BiznetBiznet

By Merve Demir Akansel

ForeScout CounterACT ile SIEM Entegrasyonu

ForeScout CounterACT®, ağınızdaki cihazları ağa bağlandıkları anda görme olanağı sağlayan ve bu cihazların politika tabanlı kontrolüne imkan veren; ayrıca operasyonu otomatikleştirmek için SIEM başta olmak üzere farklı güvenlik ve IT yönetim araçları ile entegre şekilde çalışan bir ağ güvenlik cihazıdır.

Bir ağ üzerinden dağıtılan binlerce cihazdan log kaynağı olay verilerini birleştiren, veritabanındaki her etkinliği depolayan ve ardından gerçek tehditleri false pozitiflerden ayırt etmek için anında korelasyon ve analitik uygulama gerçekleştiren yüksek düzeyde ölçeklenebilir, kurumsal bir çözüm olarak kullanılan SIEM, ağ log kaynağı cihazlarını otomatik olarak keşfeder ve ağdaki geçerli ana bilgisayarları ve sunucuları bulmak ve sınıflandırmak için ağ akış verilerini inceler; kullandıkları uygulamaları, protokolleri, servisleri ve portları izler. Bu verileri toplar, depolar ve analiz eder ve tehdit algılama ve uyum raporlama ve denetiminde kullanılmak üzere gerçek zamanlı olay korelasyonu gerçekleştirir. Bu korelasyon sayesinde en fazla iş riski teşkil eden tehditler SIEM ürünü ile tanımlanabilir, SIEM’den CounterACT’a otomatik olarak tetiklenen güvenlik tehditlerine karşı daha hızlı yanıt vererek, problemli uç noktaları karantinaya alarak veya iyileştirerek kuruluş tarafından uyumlu olmayan uç noktalardan kaynaklanan kurumsal çaplı tehditlerin sürekli olarak izlenmesi ve bu tehditlerin azaltılması sağlanabilir. SIEM’den gelen otomatik mesajların, ForeScout CounterACT aksiyonlarını tetiklemesi sağlanarak ağdaki riskli cihazlar üzerinde iyileştirme, kısıtlama veya karantinaya alma gibi acil kontroller ile bu cihazlara daha hızlı yanıt verilmesi sağlanabilir.

Ayrıca CounterACT çözümünü bir SIEM ile entegre ederek, durumsal farkındalık sağlanabilir ve riskler proaktif olarak azaltılabilir. Çoğu SIEM çözümü, öncelikli olarak birçok farklı üründen periyodik logları toplayarak durum farkındalığı sağlasa da, derinlemesine ve gerçek zamanlı son kullanıcı veri görünürlüğü sağlamazlar. CounterACT ile ağdaki uç noktaları keşfederek ve bu verilerle SIEM’i besleyerek, uç nokta görünürlüğündeki boşluklarınızı kapatabilirsiniz. Ayrıca CounterACT ile uyumlu bir SIEM sistemi ile, bir uç noktanın işletim sistemini otomatik olarak güncellemek, bir USB cihazını devre dışı bırakmak veya bir uç noktayı karantinaya almak için ForeScout CounterACT’a komut gönderebilirsiniz.

 

Desteklenen SIEMler

  • Micro Focus ArcSight
  • IBM QRadar
  • Splunk
  • CEF, LEEF veya Syslog’da yapılandırılabilir mesajları destekleyen herhangi bir SIEM

ForeScout ile IBM QRadar Entegrasyonu ile;

  • Derinlemesine uç noktaları kavrayabilir
  • Durumsal farkındalığı arttırılabilir
  • Olay yanıtını hızlandırabilirsiniz.

IBM® QRadar® için ForeScout Extended Module, iki yönlü iletişim sağlar ve ForeScout CounterACT® ile IBM QRadar SIEM arasındaki iş akışlarının düzenlenmesine olanak tanır. Bu entegre çözüm, QRadar’ın güçlü korelasyon, analiz ve önceliklendirme özellikleriyle CounterACT’ın uç nokta görünürlüğünü, erişim kontrolünü ve otomatik yanıt yeteneklerini bir araya getirmektedir. Bu çözüm, güvenlik ekiplerinin genel güvenlik riski durumunu daha iyi anlamalarına yardımcı olur ve bir dizi güvenlik sorununu hafifletmek için daha hızlı yanıt vermelerini sağlar.

Nasıl Çalışır?

Politikaya bağlı olarak, Extended Module, aşağıdaki CounterACT verilerini QRadar ile paylaşabilir:

  • Ağdaki bağlı cihazların gerçek zamanlı envanteri — kurumsal bilgisayarlar, sunucular ve mobil cihazlar, BYOD ve IoT cihazlarının tamamı
  • Cihaz tipi, sınıflandırma, ağ bağlantısı, işletim sistemi, uygulamalar, kullanıcılar, çevre birimleri ve daha fazlasını içeren cihaz bilgisi
  • Cihaz güvenlik durumu ve uyumlulukla ilgili eksiklikler
  • Kimlik doğrulama, erişim ve ağ konum bilgisi

Ortak Çözümün Size Sağladıkları…

  • Uzun-dönem trend analizi, görselleştirme ve olay incelemesi için CounterACT verileri QRadar’a gönderir.
  • QRadar WinCollect ajanının Windows sunucularında düzgün şekilde kurulduğunu ve çalıştığını doğrular
  • CounterACT verisine bağlı QRadar anormal davranışları tanımlar
  • Anormal davranışları tanımlamak ve önceliklendirmek için QRadar’daki diğer veri kaynakları ile CounterACT’den gelen yüksek değerli endpoint durumunu ilişkilendirilir.
  • Olay yanıtını, iyileştirmeyi ve tehdit azaltmayı otomatikleştirmek için QRadar’dan CounterACT üzerinde aksiyonlar başlatılır.

Örnek Bir Senaryo…

  1. CounterACT, ağa bağlanan cihazları keşfeder, sınıflandırır ve değerlendirir
  2. Extended Module, IBM QRadar’a güncel cihaz bilgisini gönderir; Windows sunucularında WinCollect ajanının yüklü olduğunu ve düzgün çalıştığını doğrular
  3. IBM QRadar için ForeScout App; trend analizi, izleme ve raporlama için CounterACT verilerini görselleştirir
  4. QRadar, suçları tanımlamak ve önceliklendirmek için diğer veri kaynaklarıyla CounterACT’tan cihaz içeriğini ilişkilendirir.
  5. QRadar, uyumlu olmayan, zafiyetli veya şüpheli uç noktalarda yanıt aksiyonları almak için CounterACT’ı başlatır.

IBM QRadar Extended Module ile CounterACT’te Kullanılabilecek Politika ve Aksiyonlar…

  • Send Updates to QRadar SIEM Server aksiyonu ile;

CounterACT tüm son noktalar için politika ve host bilgilerini IBM QRadar’a gönderebilir.

  • IBM QRadar Entegrasyonu ile kullanabileceğiniz Template Politikalar aşağıdaki gibidir ;
  • IBM QRadar Action on Disposition

CounterACT, QRadar’dan bir son kullanıcı ile ilgili bir durum mesajı aldığında ve söz konusu makineye belirtilen aksiyonu uygulamak için bu şablonu kullanır. CounterACT ile bu son noktalara uygulanacak aksiyonlar; bildirim gönderme, MAC güncellemelerini başlatma, karantina VLAN’ına atama, switch portunu bloklama veya WLAN Bloklama gibi aksiyonlarıdır.

  • IBM QRadar Action on Offense by Credibility and Severity

CounterACT, QRadar’dan bir son kullanıcı ile ilgili bir durum mesajı aldığında ve söz konusu makineye belirtilen aksiyonu uygulamak için bu şablonu kullanır. Politikanın alt kuralları, anormal davranışların kritikliğine ve güvenilirliğine bağlı olarak belirli aksiyonlar uygular. Örneğin CounterACT ile yüksek kritiklikteki anormal davranışlara sahip son kullanıcının switch portunu bloklama, orta kritiklikteki anormal davranışlara sahip son kullanıcıyı karantina VLAN’ına atama gibi aksiyonları gerçekleştirebilirsiniz.

  • IBM QRadar Action on Offense by Description

QRadar’dan gelen alarmlara göre CounterACT ile aşağıdaki aksiyonlar uygulanabilir:

    • Honeypotlara erişen uç noktaları karantinaya atma.
    • Saldırıya maruz kalan ve ardından kötü amaçlı etkinliğe yanıt veren uç noktaları karantinaya alma.
    • Uç noktalar, QRadar’a event göndermeyi bıraktığında kullanıcıları bilgilendirme
    • Firewall tarafından çok fazla kez engellenen uç noktaları karantinaya atma
    • TCP flood saldırısı yürüten uç noktaları karantinaya alma
    • SSH sunucularını aktif olarak tarayan uç noktaları karantinaya alma
    • QRadar tarafından yeni bir uç nokta bulunduğunda CounterACT’e bildirme
  • IBM QRadar WinCollect Agent Compliance ile;
    • QRadar WinCollect ajanının yüklü olduğu ve çalıştığı uç noktaları algılar.
    • QRadar WinCollect ajanının yüklü olduğu ancak çalışmadığı uç noktaları algılar.
    • QRadar WinCollect ajanının yüklü olmadığı uç noktaları algılar.
    • QRadar WinCollect ajan durmunun çözümlenemediği uç noktaları algılar.

ForeScout ile IBM QRadar SIEM arasında yapılan entegrasyon sayesinde QRadar ürünü üzerinden ForeScout NAC ürünün tespit etmiş olduğu cihazların sağlık durumlarını ve cihaz ile ilgili detaylı bilgileri anlık olarak takip edebilme imkânı sağlar.

Bu bilgiler ile korelasyon kuralları oluşturulabilir. Örneğin “Microsoft bilgisayarlarda kurumsal aktif dizine dahil değilse aynı kullanıcı adı 3’ten fazla deneme yapmış ise alarm üret” şeklinde senaryolar oluşturulabilir. Oluşan alarm çıktıları ile birlikte ForeScout üzerinde otomatik aksiyon oluşturabilirsiniz.

Ayrıca QRadar Offense sekmesinde üretilen alarmlar üzerinden ForeScout NAC ürününde aksiyon uygulayabilirsiniz. Bunun için yapılması gereken adım zararlı IP üzerinde fare ile sağ tuş tıklandıktan sonra Request CounterACT Disposition sekmesi Seçilir.

QRadar SIEM üzerinden aksiyon uygulama menüsü sayesinde bilgisayar üzerinde Notify, Remediate, Quarantine, Block aksiyonları uygulayabilirsiniz.

Şekil 1. ForeScout QRadar Dashboard Cihaz Sınıflandırması

Şekil 2. QRadar SIEM dashboard ekran görüntüsü

 

By Emre Can Lekesiz

L1 Terminal hatası ve güvenlik açığı hakkında

Ürün: CyberArk

Modüller: Tümü

Versiyon: Tümü

Raporlayan: Emre Can Lekesiz

Problem Detayları:

Intel işlemcilerde bulunan bir güvenlik açığı sunucularınızdaki verilerinizi açıkça ortaya çıkmasına neden olabilir. Intel® Core® ve Intel® Xeon® işlemcilerinin execution-side kanalında bulunan ve L1 Terminal Fault (L1TF), Foreshadow, Foreshadow-NG olarak bilinen bu güvenlik açığı konusunda CyberArk tarafına neler yapılabiliriz konulu çalışmamızın detaylarını yazımızın devamında bulabilirsiniz.

Güvenlik açığı işlemci seviyesinde olduğu için bu kez modül bağımsız, tüm CyberArk bileşenlerinizi ilgilendirmektedir.

İşlemci tarafında mevcut tasarım zayıflıklarını kullanan bu zafiyet, L1 data cache bölümünde bulunan verileriniz ele geçiren saldırgan sunuculara lokal kullanıcı olarak erişmesini sağlayabilmektedir. İşin daha da kötüsü sorun işlemci seviyesinde olduğundan, VMware ESX ve Amazon Web Services ve benzeri sanallaştırılan ortamlarda bu zafiyet üzerinden bir sunucunun verisini ele geçiren saldırgan, diğer sunucularınıza da zıplayabilmektedir. Dolayısıyla CyberArk bileşenlerini içeren sunucularınız da risk altında.

Zafiyet hakkında detaylı bilgiye ulaşmak için:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

Çözüm Önerisi:

CyberArk, işletim sisteminizin üreticisi veya sanallaştırma ürününüz tarafından yayınlanan güncellemelerin ivedilikle söz konusu sunucularınıza uygulamanızı önermektedir.

Güncelleştirme politikalarının sizlerin nezdinde olduğunun bilincinde olmakla beraber, yukarıdaki linkleri referans olması açısından paylaştık. CyberArk’ın domain üyesi sunucularına güncelleştirmeleri geçmeniz sorun teşkil etmeyecektir, ancak domain dışında tutulan Vault sunucuları için yapmanız gerekenleri ise aşağıda bulabilirsiniz:

  1. Vault ve DR Vault için yapmanız gerekenler

Microsoft Security Update paketlerini uygulayınız.

Windows 2008R2:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343900
Tıklayınız: 2018-08 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4343900)

 Windows 2012R2:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343898
Tıklayınız: 2018-08 Security Monthly Quality Rollup for Windows Server 2012 R2 for x64-based Systems (KB4343898)

Windows 2016:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343887
Tıklayınız: 2018-08 Cumulative Update for Windows Server 2016 for x64-based Systems (KB4343887)

  1. Vault sunucuda hizmeti kapatınız. PrivateArk Server programı ile servisi stop ediniz.
  2. Aşağıdaki Windows servislerini başlatınız:
    1. Windows Update
    2. Windows Module Installer
  3. Server 2012 ve 2016 için aşağıdaki prosedürü uygulayınız:
    1. Aşağıdak registry lokasyonuna gidiniz:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiserver
    2. “Start” anahtarının değerini 3 yapınız:
    3. Bu değişiklikten sonra Vault sunucunuzu yeniden başlatmanız gerekmektedir.
    4. Sunucu yeniden başladığında Windows Installer servisini başlatınız.
    5. Server 2016 kullanıyorsanız App Readiness servisinin değerlerini Otomatik olarak seçiniz ve servisi başlatınız.
  4. İlgili güncelleştirmeyi indirip Vault sunucuya kopyalayınız ve yükleyiniz.
  5. Yükleme sonrası başlattığınız servisleri durdurunuz ve hatta durumlarını disable ediniz:
    1. Windows Update
    2. Windows Module Installer
  6. Server 2012 ve 2016 için, tekrar aynı registry anahatarına ulaşınız ve bu kez değeri 4 olacak şekilde değiştiriniz. Bkz. 3.b
  7. Vault sunucunuzu restart ediniz.
  8. Server 2016 kullanıyorsanız App Readiness servisini durdurunuz ve devre dışı olacak şekilde değerini değiştirinizi.
  9. Sunucu restart edildiğinde Vault hizmetinizin başladığından emin olunuz başlamadıysa PrivateArk Server ile servisi start ediniz.
  10. Windows Servislerinde CyberArk Event Notification servisinin başladığından emin olunuz.

Eğer Hyper-V ortamında sanallaştırılmış sunucular kullanıyorsanız ve firmware güncelleştirmelerini; tüm sanal makinelerinizi kapatıp, sanal makinelerinizi başlatmadan uygulamanız gerektiğini unutmayınız.

  1. Privileged Threat Analytics (PTA) için yapmanız gerekenler

PTA v10.5.1 versiyonuna güncelleştirme yapmanız gerekmektedir. Bu versiyon gerekli işletim sistemi güncelleştirmeleri kapsamaktadır.

PTA güncelleştirmesi için:

  1. PTA imajının bir snapshot’ını alınız.
  2. PTA sistem konsoluna root kullanıcısı ile oturum açınız, root parolası PTA kurulumunda tanımladığınız paroladır.
  3. WinSCP veya benzeri bir araç ile aşağıdaki dosyaları /tmp dizinine kopyalayınız, dosyaların temini konusunda bizimle iletişim kurunuz:
    1. pta_upgrade.sh
    2. pta_upgrade-10.5.1.tgz
  4. sh dosyasının izinlerini değiştiriniz:
    chmod 700 /tmp/pta_upgrade.sh
  5. Komut satırında /tmp dizinine ulaşınız ve aşağıdaki komutu çalıştırınız:
    ./pta_upgrade.sh
  6. Eğer LDAPs üzerinden konfigüre edilmiş AD entegrasyonlu bir PTA ortamına sahipseniz, güncelleştirme esnasında domain sunucunuzun FQDN adresini yazmanız istenecektir.
  7. İşlem bitiminde PTA sunucunuzu yeniden başlatınız.

Güncelleştirme sonrası işlemler için PAS Installation Guide dökümanında, Upgrade PTA Server ve Post Upgrade Configuration adımlarını incelemek isteyebilirsiniz.

PTA Network Sensorleri için:

  1. WinSCP ile PTA Network sensorüne admin kullanıcısı ile bağlanınız
  2. /tmp/ dizinine aşağıdaki paketleri yükleyiniz:
    1. ag_pkg_v51.tgz
    2. ag_pkg_inst.sh
  3. PuttY veya benzeri bir uygulama ile SSH oturumu açınız.
  4. Admin kullanıcısının parolasını yazınız
  5. SU komutu ile root kullanıcısına geçiniz
  6. PTA sensor güncelleştirmesinin bulunduğu /tmp/ dizinine geçiniz
  7. Aşağıdaki komutu çalıştırınız:
    chmod +x *.sh
  8. Güncelleştirme paketini uygulamak için:
    ./ag_pkg_inst.sh
  9. Güncelleştirme sihirbazında çıkan adımları takip ederek tamamlayınız. Tüm adımların tamamlandığı sorulduğunda “Y” ile onaylayınız.
  10. Doğrulama işlemi de tamamlandığında, sunucuyu yeniden başlatınız.

 

Her zaman en güncel versiyonda olmanız gerektiğini hatırlatır. Güncelleme ve healthcheck çalışmaları için bizlere helpdesk@biznet.com.tr adresinden ulaşabilirsiniz.

By Onur Doğan

CyberArk ve Selenium incelemesi

Bildiğiniz üzere, CyberArk kullanıcı izolasyonlarında AutoIT makro dilini kullanıyordu. CyberArk, AutoIT’den sonra Selenium scriptine geçiş yapmaya başladı. Bu sayede Web uygulamalarının Chrome ile entegrasyonu daha verimli bir şekilde yapılabiliyor. Yeni nesil Selenium entegrasyonlarında bir web uygulamasının Selenium ile entegre olabilmesi için için şu adımları izlemelisiniz;

Önemli olan nokta ise teknik gereksinimler açısından PSM sunucunuzda Google Chrome tarayıcısı yüklü olmalı ve CyberArk PAS versiyonunuz minimum 10.3 olmalıdır.

MarketPlace’te PSM Plugin’i olmayan bir web arayüzü için PSM Secure Connector şu şekilde yapılabilir. (Bunun için Qradar web arayüzü örnek alınacaktır)

  • Administration->Configuration Options-> Options -> ConnectionComponents altındaki “PSM-WebAppSample” componentine sağ tıklayıp Copy dedikten sonra Conection Components’e sağ tıklayıp “Paste Connection Components” seçilerek bileşenin kullanılmak üzere bir kopyası oluşturulur.
  • Component’lerin en altında “PSM-WebAppSample” isimli component ekleniş oldu.
  • TargetSettings altında bulunan “Web Form Settings” kısmındaki parametreleri inceleyelim;
    • LogonURL: {address} kısmı Platformda belirtilen adresin yer alacağı kısım. Başı ve sonu değiştirilebilir.
    • FormName: Sayfadaki girdi alanlarını içeren formun adı ya da ID’si.
    • SubmitButton: WebFormFields kısmında belirtilebilir. Opsiyonel.
    • WebFormFields: Önemli kısım burası. Input alanlarının ID ya da Name’leri bu kısımda belirtilecek
    • EnforceCertificateValidation: Sertifika zorlaması.

Yukarıdaki WebFormFields örneğinde yer alan ValidateIcon>(Validation), Tarayıcı input alanlarını doldurup, sayfaya giriş yaptıktan sonra, hesap bilgilerinin doğru olması durumundaki açılacak sayfada yere alan bir HTML elementidir. Submit butonuna tıklandıktan sonra gelen sayfada bu element bulunmuyorsa bu Login fail olmuştur.

Opsiyonel bir parametredir. Kullanılmak istenmiyorsa “Target Settings -> Client Specific-> RunVAlidations-> Value” kısmı “No” yapılmalıdır.

  • Qradar web arayüzünü ele aldığımız zaman “WebFormFields” kısmı aşağıdaki gibi olmalıdır.
j_username>{Username}
j_password>{Password}
submitButton>(Button)
  • Ayarlamalar yapıldıktan sonra düzenlenen componenti platforma eklemek için şu yol izlenmelidir.
    • Administration -> Platform Management -> Component eklenecek platform(Örneğin “Unix via SSH”) -> Edit -> Target Account Platform -> UI & Workflows -> Connection Components’e sağ tıklayıp “Add Connection Component”

ID kısmına eklenecek olan Componentin adı. Daha sonra “Apply” denilerek ayarlar kaydedilir.

Son olarak hazırlanan komponent Platforma eklenerek bağlantı sağlanır.

 

CyberArk MarketPlace XML Entegrasyonu ve Selenium Kullanımı

MarketPlace’te bulunan XML plugin download edildikten sonra Notepad gibi bir düzenleme aracı ile açılır. Örnek olarak PVWA Secure Connector pluginini ele alacağız.

 

  • Platformlar kısmından MarketPlace butonuna tıklanır.
  • Uygun plugin indirildikten sonra ZİPli içerisinde bulunan XML dosyası açılır.
  • PrivateArk Client’a giriş yapılarak PVWAConfig kasası içerisindeki “PVConfiguration.xml” Dosyası açılarak içerisindeki <ConnectionComponents> Parametresi bulunur.
  • Örnekte kullanacağımız “CC-PVWA-v10.xml” Dosyasının tüm içeriği bu parametrenin altına yapıştırılır.
  • Dosyayı kaydettikten sonra PVWA dashboard’da Administration->Configuration Options-> Options-> Connection Components altından ilgili bağlantı komponentini bulabilirsiniz.

Yeni oluşturulan komponenti, uygun olan Platforma eklediğinizde bağlantınız sorunsuz çalışacaktır.

Konuyla ilgili teknik destek talepleriniz için bizlere helpdesk@biznet.com.tr adresinden ulaşabilirsiniz.

By Can Demirel

Biznet Bilişim EKS Siber Güvenlik Konferansı 1 Kasım 2018, Ankara Bilkent Otel

Biznet Bilişim tarafından Türkiye’de ilk defa düzenelenecek olan Endüstriyel Kontrol Sistemleri Siber Güvenlik Konferansı için kayıtlar başladı! 1 Kasım’da Ankara Bilkent Otel’de gerçekleştirilecek olan konferansta yurt dışı ve yurt içinden alanında uzman konuşmacı ve panelistler yer alıyor.

Konferansa ilişkin tüm detaylar ve kayıt için web sayfamızı ziyaret edebilirsiniz.

 

By Onur Doğan

CyberArk CPM Windows 10 ve Server 2016 için Remote Password Change

Ürün: CyberArk

Modüller: Central Policy Manager (CPM)

Versiyon: Windows Server 2016, Windows 10

Raporlayan: Onur Doğan

Problem Detayları:

Windows 10 ve Windows Server 2016 ile gelen güvenlik güncelleştirmesiyle birlikte  CyberArk uzak bağlantı yapmasına rağmen Central Policy Manager(CPM) modülü şifre değişimi yapamamaktadır. Microsoft artık Windows 10 ve Windows Server 2016 ile birlikte bu özelliği varsayılan güvenlik ayarı olarak ekleyeceğini belirtti.   Read more

1 2 3 8