BiznetBiznet

ForeScout CounterACT ile SIEM Entegrasyonu

Yazar: Merve Demir Akansel

ForeScout CounterACT®, ağınızdaki cihazları ağa bağlandıkları anda görme olanağı sağlayan ve bu cihazların politika tabanlı kontrolüne imkan veren; ayrıca operasyonu otomatikleştirmek için SIEM başta olmak üzere farklı güvenlik ve IT yönetim araçları ile entegre şekilde çalışan bir ağ güvenlik cihazıdır.

Bir ağ üzerinden dağıtılan binlerce cihazdan log kaynağı olay verilerini birleştiren, veritabanındaki her etkinliği depolayan ve ardından gerçek tehditleri false pozitiflerden ayırt etmek için anında korelasyon ve analitik uygulama gerçekleştiren yüksek düzeyde ölçeklenebilir, kurumsal bir çözüm olarak kullanılan SIEM, ağ log kaynağı cihazlarını otomatik olarak keşfeder ve ağdaki geçerli ana bilgisayarları ve sunucuları bulmak ve sınıflandırmak için ağ akış verilerini inceler; kullandıkları uygulamaları, protokolleri, servisleri ve portları izler. Bu verileri toplar, depolar ve analiz eder ve tehdit algılama ve uyum raporlama ve denetiminde kullanılmak üzere gerçek zamanlı olay korelasyonu gerçekleştirir. Bu korelasyon sayesinde en fazla iş riski teşkil eden tehditler SIEM ürünü ile tanımlanabilir, SIEM’den CounterACT’a otomatik olarak tetiklenen güvenlik tehditlerine karşı daha hızlı yanıt vererek, problemli uç noktaları karantinaya alarak veya iyileştirerek kuruluş tarafından uyumlu olmayan uç noktalardan kaynaklanan kurumsal çaplı tehditlerin sürekli olarak izlenmesi ve bu tehditlerin azaltılması sağlanabilir. SIEM’den gelen otomatik mesajların, ForeScout CounterACT aksiyonlarını tetiklemesi sağlanarak ağdaki riskli cihazlar üzerinde iyileştirme, kısıtlama veya karantinaya alma gibi acil kontroller ile bu cihazlara daha hızlı yanıt verilmesi sağlanabilir.

Ayrıca CounterACT çözümünü bir SIEM ile entegre ederek, durumsal farkındalık sağlanabilir ve riskler proaktif olarak azaltılabilir. Çoğu SIEM çözümü, öncelikli olarak birçok farklı üründen periyodik logları toplayarak durum farkındalığı sağlasa da, derinlemesine ve gerçek zamanlı son kullanıcı veri görünürlüğü sağlamazlar. CounterACT ile ağdaki uç noktaları keşfederek ve bu verilerle SIEM’i besleyerek, uç nokta görünürlüğündeki boşluklarınızı kapatabilirsiniz. Ayrıca CounterACT ile uyumlu bir SIEM sistemi ile, bir uç noktanın işletim sistemini otomatik olarak güncellemek, bir USB cihazını devre dışı bırakmak veya bir uç noktayı karantinaya almak için ForeScout CounterACT’a komut gönderebilirsiniz.

 

Desteklenen SIEMler

  • Micro Focus ArcSight
  • IBM QRadar
  • Splunk
  • CEF, LEEF veya Syslog’da yapılandırılabilir mesajları destekleyen herhangi bir SIEM

ForeScout ile IBM QRadar Entegrasyonu ile;

  • Derinlemesine uç noktaları kavrayabilir
  • Durumsal farkındalığı arttırılabilir
  • Olay yanıtını hızlandırabilirsiniz.

IBM® QRadar® için ForeScout Extended Module, iki yönlü iletişim sağlar ve ForeScout CounterACT® ile IBM QRadar SIEM arasındaki iş akışlarının düzenlenmesine olanak tanır. Bu entegre çözüm, QRadar’ın güçlü korelasyon, analiz ve önceliklendirme özellikleriyle CounterACT’ın uç nokta görünürlüğünü, erişim kontrolünü ve otomatik yanıt yeteneklerini bir araya getirmektedir. Bu çözüm, güvenlik ekiplerinin genel güvenlik riski durumunu daha iyi anlamalarına yardımcı olur ve bir dizi güvenlik sorununu hafifletmek için daha hızlı yanıt vermelerini sağlar.

Nasıl Çalışır?

Politikaya bağlı olarak, Extended Module, aşağıdaki CounterACT verilerini QRadar ile paylaşabilir:

  • Ağdaki bağlı cihazların gerçek zamanlı envanteri — kurumsal bilgisayarlar, sunucular ve mobil cihazlar, BYOD ve IoT cihazlarının tamamı
  • Cihaz tipi, sınıflandırma, ağ bağlantısı, işletim sistemi, uygulamalar, kullanıcılar, çevre birimleri ve daha fazlasını içeren cihaz bilgisi
  • Cihaz güvenlik durumu ve uyumlulukla ilgili eksiklikler
  • Kimlik doğrulama, erişim ve ağ konum bilgisi

Ortak Çözümün Size Sağladıkları…

  • Uzun-dönem trend analizi, görselleştirme ve olay incelemesi için CounterACT verileri QRadar’a gönderir.
  • QRadar WinCollect ajanının Windows sunucularında düzgün şekilde kurulduğunu ve çalıştığını doğrular
  • CounterACT verisine bağlı QRadar anormal davranışları tanımlar
  • Anormal davranışları tanımlamak ve önceliklendirmek için QRadar’daki diğer veri kaynakları ile CounterACT’den gelen yüksek değerli endpoint durumunu ilişkilendirilir.
  • Olay yanıtını, iyileştirmeyi ve tehdit azaltmayı otomatikleştirmek için QRadar’dan CounterACT üzerinde aksiyonlar başlatılır.

Örnek Bir Senaryo…

  1. CounterACT, ağa bağlanan cihazları keşfeder, sınıflandırır ve değerlendirir
  2. Extended Module, IBM QRadar’a güncel cihaz bilgisini gönderir; Windows sunucularında WinCollect ajanının yüklü olduğunu ve düzgün çalıştığını doğrular
  3. IBM QRadar için ForeScout App; trend analizi, izleme ve raporlama için CounterACT verilerini görselleştirir
  4. QRadar, suçları tanımlamak ve önceliklendirmek için diğer veri kaynaklarıyla CounterACT’tan cihaz içeriğini ilişkilendirir.
  5. QRadar, uyumlu olmayan, zafiyetli veya şüpheli uç noktalarda yanıt aksiyonları almak için CounterACT’ı başlatır.

IBM QRadar Extended Module ile CounterACT’te Kullanılabilecek Politika ve Aksiyonlar…

  • Send Updates to QRadar SIEM Server aksiyonu ile;

CounterACT tüm son noktalar için politika ve host bilgilerini IBM QRadar’a gönderebilir.

  • IBM QRadar Entegrasyonu ile kullanabileceğiniz Template Politikalar aşağıdaki gibidir ;

  • IBM QRadar Action on Disposition

CounterACT, QRadar’dan bir son kullanıcı ile ilgili bir durum mesajı aldığında ve söz konusu makineye belirtilen aksiyonu uygulamak için bu şablonu kullanır. CounterACT ile bu son noktalara uygulanacak aksiyonlar; bildirim gönderme, MAC güncellemelerini başlatma, karantina VLAN’ına atama, switch portunu bloklama veya WLAN Bloklama gibi aksiyonlarıdır.

  • IBM QRadar Action on Offense by Credibility and Severity

CounterACT, QRadar’dan bir son kullanıcı ile ilgili bir durum mesajı aldığında ve söz konusu makineye belirtilen aksiyonu uygulamak için bu şablonu kullanır. Politikanın alt kuralları, anormal davranışların kritikliğine ve güvenilirliğine bağlı olarak belirli aksiyonlar uygular. Örneğin CounterACT ile yüksek kritiklikteki anormal davranışlara sahip son kullanıcının switch portunu bloklama, orta kritiklikteki anormal davranışlara sahip son kullanıcıyı karantina VLAN’ına atama gibi aksiyonları gerçekleştirebilirsiniz.

  • IBM QRadar Action on Offense by Description

QRadar’dan gelen alarmlara göre CounterACT ile aşağıdaki aksiyonlar uygulanabilir:

    • Honeypotlara erişen uç noktaları karantinaya atma.
    • Saldırıya maruz kalan ve ardından kötü amaçlı etkinliğe yanıt veren uç noktaları karantinaya alma.
    • Uç noktalar, QRadar’a event göndermeyi bıraktığında kullanıcıları bilgilendirme
    • Firewall tarafından çok fazla kez engellenen uç noktaları karantinaya atma
    • TCP flood saldırısı yürüten uç noktaları karantinaya alma
    • SSH sunucularını aktif olarak tarayan uç noktaları karantinaya alma
    • QRadar tarafından yeni bir uç nokta bulunduğunda CounterACT’e bildirme
  • IBM QRadar WinCollect Agent Compliance ile;
    • QRadar WinCollect ajanının yüklü olduğu ve çalıştığı uç noktaları algılar.
    • QRadar WinCollect ajanının yüklü olduğu ancak çalışmadığı uç noktaları algılar.
    • QRadar WinCollect ajanının yüklü olmadığı uç noktaları algılar.
    • QRadar WinCollect ajan durmunun çözümlenemediği uç noktaları algılar.

ForeScout ile IBM QRadar SIEM arasında yapılan entegrasyon sayesinde QRadar ürünü üzerinden ForeScout NAC ürünün tespit etmiş olduğu cihazların sağlık durumlarını ve cihaz ile ilgili detaylı bilgileri anlık olarak takip edebilme imkânı sağlar.

Bu bilgiler ile korelasyon kuralları oluşturulabilir. Örneğin “Microsoft bilgisayarlarda kurumsal aktif dizine dahil değilse aynı kullanıcı adı 3’ten fazla deneme yapmış ise alarm üret” şeklinde senaryolar oluşturulabilir. Oluşan alarm çıktıları ile birlikte ForeScout üzerinde otomatik aksiyon oluşturabilirsiniz.

Ayrıca QRadar Offense sekmesinde üretilen alarmlar üzerinden ForeScout NAC ürününde aksiyon uygulayabilirsiniz. Bunun için yapılması gereken adım zararlı IP üzerinde fare ile sağ tuş tıklandıktan sonra Request CounterACT Disposition sekmesi Seçilir.

QRadar SIEM üzerinden aksiyon uygulama menüsü sayesinde bilgisayar üzerinde Notify, Remediate, Quarantine, Block aksiyonları uygulayabilirsiniz.

Şekil 1. ForeScout QRadar Dashboard Cihaz Sınıflandırması

Şekil 2. QRadar SIEM dashboard ekran görüntüsü

 

merve.demir
Yazar: merve.demir