektiğini unutmayın.
Parola ayrıca doğrudan Web Kullanıcı Arayüzünden değiştirilebilir, Kullanıcı üzerinde değişiklik yapılabilir, Parola Sıfırlama e-postası gönderilebilir ve Kullanıcı silinebilir.

 

adduser3.gif

 

 

9.8. Email Ayarları

E-posta ayarları, e-postalar aracılığıyla ACSIA sunucu tarafı bildirimleriyle ilgilidir. Bu ayar, E-posta sekmesindeki Ayarlar menüsünde bulunabilir.

 

Burada gönderen e-postasını ve adını ayarlayabilirsiniz. Örneğin, kuruluşunuzun alan adı example.com ise, e-postayı no-reply@example.com olarak ve adı da Acsia Alerts ve beyaz liste olarak ayarlayabilirsiniz. 

 

Bunu ayarlar kurmaz, kuruluma göre bildirim e-postaları almaya başlayacaksınız.

 

E-posta alma konusunda sorun yaşıyorsanız, önerilen eylem gerçek bir gerçek e-posta hesabı oluşturmak ve yapılandırmaktır. E-posta bildirimi altında, basit bir e-posta ve etiket ayarlamak yerine, SMTP'yi ve aşağıdaki bilgileri doldurabileceğiniz Kimlik Doğrulama yöntemlerini etkinleştirebilirsiniz. gönderen olarak kullanmak istediğiniz e-postanın ayrıntıları.

Bunu ayarlamakta sorun yaşıyorsanız, aşağıdaki sorun giderme makalesine göz atabilirsiniz: ACSIA'nın E-posta Göndermesini Yapılandırma ve Etkinleştirme V5.0+

 

7-email.jpeg

 

9.9. İki Faktörlü Kimlik Doğrulama

 

ACSIA, gelişmiş güvenlik için kurulum sırasında veya sonrasında uygulanabilen bir 2FA yöntemi sunar. "Web UI nden Settings > Two-Factor Authentication 'ya giderek 2FA'nın tüm kullanıcılar için etkinleştirilmesini şiddetle tavsiye ederiz.

 

8-2FA.jpeg

 

9.9.1. ACSIA Web UI Oturum Açma için 2FA'yı Etkinleştirme

Özellikle ACSIA kullanıcıları kullanıcı arayüzüne internetten erişiyorsa, kullanıcı arayüzü için 2FA'nın etkinleştirilmesini şiddetle tavsiye ediyoruz. WebApp girişi için 2FA etkinleştirilirse, tüm kullanıcılara bir QR kodu verilir (ör. kullanıcı adı ve parola gibi geleneksel erişim kimlik bilgileriyle.

 

9.10. Yazılım Güncellemeleri

Bu bölüm, yeni bir güncelleme mevcut olduğunda sizi bilgilendirecektir. ACSIA'yı komut satırından güncellemeniz gerekecek.


9.11 İstemcilerin Kaldırılması

Bu bölüm, kullanıcının ACSIA'yı Kaldırmasına izin verir (eylem, ACSIA'nın kendisi de dahil olmak üzere tüm etkin ana bilgisayarlardan tüm güvenlik duvarı kurallarını, veri gönderenleri ve aracıları kaldırır. İşlem geri alınamaz). Bu prosedür, yalnızca ACSIA'yı bir sunucudan tamamen kaldırmak ve sıfırdan diğerine yeniden yüklemek istiyorsanız (tüm ana bilgisayarların yeniden yüklenmesi dahil) gerçekleştirilmelidir. Aksi takdirde ACSIA lisansını serbest bırakmak da gereklidir, yeniden yükleme mümkün olmayacaktır.

 

 

10. Overview

10.1. Main Dashboard

ACSIA XDR Plus, V6.0.0'dan itibaren artık yeni arayüzünde Ana Panoya sahiptir. Bu pano, verileri sayısal, grafiksel ve haritalama görselleriyle aktif olarak inceleyebilir. İlk bakışta, son on güne ilişkin veriler sunulur. Sol üst köşede yer alan filtreleme aracı ile veriler belirli bir periyoda göre filtrelenebilmektedir.

 

9-overview.jpg

Genel olarak, gösterge tablosunda aşağıdaki sayısal veriler gösterilir;
  • Kritik Uyarı (Critical Alert)
  • Yüksek Uyarı (High Alert)
  • Orta Uyarı (Medium Alert)
  • Düşük Uyarı (Low Alert)
  • ACSIA Tarafından Engellenen IoC'ler (IoCs Blocked by ACSIA)
  • Engellenen Saldırılar - IP Yasaklı (Attacks Blocked - IP Banned)
Grafiksel olarak görüntülenen veriler;
  • Saldırı Trendleri Çizgi Grafiği (Attack Trends Line Graph)
  • En İyi 10 Suçlu Set Grafiği (Top 10 Offenders Set Graph)
  • Engellenen ana bilgisayarlar (Prisma) Set Grafiği (Blocked hosts (Prisma) Set Graph)
  • Kategoriye Göre İlk 10 Saldırı Grafiği (Top 10 Attacks by category Set Graph)
  • En çok saldırıya uğrayan 10 host Sütun Grafik (Top 10 attacked hosts Bar Graph)
  • En Başarılı 10 Giriş Çubuk Grafiği (Top 10 Successful Logins Bar Graph)
  • En Başarısız 10 Oturum Açma Çubuk Grafiği (Top 10 Failed Logins Bar Graph)
  • En iyi 10 destinasyon Sütun Grafik (Top 10 destinations Bar Graph)

Son 10 gündeki coğrafi konumlu saldırı eğilimleri dünya haritasında gösterilir.

Gösterge paneli ihtiyaçlarınıza göre özelleştirilebilir.

 

10.2. Insights

Insights alanı, sol taraftaki kenar çubuğu menüsünde "Genel Bakış" altında bulunabilir. Bu bölüm, ACSIA'nın olayları derinlemesine araştırmak ve hatta raporlar ve analizler oluşturmak için sunduğu birden çok pano içerir. Her pano, OpenSearch Stack tarafından sunulan bir web uygulaması olan OpenDashboard kullanılarak görselleştirilir.

 

Her pano kendi kendini tanımlar, çünkü onu Insights alanında bulabilirsiniz.

 

9-insights.jpeg

 
Her sekmedeki sonuçlar daha geniş veya daha küçük bir zaman aralığını içerecek şekilde filtrelenebilir.

 

 

11. Devices Listesi Bölümü

11.1. Host List

Ana bilgisayar (host) listesi sayfası, tablet modunda ACSIA'ya bağlı tüm cihazların envanterini gösterir ve her bir tablo hücresinin ayrıntıları aşağıda kısaca listelenmiştir:

 

  • Alias: ana bilgisayarları daha kolay tanımak için bir takma ad atayabileceğiniz yer

  • Hostname: bu değer ana bilgisayardan otomatik olarak alınır ancak kullanıcı adı değiştirebilir

  • Host IP: İstemcinin bağlı olduğu IP adresi

  • OS (İşletim Sistemi): istemci işletim sistemini görüntüler.

  • Agent Version: Aracının sürümünü belirtir (en yeni sürüm ise, aracı sürümünün yanında parantez içinde "en son" ifadesini gösterir)

  • Last seen: aracının ACSIA sunucusuyla en son ne zaman bağlantı kurduğunu gösterir

  • Status: İstemci günlüklerini ACSIA sunucusuna aktaran tüm göndericilerin listesini ve durumunu içerir. Beş farklı durum türü vardır:

    - Active - Aracı çalışır durumdayken
    - idle - Temsilci ve Merkezi Yönetici 1 saatten fazla iletişim kurmadığında
    - Disconnected - 24 saat boyunca iletişim kurmadıklarında
    - Error - Göndericiler çalışmıyorken
    - Shipper Stopped - Göndericiler manuel olarak durdurulduğunda

    - Isolated - Ev Sahibi karantinaya alındığında

  • Profiles :burada eklenmiş herhangi bir Sunucunun Profilini göreceksiniz

  • Risk: bu bölüm sizi Ana Bilgisayarın eklendiği sorguya götürür

10-devices.jpeg


Ana Bilgisayar Listesi bölümünde, ilgili sekmeye tıklayarak ana bilgisayarları işletim sistemlerine göre filtreleyebilirsiniz.

 

 

12. Etkinlikler Bölümü

12.1. Canlı Bildirimler (Live Notifications)

Sol taraftaki menüde Canlı Bildirimler, henüz harekete geçirilmemiş tüm canlı etkinliklerin bir listesini içerir. Gelen tüm güvenlik uyarıları bu bölümde listelenir ve her bildirimin üzerindeki Ayrıntılar okuna tıklayarak ACSIA tarafından oluşturulan tek bir olayın/uyarıya ilişkin tüm ayrıntılara göz atabilir ve bunları keşfedebilirsiniz.

 

11-live_notifications.jpeg

 

Olayların istemci IP'si, önem derecesi, kategorisi ve olay türüne göre görüntülenebileceği ve aranabileceği filtreler de vardır.

 

 

13. Profiller (Profiles)

13.1 Host Insight

Host Insight, v6.x.x'teki yeni bir özelliktir ve uyumluluk ve güvenlik denetimleri kullanarak bunları değerlendirerek yönetilen istemcilerin güvenlik durumuna ilişkin hızlı bir genel bakış sunar.

 

 

14. Compliance

Compliance alanı, öncelikle aşağıda kısaca listelenen uyumluluk ve düzenleyici çerçevelerle ilgili gösterge tablolarını/raporları içerir:

  • Security Information Management
  • Security events report
  • Integrity monitoring report
  • Threat Detection and Response
  • Vulnerabilities report
  • Mitre Att&ck
  • Auditing and Policy Monitoring
  • Policy monitoring dashboard
  • System auditing dashboard
  • Regulatory Compliance
  • GDPR
  • PCI DSS
  • HIPAA
  • NIST 800-53
  • TSC
  •  

12-compliance.jpeg

 

Her bir gösterge paneli, her bir sekme altında kendi kendini açıklar.

Mevzuata uygunluk panoları, GDPR, PCI DSS, NIST 800-53, HIPAA, TSC ve Mitre Att&ck çerçevesindeki küresel düzenleyici rejimleri kapsar. ACSIA, BT sistemlerinin uyumluluğu konusunda gerçek zamanlı olarak tam kontrol ve görünürlük sağlar ve sistemler uyumlu değilse, kolayca ele alınabilmesi için kesin arıza noktasını sağlar. "Görüntüle"yi tıkladığınızda, seçilen uyumluluk panosuna göre daha ayrıntılı bilgilerin bulunduğu OpenDashboard'a yönlendirileceksiniz.

 

 

15. Politikalar (Policies)

ACSIA'nın Policies, izlenen istemcilerde nelere izin verilip nelere verilmediğinin bir envanterini sağlar. ACSIA trafiği engellediğinde, bireysel istemcilerin yerel güvenlik duvarlarını kullanır (Windows güvenlik duvarı ve Linux sistemlerinde yönlendirme tablosu vb.). Politikalar bölümü aşağıdaki gibi 4 alt bölüme ayrılmıştır:

 

  • IP Kara Listesi (IP Blacklist)

  • IP Beyaz Listesi (IP Whitelist)

  • Kilitli Kullanıcılar (Locked Users)

  • Erişim Konumu (Access Location)

  • Sessiz Bildirimler (Muted Notifications)

13-policies.jpeg

15.1. IP Kara Listesi (IP Blacklist)

IP Blacklist, kötü amaçlı ve yetkisiz olarak işaretlenmiş ve bu nedenle kara listeye alınmış (ana bilgisayarlar tarafından yasaklanmış) tüm kaynak IP adreslerini içerir. Bir IP adresi bir kullanıcı tarafından yanlışlıkla yasaklanmışsa, bir eylemi geri alabilirsiniz. Otomatik yasaklama (autoban) özelliği etkinleştirilirse, ACSIA kuruluşun dışından (örneğin internetten) kaynaklanan tüm olası saldırıları ve tehditleri otomatik olarak ele alırken, son kararı vermesi için dahili tehditler her zaman ACSIA yöneticisine bildirilir.

 

15.2. IP Beyaz Listesi (IP Whitelist)

IP Whitelist, güvenilir olarak işaretlenmiş tüm kaynak IP adreslerini içerir.
Bir IP adresini beyaz listeye almanın web isteklerini içermediğini unutmayın (web uygulaması düzeyindeki erişimlere hassasiyet verilmesi nedeniyle). Bu nedenle, bir IP adresi beyaz listeye eklendiğinde, beyaz liste web uygulamaları için GEÇERLİ DEĞİLDİR. Bu nedenle, belirli bir IP adresinden kaynaklanan trafik potansiyel bir tehdit olarak tanımlanır ve bildirim ve uyarıya tabi tutulur.

 

15.3. Kilitli Kullanıcılar (Locked Users)

Locked Users, kilitli olarak işaretlenmiş belirli kullanıcıları içerir. Yetkilendirilmemiş alanlara erişmeye çalışan meşru kullanıcılar olabilirler. Alternatif olarak, bir kullanıcının meşru hesap ayrıntılarını tehlikeye atan ve bu nedenle kilitlenen kötü niyetli kullanıcılar da olabilir. ACSIA meşru kullanıcıları otomatik olarak engellemez, her zaman kullanıcı girişi gerektirir, bu nedenle bu kararı vermek ACSIA yöneticisinin takdirinde olacaktır.

 

15.4. Erişim Konumu (Access Location)

Erişim Konumu, meşru erişimin ACSIA'da yetkilendirilmemiş bir coğrafi konumdan veya bir IP adresinden kaynaklandığı güvenlik olaylarını ifade eder. Bu erişim isteklerinin manuel olarak yetkilendirilmesi veya reddedilmesi gerekir. Bir kullanıcı için konum tabanlı bir IP adresi yetkilendirirseniz, bu, o kullanıcıyı yalnızca o IP adresi için beyaz listeye almaya benzer. Öte yandan, bir kullanıcıyı yetkisiz olarak işaretlerseniz, o kullanıcı yine erişebilir ve girişimde bulunabilir ancak her seferinde size bildirim gönderilir. Bu nedenle, IP'yi kara listeye manuel olarak eklemediğiniz sürece Erişim Konumu, bir IP'yi kara listeye almaktan farklıdır.

 

15.5. Sessiz Bildirimler (Muted Notifications)

Sessize Alınan Bildirimler (Muted Notifications), ACSIA yöneticileri ve/veya güvenlik analistleri tarafından yasal olarak kabul edilen güvenlik olaylarını ifade eder. Bir olay sessize alındı ​​olarak işaretlendiğinde, ACSIA artık bu tür bir olayı bildirmeyecektir. Sessize alınan tüm etkinliklerin sesi herhangi bir zamanda açılabilir.

 

 

16. Audit Logs

Audit Logs, üzerinde işlem yapılan veya değiştirilen tüm olayları ve kim tarafından (ACSIA kullanıcıları, kim ne yaptı web arayüzünde) bulabileceğiniz bölümdür.

 

 

17. Dağıtım listesi (Distribution Lists)

ACSIA, her gruba üye ekleyebileceğiniz ve her bir dağıtım listesine gönderilecek bildirim türlerini ayarlayabileceğiniz dağıtım listeleri oluşturmanıza olanak tanır. Örneğin, yalnızca Critical veya High veya Medium/Low öncelikli güvenlik uyarılarını almak için bir dağıtım listesi ayarlayabilirsiniz. C Düzeyi yönetiminiz, Critical olaylar dışında uyarı almak istemeyebilir ve bu nedenle bu gereksinimi karşılamak için bir dağıtım listesi oluşturulabilir.

 

Sol kenar çubuğu menüsünde Distribution List'ni bulacaksınız. Yeni bir dağıtım listesi oluşturmak için "ADD NEW LIST"yi tıklamanız yeterlidir.

 

distributionlist2.gif

 

Oluşturulan Distribution List'ne bir ad verin ve grubun almasını istediğiniz etkinlik türünü (Kritik, Yüksek veya Orta/Düşük) seçerek üyeleri listeye ekleyerek seçin.

 

Artık dağıtım listesi aracılığıyla bildirim almaya hazırsınız.

 

 

18. Acil Eylemler - Düzeltme Seçenekleri

Acil İşlemlerin (Immediate Actions), kullanıcıları tarafından ACSIA'nın en sık kullanılan özellikleri olması muhtemeldir. Bu eylemleri genellikle tüm gelen güvenlik olaylarına veya e-posta bildirimlerine gömülü olarak bulacaksınız. Oradan hemen harekete geçebilir ve düzeltilmesi için olayı etkileşimli olarak azaltabilirsiniz.

 

Bu, ACSIA'nın, olayların ve tehditlerin düzeltilmesi için kullanıcı girişinin gerekli olduğu Etkileşimli (Interactive) özelliğidir:

 

Bildirimlerle sağlanan Acil İşlemlerin - Immediate Actions (bazen Düzeltme Seçenekleri - Remediation Options olarak da adlandırılır) sırası, etkinliğin önem düzeyine ve etkinliğin türüne göre dinamik olarak değişir. Örneğin, olası bir hesap güvenliği ihlali uyarısı varsa, en üstte görünen seçeneğin en mantıklı seçim olacağı ve ardından listede ikincisinin geleceği, düzeltme eyleminin sırası öncelikli olarak belirlenir. ACSIA kullanıcıları, siber güvenlik bilgisine sahip olmasalar veya sınırlı teknik becerilere sahip olsalar bile bu özellikten büyük ölçüde faydalanacaklardır.

 

18.1. ACSIA tarafından sunulan Acil Eylemler veya İyileştirme Seçenekleri:

18.1.1. Bu bağlantıyı Kes (Kill this connection)

Bu eylemi seçerek, ACSIA kullanıcısı bu kötü niyetli IP adresi için ağ trafiğini (gerçek zamanlı olarak) öldürecek ve sonraki 15 dakika boyunca bu IP adresi için tüm trafiği askıya alacaktır. Herhangi bir kurulan bağlantı ve yeni bağlantı istekleri, yayın yapmaya çalışırken öldürülecektir.

 

18.1.2. Kullanıcıyı/Konumu Onaylayın ve Yetkilendirin (Acknowledge and Authorize User/Location)

Bu eylemi seçerek, söz konusu kullanıcıya ve ilgili IP adresine kalıcı olarak ortamınıza erişme yetkisi verirsiniz. Bu IP adresi, ACSIA için beyaz listeye alınacak ve bu nedenle, kullanıcısıyla ilişkili bu IP adresinden kaynaklanan bir uyarıyı artık almayacaksınız.

 

18.1.3. Bu Kullanıcıyı/Konumu Yetkisiz Olarak İşaretle (Mark This User/Location as Unauthorized)

Bu eylemi seçerek ACSIA'dan, siz yetkilendirmeyi kalıcı olarak engelleme kararı verene kadar kullanıcıları bu olay hakkında bilgilendirmeye devam etmesini istemiş olursunuz. Bunu, henüz bir IP adresinden yapılan erişimi yasaklamaya veya yetkilendirmeye karar vermediğiniz olaylar için kullanın.

 

18.1.4. Bu IP'yi Yasakla (Ban This IP)

Bu eylemi seçerek IP adresini kalıcı olarak yasaklamış olursunuz ve bu nedenle artık sistemlerinize ulaşamaz.

 

18.1.5. Kullanıcıyı Kilitle (Lock User)

Bu eylemi seçerek, kullanıcı hesabını sistemlerinizde kilitlersiniz.

 

18.1.6. Bu IP'yi İzle (Track This IP)

Bu işlem sizi, neler olup bittiğine dair tam bir görünürlük sağlamak için söz konusu IP adresinin tüm ağ ve sunucu etkinliğinin doldurulacağı OpenDashboard uygulama Dashboard'ne götürecektir.

 

18.1.7. Bu Kullanıcıyı İzle (Track This User)

Bu işlem sizi, kullanıcı etkinliğinin meşruiyetini belirlemenizi sağlayarak, tüm ağ ve sunucu etkinliğinin o belirli kullanıcı için doldurulacağı OpenDashboard uygulaması Dashboard 'a götürecektir.

 

18.1.8. Whois Sorgusu (Whois Query)

Bu, etki alanı ve IP kayıt bilgilerini whois veritabanında aramak için bir alan adı arama hizmetidir. Kaynak IP adresinin sahipliği hakkında ilgili bilgileri verir.

 

18.1.9. Detayları Göster (View Details)

Bu, kaynak IP adresinin coğrafi konumu ve coğrafi koordinatlar dahil olmak üzere olayın doğru ayrıntılarını sağlar.

 

18.1.10. Olayı Kapat (Close Incident)

Bu, olayı göz ardı etmek içindir ve tekrarlanırsa ACSIA tekrar bilgilendirecektir.

 

18.1.11. Bildirimi Kapat (Mute Notification)

Bu eylem, ACSIA'ya söz konusu olay yeniden meydana geldiğinde dikkate almamasını ve artık bildirimde bulunmamasını söylemek içindir.

 

18.1.12. Komut Oturumunu İzle (Track Command Session) - Yalnızca Linux istemcileri için 

Bu, ACSIA içinde Çekirdek düzeyinde izlememiz tarafından etkinleştirilen son derece güçlü bir özelliktir. Şüpheli etkinlik algılandığı veya bir kullanıcının hassas verileri veya dosyaları okumaya veya bunlara yazmaya çalıştığı andan itibaren uyarı tetiklenir ve gerçek zamanlı düzeltme eylemleri sağlanır. Bu Komut Oturumunu İzle'yi tıkladığınızda, size yalnızca uyarıyı tetikleyen belirli kullanıcı etkinliği değil, aynı zamanda yeniden oynatma modunda kullanıcının tüm oturumu sunulur. Bu adli ayrıntı düzeyi, kullanıcı tarafından gerçekleştirilen tüm etkinliği görüntülemenize ve dolayısıyla kullanıcının gerçekleştirdiği her tuş vuruşu eylemine, hangi dosyalara erişildiğine, yapılan değişikliklere vb. ilişkin bir anlayışa sahip olmanıza olanak tanır.



18.1.13 Bu Sunucuyu İzole Edin (Isolate This Server)

Bu eylem Sunucuyu karantinaya alır ve Ana Bilgisayar Listesi Bölümünde, "Karantinaya Alınan Ana Bilgisayarlar" sekmesinde bulabilirsiniz.

18.1.14 Bu Sunucudaki Tüm Benzer Etkinlikleri Kapat (Close All Similar Events on This Server)

Bu seçenek aynı sunucudaki tüm benzer olayları kapatacaktır.

18.1.15 Tüm Sunuculardaki Tüm Benzer Olayları Kapatın (Close All Similar Events on All Servers)

Bu seçenek tüm sunuculardaki tüm benzer olayları kapatacaktır.

 

18. Konteyner yapılarına özel ayrıntılar

ACSIA kapsayıcı farkındadır ve kaplar içindeki çekirdek olaylarını otomatik olarak izler. Ancak, kapsayıcılarda uygulama/web sunucuları çalıştırıyorsanız ve bu günlüklerin izlenmesini istiyorsanız, bunların ana bilgisayar tarafından kullanılabilir hale getirilmesi gerekir. ACSIA, günlük dosyalarına yönelik sembolik bağlantıları desteklemez - verilen günlük dosyasının tam yolu olmalıdır.

 

Linux kapsayıcı günlükleri, docker seçenekleri --volume veya --mount kullanılarak ACSIA'ya sunulabilir. Resmi liman işçisi belgelerine göre burada veya burada docker-compose kullanıyorsanız burada.

 

Daha fazla bilgi ve sorularınız için lütfen destek portalımız (https://support.4securitas.com) aracılığıyla bizimle iletişime geçerek destek ekibimizle iletişime geçin.

ACSIA, 4Securitas Ltd.'nin bir ürünüdür.

Telif Hakkı 2022 4Securitas Ltd