ACSIA Yardım Merkezi

ACSIA XDR Plus Kurulum ve Kullanıcı Yönetim Kılavuzu - v6.0.0 ve üzeri

Nadia Riccardi
Nadia Riccardi
  • Güncellenme

 Bu kılavuz yalnızca ACSIA XDR Plus sürüm 6.0.0 ve üzeri için geçerlidir

 

1. Önsöz

Bu kılavuz, ACSIA'yı yüklemek için ön koşullar, ürün yükleme ve yapılandırma ayrıntıları, yönetim, sorun giderme dağıtımı ve Sık Sorulan Sorular konusunda size yol gösterecektir.

 


 

2. ACSIA XDR Plus nedir?

ACSIA (Automated Cyber Security Intelligence Application) kuruluşların kendilerini kötü niyetli saldırılara ve verilerini hedefleyen yetkisiz kuruluşlara karşı korumalarını sağlayan bir Otomatik Siber Güvenlik İstihbarat Uygulamasıdır.

 


3. Kurulum ve Yapılandırma

Diğer tüm yazılım uygulamaları gibi, ACSIA'nın da bağlı istemcilerle iletişim kurmak ve görevlerini yerine getirmek için bazı ön gereksinimlere ihtiyacı vardır.

 

3.1. Öngereksinimler

3.1.1. Minimum Gereksinimler

ACSIA Sunucu platformu aşağıdaki minimum özellikleri gerektirir:

  • Sunucu, fiziksel veya sanal bir ortamda konuşlandırılabilir
  • Sanal bir ortam söz konusu olduğunda, sunucunun bir Sanal Makineye ihtiyacı olacaktır ve bu, tercih edilen her hiper yöneticide (VMWare, HyperV, VirtualBox, Proxmox, vb...) çalışabilir, ancak konteynerlarda değil (Docker, Kubernetes, LXD, vb.) LXC, Vagrant, vb...)
  • Herhangi bir Linux dağıtımı kullanılabilir.

  • 16 GB RAM (sanal ortamlarda tahsis edilmelidir)

  • 8 vCPU

  • 200 GB Depolama SSD (en az saklama politikasına bağlı olarak)

  • Ağ bağlantısı (sunucuyu indirip kurmak, tehdit istihbaratı beslemelerimizi almak, istemcilerle bağlantı kurmak, sistemi yükseltmek ve lisansı doğrulamak için)
  • Bölümleme: ACSIA VM için belirli bir bölümleme gerekli değildir; ancak, ACSIA şirket içinde (bulut platformları dışında) barındırıldığında, depolamanın kolayca genişletilebilmesi için bir LVM bölümü kurulması şiddetle önerilir.

Kurulumu gerçekleştirmek için tam internet bağlantısı gereklidir. Kurulum tamamlandıktan sonra, bağlantıyı yalnızca aşağıdaki tabloda belirtilen URL'lere azaltabilirsiniz.

Kaynak Hedef Protokol Port Not
ACSIA Sunucusu wimi.xdrplus.com TCP 443 Genel (Public) IP ve En Son Sürüm
ACSIA Sunucusu license.acsia.io TCP 5150 Lisans Etkinleştirme (TLS Etkin)
ACSIA Sunucusu nexus.acsia.io TCP 443 Güncellemeleri İndir

ACSIA, lisanssız bir duruma girmeden önce 48 saate kadar bağlantı kaybına izin verse de, bağlantı her zaman gereklidir (lisans için özel ve genel anahtar çifti doğrulaması). Bu gereksinimin tek istisnası, ACSIA'nın Amazon AWS Marketplace'ten dağıtılmasıdır.

Yukarıdaki spesifikasyon, 100'den fazla izlenen ana bilgisayarın tipik bir standart iş yükünü destekleyecektir. ACSIA nispeten doğrusal olarak ölçeklenir, bu nedenle ek kaynaklar daha büyük istemci ortamlarını destekleyecektir.

ACSIA Client'ı (agent ile birlikte) aşağıdaki minimum özellikleri gerektirir:

  • Aracı her işletim sisteminde (VM'lerde bile) konuşlandırılabilir, ancak güncellenmiş sistemlerin kullanılmasını ve desteğimizin, saygın satıcıların resmi olarak desteklemediği işletim sistemleriyle sınırlı olabileceği şiddetle tavsiye ederiz.
  • Şu anda CPU, RAM ve Depolama için herhangi bir minimum gereksinimimiz yok çünkü aracılarımız donanım tüketimi açısından oldukça hafif. Kurulumu en az 2 GB boş alana sahip bir makinede gerçekleştirmenizi öneririz.
  • Her işletim sistemi ile çalışır (Çekirdeğe sahip Linux, 2.6 sürümünden sonra ve her Windows ve macOS sürümünden sonra)
  • ACSIA Sunucusuna ağ bağlantısı (aşağıda belirtildiği gibi)

 

3.1.2. Web UI Ağ bağlantı noktaları

ACSIA'nın Web Kullanıcı Arayüzüne erişmek için iş istasyonunuz (Dizüstü/Masaüstü/PC) ile ACSIA sunucusu arasında aşağıdaki bağlantı noktalarını açmanız gerekecektir:

 

Kaynak Hedef Protokol Port Not
ACSIA'yı yöneten herhangi bir bilgisayar ACSIA Sunucusunun IP'si TCP 443 HTTPS için kullanılır
ACSIA Sunucusunun IP'si license.acsia.io TCP 5150 Lisans Aktivasyonu

 

3.1.3. Agent yüklemesini kullanan ACSIA istemci-sunucu bağlantı noktaları

 

ACSIA aracısını istemcilere (sunucular veya iş istasyonları) dağıtmayı seçerseniz, aracının ACSIA sunucusuyla iletişim kurabilmesi için tek gereksinim 443 numaralı TCP bağlantı noktası (HTTPS) ve 444'tür (TCP/UDP). Bu portlar açık değilse, lütfen açık olduğundan emin olun.

Kaynak Hedef Protokol Port Not
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si TCP 443 Bağlantılar için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar ACSIA Sunucusunun IP'si TCP & UDP 444 Pulls için kullanılır
ACSIA Agent ile herhangi bir ana bilgisayar wimi.xdrplus.com TCP 443 IP'yi çekmek için kullanılır

 

 

3.1.4. ACSIA Proxy yapılandırması - Yalnızca Proxy'niz varsa

Sunucularınızın internete çıkması için proxy ve sunucularınız (ACSIA VM ve izlenecek sunucunuz) varsa lütfen aşağıdaki yönergeleri uygulayınız.

 

3.1.4.1 Tüm Kullanıcılar için Kalıcı Proxy Ayarlama

Tüm kullanıcılar için kalıcı olarak proxy erişimi ayarlamak için /etc/environment dosyasını düzenlemeniz gerekir.

 

 

Adım 1 - İlk önce dosyayı bir metin düzenleyicide açın:

sudo nano /etc/environment

Adım 2 - Ardından, önceki senaryoda .bashrc dosyasına eklediğiniz bilgilerle dosyayı güncelleyin:

export HTTP_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export HTTPS_PROXY="[username]:[password]@[proxy-web-or-IP-address]:[port-number]"
export FTP_PROXY="[username]:[password]@ [proxy-web-or-IP-address]:[port-number]"
...
export NO_PROXY="localhost,127.0.0.1,::1"

Adım 3 - Dosyayı kaydedin ve çıkın. Değişiklikler, bir sonraki oturum açışınızda uygulanacaktır.

 

3.1.4.2 APT için Proxy Ayarlama

Bazı sistemlerde, apt komut satırı yardımcı programı, sistem ortamı değişkenlerini kullanmadığından ayrı bir proxy yapılandırması gerektirir.

Adım 1 - apt için proxy ayarlarını belirlemek için /etc/apt dizininde apt.conf adlı bir dosya oluşturun veya (zaten varsa) düzenleyin:

sudo nano /etc/apt/apt.conf 

Adım 2 - Dosyaya aşağıdaki satırları ekleyin:

Acquire::http::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";
Acquire::https::Proxy "http://[username]:[password]@ [proxy-web-or-IP-address]:[port-number]";

Adım 3 - Dosyayı kaydedin ve çıkın. Yapılandırma, yeniden başlatmanın ardından uygulanacaktır.

 

 

NO_PROXY seçeneği, yukarıda parametre olarak belirtilenlere ek olarak, izlenen cihazların (sunucularınız veya PC'lerinizin ağı) bulunduğu dahili ağlarınızı ve alt ağlarınızı eklemeniz gerekir. Aksi takdirde, ACSIA tarafından izlenecek servislere eklemeye çalıştığınızda, ACSIA ile bu ağlar arasında bağlantı sorunları yaşarsınız. Bunun nedeni, proxy'nin bu ağlara erişme olasılığının düşük olmasıdır.

 

Yukarıdaki değişkenleri etkileyen herhangi bir değişiklik, configureHttpProxy komutu ve ardından acsia_restart (bu, ACSIA kurulumu zaten tamamlandığında geçerlidir) aracılığıyla ACSIA'ya bildirilmelidir.

 

3.2. ACSIA Sunucu kurulumu

ACSIA sunucusunu barındırmak ve sistemin güncel olduğundan emin olmak için bir Linux VM hazırlayın (Ubuntu 20.04 şu anda desteklenmektedir, lütfen ACSIA için sürüm notlarını kontrol edin).

ACSIA'yı yüklemek için bazı önkoşulların yerine getirilmesi gerekir. Tüm önkoşulların yerine getirildiğinden emin olmak için ARM betiğimizi çalıştırabilirsiniz. Makalemizde daha fazla bilgi bulabilirsiniz: AMR ile ACSIA Kurulum Öncesi Minimum Gereksinimleri Kontrol Edin.

 

Tüm ön koşullarınız yerine getirildikten sonra ACSIA kurulumu başlayabilir. Kurulum gereksinimleri karşılanmazsa kurulum başarısız olur ve hangi ön koşulların karşılanmadığına dair bir açıklama size sunulur.

 

Geçerli bir ACSIA lisansına sahip müşteriler, acsia_prepare ana kurulum komut dosyasını indirmeleri için 4Securitas Destek ekibinden bir kurulum paketi ve lisans dahil kimlik bilgilerini içeren ek bir dosya alacaktır.

Lütfen çalıştırmak istediğiniz acsia_prepare.sh betiğinin bu makalede verilen betik olduğundan emin olun. Önceki desteklenmemektedir.

ACSIA Sunucu-istemci konfigürasyonunu kurmak için lütfen bu kılavuzda verilen talimatları kesinlikle takip edin.

 

3.2.1. ACSIA Sunucusunun Kurulumuna Başlarken

ACSIA sunucusu için yeni sağlanan sanal makinede oturum açın, root kullanıcıya geçin, size sağlanan acsia_prepare.sh ve credentials.txt dosyasını kopyalayın.
acsia_prepare dosyasını aşağıdaki şekilde yürütün, komut dosyasının şu komutu kullanarak yürütülebilir olduğundan emin olun:
chmod +x acsia_prepare
ve ardından aşağıdaki gibi scripti çalıştırın:
./acsia_prepare

 

Ekranınızda verilen talimatları izleyin ve tamamlandığında aşağıdakileri uygulayın:

 

./acsia_app/bin/acsia_install

 

Yönergelere göre tüm ön gereksinimler karşılanırsa, ACSIA sunucusu yaklaşık ~5-6 dakika içinde tamamen kurulacaktır.

 

Herhangi bir sorun olması durumunda lütfen bu kılavuzdaki Sorun Giderme bölümüne bakın, Bilgi Tabanımızdaki gelişmiş sorun giderme kılavuzlarımıza bakın veya bu portaldan bir bilet oluşturarak destek ekibimizle iletişime geçin. Destek talep ederken lütfen mümkün olduğunca fazla bilgi sağlayın (ör. ekran görüntüleri, günlükler vb.); her ayrıntı, olayınızı daha hızlı gidermemize yardımcı olacaktır.

 

Yükleme işleminin sonunda, terminalinizde ilk yönetici kullanıcının web kullanıcı arayüzünde oturum açması için aşağıdakine benzer kimlik bilgilerine sahip olmalısınız:

ACSIA web and Dashboards
Admin interface: https://192.168.1.246:443
Username: admin@acsia.io
Password: kzuh21ybnsdy1=ui12b5!2iutRIf123kjojb

Sunucu kurulumu tamamlandığında, istemci kurulumu arka planda devam eder (ACSIA sunucusu izlenecek ilk istemci olur). Lütfen istemci yüklemesi tamamlandıktan sonra motorun başlatılmasını bekleyin.

Oluşturulan şifrelerin bir an önce yenileriyle değiştirilmesini ve uygun şekilde saklanmasını önemle tavsiye ederiz.

ACSIA çalıştırmasının başlatılması için ilerleme durumunu kontrol etmek için:

acsia_tail_f

acsia_tail_f: command not found hatasını alıyorsanız, bu doğru kullanıcıyı kullanmadığınız anlamına gelir, bu yüzden lütfen şunu çalıştırın:

sudo su - acsia

Bu, acsia'daki hesabınızı değiştirecek ve gerekli tüm komutları çalıştırmanıza izin verecektir.

İstemcinin kurulumu tamamlandıktan sonra acsia_tail_f içinde aşağıdaki mesajı görmelisiniz:

2022-07-10 15:52:21.254 INFO 29440 --- [main] com.forsecuritas.AcsiaLauncher : *************** SPRING APPLICATION RUNNING *************************

Yukarıdaki mesaj, motorun hazır ve çalışır durumda olduğunu gösterir. Artık sağlanan kimlik bilgileriyle web kullanıcı arayüzüne giriş yapabilir ve oturum açar açmaz ilk iş olarak lisansı etkinleştirebilirsiniz.

acsia-tail-f.gif

Bunu yapmak için Ayarlar > Lisans > Aktivasyon Kodu Gir'e gidin. O halde yönetici kullanıcıyı hemen değiştirmeniz gerekir. Yeni bir kullanıcı oluşturmanız (kendi e-postanızı girin ve yönetici izni verin), yeni bir şifre oluşturmanız (doğrudan kullanıcı arayüzünde), oturumu kapatmanız, oluşturulan yeni kullanıcıyla tekrar oturum açmanız ve halihazırda mevcut olan yönetici kullanıcıyı silmeniz gerekir. kullanıcı arayüzü.

Kurulum tamamlandıktan sonra, tüm ortam değişkenlerinin yüklenebilmesi için, çalışan oturumdan çıkış yapmak ve tekrar oturum açmak için tüm ACSIA servis komutlarının hazır olması kesinlikle gereklidir.

 


 

4. ACSIA Servis Komutları

Yukarıda bahsedildiği gibi, başlatma/durdurma hizmetleri ve sorun giderme ipuçları dahil olmak üzere ACSIA'nın tüm hizmet komutları, $ACSIA_HOME içindeki /acsia_app/bin klasöründe bulunabilir.

 

Aşağıda sık kullanılan bazı servis komutları verilmiştir. 

 

Tüm ACSIA hizmetlerinin çalışıp çalışmadığını kontrol edin:
acsia_stack_status
 
ACSIA tüm hizmetlerini başlatın:
acsia_stack_start
 
ACSIA'nın tüm hizmetlerini durdurun:
acsia_stack_stop
 
Yalnızca ACSIA motorunu çalıştırın:
acsia_start


ACSIA motorunu ve hizmetlerini yeniden başlatın:
acsia_stack_restart

ACSIA motorunu yeniden başlatın:
acsia_restart

 


 

5. ACSIA Web Uygulaması için SSL sertifikasının yapılandırılması

Varsayılan olarak ACSIA, güvenli tarama için kendinden imzalı SSL sertifikaları oluşturur. Kendinden imzalı sertifikalar, ACSIA IP adresleri (varsa harici veya yerel) kullanılarak yapılandırılır. ACSIA'yı uygun bir CA ile yapılandırmak ve kendi SSL sertifikanıza sahip olmak istiyorsanız, bunu ACSIA'nın kurulumu sırasında veya daha sonraki bir aşamada yapabilirsiniz. ACSIA, sertifikanın ve anahtarın iki dosyada sağlanmasını gerektirir - özel anahtar ve genel sertifika (her ikisi de .pem biçiminde olmalıdır).

  1. Sertifikayı kurulum sırasında dağıtın: ACSIA'yı kurarken, acsia_install'ı kullanarak komut dosyası aşağıdaki gibi ek komut satırı parametrelerini ekler: --certificate /path/to/cert.pem, --key /path/to/key.pem ve --domain my.domain.com. Üçünün de mevcut olması gerekir, aksi takdirde yükleyici bir hatayla çıkacaktır.
  2. Yükleme sonrası dağıtım: acsia_deploy_ssl_certs adlı yeni bir komut dosyası sağlanmıştır ve önceki adımla aynı parametreleri kabul eder --certificate, --key ve --domain. Bunlar dağıtıldıktan sonra, yeni eklenen bu sertifikaları almak için tüm bileşenler için acsia_stack_restart'ı çalıştırmanız gerekir.

SSL sertifikası almak istemiyorsanız Certbot ile Let's Encrypt'i kullanabilirsiniz; ancak bu talimatlar bu kılavuzda sağlanmamıştır, bu nedenle ilgili web sitelerini kontrol etmenizi öneririz.

 


 

6. ACSIA'nın Güncellenmesi

ACSIA'yı güncellemek oldukça kolay ve basittir.

Güncellemek için tek yapmanız gereken terminalde acsia kullanıcısı olarak aşağıdaki komutu çalıştırmak:

acsia_update

 

Bu komut yalnızca sürüm 5'ten 5.9.9'a kadar olan güncellemeler için geçerlidir. 6.0.0 sürümüne güncellemek için. 3.2  bölümünde verilen güncelleme öncesi komut dosyasını çalıştırmanız gerekir.


Güncellemeleri almak için ACSIA kullanıcı adınıza ve şifrelerinize ihtiyacınız olacak. Bu kimlik bilgileri genellikle lisans talimatlarınızı aldığınız aynı e-postada sağlanır.

Web UI güncelleme özelliğini kullanmak yerine ACSIA güncellemelerini terminalden gerçekleştirmenizi öneririz. Bu, daha ayrıntılı hata kodu bilgileriyle işlemin daha fazla netlik ve kontrolünü sağlar. ACSIA'nın ana sürümleri genellikle temel araç yükseltmelerini içerecektir. Bu nedenle, bu yükseltmeleri gerçekleştirirken tam yığın durdurma ve başlatma öneririz. Bunu şu komutu çalıştırarak yapabilirsiniz:  acsia_stack_stop && acsia_stack_start

 


 

7. OpenDashboard erişimi

OpenSearch görselleştiricisi OpenDashboard, ACSIA yığınının bir parçasıdır. OpenDashboard uygulamalarına ve gösterge tablolarına erişmek için parola kullanıcısı ve kimlik doğrulama etkinleştirilir. Kullanıcılar, Gösterge Tablolarını görüntülemeye çalıştıklarında ACSIA kullanıcı adlarını/şifrelerini göstermelidir. Kullanıcı adı ve parola, ACSIA Web UI oturum açma kimlik bilgilerinden otomatik olarak oluşturulur.

 


 

8. Sunucularınızı ACSIA'ya Bağlanmaya Hazırlama

ACSIA hem Linux, Windows hem de MAC OS işletim sistemlerini destekler.

 

8.1. Ön Gereklilikler

BT altyapınız Google Cloud'da (Metadata Page) barındırılıyorsa, projenize Google konsolundan ACSIA ssh anahtarları ekleyerek aşağıdaki adımları atlayabilirsiniz. AWS, OpsWorks aracılığıyla yapılabilecek benzer bir kuruluma sahiptir.

 

8.2. Dağıtım ACSIA aracısı

Client Agent'ı kurmayı seçtiğiniz tüm Linux, Windows ve MAC OS istemcileri için tek yapmanız gereken ACSIA Web UI Hosts→Add Host'ta gezinmek, işletim sistemini, yani Linux, Windows veya MAC'ı seçmek ve Use'ı seçmektir. İndirebileceğiniz Ajan. VEDERE SE CAMBIARE
Aracıların tek bir müşteriyle ilişkili olmayacağını lütfen unutmayın; bu, kullanıcı arayüzünden indirilen aynı aracının birden çok ana bilgisayar için kullanılabileceği anlamına gelir. Ajan, indirme işleminden itibaren 7 gün sürecek. Bu günler geçtikten sonra tekrar indirmeniz gerekecek.


8.2.1. Bir Linux/Mac İstemcisini Bağlama
Gereksinimler:

  • Çekirdek 2.6 veya üstü
  • Python 2.7 veya üstü
  • Sudo ayrıcalıklarına sahip kullanıcı hesabı acsia

linux_agent.gif

İndirilen aracıyı kurulum için istemci cihaza kopyalayın ve Linux/MAC üzerinde root olarak çalıştırın.

İstemciyi yüklemek için prosedür aşağıdaki gibi olmalıdır:

  • Kullanıcı arabiriminden bir .txt dosyası (Acsia-Linux-Agent.txt veya Acsia-Mac-Agent.txt) indirin.
    Bunu "Linux Ekle"/"Mac Ekle" ve ardından "Ajanı Kullan" ve "Ajanı İndir"e tıklayarak yapabilirsiniz.
  • Acsia-Linux-Agent.txt/Acsia-Mac-Agent.txt dosyasını oluşturun (nano veya vim ile), şu komutla yürütülebilir hale getirin:
chmod +x Acsia-Linux-Agent.txt 

veya

chmod +x Acsia-Mac-Agent.txt

Ve çalıştırın:

sudo ./Acsia-Linux-Agent.txt 

veya

sudo ./Acsia-Mac-Agent.txt


8.2.2. Bir Windows İstemcisini Bağlama

Bir Windows istemcisini indirmek için, Linux'a göre aynı prosedürü izleyin, ancak "Windows Ekle"yi seçin.

windows_agent2.gif


Bir RDP örnek makinesine bağlanın, "Windows Powershell ISE"yi arayın ancak açmadan ÖNCE üzerine sağ tıklayın ve "Yönetici olarak çalıştır"ı seçin.
CTRL + R tuşlarına basın, Agent'ın içeriğini yeni açılan alana yapıştırın ve ardından yeşil renkli “Komut dosyasını çalıştır” simgesine tıklayın.
Kurulum bitene kadar bekleyin ve başarılı kurulumu gösteren çıktıyı alacaksınız.


8.2.3. Yüklü Ana Bilgisayarları kontrol edin


Aracıyı istemcilerinize yükledikten sonra tüm ön koşullar yerine getirildiyse, istemcilerin Hosts bölümünde ACSIA UI'de otomatik olarak listelendiğini (doldurulduğunu) göreceksiniz.

ACSIA sunucusuna bir API aracılığıyla bağlanan istemci aracıları, kullanıcı oluşturma gereksinimleri veya güvenlik duvarında açılacak çoklu bağlantı noktalarına sahip değildir (tüm bağlantı noktaları, 443 (TCP) ve 444 (UDP/TCP) olmak üzere 2 bağlantı noktasında konsolide edilmiştir. acenteyi seçerken gereksinimler).

Kullanıcı arabiriminden indirilen ACSIA aracıları, yedi gün sonra sona eren belirteçlere sahiptir ve her indirme birden fazla cihaz için geçerlidir. Size sağlanan aracı çalışmıyorsa, büyük olasılıkla ilgili bir belirteç sona erme sorunu olduğundan, lütfen yeni bir aracı oluşturun.

 


 

9. Kullanıcı Yönetimi

The user administration section can be found at the bottom of the page, on the left, by clicking on Settings.

9.1. Tercihler

9.1.1 Otomatik Yasaklama

ACSIA'nın kuruluşunuzun dışından kaynaklanan tehditlerin (yani BotNet, Bruteforce, Dictionary, SQL enjeksiyonları, XSS saldırıları vb. internetten kaynaklanan saldırılar) çoğunu işlemesini istiyorsanız, bu özelliğin etkinleştirilmesi gerekir.
Etkinleştirilirse ACSIA, IP adreslerini yerinde yasaklamak gibi düzeltme eylemlerini otomatik olarak gerçekleştirir. Ayarlar alanında gezinerek ve Tercihler sekmesine tıklayarak Otomatik Yasağı etkinleştirebilirsiniz.

9.1.2 Özel IP Yasağı

ACSIA varsayılan olarak yerel IP adreslerini yasaklayamaz, bu, işi etkileyecek herhangi bir iş kesintisi veya benzeri olayı önlemek içindir. Ancak, yerel IP adreslerini yasaklayabilmek istiyorsanız, bunu AyarlarTercihler sekmesi altında bu özelliği etkinleştirerek yapabilirsiniz.

9.1.3 Sysmon - Phase 2

Taşınabilir yürütülebilir dosyaların (PE) diske yazılmasını engelleyen yeni sürüme güncellendi. Bu özellik kullanıcılar tarafından etkinleştirilmelidir. (yalnızca Windows istemcileri ve sunucuları için). 

automaticban2.gif

9.2. Bildirimler

9.2.1 Meşru Kullanıcı Erişimi

Bu işlevsellik, etkinleştirilirse, yasal bir kullanıcı her eriştiğinde bilgilendirilmenizi sağlar.

9.2.2 Çekirdek Bildirimleri

Çekirdek düzeyinde izleme etkinleştirildiğinde, ACSIA, çekirdeğe yapılan her sistem çağrısının akışını, sistem çağrılarını yakalayarak ve gerçek zamanlı olarak anormallikleri/tehditleri arayarak engelleme yeteneğine sahiptir (bu yalnızca Linux sistemleri içindir).

Çekirdek düzeyinde bildirim almak istiyorsanız, bu özelliği etkin tutmanız önerilir. Bunu yapmak isteyenler için Settings'a gidip Notifications sekmesini tıklayarak istedikleri zaman devre dışı bırakılabilir.

 

kernel.png

 

9.3. Entegrasyonlar

E-posta bildirimine benzer şekilde, Slack ve/veya Microsoft Teams aracılığıyla alınacak bildirimleri de etkinleştirebilirsiniz. Bunu, istediğiniz web kancasını (Microsoft Teams veya Slack) kopyalayabileceğiniz entegrasyon altındaki Settings bölümünde etkinleştirebilir ve gerçek zamanlı mesajlaşma yoluyla bildirim almak için etkinleştirebilirsiniz.

Bu bölümde ayrıca AntiVirus (BitDefender) ile entegrasyonu etkinleştirebilir/devre dışı bırakabilirsiniz.

 

9.3.1. Slack kurulum talimatları (Microsoft Teams ile hemen hemen aynıdır)

Slack'inize gelen webhook'nı yükleyin
  1. Uygulamalara Git

  2. Uygulama dizinini Görüntüle'ye gidin

  3. Gelen incoming-webhook arayın

  4. Yapılandırma Ekle'ye gidin

  5. Kanala Gönder'de: bildirimin gönderileceği kanalı/grubu seçin

  6. Gelen WebHooks Entegrasyonunu Ekle'ye tıklayın

  7. Adı Özelleştir'e gidin: Ad ekleyin, ör. ACSIA Notifier

  8. WebHook URL'sini kopyalayın

 

ACSIA kullanıcı arayüzünde yapılandırın
  1. Web kullanıcı arayüzüne erişim

  2. Ayarlar -> Entegrasyon'a gidin

  3. Slack veya Microsoft Teams'i etkinleştirin

  4. Kopyalanan URL'yi yapıştırın

Bir e-posta ve Slack bildirimi örneği aşağıda gösterilmiştir:

blobid2.png

blobid3.png

Yukarıdaki ekran görüntüsünde gördüğümüz gibi, üretim öncesi sunucumuzu hedefleyen acsia kullanıcısını kullanarak başarılı erişim hakkında bir bildirim aldık. Artık meşru bir kullanıcının oturum açtığını biliyoruz, ancak ACSIA haklı olarak bunun potansiyel bir hesap ihlali olduğunu bildirdi.

 

Bu kullanıcı ve konum, yalnızca kullanıcıyı ilişkili konumla meşru olarak yetkilendirdiğimizde ACSIA için meşru hale gelecektir. ACSIA kullanıcıları, bunun gibi meşru erişimler söz konusu olduğunda ACSIA makine öğrenimi modülünü eğitmelidir. Bu, çoğunlukla kullanıcı girişinin ACSIA tarafından isteneceği yerdir. Bu nedenle ACSIA kullanıcılarının, bu kullanıcının yetkili ve meşru olduğunu ilk kez kullanmaları gerekecektir. O andan itibaren ACSIA bu kalıptan haberdar olacak ve artık bildirimde bulunmayacaktır (hesap gerçekten tehlikeye girmediği sürece).

9.3.2. AntiVirüs (BitDefender)

Bitdefender, kötü amaçlı yazılım bulaşmalarını önler ve tespit eder. Bu yeni özellik, ACSIA'nın Bitdefender'ı ana bilgisayarlara otomatik olarak dağıtmasına ve algılamayı düzenlemesine olanak tanır.

Bu entegrasyonu etkinleştirmek için ek bir lisans satın almanız gerekecektir. BitDefender entegre edildikten sonra aracılara uygulanamaz zaten dağıtılmış olan. Aracıyı kaldırmanız, yeniden yüklemeniz gerekiyor ve ardından virüsten koruma yazılımını etkinleştirebilirsiniz. 

 

bitdefender.png


9.3.3 Amazon AWS Elastic Beanstalk Entegrasyonu

ACSIA, Elastic Beanstalk içinde çalışan uygulamaları izlemek için AWS Elastic Beanstalk Entegrasyonu özelliğiyle birlikte gelir.

Elasticbeanstalk üzerinde çalışan uygulamalarınız varsa ve ACSIA'nın bunları izlemesini ve korumasını istiyorsanız, terminalde şu komutu çalıştırın: acsia_adapter_beanstalk.py 

AWS ortamınızdan aşağıdaki bilgileri sağlamanız istenecektir:

  • AWS Erişim Anahtarı Kimliği (IAM Kullanıcısı)

  • AWS Gizli Erişim Anahtarı (IAM Kullanıcı sırrı)

  • Varsayılan bölge adı (Beanstalk'ın bulunduğu bölge)

  • Varsayılan çıktı formatı: (JSON veya text olabilir, ancak JSON tercih edilir)

  • ACL (Beanstalk VPC'de ağ erişim kontrol listesi kimliği)

Yukarıdaki dağıtımdan sonra size bir IP adresi (dahili/özel IP) verilecektir. IP adresi daha sonra şu komut çalıştırılarak alınabilir: acsia_adapter_ip.sh.

 

ACSIA Web UI Konsolunda oturum açın ve daha önce verilen IP adresini kullanarak Linux ana bilgisayarını ekleyin (Getting Started->Start->Linux).

 

Lütfen dağıtımın bazı uyarılar ve kısmi yapılandırma ile sona erebileceğini unutmayın. Panik yapma; bu uyarılar ciddi olmayabilir ve izleme genellikle çalışır.

 

Elasticbeanstalk uygulama başlangıç ​​paketinize (Kickstarter paketi) sağlanan acsia.config dosyasını eklediğinizden emin olun.

 

Yukarıdaki tüm adımları tamamladıktan sonra, ACSIA sunucusunda yeni bir terminale giriş yapın ve acsia_restart komutunu çalıştırarak ACSIA'yı yeniden başlatın. Bu, ACSIA'nın tüm değişiklikleri ve yapılandırma dosyalarını aldığından emin olmak içindir.

9.4 DNS Kalkanı

9.4.1 DNS Kalkanı (DNS Shield) - Phase 2

Bu işlev etkinleştirilirse, kötü amaçlı etki alanlarına yapılan sorguları engeller. Bir kullanıcı bir e-posta aldığında ve IP'ye/eklentiye tıkladığında, kötü amaçlı olarak tanınırsa, bağlantı yerine bir nezaket sayfası görünecektir.

Bu sayfa, kullanıcıyı bunun bir kötü amaçlı yazılım olduğu konusunda bilgilendirir ve önleyici olarak engeller. Ayrıca kullanıcının dilini algılar ve otomatik olarak seçer.

Şu anda bu özellik macOS'ta desteklenmemektedir.

9.4.2 DNSSEC

DNSSEC, alan adı aramalarına verilen yanıtların kimliğini doğrular.

 

dnsshield.png

 

9.5. Günlük Tutma (Log Retention)

ACSIA, sunuculardan gelen tüm günlükleri  OpenSearch ve MySQL veritabanları arasında saklar. Günlüklerin ömrü (saklama süresi), Settings'a gidip Günlük Tutma sekmesi tıklanarak yapılandırılabilir. ACSIA, kullanıcıların farklı günlük türleri (aşağıda listelenmiştir) için farklı saklama süreleri ayarlamasına olanak tanır:

 

logretention.png

 

  • Erişim Günlükleri (Access Logs):Bu günlükler, tüm sistem günlüklerini ve olay günlüklerini içerir.
  • Web Günlükleri (Web Logs): Web günlükleri, web uygulamaları günlükleridir (apache, Nginx, tomcat, IIS, vb.)
  • Denetim Günlükleri (Audit Logs): Bunlar çok yaygın olarak bilinen Linux denetim günlükleridir.
  • Ağ Günlüğü (Network Log): Bu günlükler, sunucu düzeyinde (gelen ve giden) yakalanan ağ trafiğidir.
  • ACM Günlükleri (ACM Logs): ACM, Gelişmiş Uyumluluk Azaltma anlamına gelir ve bu nedenle bunlar uyumlulukla ilgili günlüklerdir (sistem, uygulama, güvenlik olayları vb.)


9.6 Lisans Aktivasyonu

Kurulumu tamamladıktan sonra, bir web tarayıcısı üzerinden ACSIA uygulamasına erişebilmelisiniz. İlk eylem, lisansı etkinleştirmektir.

 

Lisansı etkinleştirmezseniz, uygulama minimum kapasitede çalışacağı veya hiç çalışmayacağı için hiçbir şey yapamazsınız. Lisansı etkinleştirmek için, sağlanan license code'nu kopyalayın ve menüden Settings 'ı tıklayarak (e-posta adresiniz veya adınızdır) kullanıcı menüsüne (sağ üstte) gidin ve ardından License'ı seçip ekleyebileceğiniz/ lisansı etkinleştirin.

Burada lisansınızla ilgili tüm bilgileri göreceksiniz: sona erme tarihi, sunucudaki istemci ana bilgisayarları, etkin örnekler. "Devre Dışı Bırak" seçeneğine tıklayarak lisansınızı devre dışı bırakabilirsiniz.

 

license2.gif

 

Lisans, https://support.4securitas.com destek portalımızdaki bilet formu aracılığıyla talep edilebilir veya erişimde sorun yaşıyorsanız support@acsia.io adresinden e-posta yoluyla desteğe başvurun.

 

9.7. Users

Users eklemek hiç bu kadar kolay olmamıştı. Menüden Settings'a ve ardından Kullanıcılar'a tıklamanız yeterlidir.

Ardından "ADD USER" ye tıklayın ve tüm alanları doldurun, ayrıca bu Bölümde Kullanıcıları Silebilir veya Düzenleyebilirsiniz. Lütfen gerçek kullanıcı adının bir e-posta adresi olması gerektiğini unutmayın.

Ayrıca parolayı doğrudan Web Kullanıcı Arayüzünden sıfırlayabilir, Kullanıcıyı değiştirebilir, Parola Sıfırlama e-postasını gönderebilir ve Kullanıcıyı silebilirsiniz.

 

adduser3.gif

 

 

9.8. Email Ayarları

E-posta ayarları, e-postalar aracılığıyla ACSIA sunucu tarafı bildirimleriyle ilgilidir. Bu ayar, E-posta sekmesindeki Ayarlar menüsünde bulunabilir.

 

Burada gönderen e-postasını ve adını ayarlayabilirsiniz. Örneğin, kuruluşunuzun alan adı example.com ise, e-postayı no-reply@example.com olarak ve adı da Acsia Alerts ve beyaz liste olarak ayarlayabilirsiniz. 

 

Bunu ayarlar kurmaz, kuruluma göre bildirim e-postaları almaya başlayacaksınız.

 

E-posta alma konusunda sorun yaşıyorsanız, önerilen eylem gerçek bir gerçek e-posta hesabı oluşturmak ve yapılandırmaktır. E-posta bildirimi altında, basit bir e-posta ve etiket ayarlamak yerine, SMTP'yi ve aşağıdaki bilgileri doldurabileceğiniz Kimlik Doğrulama yöntemlerini etkinleştirebilirsiniz. gönderen olarak kullanmak istediğiniz e-postanın ayrıntıları.

Bunu ayarlamakta sorun yaşıyorsanız, aşağıdaki sorun giderme makalesine göz atabilirsiniz: ACSIA'nın E-posta Göndermesini Yapılandırma ve Etkinleştirme V5.0+

 

emailsmtp.gif

 

9.8. İki Faktörlü Kimlik Doğrulama

 

ACSIA, daha iyi güvenlik için kurulum sırasında ve sonrasında uygulanabilen bir 2FA yöntemi sunar. 2FA, Web kullanıcı arayüzünden Settings→2FA'ya gidilerek tüm kullanıcılar için etkinleştirilebilir.

 

2fa2.gif

 

9.9.1. ACSIA Web UI Oturum Açma için 2FA'yı Etkinleştirme

Özellikle ACSIA kullanıcıları kullanıcı arayüzüne internetten erişiyorsa, kullanıcı arayüzü için 2FA'nın etkinleştirilmesini şiddetle tavsiye ediyoruz. WebApp girişi için 2FA etkinleştirilirse, tüm kullanıcılara bir QR kodu verilir (ör. kullanıcı adı ve parola gibi geleneksel erişim kimlik bilgileriyle.

 

9.10. Yazılım Güncellemeleri

Bu bölümde, yeni bir güncelleme mevcut olduğunda bilgilendirileceksiniz. Ayrıca ACSIA'yı kabuk yerine doğrudan kullanıcı arayüzünden güncelleyebileceksiniz.


9.11 İstemcilerin Kaldırılması

Bu bölüm kullanıcının ACSIA'yı kaldırmasına izin verir (eylem tüm güvenlik duvarı kurallarını, veri göndericileri ve aracıları ACSIA'nın kendisi de dahil olmak üzere tüm etkin ana bilgisayarlardan kaldıracaktır. Eylem geri alınamaz).

 


 

10. Overview

10.1. Main Dashboard

ACSIA XDR Plus, v6.0'dan itibaren artık yeni arayüzünde bir Ana Gösterge Tablosuna (Main Dashborad) sahiptir. Bu gösterge panosunda veriler sayısal, grafiksel ve haritalama görselleri ile aktif olarak incelenebilir. İlk bakışta son 10 güne ilişkin veriler sunulmaktadır. Sol üst köşedeki filtreleme aracı ile bu verileri belirli bir zaman dilimine göre filtreleyebilirsiniz.

 

dashboard3.png

Genel olarak, gösterge tablosunda aşağıdaki sayısal veriler gösterilir;
  • Kritik Uyarı (Critical Alert)
  • Yüksek Uyarı (High Alert)
  • Orta Uyarı (Medium Alert)
  • Düşük Uyarı (Low Alert)
  • ACSIA Tarafından Engellenen IoC'ler (IoCs Blocked by ACSIA)
  • Engellenen Saldırılar - IP Yasaklı (Attacks Blocked - IP Banned)
Grafiksel olarak görüntülenen veriler;
  • Saldırı Trendleri Çizgi Grafiği (Attack Trends Line Graph)
  • En İyi 10 Suçlu Set Grafiği (Top 10 Offenders Set Graph)
  • Engellenen ana bilgisayarlar (Prisma) Set Grafiği (Blocked hosts (Prisma) Set Graph)
  • Kategoriye Göre İlk 10 Saldırı Grafiği (Top 10 Attacks by category Set Graph)
  • En çok saldırıya uğrayan 10 host Sütun Grafik (Top 10 attacked hosts Bar Graph)
  • En Başarılı 10 Giriş Çubuk Grafiği (Top 10 Successful Logins Bar Graph)
  • En Başarısız 10 Oturum Açma Çubuk Grafiği (Top 10 Failed Logins Bar Graph)
  • En iyi 10 destinasyon Sütun Grafik (Top 10 destinations Bar Graph)

Son 10 gündeki coğrafi konumlu saldırı eğilimleri dünya haritasında gösterilir.

Gösterge paneli ihtiyaçlarınıza göre özelleştirilebilir.

 

10.2. Insights

Alanın Analizleri, sol taraftaki kenar çubuğu menüsünde bulunabilir. Bu bölüm, ACSIA'nın olayların derinlemesine araştırılması ve hatta raporlar ve analizler oluşturmak için sunduğu birden fazla gösterge panosu içerir. Her pano, OpenSearch Stack tarafından sunulan bir web uygulaması olan OpenDashboard kullanılarak görselleştirilir. OpenSearch Kontrol Paneli, OpenSearch'e entegre edilmiştir, burada bir şeyler bulabilirsiniz: Opensearch

 

Her bir gösterge tablosu, Insights alanında bulacağınız için kendi kendini açıklar.

 

insights.png

 
Her sekmedeki sonuçlar daha geniş veya daha küçük bir zaman aralığını içerecek şekilde filtrelenebilir.

 


 

11. Host Listesi Bölümü

11.1. Host List

Ana bilgisayar (host) listesi sayfası, tablet modunda ACSIA'ya bağlı tüm cihazların envanterini gösterir ve her bir tablo hücresinin ayrıntıları aşağıda kısaca listelenmiştir:

 

  • Ana Bilgisayar (Host) Takma Adı (Alias): Ana makinenizi daha iyi tanımak için bir takma ad atayabileceğiniz yer

  • Ana bilgisayar adı (Hostname): bu değer ana bilgisayardan otomatik olarak alınır ancak kullanıcı adı değiştirebilir

  • Host IP: İstemcinin bağlı olduğu IP adresi

  • OS (İşletim Sistemi): istemcinin hangi işletim sistemine sahip olduğunu gösterir

  • Aracı Sürümü: aracının sürümünü belirtir (en son sürümse, aracının sürümünün yanında parantez içinde "en son" ibaresini görürsünüz)

  • Son görülme: aracının ACSIA sunucusuyla en son ne zaman iletişime geçtiğini gösterir

  • Durum: istemci günlüklerini ACSIA sunucusuna aktaran tüm göndericilerin listesini ve durumunu içerir. Beş farklı durum vardır:
    - Aktif - Aracı çalışır durumda olduğunda
    - Boşta - Temsilci ve Merkezi Yönetici 1 saatten uzun süredir iletişim kurmadığında
    - Bağlantı kesildi - 24 saat boyunca iletişim kurmadıklarında
    - Hata - Göndericiler çalışmadığında
    - Gönderici Durduruldu - Göndericiler manuel olarak durdurulduğunda
    - İzole - Ana Bilgisayar karantinaya alındığında

  • Profiller: burada Ana Bilgisayarın eklendiği Profili göreceksiniz

  • Risk: bu bölüm sizi Ana Bilgisayarın eklendiği sorguya götürür

  • "+" işaretine tıklarsanız, işletim sistemi, çekirdek, IP adresi, izlenen günlükler ve daha fazlası gibi ana bilgisayarla ilgili ayrıntıların gösterildiği eyleme geçirilebilir alt bölümler görürsünüz. Ayrıca ana bilgisayar takma adını değiştirebilir, göndericileri başlatabilir/durdurabilirsiniz.

host.png


Ana Bilgisayar Listesi bölümünde, ilgili sekmeye tıklayarak ana bilgisayarları işletim sistemlerine göre filtreleyebilirsiniz.

 


 

12. Etkinlikler Bölümü

12.1. Canlı Bildirimler (Live Notifications)

Sol taraftaki menüde, henüz harekete geçmemiş tüm canlı etkinliklerin bir listesini içeren Live Notifications de var. Gelen tüm güvenlik uyarıları bu bölümde listelenecek ve bu alandaki her bildirimin üzerindeki Details okuna tıklayarak ACSIA tarafından oluşturulan tek bir olay/uyarıya ilişkin tüm ayrıntılara göz atabilecek ve bunları keşfedebileceksiniz.

 

livenotification.png

 

Ayrıca, olayların istemci IP'si, önem derecesi, kategori ve olay türüne göre filtrelenebileceği ve aranabileceği filtrelerimiz de vardır.

 


 

13. Profiller (Profiles)

13.1 Host Insight

Host Insight, değerlendirerek, yönetilen istemcilerin güvenlik durumuna ilişkin hızlı bir genel bakış elde edersiniz. uyumluluk ve güvenlik kontrollerini kullanıyorlar.

 


 

14. Compliance

Compliance alanı, öncelikle aşağıda kısaca listelenen uyumluluk ve düzenleyici çerçevelerle ilgili gösterge tablolarını/raporları içerir:

 

  • Güvenlik Bilgi Yönetimi

  • Güvenlik olayları raporu

  • Bütünlük izleme raporu

  • Tehdit Algılama ve Müdahale

  • Güvenlik açıkları raporu

  • Mitre Att&ck

  • Denetim ve Politika İzleme

  • Politika izleme kontrol paneli

  • Sistem denetleme panosu

  • Mevzuata uygunluk

  • GDPR

  • PCI DSS

  • HIPAA

  • NIST 800-53

  • TSC

compliance.png

 

Her bir gösterge paneli, her bir sekme altında kendi kendini açıklar.

 

Düzenleyici uyumluluk gösterge panoları, GDPR, PCI DSS, NIST 800-53, HIPAA, TSC ve Mitre Att&ck çerçevesinden küresel düzenleyici rejimleri kapsar. ACSIA, BT sistemlerinin uyumluluğu konusunda gerçek zamanlı olarak tam kontrol ve görünürlük sağlar ve sistemler uyumlu değilse, kolayca ele alınabilmesi için tam arıza noktasını sağlar. "Görüntüle "ye tıkladığınızda OpenDashboard'a yönlendirileceksiniz. Burada, seçilen uyumluluk panosuna göre daha ayrıntılı bilgiler bulacaksınız.

 


 

15. Politikalar (Policies)

ACSIA'nın Policies, izlenen istemcilerde nelere izin verilip nelere verilmediğinin bir envanterini sağlar. ACSIA trafiği engellediğinde, bireysel istemcilerin yerel güvenlik duvarlarını kullanır (Windows güvenlik duvarı ve Linux sistemlerinde yönlendirme tablosu vb.). Politikalar bölümü aşağıdaki gibi 4 alt bölüme ayrılmıştır:

 

  • IP Kara Listesi (IP Blacklist)

  • IP Beyaz Listesi (IP Whitelist)

  • Kilitli Kullanıcılar (Locked Users)

  • Erişim Konumu (Access Location)

  • Sessiz Bildirimler (Muted Notifications)

policies.png

 

15.1. IP Kara Listesi (IP Blacklist)

IP Blacklist, kötü amaçlı ve yetkisiz olarak işaretlenmiş ve bu nedenle kara listeye alınmış (ana bilgisayarlar tarafından yasaklanmış) tüm kaynak IP adreslerini içerir. Bir IP adresi bir kullanıcı tarafından yanlışlıkla yasaklanmışsa, bir eylemi geri alabilirsiniz. Otomatik yasaklama (autoban) özelliği etkinleştirilirse, ACSIA kuruluşun dışından (örneğin internetten) kaynaklanan tüm olası saldırıları ve tehditleri otomatik olarak ele alırken, son kararı vermesi için dahili tehditler her zaman ACSIA yöneticisine bildirilir.

 

15.2. IP Beyaz Listesi (IP Whitelist)

IP Whitelist, güvenilir olarak işaretlenmiş tüm kaynak IP adreslerini içerir. Bir IP adresinin beyaz listeye alınmasının, web uygulaması düzeyindeki erişimlere hassasiyet verilmesi nedeniyle web isteklerini içermediğini unutmayın. Bu nedenle, web istekleri için geçerli olmayan bir IP adresini beyaz listeye aldığınızda ve o belirli IP adresinden kaynaklanan trafik potansiyel bir tehdit belirlerse, bildirime ve uyarıya tabi olacaktır.

 

15.3. Kilitli Kullanıcılar (Locked Users)

Locked Users, kilitli olarak işaretlenmiş belirli kullanıcıları içerir. Yetkilendirilmemiş alanlara erişmeye çalışan meşru kullanıcılar olabilirler. Alternatif olarak, bir kullanıcının yasal hesap ayrıntılarını ele geçirmiş ve bu nedenle kilitlenmiş kötü niyetli kullanıcılar olabilirler. ACSIA, meşru kullanıcıları otomatik olarak engellemez, her zaman kullanıcı girişi gerektirir, bu nedenle bu aramayı yapmak ACSIA yöneticisinin takdirinde olacaktır.

 

15.4. Erişim Konumu (Access Location)

Access Location, meşru erişimin bir coğrafi konumdan veya ACSIA'da yetkilendirilmemiş bir IP adresinden kaynaklandığı güvenlik olaylarını ifade eder. Bu nedenle onay, yetkili veya yetkisiz olmayı beklemek. Bir kullanıcı için konum tabanlı bir IP adresi yetkilendirirseniz, bu kullanıcıyı yalnızca o IP adresi için beyaz listeye almak gibi olur. Öte yandan, bir kullanıcıyı yetkisiz olarak işaretlerseniz, o kullanıcı yine de erişebilir ve denemeler yapabilir ancak her seferinde size bilgi verilir. Bu nedenle, IP'yi manuel olarak kara listeye eklemediğiniz sürece Access Location, bir IP'yi kara listeye almaktan farklıdır.

 

15.5. Sessiz Bildirimler (Muted Notifications)

Sessize Alınan Bildirimler (Muted Notifications), ACSIA yöneticileri ve/veya güvenlik analistleri tarafından yasal olarak kabul edilen güvenlik olaylarını ifade eder. Bir olay sessize alındı ​​olarak işaretlendiğinde, ACSIA artık bu tür bir olayı bildirmeyecektir. Sessize alınan tüm etkinliklerin sesi herhangi bir zamanda açılabilir.

 


 

16. Audit Logs

Audit Logs, üzerinde işlem yapılan veya değiştirilen tüm olayları ve kim tarafından (ACSIA kullanıcıları, kim ne yaptı web arayüzünde) bulabileceğiniz bölümdür.

 


 

17. Dağıtım listesi (Distribution Lists)

ACSIA, her gruba üye ekleyebileceğiniz ve her bir dağıtım listesine gönderilecek bildirim türlerini ayarlayabileceğiniz dağıtım listeleri oluşturmanıza olanak tanır. Örneğin, yalnızca Critical veya High veya Medium/Low öncelikli güvenlik uyarılarını almak için bir dağıtım listesi ayarlayabilirsiniz. C Düzeyi yönetiminiz, Critical olaylar dışında uyarı almak istemeyebilir ve bu nedenle bu gereksinimi karşılamak için bir dağıtım listesi oluşturulabilir.

 

Sol kenar çubuğu menüsünde Distribution List'ni bulacaksınız. Yeni bir dağıtım listesi oluşturmak için "ADD NEW LIST"yi tıklamanız yeterlidir.

 

distributionlist2.gif

 

Oluşturulan Distribution List'ne bir ad verin ve grubun almasını istediğiniz etkinlik türünü (Kritik, Yüksek veya Orta/Düşük) seçerek üyeleri listeye ekleyerek seçin.

 

Artık dağıtım listesi aracılığıyla bildirim almaya hazırsınız.

 


 

18. Acil Eylemler - Düzeltme Seçenekleri

Acil İşlemlerin (Immediate Actions), kullanıcıları tarafından ACSIA'nın en sık kullanılan özellikleri olması muhtemeldir. Bu eylemleri genellikle tüm gelen güvenlik olaylarına veya e-posta bildirimlerine gömülü olarak bulacaksınız. Oradan hemen harekete geçebilir ve düzeltilmesi için olayı etkileşimli olarak azaltabilirsiniz.

 

Bu, ACSIA'nın, olayların ve tehditlerin düzeltilmesi için kullanıcı girişinin gerekli olduğu Etkileşimli (Interactive) özelliğidir:

 

Bildirimlerle sağlanan Acil İşlemlerin - Immediate Actions (bazen Düzeltme Seçenekleri - Remediation Options olarak da adlandırılır) sırası, etkinliğin önem düzeyine ve etkinliğin türüne göre dinamik olarak değişir. Örneğin, olası bir hesap güvenliği ihlali uyarısı varsa, en üstte görünen seçeneğin en mantıklı seçim olacağı ve ardından listede ikincisinin geleceği, düzeltme eyleminin sırası öncelikli olarak belirlenir. ACSIA kullanıcıları, siber güvenlik bilgisine sahip olmasalar veya sınırlı teknik becerilere sahip olsalar bile bu özellikten büyük ölçüde faydalanacaklardır.

 

18.1. ACSIA tarafından sunulan Acil Eylemler veya İyileştirme Seçenekleri:

18.1.1. Bu bağlantıyı Kes (Kill this connection)

Bu eylemi seçerek, ACSIA kullanıcısı bu kötü niyetli IP adresi için ağ trafiğini (gerçek zamanlı olarak) öldürecek ve sonraki 15 dakika boyunca bu IP adresi için tüm trafiği askıya alacaktır. Herhangi bir kurulan bağlantı ve yeni bağlantı istekleri, yayın yapmaya çalışırken öldürülecektir.

 

18.1.2. Kullanıcıyı/Konumu Onaylayın ve Yetkilendirin (Acknowledge and Authorize User/Location)

Bu eylemi seçerek, o belirli kullanıcıya ve ilgili IP adresine kalıcı olarak tesislerinize erişme yetkisi vermiş olursunuz. Bu IP adresi, ACSIA için beyaz listeye alınacak ve bu nedenle, artık kullanıcısıyla ilişkili IP adresinden kaynaklanan bir uyarı almayacaksınız.

 

18.1.3. Bu Kullanıcıyı/Konumu Yetkisiz Olarak İşaretle (Mark This User/Location as Unauthorized)

Bu eylemi seçerek, siz bir karar verene kadar ACSIA'dan kullanıcıları bu olay hakkında bilgilendirmeye devam etmesini istersiniz. Bunu, bir IP adresinden yapılan erişimi yasaklamaya veya yetkilendirmeye henüz karar vermediğiniz durumlar için kullanın.

 

18.1.4. Bu IP'yi Yasakla (Ban This IP)

Bu eylemi seçerek IP adresini kalıcı olarak yasaklamış olursunuz ve bu nedenle artık sistemlerinize ulaşamaz.

 

18.1.5. Kullanıcıyı Kilitle (Lock User)

Bu eylemi seçerek, kullanıcı hesabını sistemlerinizde kilitlersiniz.

 

18.1.6. Bu IP'yi İzle (Track This IP)

Bu işlem sizi, neler olup bittiğine dair tam bir görünürlük sağlamak için söz konusu IP adresinin tüm ağ ve sunucu etkinliğinin doldurulacağı OpenDashboard uygulama Dashboard'ne götürecektir.

 

18.1.7. Bu Kullanıcıyı İzle (Track This User)

Bu işlem sizi, kullanıcı etkinliğinin meşruiyetini belirlemenizi sağlayarak, tüm ağ ve sunucu etkinliğinin o belirli kullanıcı için doldurulacağı OpenDashboard uygulaması Dashboard 'a götürecektir.

 

18.1.8. Whois Sorgusu (Whois Query)

Bu, whois veritabanında alan ve IP kayıt bilgilerini aramak için bir alan adı arama hizmetidir. Kötü niyetli kullanıcının kaynak IP adresinin sahipliği hakkında ilgili bilgileri verir.

 

18.1.9. Detayları Göster (View Details)

Bu, kaynak IP adresinin coğrafi konumu ve coğrafi koordinatlar dahil olmak üzere olayın doğru ayrıntılarını sağlar.

 

18.1.10. Olayı Kapat (Close Incident)

Bu, olayı göz ardı etmek içindir ve tekrarlanırsa ACSIA tekrar bilgilendirecektir.

 

18.1.11. Bildirimi Kapat (Mute Notification)

Bu eylem, ACSIA'ya söz konusu olay yeniden meydana geldiğinde dikkate almamasını ve artık bildirimde bulunmamasını söylemek içindir.

 

18.1.12. Komut Oturumunu İzle (Track Command Session) - Yalnızca Linux istemcileri için 

Bu, ACSIA içinde, Çekirdek düzeyi izlememiz tarafından etkinleştirilen son derece güçlü bir özelliktir. Şüpheli etkinlik algılandığı veya bir kullanıcının hassas verileri veya dosyaları okumaya veya yazmaya çalıştığı andan itibaren, uyarı tetiklenecek ve gerçek zamanlı düzeltme eylemleri sağlanacaktır. Bu Track Command Session tıkladığınızda, yalnızca uyarıyı tetikleyen belirli kullanıcı etkinliği değil, aynı zamanda yeniden oynatma modunda kullanıcının tüm oturumu sunulur. Bu adli düzeyde ayrıntı, kullanıcı tarafından gerçekleştirilen tüm etkinliği görüntülemenize ve dolayısıyla o kullanıcının neden hassas dosyaları ve verileri değiştirmeye çalıştığını ve hızlı bir şekilde bir düzeltme eylemi gerçekleştirmeye çalıştığını anlamanıza olanak tanır.

18.1.13 Bu Sunucuyu İzole Edin (Isolate This Server)

Bu eylem Sunucuyu karantinaya alır ve Ana Bilgisayar Listesi Bölümünde, "Karantinaya Alınan Ana Bilgisayarlar" sekmesinde bulabilirsiniz.

18.1.14 Bu Sunucudaki Tüm Benzer Etkinlikleri Kapat (Close All Similar Events on This Server)

Bu seçenek aynı sunucudaki tüm benzer olayları kapatacaktır.

18.1.15 Tüm Sunuculardaki Tüm Benzer Olayları Kapatın (Close All Similar Events on All Servers)

Bu seçenek tüm sunuculardaki tüm benzer olayları kapatacaktır.

 


18. Konteyner yapılarına özel ayrıntılar

ACSIA kapsayıcı farkındadır ve kaplar içindeki çekirdek olaylarını otomatik olarak izler. Ancak, kapsayıcılarda uygulama/web sunucuları çalıştırıyorsanız ve bu günlüklerin izlenmesini istiyorsanız, bunların ana bilgisayar tarafından kullanılabilir hale getirilmesi gerekir. ACSIA, günlük dosyalarına yönelik sembolik bağlantıları desteklemez - verilen günlük dosyasının tam yolu olmalıdır.

 

Linux kapsayıcı günlükleri, docker seçenekleri --volume veya --mount kullanılarak ACSIA'ya sunulabilir. Resmi liman işçisi belgelerine göre burada veya burada docker-compose kullanıyorsanız burada.

 

Daha fazla bilgi ve sorularınız için lütfen destek portalımız (https://support.4securitas.com) aracılığıyla bizimle iletişime geçerek destek ekibimizle iletişime geçin.

ACSIA, 4Securitas Ltd.'nin bir ürünüdür.

Telif Hakkı 2022 4Securitas Ltd