ArcSight Express / ESM ile Asset Yönetimi

ArcSight ESM ve Express ürünleri içerisindeki Network Modelleme, fiziksel cihazlardan gelen logların daha anlamlı olmaları ve kuruluşun gerçek iş birimlerine ve iş akışına bağlı bir log korelasyonu yapılması sağlamaktadır. Ağ içerisindeki cihazların hangi uygulamalar için çalıştığı, hangi regülasyonlarda olması gerektiği ve hangi açıklarının bulunduğunu Network Modelleme ile sisteme tanıtmak mümkündür. Network Modelleme ile, özellikle ISP veya yönetilen SIEM hizmeti veren kuruluşlarda müşteri loglarının ayrıştırılması (aynı ip segmentini kullanan müşteriler olsa bile) mümkündür.

ArcSight Asset Modellemesi İçerisindeki Bileşenler

Networks

  • Genel olarak sanal bir ağı belirtir.
  • Örneğin: Türkiye, ABD, Hong Kong, Avrupa
  • Agent’ların bu Network’lere göre tanımlanması gerekir.

Zones

  • Zone’lar Network’ün bir segmentini belirtir.
  • Her bir Zone sadece bir Network’e ait olabilir. Ancak bir network birden fazla Zone’a sahip olabilir (olacaktır da)
  • Örnek: Istanbul DMZ, Akara ODM gibi.

Asset Ranges

  • Fiziksel Network’ü belirtir.
  • Farklı Zone’ları aynı adres grubuna dahil eder. Örneğin: 10.10.0.0’dan 10.10.255.255 ‘e kadar.

Asset

  • Fiziksel Assetlerdir.
  • Farklı Zone’ları aynı adrese bağlar
  • Asset Range’lerden gelen kategorileri ihtiva eder.
  • Bir assetin sahip olduğu regülasyon ve operasyon sorumluğunu Categories ile belirlenir. Örneğin: 10.10.10.225

Vulnerabilities

  • Bir Asset’e ait açıklar
  • Scanner agent’ları (örn:Nessus) bunları otomatik olarak toplar.

Categories

  • Asset’lerin fiziksel karakteristiklerini belirler.
  • Zone’lar için mantıksal kategoriler belirler.
  • Örnek: DMZ, Kritiklik Seviyesi, Açık portlar, Lokasyon

ArcSight, IP address/Asset Range and Zone URI ‘a bağlı olarak bir Asset ID atar.  Asset tanımları doğru yapıldıktan sonra gelen loğlar içerisindeki asset’lere ait ID, URI, Name, Resource alanlarının otomatik dolu geliyor olması gerekir.  Asset’ler üzerinden kategorilere ima yolu ile entegrasyon mümkündür.

Asset Tanımları Nasıl Yapılır?

  1. Yeni bir Customer oluşturun. Bu gerçek anlamda müşteri demektir. Eğer sadece kendi kurumunuza ait loğlar ile uğraşıyorsanız burada kurum adınınızı belirtmeniz yeterlidir. Ancak birden fazla kuruma ait loğları merkezi olarak topluyor ve yönetiyor iseniz birden fazla Customer tanımlamalı ve her bir müşterinizin log almak için kullandığınız Connector’ünde bu Customer tanımını yapmalısınız (Customer URI field). Böylece loglar birbirine karışmayacaktır
  2. Customer’a bir Network bağlayın
  3. Aynı agent birden fazla müşterinin event’lerini alıyorsa Agent kurlumunda Velocity Macro kullanılarak da URI alanı doldurulabilir
  4. Customer bilgisinin tüm event’lerde doğru şekilde doldurulduğu kontrol edilmeli.
  5. Filtreler kullanarak müşteri/zone/Network/Asset bazında ekranlar (Active Channel / Data Monitor / Dashboards) oluşturulması.

Unutulmaması Gereken Önemli Notlar

  • Tüm Network, Zone ve Asset yönetimi yapıldıktan sonra, ilgili Network’ü bu network’den Log toplayan Connector (Agent)‘lere bağlamayı unutmayın.
  • Tanımlamalar yapıldıktan sonra, ürünlerden toplanan loglarda Attacker, Target, Source, Destination ve Device IP adres bilgilerine göre Zone bilgilerinin otomatik olarak geldiğini görmeniz gerekiyor.
  • Tanımlamalar bittikten sonra Müşteri bazında hazırlanacak özel ekranlar için; Device Zone, Source Zone, Destination Zone,  Attacker Zone ve Target Zone bazında filtrelemeler yapılarak ayrıştırma yapılabilir.

Yardım ve Destek Alın

Çözümler, hizmetler, etkinlikler veya diğer merakettikleriniz için iletişim formunu doldurarak destek alın.