ArcSight Express Kurulumu

ArcSight Express Kurulumu ve İlk Yapılandırma Ayarları
ArcSight Express Kurulumu
ArcSight Express Kurulumu ve İlk Yapılandırma Ayarları
Amaç
Bu belgede ArcSight Express çözümü içinde yer alan bileşenler ve bu bileşenlerin ilk kurulumları ve sonrasındaki
yapılandırma ayarları anlatılacaktır.
Künye
Başlık
ArcSight Express Kurulumu
Hazırlayan
Barikat
Tarih
04/2010
Sürüm
0.1
İlgili Ürünler
ArcSight/ArcSight Express, ArcSight Logger
Anahtar Kelimeler
ArcSight, Express, AE, Logger, Storage Appliance
İlgili Sorular
ArcSight Express bileşenleri nelerdir?
ArcSight Express kurulumu nasıl yapılır?
Kurulum, Yapılandırma
Tür
Barikat İnternet Güvenliği Bilişim Tic.Ltd.Şti. © 2010 Tüm Hakları Saklıdır
ArcSight Express Kurulumu
ArcSight Express Kurulumu ve İlk Yapılandırma Ayarları
İçindekiler
ArcSight Express Kurulumu ve İlk Yapılandırma Ayarları ...............................................................................................1
Amaç ..............................................................................................................................................................................1
Çözüm Adımları .............................................................................................................................................................3
I – Giriş .......................................................................................................................................................................3
II – ArcSight Storage Appliance/ArcSight Depolama Kutusu /ArcSight Logger ..........................................................3
Kutunun özellikleri .................................................................................................................................................3
Kutunun Çalıştırılması ............................................................................................................................................4
Web Arayüzünden Logger İlk Yapılandırması ........................................................................................................6
III – ArcSight Express Kutusu ....................................................................................................................................21
Kutunun özellikleri ...............................................................................................................................................21
Kutunun Çalıştırılması ..........................................................................................................................................22
Oracle Enterprise Linux Yapılandırması ...............................................................................................................23
ArcSight Express Yapılandırması ..........................................................................................................................33
Logger’ın ArcSight Express’ten Gönderilecek Olayları Depolaması için Gerekli Yapılandırma ............................37
ArcSight Logger Yapılandırma Sonrası ArcSight Express Kurulumu .....................................................................39
ArcSight Express Sürüm Yükseltme .....................................................................................................................42
IV – ArcSight Console Kurulumu ..............................................................................................................................43
ArcSight Console Kurulum Aşaması .....................................................................................................................43
ArcSight Express’e Erişmek İçin Konsol Kurulacak Makinede Yapılacak Değişiklik ..............................................48
ArcSight Console Çalıştırılması .............................................................................................................................52
Sonuç ...........................................................................................................................................................................53
Özet .............................................................................................................................................................................53
Ekstra Kaynaklar ..........................................................................................................................................................53
Kaynakça ......................................................................................................................................................................53
2
Çözüm Adımları
I – Giriş
ArcSight Express, güvenlik bilgi ve olaylarının izlenmesine olanak sağlayan bir SIEM çözümüdür. ArcSight Express bu
kapsamda ArcSight ESM’in üstün eşleştirme yeteneklerinin ve ArcSight Depolama kutularının bir bileşimini kullanır.
ArcSight Express çözümü aşağıdaki bileşenlerden oluşabilmektedir:
1.
2.
ArcSight Express Kutusu: Bu kutuda ArcSight Database, ArcSight Manager, ArcSight Web, ve
ArcSight Forwarding Connector bileşenleri bulunmaktadır.
ArcSight Depolama Kutusu: Bu kutu güvenlik olaylarını kaydeden ve kaydedilen bu olayların
sorgulanmasını ve izlenmesini sağlar. ArcSight Logger yazılımı kutu ile birlikte yüklenmiş olarak
gelir. ArcSight Depolama Kutusu belirli ArcSight Express modelleri ile beraber gelmektedir. Ama
bu kutuyu içermeyen Express çözümlerine sonradan bileşen olarak satın alınıp eklenebilmektedir.
II – ArcSight Storage Appliance/ArcSight Depolama Kutusu /ArcSight Logger
ArcSight Express kutusunu kurmaya ve yapılandırmaya başlamadan önce eğer çözümde bulunuyorsa depolama
kutusunun yapılandırılması gereklidir. Bu kısımda anılan adımların sırayla yapılması önemlidir. Depolama
kutusunun ilk haline (fabrika ayarlarına) getirilmesi mümkündür ama bunun dışında burada anlatılacak ayarlar bir
kere belirlenince değiştirilemez. Bu sebepten ötürü kurulumun doğru bir şekilde planlanması ve uygulanması
önemlidir.
Kutunun özellikleri
Ekran görüntülerinde kullanılan kutu, 3200 Serisi bir Logger donanımıdır. Donanım özellikleri kısaca aşağıda
belirtilmektedir:
Model
Yönetim
Desteklenen Sistemler
İşletim Sistemleri
Sıkıştırma
Cihaz Desteği
Maksimum EPS
İşlemci
RAM
Depolama
Şase
Güç
Ethernet
L3200
Web Tabanlı, Komut Satırı Arayüzü
Ham Syslog(TCP/UDP), ham dosya tabanlı kayıtlar(FTP, SCP, SFTP),
270’ten fazla ticari ürün için eniyileştirilmiş kayıt toplama,
Doğrudan desteklenmeyen uygulamalar için FlexConnector
çerçevesi,
ArcSight Common Event Format (CEF),
ArcSight ESM
Oracle Enterprise Linux 4, 64-bit
10:1 oranına kadar
200
2000
1 X Intel Xeon E5504 Quad Core 2.0 GHz
12 GB
2 X 1TB – RAID 1
1U
Yedekli olmayan 480W 100-240 VAC
2 X 10/100/100
3
Kutunun Çalıştırılması
Güç, monitör, klavye, ve ethernet kabloları cihazda uygun yerlere takılır. Kutunun önündeki güç tuşuna basılarak
cihaz çalıştırılır. BIOS ekranında sistem özellikleri gözlemlenebilir:
İşletim sistemi açılış ekranında varsayılan olarak Oracle Enterprise Linux gelmektedir, sistem kendiliğinden
açılacaktır:
4
Yapılandırma için bağlanılan klavye veya fare var ise bunların sürücülerine ait uyarı mesajı gelebilmektedir. Bir tuşa
basarak ilerlenebilir:
Sistemin bir bütün halinde sağlıklı çalışması için gerekli servisler sırayla başlatılır. Varsayılan yapılandırma ile
mevcut NTP sunucularına erişilemediğinden aşağıdaki uyarı mesajı şimdilik göz ardı edilebilir:
5
Sistemin servisleri başarıyla başlatılınca aşağıdaki kullanıcı giriş ekranı görüntülenir:
Web Arayüzünden Logger’ın İlk Yapılandırılması
Logger donanımı varsayılan olarak eth0 arayüzünde 192.168.35.35 IP’sinden HTTPS hizmeti verir ve bu şekilde ilk
yapılandırmayı gerçekleştirmek mümkündür. https://192.168.35.35 adresinden kullanıcı ismi “admin” ve şifresi
“password” olarak bağlantı yapılır:
6
Ürüne ait lisansın girilmesi gereklidir. Lisans dosyası web arayüzünden girilir ve “Upload Update” tuşu ile devam
edilir:
Lisans gönderme işlemi bitince sistemin yeniden başlatılması gerektiği belirtilir:
7
“Start Reboot Now” tuşuna basılarak yeniden başlatma işlemi başlatılır:
Yeniden başlama işlemi için 60 saniyelik bir geriye sayma süreci vardır, bu sürenin sonunda yeniden başlatma süreci
başlayacaktır:
8
Yeniden başlama süreci biraz zaman alacaktır. Sistem yeniden başladığında yine aynı web yönetim arayüzü ve
varsayılan kullanıcı ismi şifresi ile sisteme bağlanılır. İlk aşama olan tüm olay verilerinin depolanacağı tekil
depolama hacmine ait bilgiler girilebilir. Bazı Logger modelleri SAN bağlantısına olanak sağlar. Bu modellerde
birincil depolama alanı SAN olarak seçilebilir. Bunun için “Mount Location” seçeneği “Local” değil “Remote” olarak
seçilmelidir. Örneğimizdeki model Logger donanımının içsel depolama alanını kullanacaktır. Bu sebepten “Mount
Location” “Local” olarak seçilecektir. Bu cihazın desteklediği maksimum boyut 778GB’tır. ArcSight hem yerel hem
de uzak hacimler için atanmış depolama alanının hepsinin “Preallocation Amount” olarak seçilmesini önermektedir.
“Preallocation Amount” oranı sonradan arttırılamaz. Bunu sağlamanın tek yolu cihazın fabraika ayarlarına
döndürülüp baştan kurulup, yapılandırılmasıdır. “Preallocation Amount” 100(%100) olarak seçilir ve “Save” ile
kaydedilir:
9
Sonraki ekranda “preallocation” işleminin durumu izlenebilir:
Bu işlem bittikten sonra “Storage Groups” kısmı altında tanımlamaları yapılabilir.
Logger donanımı maksimum 6 adet depolama grubuna izin vermektedir. Bunların ikisi “Internal Storage Group” ve
“Default Storage Group” olarak öntanımlı gelmektedir. Bunlara ek olarak 4 tane daha yeni depolama grubu
oluşturulabilir. Sonuçta olayları depolamak için 5, Logger’ın içsel olaylarını depolamak için de 1 adet grup
tanımlanabilir. “Storage Volume” tanımlandıktan sonra varsayılan olarak “Default Storage Group”
oluşturulmaktadır. Bu grubun ismi değiştirilemez. Ek Depolama grupları tanımlamak bu aşamada şart olmasa da
ArcSight bunu önermektedir çünkü Logger ilk yapılandırma ayarları yapıldıktan sonra ek depolama grupları
oluşturmaya izin vermemektedir. Ama istenildiği taktirde oluşturulan depolama gruplarının boyutları arttırılmakta
ve azaltılmaktadır. Bu sebepten bu aşamada gereksinim olmasa bile boyutları ufak olan depolama grupları
oluşturmak daha sonra ortaya çıkacak gereksinimleri karşılamak açısından yararlı olacaktır. Varsayılan depolama
grubunun ayarlarında olayların kaç gün sure ile tutulmak istendiği ve bu grubun maksimum boyutu belirtilir ve
“Save” tuşu ile kaydedilir:
10
Varsayılan Depolama Grubuna yer atadıktan sonraki ekranda ek gruplar için kalan atanmamış alanın boyutu
görülebilir:
Ek depolama grubu için maksimum gün ve boyut belirlenir. Burada önemli olan toplanacak olayların ne kadar
saklanacağıdır. Mesela 5651 sayılı yasanın 6. maddesinin b fıkrası bilgilerin “altı aydan az ve iki yıldan fazla
olmamak üzere” saklanması gerektiğini belirtmektedir. Bu durumda anılan olayları yaklaşık 190 gün saklamak
kurumsal bir gereksinimi adresleyebilmek için mantıklı bir seçim olacaktır:
11
Geriye kalan depolama alanı ek gruplara atanarak değerlendirilir:
Depolama hacmindeki tüm boşluk atanmış ve ek depolama grubu oluşturulamaz uyarısı görüntülenir. Depolama
kısmı bitince hangi olay alanlarınn dizinleneceği yapılandırılır. Bunun için uyarı ünleminin olduğu satırdaki bağlantı
kullanılır:
12
“Select Recommended Fields” ile ArcSight’ın önerdiği alanlara göre dizinleme yapılması sağlanır. Şart olmasa da
dizinlere alanları eklemek arama sorgularının daha hızlı sonuçlar üretmesini sağlamaktadır. Ek olarak varsayılan
ayarlarda “full-text indexing” seçeneği etkin değildir. Bu seçeneği etkinleştirerek her olayın taranıp anahtar
kelimelere ayrılması sağlanır:
Önerilen alanların dizinleneceği ve tam metin dizinleme seçeneğini etkinleştirildiği uyarısı görülür. “Apply Changes”
tuşu ile ayarlar kaydedilip uygulanır:
13
“Time/NTP” ayarları kısmında sistemin mevcut saati ve hangi zaman bölgesinde olduğu görülebilir ve gerekli
değişiklikler yapılabilir. Elle tanımlama yerine sistemin erişebileceği NTP sunucularının “NTP Server List” kısmına
girilmesi kayıt yönetimi sisteminin en kritik husularından biridir. Bu sayede sistem otomatik olarak NTP sunucularını
kullanarak sistemin saatini düzeltir:
“DNS” sekmesinde sistemin DNS istekleri için hangi sunucuları kullanacağı ve sorgularda kullanılacak etki alanları
tanımlanır:
14
“Hosts” sekmesinde Logger sistemi için “hosts” dosyası web arayüzünden güncellenebilir. Burada ArcSight Express
sisteminin ismi ve IP’sinin belirtilmesinin sebebi daha sonraki aşamalarda ARcSight Express sertifikası
oluşturulurken kullanılacak sistem ismindendir.
Network sekmesinde Logger sisteminin ismi, varsayılan ağgeçidi, sistemdeki ağ arayüzlerinin IP ayarları
yapılmaktadır. Ayarlar tanımlandıktan sonra “Update Settings” ile bilgiler güncellenir. Değişiklikler sistemin yeniden
başlatılması ile gerçekleşecektir:
15
“SMTP” kısmında sistem ile ilgili alarmların atılması için kullanılacak e-posta sunucusunun bilgisi ve postayı atacak
posta adresi belirlenir. “Update Changes” ile bu ayarlar uygulanabilir, yeniden başlatma gerekmemektedir:
Bu aşamaya kadar yapılan çoğu adım yeniden başlatma gerektirdiğinden “Start Reboot Now” tuşu ile bu süreç
başlatılır:
16
Sistem yeniden başladıktan sonra “System Admin” sekmesindeki “Users/Groups” altındaki “Users” kısmından
varsayılan şifre değiştirilir:
Ekrandan görülebileceği üzere bu sistem Logger v4.0 GA olarak tanımlanan L4105 sürümü ile çalışmaktadır. Tüm
ArcSight ürünlerinde olduğu gibi https://software.arcsight.com/ adresinden ürünlere ait tüm dosyalara indirilip
gerekli işlemler yapıldıktan sonra ürün son sürümde çalışmaktadır. Bu belgedeki sürüm yükseltme işlemleri
aşağıdaki sırada olacaktır:
1.
2.
Logger v4.0 GA(L4105) sürümünden Logger v4.0 SP1(L4248) sürümüne geçiş
Logger v4.0 SP1(L4248) sürümünden Logger v4.0 SP1 Patch 1(L4265) sürümüne geçiş
Bu iki aşamalı yöntem belge açısından tercih edilmiştir. L4105 sürümünden L4265 sürümüne doğrudan geçiş de
mümkündür. Sürüm yükseltme ve yeni sürüm ile ilgili bilgiler, güncelleme dosyaları ile beraber PDF dosya
biçiminde sunulmaktadır.
17
“System Admin” altında “License&Update” bölümünde “browse” tuşu ile sürüm yükseltme için kullanılacak dosya
sisteme gönderilir:
Güncelleme dosyası Logger’a gönderilir, bu dosya açılır ve kurulum kısmına geçilir. Bu süreç otomatik olarak devam
eder. Önemli nokta sistemin kapatılmaması, elektrik kesintilerine maruz kalmamasıdır:
18
Güncelleme bittikten sonra sistemin yeniden başlatılması gerekmektedir:
Sürümü L4248 olan sisteme L4265 güncelleme dosyası gönderilir:
19
Güncelleme dosyası gönderilir, açılır ve kurulumu yapılır:
İşlemler bitince sistem yeniden başlatılır:
20
Sistem açılıdğında arayüzden son sürüm bilgisi kontrol edilir:
III – ArcSight Express Kutusu
Bu belgede kurulumu anlatılacak kutunun modeli M7200-L’dir. M7200 serisi modellerin donanımsal özellikleri
aynıdır. Farklılık desteklenen cihaz sayılarında, maksimum EPS(Events Per Second) ve maksimum varlık sayısındadır.
Kutunun özellikleri
Donanım özellikleri kısaca aşağıdaki tabloda belirtilmektedir:
Model
İşletim Sistemi
Sıkıştırma
Maksimum Ağ Cihazı
Maksimum Masaüstü
Maksimum Varlık
Web Kullanıcıları
İşlemci
Ethernet
RAM
Depolama
Şase
Güç
M7200-L
Oracle Enterprise Linux 4, 64-bit
10:1 oranına kadar
100
250
10,000
Sınırsız Sayıda Kullanıcı
2 X Intel Xeon E5504 Quad Core 2.0 GHz
4 X 10/100/100
24 GB
6 X 600GB – RAID 10 Efektif 1.6TB
2U
2 X 870W 100-240 VAC
21
Kutunun Çalıştırılması
Güç, monitör, klavye, ve ethernet kabloları takılır ve sonrasında sistem çalıştırılır. BIOS ekranında sistem özellikleri
gözlemlenebilir:
İşletim sistemi açılış ekranında varsayılan olarak Oracle Enterprise Linux gelmektedir, sistem kendiliğinden
açılacaktır:
22
ArcSight Express kutusunu yapılandırmak iki aşamadan oluşmaktadır:
1.
2.
Cihazda kurulu olan Oracle Enterprise Linux işletim sisteminin yapılandırılması.
Cihazda öntanımlı olan ArcSight Express yazılımının yapılandırılması.
Oracle Enterprise Linux Yapılandırması
İşletim sistemi yapılandırma sihirbazı görüntülenir:
Lisans sözleşmesi görüntülenir. “Yes, I agree to the License Agreement” seçilerek “Next” ile devam edilir:
23
Sistemin kullanacağı klavye tipi seçilir:
Kullanılacak fare tipi seçilir:
24
Sistem yönetimi için kullanılcak işletim sistemi “root” şifresi belirlenir:
ArcSight Manager ve Web bileşenlerini de içeren çoğu servis “arcsight” kullanıcı ismi ile çalıştırılır. Bu “arcsight”
kullanıcısı sistemde oluşturulmuştur. Bu aşamada bu kullanıcı için şifre belirlenir:
25
Sistemden çalıştırılacak Oracle uygulaması “oracle” kullanıcısı ile çalıştırılır. Bu kullanıcı için şifre aşağıdaki adımda
belirlenir:
Bu aşamada cihazın kullanacağı IP adresleri belirlenir. Sistem varsayılan olarak aşağıdaki IP adresleri ile
yapılandırılmıştır:
Eth0 arayüzü için 192.168.35.35
Eth1 arayüzü için 192.168.36.35
Değiştirilmek istenen arayüz(bu örnekte eth0) seçilir ve “Change Network Configuration” tuşu ile istenen
değişikliklere başlanır:
26
Yapılandırılacak eth0 seçilip “Edit” tuşuna basılır:
“Statically set IP addresses” seçeneği seçilir ve istenen IP adresi, altağ maskesi, ve varsayılan ağ geçidi belirlenir:
27
“DNS” sekmesine geçilerek ArcSight sisteminin ismi, isim sorguları için kullanılacak DNS sunucu adresleri, ve DNS
arama yolu tanımlanır. Gerekli yapılandırma bitince “File” menüsünden “Save” edilerek ayarlar kaydedilir:
“Network Setup” ekranındaki “Next” tuşu ile devam edilir:
28
“Security Level” ekranında “Enable firewall” seçili gelmektedir, “Trusted services” kısmındaki servislerin seçili
olduğu kontrol edilir ve “Trusted devices” olarak eth0 seçilir:
“Next” tuşuna basınca varolan yapılandırma ayarlarının üstüne yazılacağı belirtilir, “Yes” tuşuna basarak devam
edilir:
29
“Timezone” seçeneklerinde sistemin bulunduğu zaman dilimi olan Europe/İstanbul seçilir:
“Date and Time” seçeneğinde varsayılan olarak NTP seçili gelmektedir. Sistem listede bulunan NTP sunuculara
bağlanarak zaman bilgisini güncellemeye çalışır:
30
“Display” ekranında sisteme bağlı olan monitörün ekran çözünürlüğü ve renk derinliği ayarları belirlenir:
“Finish Setup” ekranında bu aşamaya kadar belirlenen seçenekler kaydedilir:
31
Kullanıcı giriş ekranında sisteme giriş için kullanılacak kullanıcı adı yazılır. Buraya kullanıcı adı olarak “root” yazılır:
Password olarak daha önce belirlenen “root” kullanıcısının şifresi girilir:
32
ArcSight Express Yapılandırması
Sisteme “root” kullanıcısı ile oturum açılınca “ArcSight Express Configuration Wizard” görüntülenecektir:
Kullanıcı arayüzünde kullanılacak dil seçenekleri belirtilir:
33
Veritabanı kullanıcısı olarak “arcisght” sistemde tanımlıdır, bu kullanıcı için bir şifre belirlenmelidir:
a
Şifre belirlemede önemli bir nokta vardır, şifreler bir harfle başlamak zorundadır. Aksi bir durumda aşağıdaki gibi
bir uyarı görüntülenir:
34
Veritabanındaki “SYS” ve “SYSTEM” kullanıcı hesapları için şifre belirlenir:
“Notification E-mails” seçeneğinde sistemin uyarılarıyla ilgili bilgiler girilir. Bu eposta adresleri aşağıda açıklanmıştır:
“Notification e-mail address”: ArcSight Manager servisi durduğunda veya başka bir sorunla karşılaşıldığında eposta
ile uyarı yapılacak eposta adresidir.
“Escalation e-mail address”: Uyarı epostaları gönderildikten sonra belirli bir sure aksyion alınmazsa bir üst
kademedeki kişinin eposta adresidir.
“From e-mail address”: Uyarı epostalarının göndericisin eposta adresidir.
35
ArcSight Express lisansı girilir ve devam edilir:
ArcSight Manager için kullanıcak makine ismi, ArcSight kullanıcı ismi ve şifreleri girilir. Burada girilecek “manager
host name” “self-signed” sertifika için kullanılacaktır. Sertifikadaki CN(Common Name) burada girilecek olan
makine ismi olacaktır:
36
Bu ekranda uzun vadeli depolama için olayların ArcSight Express kutusundan ArcSight Depolama kutusuna
iletilmesi seçeneğinin etkinleştirilmesi seçilir:
ArcSight Express yapılandırması aşamasına bu noktada ufak bir ara verilecek ve olayların Logger’da uzun vadeli
depolanmasını sağlamak için Logger yönetim arayüzünde gerekli ayarlar yapılacaktır.
Logger’ın ArcSight Express’ten Gönderilecek Olayları Depolaması için Gerekli Yapılandırma
Logger web tabanlı yönetim arayüzüne giriş yapılır. “Configuration” altındaki “Settings” seçilir ve solda
görüntülenen seçeneklerden “Event Input/Output” seçilir. “Receivers” kısmı varsayılan olarak görüntülenir. “Add”
tuşuna basılarak yeni bir “receiver” eklenir:
37
“Name” alanına girilecek değer önemlidir çünkü aynı değerin ArcSight Express ekranında girilmesi gerekecektir.
“Type” olarak “SmartMessage Receiver” seçilir ve “Next” ile ilerlenir:
“Encoding” olarak “UTF-8” seçilir ve devam edilir:
38
Varsayılanda “SmartMessage Receiver” etkinleştirilmiş olarak başlamaz. En sağdaki ikon seçilerek etkinleştirilir:
ArcSight Logger Yapılandırma Sonrası ArcSight Express Kurulumu
Logger cihazının sistem ismi veya IP adresi girilir. Logger tarafında belirlenen “receiver name” aynen burada ilgili
alana yazılır. “Forwarding connector” tarafından kullanılmak üzere ArcSight Express kullanıcısı oluşturulacaktır. Bu
sebepten bu kullanıcının hesap ismi ve şifresi ilgili alanlara girilir:
39
Aşağıdaki ekranda ArcSight Express’in yapılandırmaya hazır olduğu mesajı gelmektedir:
Aşağıdaki ekrandan ilerleme durumu görülebilir:
40
Tüm adımların başarıyla bittiği sonucu görülür. “Next” tuşuna basıldığında “Oracle tablespace expansion” işlemi
başlayacaktır. Bu işlem 1-2 saat sürebilir:
İşlemler başarı ile tamamlandığında bu durumu belirten bilgi mesajı görüntülenecektir:
41
ArcSight Express Sürüm Yükseltme
ArcSight ürünlerine ait https://software.arcsight.com/ adresine gidilir ve ArcSight Express için güncelleme dosyası
indirilir. Belgenin yazıldığı tarih itibariyle son sürüm ArcSight Express 4.5-SP2’dir. İlgili güncelleme dosyasının ismi
aeupdate-4.5.2.6076.0.pl’dir. Bu dosya siteden indirilir ve uygun bir yöntemle(USB dosya transferi veya WinSCP)
ArcSight Express makinesine kopyalanır. Md5sum komutları ile indirilen dosyaların bütünlüğü denetlenir:
Aşağıdaki komut çalıştırılarak ArcSight Express güncellenir. İşlem bittiğinde sistemi yeniden başlatmanın gerekli
olmadığı uyarısı belirir:
42
IV – ArcSight Console Kurulumu
ArcSight Console Kurulum Aşaması
ArcSight ürünlerine ait https://software.arcsight.com/ adresine gidilir ve ArcSight Express için gerekli “Console”
uygulaması indirilir. Bu dosya ArcSight Express sürümü ile uyumlu olmalıdır. Bu sebepten “ArcSight-4.5.2.6076.0Console-Win.exe” isimli dosyanın indirilip çalıştırılması gerekmektedir:
Ekranda konsol kurulumu için gerekli ön koşullar ekranda görüntülenir. Database ve Manager bileşenlerinin kurulu
ve çalışır durumda olması gerekmektedir. “Next” tuşu ile devam edilir:
43
“Next” tuşu ile ilerlenir:
Sadece Amerikan Hükümeti Kurumlarıyla ilgi özel uyarı görüntülenmektedir, “Next” ile devam edilir:
44
Konsol yazılımının kurulacağı yol belirlenir ve “Next” ile devam edilir:
Başlat menüsünde oluşturulacak kısayol ayarları seçilir, varsayılan ayarlar yeterlidir, “Next” ile devam edilir:
45
Kurulum öncesi kurulum seçeneklerinin bir özeti görüntülenir, değiştirilecek bir ayar var ise “Previous” ile geri
dönülüp değiştirilebilir. Yoksa “Next” ile devam edilir:
Daha önceki bir konsol kurulumundan aktarılmak istenen bir ayar var ise aşağıdaki aşamada seçilir, sıfırdan
kurulum yapıldığından böyle bir seçenek seçmeye gerek yoktur:
46
Varsayılan modda kurulum yapılacaktır. FIPS 140-2 modu bu standarda uyumlu çalışması gereken seçilmesi
gereken bir seçenektir. Bu kurulumda bu seçenek kullanılmayacaktır:
Konsolun bağlanacağı Manager bileşeninin sistem adı yazılır, bu sistemin adı bu belgede esm1 olarak belirlenmiştir.
Bu makineye ulaşabilmek için bir “Next” tuşuna basmadan önce aşağıda anlatılan işlemin yapılması gerekecektir.
Manager port varsayılan olan 8443’te kalacaktır:
47
ArcSight Express’e Erişmek İçin Konsol Kurulacak Makinede Yapılacak Değişiklik
ArcSight Express sistemine isim olarak esm1 verilmiş ve “self-signed” sertifika bu isme göre oluşturulduğu için
konsol kurulacak Windows sistemin esm1 ismini çözmesi gerekmektedir. Bunun için Windows’un hosts dosyası
açılır ve gerekli değişiklik yapılır:
Konsol yazılımı Manager bileşenine bağlanırken vekil sunucu kullanacaksa aşağıdaki ekrandan seçilir. Bu belgedeki
yapıda bağlantı doğrudan olduğundan “Use direct connection” seçeneği seçilmiştir:
48
Manager bileşeni için kullanılan sertifika semo sertifika ise aşağıdaki ekrandaki seçenek seçilir. “Self-signed” sertifa
kullanıldığından seçilmeyecektir:
Manager bileşenindeki kullanıcı doğrulama seçeneği belirlenir. Şifre temelli doğrulama yapılacağından varsayılan
seçenek kullanılacaktır:
49
Konsol yazılımı kullanılırken web bağlantıları için kullanılacak web tarayıcının çalıştırılabilir dosya yeri belirtilir.
Varsayılan Microsoft Internet Explorer web tarayıcısı yeterlidir:
Konsol yazılımının kurulacağı makinedeki kullanıcı seçeneği seçilir:
50
Konsol yapılandırması bitmiştir. “Finish” tuşu ile devam edilir:
Kurulumun başarılı olduğu belirtilir. “Done” tuşu ile kurulum bitirilir:
51
ArcSight Console Çalıştırılması
Başlat menüsünden ArcSight Console 4.5 SP2 seçilir ve konsol uygulaması başlatılır. Kullanıcı adı kısmına sistem
kurulurken verilen kullanıcı adı admin ve şifresi girilir. Bağlanılacak sistemin ismi esm1 olduğundan bu değeri
değiştirmeye gerek yoktur:
Manager bileşeninin “self-signed” sertifikası ile ilgili bilgiler gelir. OK tuşu ile bu sertifikaya güvenilir:
52
Konsol açılır ve varsayılan ekranlar görüntülenir:
Sonuç
Bu belgede; Arcsight Express bileşenlerinin nasıl kurulacağı, kurulum aşamasındaki adımlar, bileşenlerin
güncellenmesi, ve yönetim için kullanılacak konsol yazılımının kurulması anlatılmıştır.
Özet
1.
2.
3.
4.
5.
ArcSight Logger cihazı çalıştırılır ve kurulum adımları gerçekleştirilir.
ArcSight Express cihazı çalıştırılır, Oracle Enterprise Linux ve sonrasında ArcSight bileşenleri yapılandırılır.
Logger cihazında Arcsight Express olaylarının uzun vadeli saklanması için gereken ayarlar yapılır.
ArcSight Express kurulumu bitirilir.
ArcSight Console uygulaması kurulur.
Ekstra Kaynaklar
1.
https://software.arcsight.com/documentation/ adresindeki ürün belgeleri.
Kaynakça
1. ArcSight Logger v4.0 SP1 Administrator Guide
2. ArcSight Express Version 4.5 SP2 Configuration Guide
53