Aylık arşivHaziran 2018

ileadmin

Trendmicro Officescan XG-Yönetim Konsolu

Merhabalar,

Bu yazımızda Officescan XG ile çalışmaya başlayacağız. OfficeScan yönetim konsolundan  bahsedeceğiz.

OfficeScan Yönetim Konsolu

Officescan yönetim konsolu,Officescan ile ilgili işlemleri gerçekleştirebileceğimiz merkezi yönetim noktasıdır.
Yönetim konsolunu kullanarak aşağıdaki işlemleri gerçekleştirebiliriz.

  • Ağ üzerindeki bilgisayarlara yüklemiş olduğumuz OfficesScan agentlarını yönetebiliriz
  • Benzer özelliklere sahip agentları mantıksal domanilerde gruplandırabiliriz. (Usbleri kapatılacak,DLP uygulanacak v.b)
  • Tarama ayarlarını yapılandırabilir bir veya birden fazla bilgisayar üzerinde manual tarama işlemini gerçekleştirebiliriz.
  • Meydana gelen güvenlik olayları ile ilgili uyarıları yapılandırabiliriz
  • Administration delegasyon işlemi gerçekleştirerek web konsol üzerinde farklı yetkilere sahip kullanıcılar oluşturabiliriz
  • Agentlarımızın güncellemelerini takip edebiliriz

Yönetim Konsoluna Erişim Gereksinimleri

Yönetim konsoluna ağ üzerindeki aşağıdaki özelliklere sahip bilgisayarlar üzerinden erişilebilmektedir.

  • 300MHz Intel™ Pentium™ veya üstü
  • 128MB  RAM
  •  En az 30MB boş alan
  • 1366 x 768 çözünürlük ve 256 bit veya üstü monitor
  • Microsoft Internet Explorer™ 10.0 veya üstü
  • Microsoft Edge
  • Chrome

Officescan kurulum türümüze bağlı olarak aşağıdaki adreslerden birini web tarayıcımıza yazarak yönetim konsoluna erişebiliriz.

https: // <OfficeScan sunucusu FQDN veya IP adresi> / OfficeScan

https://<OfficeScan server FQDN veya  IP addresi>:<port numarası>/OfficeScan

Trendmicro Officescan kurulumu esnasında root kullanıcısı için bir parola belirleriz ve bu belirlediğimiz kullanıcıya kullanarak konsola erişebiliriz.

Dashboard

Officescan konsolunda oturum açtığımızda veya ana menüdeyken dashboard’a tıkladığımız da dashboard ekranı açılır.
Konsolda oturum açan her bir kullanıcının diğer kullanıcılardan bağımsız dashboard ekranı vardır. Yani herhangi bir kullanıcınn kendi hesabı ile yaptığı değişiklikler sadece kendi dashboarduna etki edecektir.

Widgetlar

Widgetlar,dashboard ekranının ana bileşenidir ve çeşitli güvenlik olaylarına özel bilgiler sunar. Bazı widgetlar sayesinde ise birtakım görevleri gerçekleştirebiliriz örneğin güncellenmemiş bileşenleri güncellemek gibi.

Tablar

Tablar,widgetların içinde bulunduğu yerlerdir. Dashboard ekranı 30 widget’a kadar destekler.Dashboard ekranında iken yeni bir tab ekleyebiliriz,yeniden adlandırabiliriz,silebiliriz ve tablar arasında otomatik olarak geçişi belirleyebiliriz.Yeni bir tab eklemek için Dasboard ekranında iken + simgesine basalım. Oluşturacağımız tab’a bir isim verelim.

Tabı yeniden adlandırmak için tabı seçelim yanındaki aşağı doğru bakan ok’a tıklayalım ve rename komutunu verelim.

Tab içerisindeki yerleşim düzenini değiştirmek için tabı seçelim yanındaki aşağı doğru bakan ok’a tıklayalım ve Change Layout komutunu verelim.

Yeni yerleşim düzenini seçelim.

Tabı silmek için tabı seçelim yanındaki aşağı doğru bakan ok’a tıklayalım ve Delete komutunu verelim.

Silme işlemini onaylayalım.

Tablar arasında otomatik geçiş ayarlarını yapmak için tabın sağ tarafındaki ayarlar butonuna basalım otomatik geçişi aktif hale getirmek için tab slide show’a tıklayalım ardından otomatik geçişin kaç saniyede bir gerçekleştirileceğini aşağıdaki bölümden seçelim.(10,30,60 sn)

Tabların oluşturulma amacı içlerine widgetlar eklemek dolayısıyla oluşturmuş olduğumuz veya mevcut olan bir tab’a widget eklemek için tabın sağ tarafındaki ayarlar butonuna basalım ve Add Widgets butonuna basalım.

Karşımıza gelen widget listesinden eklemek istediğimiz widget’ı seçerek Add butonuna basalım.

Eklemiş olduğumuz widget’ı aynı tab içerisinde sürükle bırak ile yerini değiştirebileceğimiz gibi boyutunu da basit bir biçimde değiştirebiliriz.

Summary Tabı

Ağımızda bulunan officescan agent yüklü bilgisayarların güvenlik durumunu gözden geçirmemizi sağlar. Bu tab yeniden adlandırılamaz ve içerisine widget ekleyemeyiz,silemeyiz ve içerisinde bulunan widgetları yeniden adlandıramayız. Bu tab içerisinde yer alan widgetlar ve açıklamalarına bakacak olursak,

Overall Threat Detections and Policy Violations
Bu widget sayesinde ağımızda son 24 saat içerisinde gerçekleşen tüm tehdit tespitleri ve politika ihlallerini gözden geçirebiliriz.

Bu widgetta 3 adet kategori ve bu kategoriler içerisinde ise tehdit türleri vardır. Her bir kategori isminin üstüne geldiğimizde tehdit türleri ve tespit edilmişse tehdit sayısı görüntülenecektir. İlgili tehditin detaylarını görüntülemek için sayının üzerine tıklamamız yeterlidir.

Known Threats
Virus /Malware, Spyware / Grayware, Web Reputation

Unknown Threats
Predictive Machine Learning, Behavior Monitoring, Suspicious Connections, Suspicious File Objects

Policy Violations
Firewall, Device Control , Data Lose Prevention

Endpoint Status

Ağımızda bulunan Officescan agent yüklü bilgisayarların bağlantı,güncelleme durumlarını ve Officescan tarafından yönetilemeyen bilgisayarları gözden geçirmemizi sağlar.
Managed Agents
Ağımızda bulunan Officescan agent yüklü bilgisayarların son olarak raporladığı bağlantı durumlarını görüntüler

Bağlantı durumları Online,Offline,Independent başlıkları altında görüntülenir.
Outdated Agents
Officescan agent çalışan bilgisayarlar üzerinde güncel olmayan bileşenleri görüntüler.

Unmanaged Endpoints
Officescan tarafından tespit edilmiş fakat üzerinde OfficSscan agent yüklü olmayan veya Officescan’a raporlanmamış olan bilgisayarları görüntüler.

Ransomware Summary

Bu widget belirli bir zaman aralığında gerçekleşen tüm ransomware saldırı teşebbüslerini gözden geçirme imkanı sunar.

Top Ransomware Detections

Bu widget belirli bir zaman aralığında en fazla gerçekleşen ransomware tespitlerini görüntüler.

Security Risk Detections Over Time

Bu widget belli bir zaman aralığında ağımızda bulunan bilgisayarlar üzerinde tespit edilen tehditleri  ve tehdit türlerini gözden geçirme imkanı sunar.
Affected Endpoints ve Threat Types seçimlerinden birini yapabilir ve bu seçimi hangi zaman aralığında görmek istiyorsak gün seçimini belirleyebiliriz.
Affected Endpoints,belirli bir zaman aralığında tehdit tespit edilen veya politika ihlali gerçekleşen bilgisayar sayısını gösterir.
Threat Types,belirli bir zaman aralığında loglanmış olan politika ihlalleri ve tehditlerin sayısını gösterir.
Grafiğin altındaki tehdit adının üzerine tıklayarak grafikte gösterilmesini veya gizlenmesini sağlayabiliriz.
Grafikteki herhangi bir node’a tıklayarak ilgili log ekranının açılmasını sağlayabiliriz.

Active Directory Entegrasyonu

Officescan’i Active Directory yapımızla entegre ederek birçok avantaj sağlayabiliriz. Bu avantajlardan bazıları Officescan Agentların daha verimli yönetilmesi,web konsola erişimde Active Directory’de bulunan hesapların kullanılabilmesi ve hangi bilgisayarlarda yüklü değil öğrenilebilmesidir.
Active Directory ile OfficeScan’i entegre etmek için aşağıdaki adımların izlenmesi gerekmektedir.
Entegrasyon işlemini gerçekleştirmek için
a)Administration-Active Directory -Active Directory Integration’ı tıklayalım.


b)Active Directory Domains
 altında domain adınımızı belirtelim.
c)Officescan sunucumuz eğer domain’e dahil değil ise Specify Domain Credentials’a tıklayalım ve OfficeScan sunucumuzun belirttiğimiz Active Directory domain’i ile senkronize olurken kullanacağı kullanıcı adını belirtelim ve save butonuna basalım. Eğer domain credentials belirtmiş isek Encryption ayarlarını yapalım. Encryption Key olarak 128Biti geçmeyecek bir key yazalım,encryption key’in kayıt edileceği dosya ismini kayıt edileceği yer ile beraber yazalım. Örneğin,C:\AD_Encryption\EncryptionKey.txt.
Not:Eğer bu dosya silinir veya dosyanın kayıt edileceği yer değişirse,OfficeScan belirtilmiş domainlerin hiçbiri ile senkronize olamaz.

Son olarak Save butonuna basarak,ayarları kayıt ederiz yada Save and Syncronize diyerek ayarları kayıt edelim ve active directory domainleri ile senkronizasyonu başlatalım.
Active Directory senkronizasyonunu otomatik olarak gerçekleştirmek için ise Administration – Active Directory -Scheduled Synchronization’ı tıklayalım ve açılan ekranda Enable scheduled Active Directory synchronization’ı işaretleyerek senkronizasyon aralığını  belirtelim.

OfficeScan Agent Tree

Officescan Agent tree sayesinde Officescan sunucusu tarafından yönetilen agentları domain adını verdiğimiz mantıksal gruplar şeklinde  gruplayarak aynı domain içerisinde yer alan domain üyelerine aynı ayarları uygulayabiliriz,yönetebiliriz ve ayarlarını değiştirebiliriz. Gruplama işlemini kendimiz elle ve otomatik olmak üzere iki şekilde gerçekleştirebiliriz.

Agent Tree Simgeleri

 Domain

 Root

Güncelleme Aracısı

Geleneksel tarama aracı

Smartscan kullanılabilir OfficeScan agent

Smartscan kullanılamaz OfficeScan agent

Smartscan kullanılabilir update agent

Smartscan kullanılamaz update agent

Agent Tree Arama İşlemleri

Agents-Agent Management yoluyla ulaşabileceğimiz Agent Tree ekranının üzerinde yer alan Search ve View özelliklerini kullanarak OfficeScan tarafından yönetilen bilgisayarları bulabiliriz.
Search for endpoints bölümünü Officescan tarafından yönetilen agent yüklü herhangi bir bilgisayarı bulmak için kullanırız. Daha detaylı bir arama yapmak için ise Advanced Search bölümünden yararlanabiliriz.

Agentların Yönetiminin Yapılması

Agent Management ekranı sayesinde agent ayarlarını yapılandırabiliriz ve agentların durumları hakkında bilgi sahibi olabiliriz.
Agent yönetim ekranına ulaşmak için Agents – Agent Management yolunun izlenmesi gerekmektedir.
Agent Management ekranında gerçekleştirebileceğimiz işlemler ve açıklamaları aşağıda belirtildiği gibidir.

Status

Agent veya agentlar hakkında detaylı bilgi görüntüler.

Tasks

Bu bölümde gerçekleştirebileceğimiz 4 adet görev bulunmaktadır.
Scan now
Agent Uninstallation
Central Quarantine Restore
Spyware/Grayware Restore

Settings

Bu bölümde tarama ayarları,web reputation ayarları,device control ayarları gibi bir çok ayarı yapılandırabiliriz.

Logs

Bu bölümde virus/malware,spyware/grayware,firewall logları gibi bir çok log’u görüntüleyebiliriz.

Manage Agent Tree

Bu bölümden Agent Tree yönetimi ile ilgili işlemleri gerçekleştirebiliriz.

Export

Agent yüklü bilgisayarların listesini agent management ekranında görülen agent bilgileri ile beraber (Domain Endpoint IP Address Listen Port …) csv formatında export edebiliriz.

Agent Selection

Agent Selectionını ekranı görüntülemek için Updates-Agents -Manual Update yolunu izlememiz ve ardından Manually Select Agents seçimini yaparak Select butonuna basmamız  gerekmektedir.

Security Risk Logs

Security Risk Logs ekranını görüntülemek için Logs-Agents-Security Risks yolunu izlememiz gerekmektedir. Bu ekran sayesinde Virus,Spyware,Firewall,Web Reputation logları gibi logları görüntüleyebiliriz. Bunun için Security Risk Logs ekranındayken View Logs bölümünden görüntülemek istediğimiz log’u seçmemiz gerekmektedir.

Kolay gelsin

ileadmin

Trendmicro Officescan XG-Bölüm1

Merhabalar,

Bu makale Trendmicro Officescan XG ürününe ait makale serisinin ilk makalesi ve ürün hakkında genel bilgiler vermekte.
Sonraki makalelerde ürün ile ilgili detaylar sırası ile anlatılacaktır.

OfficeScan Nedir?

Trendmicro Officescan ürünü kurumsal ağlarımızı malware,spyware ve web üzerinden
gelen tehditler gibi bir çok farklı tehlikeleye karşı korur.
Temel anlamda OfficeScan iki ana bileşene sahiptir.
OfficeScan Server ve OfficeScan Agent.
Officescan Server bileşeni,OfficeScan Agent ile ilgili tüm yönetim işlemlerinden sorumludur.

Officescan Agent ise  son kullanıcı bilgisayarlarının korunmasından ve
bu koruma durumuna ait bilginin officescan server’a iletilmesinden sorumludur.

Önemli  Officescan Özellikleri

Ransomeware Koruması

Gelişmiş tarama özellikleri sayesinde ransomware yazılımları tespit edilip bu yazılımlar engellenebilir.

Plug-in Manager

Eklenti yöneticisi sayesinde OfficeScan’e ekleyebileceğimiz eklentilerin kurulum,dağıtım yönetim işlemlerini basit bir biçimde gerçekleştirebiliriz.
Örneğin OfficeScan Data Protection eklentisini kurarak DLP özelliğinden ve sağladığı avantajlardan faydalanabiliriz.

Smart Protection Network

Smart Protection Network,yeni çıkan tehdit bilgilerini toplar ve bu bilgileri anında ileterek en doğru ve güncel korumayı sağlar.

Damage Cleanup Services

Damage Cleanup Services trojanları tespit eder ve siler,trojanların oluşturduğu işlemleri sonlandırır,trojanların bıraktığı dosya ve uygulamaları siler.
Damage Cleanup Services arka planda otomatik olarak çalıştığı için ayrıca yapılandırılmasına gerek yoktur.
Kullanıcılar bu servisin çalıştığından haberdar olmazlar bile ta ki tespit edilen bir trojanın silinmesi için
bilgisayarın yeniden başlatılması gerektiği konusunda uyarılmalarına kadar.

Web Reputation

Web Reputation özelliği kurum içinde veya dışında yer alan OfficeScan agent yüklü
bilgisayarları zararlı ve tehlikeli web sayfalarından korumaya yarar.
Web Reputation web sitesinin yaşı,şüpheli davranış göstermesi gibi bir çok faktörü baz alarak bir puan ataması yapar.
Trendmicro web sitelerini sürekli izler ve web reputation puanını günceller bu sayede
kullanıcıların zararlı içeriğe sahip adreslere erişiminin de önüne geçilmiş olur.

OfficeScan Firewall

Ağımızdaki sunucularımızı ve clientlarımızı oluşturacağımız çeşitli filtreler yardımıyla SPI ve
yüksek performanslı network virus scanner yardımıyla korumaya yarar.
OfficeScan Firewall kullanarak ip adresi,port yada protokol bazlı kurallar oluşturabilir ve
bu kuralları farklı kullanıcı gruplarına uygulayabiliriz.

Data Lose Prevention (DLP)

DLP kurumumuza ait dijital varlıkların bilerek yada bilmeyerek sızdırılmasını korumaya yardımcı olur.
DLP sayesinde korunacak dijital varlıklarımızı tanımlayabiliriz,belirlediğimiz
politikalar vasıtasıyla dijital varlıklarımızın e-posta yada harici depolama aygıları gibi
kanallar üzerinden iletimini yasaklayabiliriz yada builetişime limitler koyabiliriz.

Device Control

Device Control özelliği bilgisayarlara bağlanmış olan harici depolama aygıtları ve ağ kaynaklarına erişimi düzenler.
Device control özelliği veri kaybı ve veri sızıntılarını önlemeye yardımcı olurken aynı zamanda dosya tarama özelliği ile beraber çalışarak güvenlik tehlikelerini önlemeye de  yardımcı olur.

Aşağıda görüldüğü gibi takmış olduğumuz usb depolama aygıtına erişim belirlediğimiz kural yardımıyla engellenebilimektedir.

Behavior Monitoring

Behavior Monitoring özelliği işletim sistemi veya kurulu uygulamalar üzerindeki olağan dışı değişiklikleri sürekli olarak izler.

Aşağıda görüldüğü gibi kayıt defterine kayıt eklenmeye çalışılmış ve Behavior Monitoring özelliği kayıt ekleme işlemini algılayarak buna izin vermemiştir.

Kolay gelsin