ArcSight Logger Connector Yapılandırması ArcSight Logger Connector ArcSight Logger Connector Yapılandırması ArcSight Logger Connector Yapılandırması Yapılandırması Amaç Bu belgede bazı ArcSight Logger modellerinde mevcut olan Connector işlevinin nasıl yapılandırıldığı anlatılacaktır. Künye Başlık Hazırlayan ArcSight Logger Connector Yapılandırması Barikat Tarih 05/2010 Sürüm 1.0 İlgili Ürünler Anahtar Kelimeler İlgili Sorular Tür ArcSight Express, ArcSight Logger, Connector Appliance ArcSight, Express, AE, Logger, Connector Appliance ArcSight Logger da Connector ler nasıl yapılandırılır? Yapılandırma Barikat İnternet Güvenliği Bilişim Tic.Ltd.Şti. 2010 Tüm Hakları Saklıdır
ArcSight Logger Connector Yapılandırması ArcSight Logger Connector Yapılandırması İçindekiler ArcSight Logger Connector Yapılandırması... 1 ArcSight Logger Connector Yapılandırması... 1 Amaç... 1 Çözüm Adımları... 3 I Giriş... 3 II ArcSight Logger Sistemindeki Connector lerin Yapılandırılması... 3 Manager Sertifikasının Dışarıya Alınması... 3 Logger Sistemine Express Sertifikasının Eklenmesi... 7 Yeni Connector Ekleme... 10 Connector Bileşeninin Güncellenmesi... 16 Sonuç... 22 Özet... 22 Ekstra Kaynaklar... 22 2
Çözüm Adımları I Giriş Bazı ArcSight Logger modellerinde bütünleşik olarak Connector Appliance bulunmaktadır. Bu sayede güvenlik ve sistem olaylarını toplayan bazı Connector çeşitleri Logger sistemi üzerine kurulabilir. Bu yöntem, kurumlara olayların toplanması için gerekecek sistem kaynağı anlamında bir esneklik sağlayacaktır. II ArcSight Logger Sistemindeki Connector lerin Yapılandırılması Olayların gönderileceği veya olayları ilgili sistemlere bağlanarak alacak bileşen ArcSight SmartConnector dür. Bu yazılım ArcSight Express sistemi ile iletişime geçerken HTTPS protokolünü kullanır. Bu yazılımın ArcSight Express ile haberleşmesi için Express teki Manager sertifikasının Connector lerin çalıştığı sistemlere eklenmesi gerekmektedir. Manager Sertifikasının Dışarıya Alınması ArcSight Express sertifikasının dışarıya alınması için terminal açılır. Aşağıdaki komutlar çalıştırılır: Cd /opt/arcsight/manager/bin./arcsight keytoolgui 3
File > Open işlemiyle veya arayüzdeki simge ile Open KeyStore işlemi yapılır: Açılması gereken dosya /opt/arcsight/manager/jre/lib/security altındaki cacerts dosyasıdır: 4
KeyStore dosyasının şifresi tırnak işaretleri olmadan changeit tir: Manager ın sertifikası bulunur ve sağ tıklama ile Export seçilir: 5
Mesaj penceresindeki varsayılan ayarlar kabul edilir ve OK tuşuna basılır: Sertifikanın kaydedileceği konum seçilir: 6
Logger Sistemine Express Sertifikasının Eklenmesi Logger sisteminin yönetim arayüzünde Configuration altında Settings seçilir. Açılan sayfada soldaki bağlantılardan Event Input/Output seçilir. Açılan sayfadaki sağdaki sekmelerden Certificates seçilir. Add tuşuna basılarak yeni sertifika ekleme işlemine başlanır: Eklenecek sertifikayı tanımlamak için bir alias belirlenir. Sertifika dosyasının dosya sistemindeki konumu gösterilir ve Save tuşu ile ilerlenir: 7
Sertifikaların listelendiği ekranda sisteme yeni eklenen ArcSight Express sertifikası görüntülenir: Sertifikanın bağlantısına tıklanarak sertifika ile ilgili detaylar görüntülenir: 8
Web arayüzden Configuration ana menüsünden Repositories bağlantısına tıklanır. Soldaki CA Certs bağlantısı seçilerek eklenecek sertifikanın gönderilmesine başlanır. Bu işlem için Upload tuşu kullanılır: ArcSight Express e ait sertifika gösterilir ve Submit tuşu ile gönderilir: 9
Sertifikanın başarılı bir şekilde gönderildiği kontrol edilir: Yeni Connector Ekleme Web arayüzde Configuration altından Manage Connectors seçilir. Soldaki ağaç yapısından en alt seviyedeki Container 1 seçilir, sağda en başta üstüne gelindiğinde Adds a new connector metni çıkan tuşa basılarak yeni bir connector eklemeye başlanır: 10
Eklenecek connector ün tipi seçilir, bu belgede Syslog Daemon seçilecektir: Syslog Daemon connector için gerekli değişken tanımı yapılır. Network Port olarak varsayılan 514, IP Address olarak ALL seçilerek sistemdeki tüm ağ arayüzlerinden syslog olay mesajlarının dinleneceği belirlenir. Protokol olarak UDP kullanılır. Desteklenen diğer protokol ise Raw TCP dir. Next ile devam edilir: 11
Syslog olaylarının toplandıktan sonra gönderilecekleri hedef seçilir. Olası bir hedef daha önce sistemde tanımlanmamışsa New ile yeni bir hedef tanımı yapılır: Gönderilecek hedefin tipi seçilir. Bu belgede olaylar ArcSight ESM e gönderilecektir: 12
Hedef ile ilgili değişkenler girilir: Yapılandırılan connector ile ilgili ek bilgiler girilir: 13
Soldaki ağaç yapısında Localhost altında Container 1 seçilir ve Cert Mgmt tuşuna basılır: Certificate Management Wizard başlar, Next ile devam edilir: 14
Add certificate seçilir ve Next ile devam edilir: Certificate Alias belirtilir, ve Certificate Filename den ilgili sertifika seçilir ve Next ile ilerlenir: 15
Sertifikanın başarılı eklendiği uyarısı görüntülenir. Done tuşu ile bitirilir: Connector Bileşeninin Güncellenmesi Connector yazılımı yaklaşık olarak iki ayda bir kere güncellenmektedir. Bu güncellemeler ile ArcSight ın desteklediği olay kaynakları artmakta ve desteklenen olay kaynaklarının yeni sürümleri de eklenmektedir. Örnek olması açısından belgede 4.7.7 sürümüne yükseltme yapılmıştır. Bu sürüm ile ilgili dağıtım notlarına bakılırsa; Lancope SMC Web Services, Linux Audit File ve Linux Audit Syslog olay kaynakları yeni desteklenmektedir. Yeni sürümleri desteklenen olay kaynakları olarak McAfee epolicy Orchestrator DB 4.5 sürümü, Oracle Audit DB Oracle 11g sürümü ve UNIX OS Syslog IBM AIX 6.1 sürümü gösteriliebilir. Configuration altında Repositories seçilir, soldaki menüden AUP seçilir, Upload tuşuna basılarak Connector güncelleme dosyası seçilir: 16
Dosya seçilir ve Submit ile gönderilir: Gönderim işlemi bitince yeni Connector sürümü görüntülenecektir: 17
ArcSight Content güncellemeleri ayda 1-2 kere yayınlanmaktadır. Farklı olay kaynakları için kategorizasyon güncellemeleri ve değiştirilen imzaların açıklamalarını içerir. Repositories altında Content AUP seçilir, Upload ile güncelleme dosyasının gönderilmesine başlanır: Güncelleme dosyası seçilerek Submit tuşu ile gönderilir: 18
Gönderimin başarılı olduğuna dair mesaj görüntülenir: Configuration altında Manage Connectors seçilerek soldaki ağaç yapısından Localhost seçilir. Container 1 seçilir ve Upgrade tuşu ile sürüm güncelleme işlemine başlanır: 19
Next tuşu ile güncellemeye devam edilir: Güncellemenin ilerlemesi gözlemlenebilir: 20
Container sürüm yükseltmesinin başarılı olduğuna dair mesaj görüntülenir: ArcSight Console uygulamasında da sürüm yükseltmesinin başarılı olduğu olayı gözlemlenebilir: 21
Sonuç Bu belgede anlatılan işlemleri uygulayarak belirli Logger modelleri üzerinde Connector ler çalıştırılarak kurumsal altyapıdaki olayların toplanması için kullanılabilecek bir ortam hazırlanabilir. Özet 1. ArcSight Express e ait sertifika dosyası kaydedilir. 2. Alınan sertifika dosyası Logger sistemin üzerine eklenir. 3. Logger sisteminde istenen Connector ler kurulur. 4. Connector lere ait yazılım sürümü ve içerik güncellemeleri uygulanır. Ekstra Kaynaklar 1. ArcSight Support Center, http://www.arcsight.com/supportportal/ 2. Protect 724, http://www.arcsight.com/supportportal/ 3. ArcSight Technical Publications User Documentation Site, https://software.arcsight.com/documentation/ 22