ArcSight Logger Connector Yapılandırması

ArcSight Logger Connector Yapılandırması

ArcSight Logger Connector Yapılandırması
ArcSight Logger Connector
Yapılandırması
ArcSight Logger Connector Yapılandırması
ArcSight Logger Connector Yapılandırması
Amaç
Bu belgede bazı ArcSight Logger modellerinde mevcut olan Connector işlevinin nasıl yapılandırıldığı anlatılacaktır.
Künye
Başlık
ArcSight Logger Connector Yapılandırması
Hazırlayan
Barikat
Tarih
05/2010
Sürüm
1.0
İlgili Ürünler
ArcSight Express, ArcSight Logger, Connector Appliance
Anahtar Kelimeler
ArcSight, Express, AE, Logger, Connector Appliance
İlgili Sorular
ArcSight Logger’da Connector’ler nasıl yapılandırılır?
Tür
Yapılandırma
Barikat İnternet Güvenliği Bilişim Tic.Ltd.Şti. © 2010 Tüm Hakları Saklıdır
ArcSight Logger Connector
Yapılandırması
ArcSight Logger Connector Yapılandırması
İçindekiler
ArcSight Logger Connector Yapılandırması ....................................................................................................................1
ArcSight Logger Connector Yapılandırması ....................................................................................................................1
Amaç ..............................................................................................................................................................................1
Çözüm Adımları .............................................................................................................................................................3
I – Giriş .......................................................................................................................................................................3
II – ArcSight Logger Sistemindeki Connector’lerin Yapılandırılması ..........................................................................3
Manager Sertifikasının Dışarıya Alınması ..............................................................................................................3
Logger Sistemine Express Sertifikasının Eklenmesi................................................................................................7
Yeni Connector Ekleme ........................................................................................................................................10
Connector Bileşeninin Güncellenmesi .................................................................................................................16
Sonuç ...........................................................................................................................................................................22
Özet .............................................................................................................................................................................22
Ekstra Kaynaklar ..........................................................................................................................................................22
2
Çözüm Adımları
I – Giriş
Bazı ArcSight Logger modellerinde bütünleşik olarak Connector Appliance bulunmaktadır. Bu sayede güvenlik ve
sistem olaylarını toplayan bazı Connector çeşitleri Logger sistemi üzerine kurulabilir. Bu yöntem, kurumlara
olayların toplanması için gerekecek sistem kaynağı anlamında bir esneklik sağlayacaktır.
II – ArcSight Logger Sistemindeki Connector’lerin Yapılandırılması
Olayların gönderileceği veya olayları ilgili sistemlere bağlanarak alacak bileşen ArcSight SmartConnector’dür. Bu
yazılım ArcSight Express sistemi ile iletişime geçerken HTTPS protokolünü kullanır. Bu yazılımın ArcSight Express ile
haberleşmesi için Express’teki Manager sertifikasının Connector’lerin çalıştığı sistemlere eklenmesi gerekmektedir.
Manager Sertifikasının Dışarıya Alınması
ArcSight Express sertifikasının dışarıya alınması için “terminal” açılır. Aşağıdaki komutlar çalıştırılır:
Cd /opt/arcsight/manager/bin
./arcsight keytoolgui
3
“File”>”Open” işlemiyle veya arayüzdeki simge ile “Open KeyStore” işlemi yapılır:
Açılması gereken dosya “/opt/arcsight/manager/jre/lib/security” altındaki “cacerts” dosyasıdır:
4
KeyStore dosyasının şifresi tırnak işaretleri olmadan “changeit”tir:
Manager’ın sertifikası bulunur ve sağ tıklama ile “Export” seçilir:
5
Mesaj penceresindeki varsayılan ayarlar kabul edilir ve OK tuşuna basılır:
Sertifikanın kaydedileceği konum seçilir:
6
Logger Sistemine Express Sertifikasının Eklenmesi
Logger sisteminin yönetim arayüzünde “Configuration” altında “Settings” seçilir. Açılan sayfada soldaki
bağlantılardan “Event Input/Output” seçilir. Açılan sayfadaki sağdaki sekmelerden “Certificates” seçilir. “Add”
tuşuna basılarak yeni sertifika ekleme işlemine başlanır:
Eklenecek sertifikayı tanımlamak için bir “alias” belirlenir. Sertifika dosyasının dosya sistemindeki konumu gösterilir
ve “Save” tuşu ile ilerlenir:
7
Sertifikaların listelendiği ekranda sisteme yeni eklenen ArcSight Express sertifikası görüntülenir:
Sertifikanın bağlantısına tıklanarak sertifika ile ilgili detaylar görüntülenir:
8
Web arayüzden “Configuration” ana menüsünden “Repositories” bağlantısına tıklanır. Soldaki “CA Certs” bağlantısı
seçilerek eklenecek sertifikanın gönderilmesine başlanır. Bu işlem için “Upload” tuşu kullanılır:
ArcSight Express’e ait sertifika gösterilir ve “Submit” tuşu ile gönderilir:
9
Sertifikanın başarılı bir şekilde gönderildiği kontrol edilir:
Yeni Connector Ekleme
Web arayüzde “Configuration” altından “Manage Connectors” seçilir. Soldaki ağaç yapısından en alt seviyedeki
“Container 1” seçilir, sağda en başta üstüne gelindiğinde “Adds a new connector” metni çıkan tuşa basılarak yeni
bir “connector” eklemeye başlanır:
10
Eklenecek connector’ün tipi seçilir, bu belgede Syslog Daemon seçilecektir:
“Syslog Daemon” “connector” için gerekli değişken tanımı yapılır. “Network Port” olarak varsayılan 514, “IP
Address” olarak “ALL” seçilerek sistemdeki tüm ağ arayüzlerinden “syslog” olay mesajlarının dinleneceği belirlenir.
Protokol olarak “UDP” kullanılır. Desteklenen diğer protokol ise “Raw TCP”’dir. “Next” ile devam edilir:
11
Syslog olaylarının toplandıktan sonra gönderilecekleri hedef seçilir. Olası bir hedef daha önce sistemde
tanımlanmamışsa “New” ile yeni bir hedef tanımı yapılır:
Gönderilecek hedefin tipi seçilir. Bu belgede olaylar ArcSight ESM’e gönderilecektir:
12
Hedef ile ilgili değişkenler girilir:
Yapılandırılan “connector” ile ilgili ek bilgiler girilir:
13
Soldaki ağaç yapısında “Localhost” altında “Container 1” seçilir ve “Cert Mgmt” tuşuna basılır:
“Certificate Management Wizard” başlar, “Next” ile devam edilir:
14
“Add certificate” seçilir ve “Next” ile devam edilir:
“Certificate Alias” belirtilir, ve “Certificate Filename”’den ilgili sertifika seçilir ve “Next” ile ilerlenir:
15
Sertifikanın başarılı eklendiği uyarısı görüntülenir. “Done” tuşu ile bitirilir:
Connector Bileşeninin Güncellenmesi
Connector yazılımı yaklaşık olarak iki ayda bir kere güncellenmektedir. Bu güncellemeler ile ArcSight’ın desteklediği
olay kaynakları artmakta ve desteklenen olay kaynaklarının yeni sürümleri de eklenmektedir. Örnek olması
açısından belgede 4.7.7 sürümüne yükseltme yapılmıştır. Bu sürüm ile ilgili dağıtım notlarına bakılırsa; “Lancope
SMC Web Services”, “Linux Audit File” ve “Linux Audit Syslog” olay kaynakları yeni desteklenmektedir. Yeni
sürümleri desteklenen olay kaynakları olarak “McAfee ePolicy Orchestrator DB 4.5” sürümü, “Oracle Audit DB
Oracle 11g” sürümü ve “UNIX OS Syslog IBM AIX 6.1” sürümü gösteriliebilir.
“Configuration” altında “Repositories” seçilir, soldaki menüden “AUP” seçilir, “Upload” tuşuna basılarak
“Connector” güncelleme dosyası seçilir:
16
Dosya seçilir ve “Submit” ile gönderilir:
Gönderim işlemi bitince yeni “Connector” sürümü görüntülenecektir:
17
ArcSight “Content” güncellemeleri ayda 1-2 kere yayınlanmaktadır. Farklı olay kaynakları için kategorizasyon
güncellemeleri ve değiştirilen imzaların açıklamalarını içerir.
“Repositories” altında “Content AUP” seçilir, “Upload” ile güncelleme dosyasının gönderilmesine başlanır:
Güncelleme dosyası seçilerek “Submit” tuşu ile gönderilir:
18
Gönderimin başarılı olduğuna dair mesaj görüntülenir:
“Configuration” altında “Manage Connectors” seçilerek soldaki ağaç yapısından “Localhost” seçilir. “Container 1”
seçilir ve “Upgrade” tuşu ile sürüm güncelleme işlemine başlanır:
19
“Next” tuşu ile güncellemeye devam edilir:
Güncellemenin ilerlemesi gözlemlenebilir:
20
“Container” sürüm yükseltmesinin başarılı olduğuna dair mesaj görüntülenir:
ArcSight Console uygulamasında da sürüm yükseltmesinin başarılı olduğu olayı gözlemlenebilir:
21
Sonuç
Bu belgede anlatılan işlemleri uygulayarak belirli Logger modelleri üzerinde Connector’ler çalıştırılarak kurumsal
altyapıdaki olayların toplanması için kullanılabilecek bir ortam hazırlanabilir.
Özet
1.
2.
3.
4.
ArcSight Express’e ait sertifika dosyası kaydedilir.
Alınan sertifika dosyası Logger sistemin üzerine eklenir.
Logger sisteminde istenen Connector’ler kurulur.
Connector’lere ait yazılım sürümü ve içerik güncellemeleri uygulanır.
Ekstra Kaynaklar
1.
2.
3.
ArcSight Support Center, http://www.arcsight.com/supportportal/
Protect 724, http://www.arcsight.com/supportportal/
ArcSight Technical Publications User Documentation Site, https://software.arcsight.com/documentation/
22