ArcSight Express Kurulumu

ArcSight Express Kurulumu ve İlk Yapılandırma Ayarları ArcSight Express Kurulumu ArcSight Express Kurulumu ve İlk Yapılandırma Ayarları Amaç Bu belgede ArcSight Express çözümü içinde yer alan bileşenler ve bu bileşenlerin ilk kurulumları ve sonrasındaki yapılandırma ayarları anlatılacaktır. Künye Başlık Hazırlayan ArcSight Express Kurulumu Barikat Tarih 04/2010 Sürüm 0.1 İlgili Ürünler Anahtar Kelimeler İlgili Sorular Tür ArcSight/ArcSight Express, ArcSight Logger ArcSight, Express, AE, Logger, Storage Appliance ArcSight Express bileşenleri nelerdir? ArcSight Express kurulumu nasıl yapılır? Kurulum, Yapılandırma Barikat İnternet Güvenliği Bilişim Tic.Ltd.Şti. 2010 Tüm Hakları Saklıdır

ArcSight Express Kurulumu ArcSight Express Kurulumu ve İlk Yapılandırma Ayarları İçindekiler ArcSight Express Kurulumu ve İlk Yapılandırma Ayarları... 1 Amaç... 1 Çözüm Adımları... 3 I Giriş... 3 II ArcSight Storage Appliance/ArcSight Depolama Kutusu /ArcSight Logger... 3 Kutunun özellikleri... 3 Kutunun Çalıştırılması... 4 Web Arayüzünden Logger İlk Yapılandırması... 6 III ArcSight Express Kutusu... 21 Kutunun özellikleri... 21 Kutunun Çalıştırılması... 22 Oracle Enterprise Linux Yapılandırması... 23 ArcSight Express Yapılandırması... 33 Logger ın ArcSight Express ten Gönderilecek Olayları Depolaması için Gerekli Yapılandırma... 37 ArcSight Logger Yapılandırma Sonrası ArcSight Express Kurulumu... 39 ArcSight Express Sürüm Yükseltme... 42 IV ArcSight Console Kurulumu... 43 ArcSight Console Kurulum Aşaması... 43 ArcSight Express e Erişmek İçin Konsol Kurulacak Makinede Yapılacak Değişiklik... 48 ArcSight Console Çalıştırılması... 52 Sonuç... 53 Özet... 53 Ekstra Kaynaklar... 53 Kaynakça... 53 2

Çözüm Adımları I Giriş ArcSight Express, güvenlik bilgi ve olaylarının izlenmesine olanak sağlayan bir SIEM çözümüdür. ArcSight Express bu kapsamda ArcSight ESM in üstün eşleştirme yeteneklerinin ve ArcSight Depolama kutularının bir bileşimini kullanır. ArcSight Express çözümü aşağıdaki bileşenlerden oluşabilmektedir: 1. ArcSight Express Kutusu: Bu kutuda ArcSight Database, ArcSight Manager, ArcSight Web, ve ArcSight Forwarding Connector bileşenleri bulunmaktadır. 2. ArcSight Depolama Kutusu: Bu kutu güvenlik olaylarını kaydeden ve kaydedilen bu olayların sorgulanmasını ve izlenmesini sağlar. ArcSight Logger yazılımı kutu ile birlikte yüklenmiş olarak gelir. ArcSight Depolama Kutusu belirli ArcSight Express modelleri ile beraber gelmektedir. Ama bu kutuyu içermeyen Express çözümlerine sonradan bileşen olarak satın alınıp eklenebilmektedir. II ArcSight Storage Appliance/ArcSight Depolama Kutusu /ArcSight Logger ArcSight Express kutusunu kurmaya ve yapılandırmaya başlamadan önce eğer çözümde bulunuyorsa depolama kutusunun yapılandırılması gereklidir. Bu kısımda anılan adımların sırayla yapılması önemlidir. Depolama kutusunun ilk haline (fabrika ayarlarına) getirilmesi mümkündür ama bunun dışında burada anlatılacak ayarlar bir kere belirlenince değiştirilemez. Bu sebepten ötürü kurulumun doğru bir şekilde planlanması ve uygulanması önemlidir. Kutunun özellikleri Ekran görüntülerinde kullanılan kutu, 3200 Serisi bir Logger donanımıdır. Donanım özellikleri kısaca aşağıda belirtilmektedir: Model Yönetim Desteklenen Sistemler İşletim Sistemleri Sıkıştırma L3200 Web Tabanlı, Komut Satırı Arayüzü Ham Syslog(TCP/UDP), ham dosya tabanlı kayıtlar(ftp, SCP, SFTP), 270 ten fazla ticari ürün için eniyileştirilmiş kayıt toplama, Doğrudan desteklenmeyen uygulamalar için FlexConnector çerçevesi, ArcSight Common Event Format (CEF), ArcSight ESM Oracle Enterprise Linux 4, 64-bit 10:1 oranına kadar Cihaz Desteği 200 Maksimum EPS 2000 İşlemci 1 X Intel Xeon E5504 Quad Core 2.0 GHz RAM 12 GB Depolama 2 X 1TB RAID 1 Şase 1U Güç Yedekli olmayan 480W 100-240 VAC Ethernet 2 X 10/100/100 3

Kutunun Çalıştırılması Güç, monitör, klavye, ve ethernet kabloları cihazda uygun yerlere takılır. Kutunun önündeki güç tuşuna basılarak cihaz çalıştırılır. BIOS ekranında sistem özellikleri gözlemlenebilir: İşletim sistemi açılış ekranında varsayılan olarak Oracle Enterprise Linux gelmektedir, sistem kendiliğinden açılacaktır: 4

Yapılandırma için bağlanılan klavye veya fare var ise bunların sürücülerine ait uyarı mesajı gelebilmektedir. Bir tuşa basarak ilerlenebilir: Sistemin bir bütün halinde sağlıklı çalışması için gerekli servisler sırayla başlatılır. Varsayılan yapılandırma ile mevcut NTP sunucularına erişilemediğinden aşağıdaki uyarı mesajı şimdilik göz ardı edilebilir: 5

Sistemin servisleri başarıyla başlatılınca aşağıdaki kullanıcı giriş ekranı görüntülenir: Web Arayüzünden Logger ın İlk Yapılandırılması Logger donanımı varsayılan olarak eth0 arayüzünde 192.168.35.35 IP sinden HTTPS hizmeti verir ve bu şekilde ilk yapılandırmayı gerçekleştirmek mümkündür. https://192.168.35.35 adresinden kullanıcı ismi admin ve şifresi password olarak bağlantı yapılır: 6

Ürüne ait lisansın girilmesi gereklidir. Lisans dosyası web arayüzünden girilir ve Upload Update tuşu ile devam edilir: Lisans gönderme işlemi bitince sistemin yeniden başlatılması gerektiği belirtilir: 7

Start Reboot Now tuşuna basılarak yeniden başlatma işlemi başlatılır: Yeniden başlama işlemi için 60 saniyelik bir geriye sayma süreci vardır, bu sürenin sonunda yeniden başlatma süreci başlayacaktır: 8

Yeniden başlama süreci biraz zaman alacaktır. Sistem yeniden başladığında yine aynı web yönetim arayüzü ve varsayılan kullanıcı ismi şifresi ile sisteme bağlanılır. İlk aşama olan tüm olay verilerinin depolanacağı tekil depolama hacmine ait bilgiler girilebilir. Bazı Logger modelleri SAN bağlantısına olanak sağlar. Bu modellerde birincil depolama alanı SAN olarak seçilebilir. Bunun için Mount Location seçeneği Local değil Remote olarak seçilmelidir. Örneğimizdeki model Logger donanımının içsel depolama alanını kullanacaktır. Bu sebepten Mount Location Local olarak seçilecektir. Bu cihazın desteklediği maksimum boyut 778GB tır. ArcSight hem yerel hem de uzak hacimler için atanmış depolama alanının hepsinin Preallocation Amount olarak seçilmesini önermektedir. Preallocation Amount oranı sonradan arttırılamaz. Bunu sağlamanın tek yolu cihazın fabraika ayarlarına döndürülüp baştan kurulup, yapılandırılmasıdır. Preallocation Amount 100(%100) olarak seçilir ve Save ile kaydedilir: 9

Sonraki ekranda preallocation işleminin durumu izlenebilir: Bu işlem bittikten sonra Storage Groups kısmı altında tanımlamaları yapılabilir. Logger donanımı maksimum 6 adet depolama grubuna izin vermektedir. Bunların ikisi Internal Storage Group ve Default Storage Group olarak öntanımlı gelmektedir. Bunlara ek olarak 4 tane daha yeni depolama grubu oluşturulabilir. Sonuçta olayları depolamak için 5, Logger ın içsel olaylarını depolamak için de 1 adet grup tanımlanabilir. Storage Volume tanımlandıktan sonra varsayılan olarak Default Storage Group oluşturulmaktadır. Bu grubun ismi değiştirilemez. Ek Depolama grupları tanımlamak bu aşamada şart olmasa da ArcSight bunu önermektedir çünkü Logger ilk yapılandırma ayarları yapıldıktan sonra ek depolama grupları oluşturmaya izin vermemektedir. Ama istenildiği taktirde oluşturulan depolama gruplarının boyutları arttırılmakta ve azaltılmaktadır. Bu sebepten bu aşamada gereksinim olmasa bile boyutları ufak olan depolama grupları oluşturmak daha sonra ortaya çıkacak gereksinimleri karşılamak açısından yararlı olacaktır. Varsayılan depolama grubunun ayarlarında olayların kaç gün sure ile tutulmak istendiği ve bu grubun maksimum boyutu belirtilir ve Save tuşu ile kaydedilir: 10

Varsayılan Depolama Grubuna yer atadıktan sonraki ekranda ek gruplar için kalan atanmamış alanın boyutu görülebilir: Ek depolama grubu için maksimum gün ve boyut belirlenir. Burada önemli olan toplanacak olayların ne kadar saklanacağıdır. Mesela 5651 sayılı yasanın 6. maddesinin b fıkrası bilgilerin altı aydan az ve iki yıldan fazla olmamak üzere saklanması gerektiğini belirtmektedir. Bu durumda anılan olayları yaklaşık 190 gün saklamak kurumsal bir gereksinimi adresleyebilmek için mantıklı bir seçim olacaktır: 11

Geriye kalan depolama alanı ek gruplara atanarak değerlendirilir: Depolama hacmindeki tüm boşluk atanmış ve ek depolama grubu oluşturulamaz uyarısı görüntülenir. Depolama kısmı bitince hangi olay alanlarınn dizinleneceği yapılandırılır. Bunun için uyarı ünleminin olduğu satırdaki bağlantı kullanılır: 12

Select Recommended Fields ile ArcSight ın önerdiği alanlara göre dizinleme yapılması sağlanır. Şart olmasa da dizinlere alanları eklemek arama sorgularının daha hızlı sonuçlar üretmesini sağlamaktadır. Ek olarak varsayılan ayarlarda full-text indexing seçeneği etkin değildir. Bu seçeneği etkinleştirerek her olayın taranıp anahtar kelimelere ayrılması sağlanır: Önerilen alanların dizinleneceği ve tam metin dizinleme seçeneğini etkinleştirildiği uyarısı görülür. Apply Changes tuşu ile ayarlar kaydedilip uygulanır: 13

Time/NTP ayarları kısmında sistemin mevcut saati ve hangi zaman bölgesinde olduğu görülebilir ve gerekli değişiklikler yapılabilir. Elle tanımlama yerine sistemin erişebileceği NTP sunucularının NTP Server List kısmına girilmesi kayıt yönetimi sisteminin en kritik husularından biridir. Bu sayede sistem otomatik olarak NTP sunucularını kullanarak sistemin saatini düzeltir: DNS sekmesinde sistemin DNS istekleri için hangi sunucuları kullanacağı ve sorgularda kullanılacak etki alanları tanımlanır: 14

Hosts sekmesinde Logger sistemi için hosts dosyası web arayüzünden güncellenebilir. Burada ArcSight Express sisteminin ismi ve IP sinin belirtilmesinin sebebi daha sonraki aşamalarda ARcSight Express sertifikası oluşturulurken kullanılacak sistem ismindendir. Network sekmesinde Logger sisteminin ismi, varsayılan ağgeçidi, sistemdeki ağ arayüzlerinin IP ayarları yapılmaktadır. Ayarlar tanımlandıktan sonra Update Settings ile bilgiler güncellenir. Değişiklikler sistemin yeniden başlatılması ile gerçekleşecektir: 15

SMTP kısmında sistem ile ilgili alarmların atılması için kullanılacak e-posta sunucusunun bilgisi ve postayı atacak posta adresi belirlenir. Update Changes ile bu ayarlar uygulanabilir, yeniden başlatma gerekmemektedir: Bu aşamaya kadar yapılan çoğu adım yeniden başlatma gerektirdiğinden Start Reboot Now tuşu ile bu süreç başlatılır: 16

Sistem yeniden başladıktan sonra System Admin sekmesindeki Users/Groups altındaki Users kısmından varsayılan şifre değiştirilir: Ekrandan görülebileceği üzere bu sistem Logger v4.0 GA olarak tanımlanan L4105 sürümü ile çalışmaktadır. Tüm ArcSight ürünlerinde olduğu gibi https://software.arcsight.com/ adresinden ürünlere ait tüm dosyalara indirilip gerekli işlemler yapıldıktan sonra ürün son sürümde çalışmaktadır. Bu belgedeki sürüm yükseltme işlemleri aşağıdaki sırada olacaktır: 1. Logger v4.0 GA(L4105) sürümünden Logger v4.0 SP1(L4248) sürümüne geçiş 2. Logger v4.0 SP1(L4248) sürümünden Logger v4.0 SP1 Patch 1(L4265) sürümüne geçiş Bu iki aşamalı yöntem belge açısından tercih edilmiştir. L4105 sürümünden L4265 sürümüne doğrudan geçiş de mümkündür. Sürüm yükseltme ve yeni sürüm ile ilgili bilgiler, güncelleme dosyaları ile beraber PDF dosya biçiminde sunulmaktadır. 17

System Admin altında License&Update bölümünde browse tuşu ile sürüm yükseltme için kullanılacak dosya sisteme gönderilir: Güncelleme dosyası Logger a gönderilir, bu dosya açılır ve kurulum kısmına geçilir. Bu süreç otomatik olarak devam eder. Önemli nokta sistemin kapatılmaması, elektrik kesintilerine maruz kalmamasıdır: 18

Güncelleme bittikten sonra sistemin yeniden başlatılması gerekmektedir: Sürümü L4248 olan sisteme L4265 güncelleme dosyası gönderilir: 19

Güncelleme dosyası gönderilir, açılır ve kurulumu yapılır: İşlemler bitince sistem yeniden başlatılır: 20

Sistem açılıdğında arayüzden son sürüm bilgisi kontrol edilir: III ArcSight Express Kutusu Bu belgede kurulumu anlatılacak kutunun modeli M7200-L dir. M7200 serisi modellerin donanımsal özellikleri aynıdır. Farklılık desteklenen cihaz sayılarında, maksimum EPS(Events Per Second) ve maksimum varlık sayısındadır. Kutunun özellikleri Donanım özellikleri kısaca aşağıdaki tabloda belirtilmektedir: Model M7200-L İşletim Sistemi Oracle Enterprise Linux 4, 64-bit Sıkıştırma 10:1 oranına kadar Maksimum Ağ Cihazı 100 Maksimum Masaüstü 250 Maksimum Varlık 10,000 Web Kullanıcıları Sınırsız Sayıda Kullanıcı İşlemci 2 X Intel Xeon E5504 Quad Core 2.0 GHz Ethernet 4 X 10/100/100 RAM 24 GB Depolama 6 X 600GB RAID 10 Efektif 1.6TB Şase 2U Güç 2 X 870W 100-240 VAC 21

Kutunun Çalıştırılması Güç, monitör, klavye, ve ethernet kabloları takılır ve sonrasında sistem çalıştırılır. BIOS ekranında sistem özellikleri gözlemlenebilir: İşletim sistemi açılış ekranında varsayılan olarak Oracle Enterprise Linux gelmektedir, sistem kendiliğinden açılacaktır: 22

ArcSight Express kutusunu yapılandırmak iki aşamadan oluşmaktadır: 1. Cihazda kurulu olan Oracle Enterprise Linux işletim sisteminin yapılandırılması. 2. Cihazda öntanımlı olan ArcSight Express yazılımının yapılandırılması. Oracle Enterprise Linux Yapılandırması İşletim sistemi yapılandırma sihirbazı görüntülenir: Lisans sözleşmesi görüntülenir. Yes, I agree to the License Agreement seçilerek Next ile devam edilir: 23

Sistemin kullanacağı klavye tipi seçilir: Kullanılacak fare tipi seçilir: 24

Sistem yönetimi için kullanılcak işletim sistemi root şifresi belirlenir: ArcSight Manager ve Web bileşenlerini de içeren çoğu servis arcsight kullanıcı ismi ile çalıştırılır. Bu arcsight kullanıcısı sistemde oluşturulmuştur. Bu aşamada bu kullanıcı için şifre belirlenir: 25

Sistemden çalıştırılacak Oracle uygulaması oracle kullanıcısı ile çalıştırılır. Bu kullanıcı için şifre aşağıdaki adımda belirlenir: Bu aşamada cihazın kullanacağı IP adresleri belirlenir. Sistem varsayılan olarak aşağıdaki IP adresleri ile yapılandırılmıştır: Eth0 arayüzü için 192.168.35.35 Eth1 arayüzü için 192.168.36.35 Değiştirilmek istenen arayüz(bu örnekte eth0) seçilir ve Change Network Configuration tuşu ile istenen değişikliklere başlanır: 26

Yapılandırılacak eth0 seçilip Edit tuşuna basılır: Statically set IP addresses seçeneği seçilir ve istenen IP adresi, altağ maskesi, ve varsayılan ağ geçidi belirlenir: 27

DNS sekmesine geçilerek ArcSight sisteminin ismi, isim sorguları için kullanılacak DNS sunucu adresleri, ve DNS arama yolu tanımlanır. Gerekli yapılandırma bitince File menüsünden Save edilerek ayarlar kaydedilir: Network Setup ekranındaki Next tuşu ile devam edilir: 28

Security Level ekranında Enable firewall seçili gelmektedir, Trusted services kısmındaki servislerin seçili olduğu kontrol edilir ve Trusted devices olarak eth0 seçilir: Next tuşuna basınca varolan yapılandırma ayarlarının üstüne yazılacağı belirtilir, Yes tuşuna basarak devam edilir: 29

Timezone seçeneklerinde sistemin bulunduğu zaman dilimi olan Europe/İstanbul seçilir: Date and Time seçeneğinde varsayılan olarak NTP seçili gelmektedir. Sistem listede bulunan NTP sunuculara bağlanarak zaman bilgisini güncellemeye çalışır: 30

Display ekranında sisteme bağlı olan monitörün ekran çözünürlüğü ve renk derinliği ayarları belirlenir: Finish Setup ekranında bu aşamaya kadar belirlenen seçenekler kaydedilir: 31

Kullanıcı giriş ekranında sisteme giriş için kullanılacak kullanıcı adı yazılır. Buraya kullanıcı adı olarak root yazılır: Password olarak daha önce belirlenen root kullanıcısının şifresi girilir: 32

ArcSight Express Yapılandırması Sisteme root kullanıcısı ile oturum açılınca ArcSight Express Configuration Wizard görüntülenecektir: Kullanıcı arayüzünde kullanılacak dil seçenekleri belirtilir: 33

Veritabanı kullanıcısı olarak arcisght sistemde tanımlıdır, bu kullanıcı için bir şifre belirlenmelidir: a Şifre belirlemede önemli bir nokta vardır, şifreler bir harfle başlamak zorundadır. Aksi bir durumda aşağıdaki gibi bir uyarı görüntülenir: 34

Veritabanındaki SYS ve SYSTEM kullanıcı hesapları için şifre belirlenir: Notification E-mails seçeneğinde sistemin uyarılarıyla ilgili bilgiler girilir. Bu eposta adresleri aşağıda açıklanmıştır: Notification e-mail address : ArcSight Manager servisi durduğunda veya başka bir sorunla karşılaşıldığında eposta ile uyarı yapılacak eposta adresidir. Escalation e-mail address : Uyarı epostaları gönderildikten sonra belirli bir sure aksyion alınmazsa bir üst kademedeki kişinin eposta adresidir. From e-mail address : Uyarı epostalarının göndericisin eposta adresidir. 35

ArcSight Express lisansı girilir ve devam edilir: ArcSight Manager için kullanıcak makine ismi, ArcSight kullanıcı ismi ve şifreleri girilir. Burada girilecek manager host name self-signed sertifika için kullanılacaktır. Sertifikadaki CN(Common Name) burada girilecek olan makine ismi olacaktır: 36

Bu ekranda uzun vadeli depolama için olayların ArcSight Express kutusundan ArcSight Depolama kutusuna iletilmesi seçeneğinin etkinleştirilmesi seçilir: ArcSight Express yapılandırması aşamasına bu noktada ufak bir ara verilecek ve olayların Logger da uzun vadeli depolanmasını sağlamak için Logger yönetim arayüzünde gerekli ayarlar yapılacaktır. Logger ın ArcSight Express ten Gönderilecek Olayları Depolaması için Gerekli Yapılandırma Logger web tabanlı yönetim arayüzüne giriş yapılır. Configuration altındaki Settings seçilir ve solda görüntülenen seçeneklerden Event Input/Output seçilir. Receivers kısmı varsayılan olarak görüntülenir. Add tuşuna basılarak yeni bir receiver eklenir: 37

Name alanına girilecek değer önemlidir çünkü aynı değerin ArcSight Express ekranında girilmesi gerekecektir. Type olarak SmartMessage Receiver seçilir ve Next ile ilerlenir: Encoding olarak UTF-8 seçilir ve devam edilir: 38

Varsayılanda SmartMessage Receiver etkinleştirilmiş olarak başlamaz. En sağdaki ikon seçilerek etkinleştirilir: ArcSight Logger Yapılandırma Sonrası ArcSight Express Kurulumu Logger cihazının sistem ismi veya IP adresi girilir. Logger tarafında belirlenen receiver name aynen burada ilgili alana yazılır. Forwarding connector tarafından kullanılmak üzere ArcSight Express kullanıcısı oluşturulacaktır. Bu sebepten bu kullanıcının hesap ismi ve şifresi ilgili alanlara girilir: 39

Aşağıdaki ekranda ArcSight Express in yapılandırmaya hazır olduğu mesajı gelmektedir: Aşağıdaki ekrandan ilerleme durumu görülebilir: 40

Tüm adımların başarıyla bittiği sonucu görülür. Next tuşuna basıldığında Oracle tablespace expansion işlemi başlayacaktır. Bu işlem 1-2 saat sürebilir: İşlemler başarı ile tamamlandığında bu durumu belirten bilgi mesajı görüntülenecektir: 41

ArcSight Express Sürüm Yükseltme ArcSight ürünlerine ait https://software.arcsight.com/ adresine gidilir ve ArcSight Express için güncelleme dosyası indirilir. Belgenin yazıldığı tarih itibariyle son sürüm ArcSight Express 4.5-SP2 dir. İlgili güncelleme dosyasının ismi aeupdate-4.5.2.6076.0.pl dir. Bu dosya siteden indirilir ve uygun bir yöntemle(usb dosya transferi veya WinSCP) ArcSight Express makinesine kopyalanır. Md5sum komutları ile indirilen dosyaların bütünlüğü denetlenir: Aşağıdaki komut çalıştırılarak ArcSight Express güncellenir. İşlem bittiğinde sistemi yeniden başlatmanın gerekli olmadığı uyarısı belirir: 42

IV ArcSight Console Kurulumu ArcSight Console Kurulum Aşaması ArcSight ürünlerine ait https://software.arcsight.com/ adresine gidilir ve ArcSight Express için gerekli Console uygulaması indirilir. Bu dosya ArcSight Express sürümü ile uyumlu olmalıdır. Bu sebepten ArcSight-4.5.2.6076.0- Console-Win.exe isimli dosyanın indirilip çalıştırılması gerekmektedir: Ekranda konsol kurulumu için gerekli ön koşullar ekranda görüntülenir. Database ve Manager bileşenlerinin kurulu ve çalışır durumda olması gerekmektedir. Next tuşu ile devam edilir: 43

Next tuşu ile ilerlenir: Sadece Amerikan Hükümeti Kurumlarıyla ilgi özel uyarı görüntülenmektedir, Next ile devam edilir: 44

Konsol yazılımının kurulacağı yol belirlenir ve Next ile devam edilir: Başlat menüsünde oluşturulacak kısayol ayarları seçilir, varsayılan ayarlar yeterlidir, Next ile devam edilir: 45

Kurulum öncesi kurulum seçeneklerinin bir özeti görüntülenir, değiştirilecek bir ayar var ise Previous ile geri dönülüp değiştirilebilir. Yoksa Next ile devam edilir: Daha önceki bir konsol kurulumundan aktarılmak istenen bir ayar var ise aşağıdaki aşamada seçilir, sıfırdan kurulum yapıldığından böyle bir seçenek seçmeye gerek yoktur: 46

Varsayılan modda kurulum yapılacaktır. FIPS 140-2 modu bu standarda uyumlu çalışması gereken seçilmesi gereken bir seçenektir. Bu kurulumda bu seçenek kullanılmayacaktır: Konsolun bağlanacağı Manager bileşeninin sistem adı yazılır, bu sistemin adı bu belgede esm1 olarak belirlenmiştir. Bu makineye ulaşabilmek için bir Next tuşuna basmadan önce aşağıda anlatılan işlemin yapılması gerekecektir. Manager port varsayılan olan 8443 te kalacaktır: 47

ArcSight Express e Erişmek İçin Konsol Kurulacak Makinede Yapılacak Değişiklik ArcSight Express sistemine isim olarak esm1 verilmiş ve self-signed sertifika bu isme göre oluşturulduğu için konsol kurulacak Windows sistemin esm1 ismini çözmesi gerekmektedir. Bunun için Windows un hosts dosyası açılır ve gerekli değişiklik yapılır: Konsol yazılımı Manager bileşenine bağlanırken vekil sunucu kullanacaksa aşağıdaki ekrandan seçilir. Bu belgedeki yapıda bağlantı doğrudan olduğundan Use direct connection seçeneği seçilmiştir: 48

Manager bileşeni için kullanılan sertifika semo sertifika ise aşağıdaki ekrandaki seçenek seçilir. Self-signed sertifa kullanıldığından seçilmeyecektir: Manager bileşenindeki kullanıcı doğrulama seçeneği belirlenir. Şifre temelli doğrulama yapılacağından varsayılan seçenek kullanılacaktır: 49

Konsol yazılımı kullanılırken web bağlantıları için kullanılacak web tarayıcının çalıştırılabilir dosya yeri belirtilir. Varsayılan Microsoft Internet Explorer web tarayıcısı yeterlidir: Konsol yazılımının kurulacağı makinedeki kullanıcı seçeneği seçilir: 50

Konsol yapılandırması bitmiştir. Finish tuşu ile devam edilir: Kurulumun başarılı olduğu belirtilir. Done tuşu ile kurulum bitirilir: 51

ArcSight Console Çalıştırılması Başlat menüsünden ArcSight Console 4.5 SP2 seçilir ve konsol uygulaması başlatılır. Kullanıcı adı kısmına sistem kurulurken verilen kullanıcı adı admin ve şifresi girilir. Bağlanılacak sistemin ismi esm1 olduğundan bu değeri değiştirmeye gerek yoktur: Manager bileşeninin self-signed sertifikası ile ilgili bilgiler gelir. OK tuşu ile bu sertifikaya güvenilir: 52

Konsol açılır ve varsayılan ekranlar görüntülenir: Sonuç Bu belgede; Arcsight Express bileşenlerinin nasıl kurulacağı, kurulum aşamasındaki adımlar, bileşenlerin güncellenmesi, ve yönetim için kullanılacak konsol yazılımının kurulması anlatılmıştır. Özet 1. ArcSight Logger cihazı çalıştırılır ve kurulum adımları gerçekleştirilir. 2. ArcSight Express cihazı çalıştırılır, Oracle Enterprise Linux ve sonrasında ArcSight bileşenleri yapılandırılır. 3. Logger cihazında Arcsight Express olaylarının uzun vadeli saklanması için gereken ayarlar yapılır. 4. ArcSight Express kurulumu bitirilir. 5. ArcSight Console uygulaması kurulur. Ekstra Kaynaklar 1. https://software.arcsight.com/documentation/ adresindeki ürün belgeleri. Kaynakça 1. ArcSight Logger v4.0 SP1 Administrator Guide 2. ArcSight Express Version 4.5 SP2 Configuration Guide 53