ACSIA Yardım Merkezi

ACSIA XDR Plus Architecture V6.x.x

Claudio Proietti
Claudio Proietti
  • Güncellenme

Teknik Bileşenler

Bu belge, ACSIA XDR Plus güvenlik çözümünün ve ana bileşenlerinin tasarımını ve mimarisini açıklamaktadır.

 

1. Temel Platform

ACSIA uygulama motoru, aşağıdaki büyük Linux dağıtımlarından herhangi birinde çalışır ve fiziksel, sanal, kapsayıcı veya bulut platformuna dağıtılabilir.  


2. ACSIA Motoru

ACSIA'nın temel analitik motoru, Spring Boot, Spring Data ve Spring Rest'i içeren Java Spring çerçevesinde yazılmıştır. 

 

3. ACSIA Frontend

Ön uç, React.js ve Chakra UI kütüphanesini kullanarak arka uç çağrıları yapan bir REST API arayüzüdür.

 

4. ACSIA XDR Plus Güvenliği

ACSIA, aşağıdaki entegre güvenlik bileşenleriyle birlikte gelir:

  • OAuth2 - Güvenli yetki verilmiş erişim 
  • Çok faktörlü kimlik doğrulama - 2 faktörlü kimlik doğrulama
  • İstemciler arasında güvenli iletişim için TLS
  • Pwgen - Güçlü rastgele şifre üreticisi


5. ACSIA Açık Kaynak Araç Takımı

ACSIA analitik motoru tarafından kullanılan, aşağıdakileri içeren birkaç açık kaynak aracı vardır:

Ansible Bc Binds-utils Docker
Dsnif ElasticBeats Falco Httpd-tools
Logstash Lucene MySQL OpenDashboard
OpenSearch OSQuery (Agent) OSSec Postfix
Python pip RabbitMQ Sysmon (Agent) Sysstat
Unbound (Agent) Wazuh Wget Whois


6. ACSIA Sanallaştırma Yöntemi

ACSIA, tek bir Linux çekirdeği kullanan bir kontrol ana bilgisayarında birden çok yalıtılmış Linux sistemini (container'ı) çalıştırmak için işletim sistemi düzeyinde bir sanallaştırma yöntemi olan Docker'ı (Linux Container'ları) kullanır.


7. ACSIA Konfigürasyon Yönetim Sistemi

ACSIA uses Ansible playbook for automating software provisioning, configuration management, and application deployment.


8. ACSIA Veritabanları

CSIA, güvenlik tasarımı nedenleriyle aşağıdaki gibi ayrılmış iki ayrı veritabanı kullanır:

  • MariaDB/MySQL
  • MongoDB (Elastic)


9. ACSIA Mesaj Aracısı

ACSIA mimarisi, en yaygın olarak kullanılan açık kaynaklı mesaj aracısı olan RabbitMQ'yu içerir.


10. SIEM Ortamı

ACSIA, SIEM (Güvenlik Bilgileri ve Olay Yönetimi) merkezi günlük toplayıcısı için aşağıdaki araçlarla birlikte Elastik Yığın araçlarını kullanır:

  • OpenSearch
  • OpenDashboard
  • Lucene
  • Logstash
  • Wazuh
  • ElasticBeats (günlük göndericileri)
  • OSSEC aracıları (günlük gönderici)


11. ACSIA Güvenlik Duvarı

ACSIA, yerleşik bir ana bilgisayar tabanlı güvenlik duvarı ile birlikte gelir. Güvenlik duvarı, kurulu TCP bağlantılarını öldürme, yönlendirme tablosunda IP adreslerini yasaklama, dolayısıyla IP adreslerini kara listeye alma ve beyaz listeye alma ve ayrıca bireysel kullanıcıları kilitleme (host tabanlı) gibi yenilikçi özelliklere sahiptir.

"Kill Connection" (ana bilgisayar tabanlı) özelliği, veri bağlantı katmanlarına ham bir arayüz sağlayan, ham bağlantı katmanı paketlerinin gönderilmesine ve alınmasına ve dolayısıyla istenmeyen paketleri durdurma yeteneği sağlayan Berkeley Paket Filtresi (BPF) TCP yığınında kullanılarak uygulanır.


12. İstemci Agent'ı 

Hafif bir İstemci Aracısı, v4'ten beri ACSIA'da devreye alınmıştır ve aşağıdaki verileri toplamak için ElasticBeats'i kullanır:

  • System Logs
  • Web Application Logs
  • Audit Logs
  • Network Traffic
  • Kernel/Registry Logs
  • Compliance Related Logs

Yukarıda bahsedilen ElasticBeats, Windows, Linux ve MAC OS işletim sistemleri için tek bir İstemci Aracısı halinde paketlenmiştir ve ACSIA Kullanıcı Arayüzünden indirilebilir (Kullanıcı ve Yönetim Kılavuzuna bakın) ve indirilen yürütülebilir dosya çalıştırıldığında otomatik olarak yüklenir. ACSIA aracısı, tüm iletişim bağlantı noktalarını 443 (HTTPS) ve 444 (TCP/UDP) olan tek bir bağlantı noktasında birleştirir.


13. Günlük Gönderimi

Open search tarafından sağlanan vuruşlar, çeşitli günlük dosyalarını ACSIA'daki Security Information Event Manager'a aktarmak için günlük gönderici olarak kullanılır. İlgili veri hacimleri çok küçüktür (kilobit olarak ölçülür), bu nedenle ACSIA'yı dağıtırken istemci veya ağ üzerinde herhangi bir performans yükü yoktur.

Tüm istemci trafiği, istemci sunucu sertifikaları kullanılarak Aktarım Katmanı Güvenliği (TLS V1.2 veya üstü) kullanılarak şifrelenir.


Mimari Tasarım

14. Üst Düzey Mimari Blok Görünümü

ACSIA XDR Plus ürünü, İzinsiz Girişi Önleme (IPS) ve İzinsiz Giriş Tespit Sistemleri (IDS) ile Uç Nokta Algılama ve Yanıt (EDR) özelliklerini tek bir platformda birleştirir ve bunların tümü gerçek zamanlı Güvenlik Bilgileri ve Olay Yönetimimiz (SIEM) tarafından desteklenir. sistem.

Ardından, kötü IP Adreslerini, anonim çıkış düğümlerini ve kötü amaçlı yazılım kaynaklarının ağa erişmesini yasaklayan bir tahmine dayalı Tehdit İstihbaratı beslemesi ekleyerek bu Genişletilmiş Algılama ve Yanıtı (XDR) geliştirdik. Bu tehdit kaynaklarını, ağ altyapınızı bile görüntüleyemeden ortadan kaldırmak. Bu nedenle ürüne ACSIA XDR Plus adını veriyoruz.

 

ACSIA'dan üçüncü taraflara (4Securitas dahil) hiçbir Uç Nokta verisi aktarılmaz veya paylaşılmaz. ACSIA uygulaması, müşterinin tesisi dışında veri paylaşmadan, dağıtmadan veya kopyalamadan müşterinin altyapısına kurulur.

Fig_1_in_Architecture_Doc.jpg

Şekil 1: Mimari Blok Görünümü

 

Predictive, Proactive, EDR, IDS ve IPS işlevlerini tek bir Uygulama Motorunda entegre etmek, Yapay Zeka ve Makine Öğrenimi işlevlerinin uygulanmasıyla üstün analitik algılama, otomatik düzeltme ve sürekli iyileştirme için birden çok olay türünün yakalanmasını ve ilişkilendirilmesini kolaylaştırır.


15. ACSIA XDR Plus Dahili İş Akışı Şeması

İş akışı diyagramı (Şekil 2), ACSIA'nın mimari iş akışını ve bu belgede daha önce açıklanan açık kaynak bileşenleriyle entegrasyon noktalarını göstermektedir.

Ayrıca, istemcilerden gelen verilerin "logstash" tarafından alındığı ve yapılandırılmamış bir biçimde "elasticsearch" veritabanında depolandığı ACSIA sunucu iş akışını da gösterir. Veri akışı, ACSIA çekirdek motorunu içeren analizöre hizmet eden ileti aracısı 'RabbitMQ' tarafından kuyruğa alınır ve yönetilir.

Analiz edilen veriler ACSIA Web UI'de (uyarılar, mesajlaşma, bildirimler vb.) zenginleştirilip görselleştirilir ve bir MySQL veritabanında saklanır.

OpenDashboard, tüm OpenSearch verilerini formatlar ve son kullanıcıya sunar.

ACSIA-Internal-Workflow.png

Şekil 2: Dahili İş Akışı Şeması

 

16. ACSIA XDR Plus İstemci Aracısı Veri Akışı Şeması

Aşağıdaki akış şeması (şekil 4), ajan dağıtımının günlüklerini 443 gibi birleştirilmiş güvenli bağlantı noktası aracılığıyla gerçek zamanlı olarak göndererek ACSIA ile nasıl etkileşime girdiğini gösterir ACSIA analitik motoru.

img_AGENT.jpg

Şekil 4: İstemci Agent'lı Veri akışı Şeması