Genel

ileadmin

Trend Micro OfficeScan-Device Control

Merhabalar,

Bu yazımız da Trend Micro Officescan üzerinde yer alan Device Control özelliğinden bahsedeceğim.
Device Control,bilgisayarlara bağlı olan harici depolama aygıtları ve ağ kaynaklarına erişimi düzenler.
Aynı zamanda Device Control veri sızıntılarını önlemeye ve  Officescan’in
dosya tarama özelliği ile de entegre olarak güvenlik risklerinden de korunmaya yardımcı olur.
Device Control politikalarını Officescan hiyerarşisi içerisinde agent gruplarına ve belirli agentlara uygulayabiliriz.
Officescan üzerinde monitör edilebilecek cihaz türlerinin kapsamı Data Protection
lisansımızın aktif edilmiş olması ile ilgilidir.
Data Protection  ayrıca lisanslanan bir modüldür ve kullanmadan önce etkinleştirilmesi gerekmektedir.
Aşağıdaki cihaz türleri Data Protection modülü etkinleştirildikten sonra izlenebilmektedir.
Mobil Aygıtlar, Depolama Aygıtları (CD/DVD,Floppy,Ağ sürücüleri,USB Depolama Aygıtları)
Depolama Aygıtı olmayan cihazlar (Bluetooth adapters COM ve LPT portları,
IEEE 1394 arabirimi,Görüntüleme aygıtları,Infrared aygıtlar,Modemler,PCMCIA kart,
Print screen tuşu Wireless Ağ Bağdaştırıcıları)

Depolama Aygıtları İle İlgili İzinler

USB Depolama Aygıtlarına,CD/DVD,floppy diskler’e ve ağ sürücülerine farklı seviyelerde erişime izin verebiliriz.
Onaylanmış USB Depolama aygıtları listesini kullanarak,bu listede olmayan aygıtların kullanılmasını engelleyebiliriz.
Yine bu listede yer alan aygıtlar için farklı seviyelerde erişim izinleri tanımlayabiliriz.
Depolama aygıtlarına uygulanabilecek izinler ve detayları aşağıda belirtildiği gibidir.

a)Full Access

Bu izin verildiğinde aygıt üzerindeki dosyalar kopyalanabilir,taşınabilir,açılabilir,kayıt edilebilir,silinebilir ve çalıştırılabilir.
Aygıt üzerine ise dosyalar  kayıt edilebilir,taşınabilir ve kopyalanabilir.

b)Modify

Bu izin verildiğinde aygıt üzerindeki dosyalar kopyalanabilir,taşınabilir,açılabilir,kayıt edilebilir ve silinebilir.
Ancak bu dosyalar çalıştırılamazlar.
Aygıt üzerine ise dosyalar  kayıt edilebilir,taşınabilir ve kopyalanabilir.

c)Read and Execute

Bu izin verildiğinde aygıt üzerindeki dosyalar kopyalanabilir,açılabilir ve çalıştırılabilir.
Ancak bu dosyalar taşınamazlar,silinemezler,kayıt edilemezler.
Aygıt üzerine ise dosyalar kayıt edilemezler,taşınamazlar ve kopyalanamazlar.

d)Read

Bu izin verildiğinde aygıt üzerindeki dosyalar kopyalanabilir ve açılabilir.
Ancak bu dosyalar taşınamazlar,silinemezler,kayıt edilemezler ve çalıştırılamazlar.
Aygıt üzerine ise dosyalar kayıt edilemezler,taşınamazlar ve kopyalanamazlar.

e)List Device Content Only

Bu izin verildiğinde aygıt üzerindeki dosyalarla ilgili tüm işlemler yasaklanmıştır.
Ancak  aygıt ve içerdiği dosyalar kullanıcı tarafından görüntülenebilir.
Aygıt üzerine ise dosyalar kayıt edilemezler,taşınamazlar ve kopyalanamazlar.

f)Block (Data Lose Prevention özelliği yüklenmiş ise kullanılabilir)

Bu izin verildiğinde aygıt üzerindeki dosyalarla ilgili tüm işlemler yasaklanmıştır.
Aygıt ve içerdiği dosyalar kullanıcı tarafından görüntülenemezler.
Aygıt üzerine ise dosyalar kayıt edilemezler,taşınamazlar ve kopyalanamazlar.
Dosya bazlı tarama özelliği aygıtlar ile ilgili izinleri tamamlayıcı niteliktedir ve bu izinleri override edebilir.
Örneğin,izinler de dosya açılabilsin dedik ancak bu dosya zararlı bir içeriğe sahip ise
tarama işleminde belirtilen aksiyona bağlı olarak dosya açılır veya açılmaz.

Depolama Aygıtı olmayan Aygıtlar ile İlgili İzinler

Depolama aygıtı olmayan aygıtlara erişim ile ilgili sadece allow yada block seçimini yapabiliriz.

Device Control Uyarılarını Özelleştirme

Son kullanıcı bilgisayarlarında Device Control ihlalleri oluştuğunda oluşan uyarı mesajlarını özelleştirebiliriz.
Bu işlem için,

1)Administration-Notifications-Agent bölümüne gidelim.
2)Type bölümünden Device Control Violations seçimini yapalım.
3)Varsayılan olarak gelen mesajı istediğimiz bir mesaj ile değiştirelim.
4)Save butonuna basarak yaptığımız değişiklikleri kayıt edelim.

Device Control Logları

Officescan agentları yetkisiz cihaz erişimlerini loglar ve bu logları server’a gönderir.
Agentlar topladıkları  logları 1 saatlik süre sonunda sunucuya gönderir.
Eğer ki geçen süre 1 saati aşarsa,agent logları hemen gönderecektir.
Logların harddisk üzerinde çok fazla alan kaplamasını önlemek için logları
elle silebileceğimiz gibi zamanlanmış bir log silme görevi de tanımlayabiliriz.
Officescan üzerinde sadece depolama aygıtları ile ilgili erişimler için log üretilmektedir.
Depolama aygıtları dışındaki aygıtların erişimine izin verilebilir yada yada yasaklanabilir
ancak bu erişimler ile ilgili log tutulmaz.
Device Control Loglarını Görüntülemek için,

1)Logs-Agents-Security Risks yada Agents-Agent Management yolunu izleyelim.

2)Loglarını görüntülemek istediğimiz domain veya agent üzerinde sağ tıklayalım ve Logs-Device Control Log komutunu verelim.

3)Log görüntüleme kriterlerimizi belirleyelim ve Display Logs butonuna basalım.

4)Logları csv formatında kayıt etmek için Export to CSV linkine tıklayalım.

Kolay gelsin

 

 

 

 

ileadmin

Vmware NSX SpoofGuard Özelliği

Merhabalar,

SpoofGuard,NSX üzerinde kullanabileceğimiz en güçlü özelliklerden biridir.
SpoofGuard özelliği sanal makinenin sahip olduğu IP adresini izleyecek ve yönetimini gerçekleştirecektir.
Bu özellik sayesinde sanal makine IP adresi değişim talepleri onay mekanizmasına bağlı olarak gerçekleşir ve
içerde meydana gelebilecek sızıntılarda saldırganların ip adreslerini değiştirerek firewall atlatma gibi çabalarının
önüne geçilmeye de yardımcı olunur.

Nasıl Çalışır?

NSX Manager,Vcenter’da yer alan tüm sanal makinelerin ip adreslerini,vCenter Server ile olan ilk senkronizasyonunda
NSX 6.2 öncesinde  sanal makinelerde yer alan  Vmware Tools’lar yardımıyla toplarken,NSX 6.2 ve sonrasında
DHCP Snooping,ARP snooping veya herikisi yardımıyla toplayabilir. Bu sayede Vmware Tools yüklü olmayan sanal makinelerin
IP adreslerinin de NSX tarafından tespit edilmesi sağlanır.
Sanal makinelerde Vmware Tools yüklü ise DHCP ve ARP snooping ile beraber çalışabilmektedir.
Spoofguard toplanan bu ip adreslerinin yetkilendirilmesine izin verir ve spoof edilmiş olarak karar verdiğimiz bir ip trafiğini
engelleyebilmemize olanak tanır.
Spoofguard hem IPv4 hem de IPv6 adresleri desteklemektedir.
SpoofGuard sanal makineler tarafından raporlanan IP adreslerini aşağıdaki modların birinde izler ve yönetir.

a)Automatically trust IP assignments on their first use:

Sanal ethernet kartlarına atanmış ip adreslerine otomatik olarak güvenilir. Bu adreslerde meydana gelen
sonraki değişikliklerin  geçerli olabilmesi için onay verilmesi gerekmektedir.

b)Manually inspect and approve all IP assignments before use:

Her bir vNIC-IP  adresi atamasını biz onaylayana kadar engeller. Bu onay mekanizmasına ilk ayarlarda dahildir.

Peki ya DHCP?

SpoofGuard’ı devreye aldığımızda DHCP ile ilgili aşağıdaki soruları düşünmemiz gerekecektir.
1)Clientlarımız bu durumdan nasıl etkilenirler. IP adresi almada bir sorun yaşarlar mı?
2)DHCP’den alınacak IP adresi atamaları için bizden onay alınmasına gerek varmıdır?

Yukarıdaki modlardan sadece Manually inspect and approve all IP assignments before use
modunda DHCP trafiğine biz onay verene kadar izin verilmez.

SpoofGuard Politikalarını Yönetme

1)SpoofGuard politikalarını yapılandırmak için vSphere Web Client üzerinde Networking&Security linkine ardından

gelen ekranda sol taraftan SpoofGuard linkine tıklayalım.

2)Varsayılan SpoofGuard politikası Default Policy tüm networkler için  devre dışı durumdadır.
Bu ekranda dilersek default policy’i değiştirebiliriz yada yeni bir policy ekleyebiliriz.

Yeni Policy Ekleme

Bu bölümde yeni bir policy oluşturup aktif hale getireceğiz ve oluşturduğumuz bu policy’nin ip trafiğine etkisini göreceğiz.

Yeni policy ekleyip aktif etmeden önce 192.168.100.83 ip adresine ping atmayı deneyelim.

1)Yeni bir policy eklemek için  butonuna tıklayalım.

2)Policy Name bölümünden policymize  bir isim verelim. Gereksinimlerimize bağlı olarak Enable veya Disable olacağını seçelim.
Operation Modunu yine ihtiyaçlarımız doğrultusunda seçebiliriz.
Bu örnek te Manually inspect and approve all IP assignments before use seçimini yaparak ilerledik.

3)Select Networks ekranında  butonuna basarak SpoofGuard policy’sinin uygulanacağı network’ü seçelim.

4)Finish butonuna basarak policy oluşturma işlemini tamamlayalım.

5)Oluşturmuş olduğumuz policy’i seçtiğimiz de bulunan ip adresleri listelenecektir.
192.168.100.83 ip adresini approve etmeden ping atmayı denersek;


IP adreslerini onaylamak için Approve butonuna basmamız ve ardından bu Publish Changes dememiz gerekmektedir.
Approve edilmiş olan IP adresleri Approved IP bölümünde gözükecektir.

192.168.100.83 ip adresini approve ettikten sonra ping atmayı denersek şeklinde olacaktır.

Kolay gelsin

ileadmin

Trend Micro IMSVA-Kritik Güncellemelerin Yüklenmesi

Merhabalar,

Bu yazıda IMSVA için çıkan kritik güncellemeleri nasıl yükleyebileceğimizden bahsedeceğim.
Her uygulamada olduğu gibi IMSVA içinde zaman zaman güncellemeler çıkmaktadır.
Bu güncellemelerin bazıları IMSVA konsolu kullanılarak yüklenebilmektedir.
Ancak  kritik güncellemeleri yükleyebilmek için öncelikle IMSVA üzerine upload edilmesi
ardından ise herhangi bir SSH aracını kullanarak güncelleme işleminin yapılması gerekmektedir.

1)Kritik güncelleme dosyasının indirilmesi

Adresinden yüklememek  istediğimiz güncelleme dosyasını indirelim.

2)Kritik güncelleme dosyasının upload edilmesi

Indirmiş olduğumuz zip dosyasını extract edelim. Tar.gz uzantılı dosyayı Imsva üzerine
upload etmek için kullanacağımız uygulamayı açalım. (Örneğin Winscp)
Tar.gz uzantılı update dosyasını seçerek sağ tarafa sürükle bırak ile kopyalayalım.

3)Kritik güncelleme dosyasının yüklenmesi

a)Şimdi upload etmiş olduğumuz güncelleme dosyasının imsva’e yüklemesini
gerçekleştirmek için Imsva’e ssh üzerinden putty gibi bir aracı kullanarak bağlanalım.
b)Winscp ile dosyayı upload etmiş olduğumuz dizine geçelim.
c)Upload etmiş olduğumuz dosyayı extract etmek için aşağıdaki komutu verelim.
tar -zxvf imsva_91_criticalpatch1644_r1.tar.gz (güncelleme dosyasının adı)

d) cd ./imsva_91_criticalpatch1644 komutu ile kurulum dosyalarını çıkardığımız
dizine geçelim ve kurulum işlemini başlatmak için ./imssinst komutunu verelim.

d)Kurulum işlemi tamamlandı.

4)IMSVA’de yüklü kritik güncellemelerin görüntülenmesi

IMSVA’e hangi kritik güncellemelerin yüklenmiş olduğunu öğrenmek için
komut satırında cat /opt/trend/imss/patch/cphistory  komutunu vermemiz gerekmektedir.

Kolay gelsin

ileadmin

Trend Micro IMSVA Kurulumu

Merhabalar,

Bu yazımda Trend Micro IMSVA (InterScan Messaging Security Virtual Appliance)’ın Vmware ESX ortamında kurulumundan bahsedeceğim.

Sistem Gereksinimleri

IMSVA kurulumu için aşağıdaki donanım ve yazılım gereksinimleri bulunmaktadır.

İşletim Sistemi: IMSVA Linux,Windows v.b bir işletim sistemi kurulumuna gerek duymadan Centos Linux işletim sistemini kullanan
özel bir kurulum imkanı sunar.
CPU:Minimum dual-core Intel Xeon veya eşdeğeri işlemci,önerilen ise 8 Core Intel Xeon işlemci veya eşdeğeri
Memory:Minimum 4 GB,önerilen ise 8GB
Disk Alanı:Minimum 120GB,önerilen 250GB
Vmware ESXI: Vmware ESXI 5.0 Update 3,Wmware ESXI 5.5 Update 2,Vmware ESXI 6.0
Kurulum için ISO Dosyası: Adresinden indirebiliriz.
Kurulum Adımları

!!! IMSVA kurulumu kurulacağı disk üzerindeki partitionlar ve verilerin tamamını kurulum esnasında silecektir.
Bu nedenler eğer var ise disk üzerindeki verilerin yedeklenmesi gerekmektedir.

1)Sanal Makinenin Oluşturulması

VMware üzerinde IMSVA kurulumuna başlamadan önce IMSVA’in kurulacağı sanal makinenin oluşturulması gerekmektedir.
Oluşturacağımız bu sanal makineye 8GB Ram,4vCPU,250GB Disk verdik ve sanal makineyi
oluştururken işletim sistemi olarak Linux seçimini yaptıktan sonra version olarak
CentOS 4/5/6/7 (64-bit) seçimini yaparak sanal makinemizi oluşturduk.

Sanal makinemiz oluşturulduktan sonra indirmiş olduğumuz iso dosyasını datastore’a upload edelim ve
sanal makinemizin bu dosyadan boot etmesini sağlayalım.

2)Kurulum işlemine Başlama

a) Sanal makinemiz iso dosyasından boot ettikten sonra karşımıza aşağıdaki ekran gelmektedir.
Sıfırdan kurulum yapacağımız için 1.seçeneği seçerek kurulum işlemine başlıyoruz

b)Gelen uyarıyı OK diyerek geçiyoruz.

c)Sözleşmeyi kabul ediyoruz.

d)Klavye dilinin seçimini yapıyoruz.

e)Sıfırdan kurulum yapacağımız için Fresh Install seçimini yapıyoruz.

f)Kurulumun yapılacağı diski belirtiyoruz.

g)Disk üzerindeki partitionların silineceğini söylüyor. Yes diyerek işlemi onaylıyoruz.

h)Next ile ilerliyoruz.

i)IMSVA’in  Hostname ve IP Adresi ile ilgili bilgilerini belirtelim.

j)Zone seçimini yapalım.

k)Root ve Enable hesabına ait parolaları tanımlayalım.

l)Database seçimini yapalım

m)Summary ekranında girmiş olduğumuz bilgileri kontrol edelim ve seçili diskler üzerindeki tüm verilerin
silineceğini belirten  uyarıyı continue diyerek ilerleyelim.

n)Kurulum işlemi tamamlandı. Kurulum ISO’sunun sanal makine ile bağlantısını keselim ve
Restart butonuna basarak sistemi yeniden başlatalım.

o)IMSVA yeniden başladıktan sonra IMSVA ile ilgili işlemler yapabilmek için CLI ekranını
ya da IMSVA yönetim konsolunu kullanabiliriz.
IMSVA yönetim konsoluna erişmek için https://IMSVA IP/Hostname:8445 adresine
tarayıcımızı kullanarak erişelim.
Bu ekranda default User name:admin Password:imsva yazarak ve Open Configuration Wizard’ı
işaretleyip oturum açarak IMSVA yapılandırmasına başlayabiliriz.

Kolay gelsin

 

ileadmin

Trend Micro OfficeScan XG-Web Konsolu

Merhabalar,

Bu yazımız da OfficeScan XG web konsolundan bahsedeceğim.
OfficeScan web konsolu kullanılarak şirket ağımızdaki OfficeScan
ile ilgili tüm aktiviteler merkezi olarak yönetilebilmektedir.
Web konsolu varsayılan olarak bir takım ayar ve değerler ile beraber
gelir ve bu ayarları kendi yapımıza uygun yapılandırabiliriz.
Web Konsol kullanılarak yapabileceklerimiz temel olarak aşağıda belirtildiği gibidir.

Agent Kurulumları

OfficeScan agent yükleme işlemleri için bizlere birçok farklı yol sunmaktadır.
Bu sayede yapımıza uygun yükleme yöntemini kullanarak agentlarımızı yükleyebiliriz.
Active Directory yapısı kullanılarak,kullanıcılara göndereceğimiz
bir mail üzerinden,Officescan sunucusu üzerindeki bir paylaşım
kullanılarak ve kurulum araçları yardımıyla agent kurulumlarını gerçekleştirebiliriz.

Agent Yönetimi

Ağımızdaki bilgisayarlara yüklemiş olduğumuz agentların yönetimini gerçekleştirebiliriz.
Agentların durumlarını görebiliriz,görevler atayabiliriz,agentlar üzerindeki güvenlik özelliklerini yapılandırabiliriz
virus,spyware,web reputation loglarını inceleyebiliriz. Agentları gruplayabiliriz bu sayede ortak ayarları gruplar bazında uygulayabiliriz.

Güncellemeler

Officescan üzerindeki Sunucu ve Agent güncelleme ayarlarını yapılandırabiliriz.
Manual veya zamanlanmış güncellemeleri kullanarak OfficeScan bileşenlerinin güncel olması sağlanır.
Bu sayede en son güvenlik risklerinden de haberdar olmuş olunur.

Tarama Ayarları

Bir veya birden fazla bilgisayar üzerinde farklı tarama seçenekleri için (Manual,Scheduled,Real Time,Scan Now) tarama ayarlarını
yapılandırabilir ve tarama işlemlerini başlatabiliriz.

Uyarılar Tanımlama

Ağımızda bulunan güvenlik tehditleri ile ilgili uyarılar tanımlayabiliriz.
Aşağıdaki ekranda görüldüğü gibi bir zararlı yazılım tespit edilmiş ve bu tespit mail yoluyla bildirilmiştir.

Delegasyon

Birden fazla OfficeScan yöneticisi tanımlayarak belirlediğimiz rollere bu kullanıcıları atayabiliriz.
Bu sayede sadece o role verilen yetkiler dahilinde konsol kullanımını özelleştirebiliriz.
Aşağıda görüldüğü gibi Nihat kullanıcımıza rol tanımı yapılmış ve
sadece bu tanım dahilindeki alanlara ulaşabilmesi sağlanmıştır.

Web Konsol Gereksinimleri

Web konsola ağımızdaki herhangi bir bilgisayardan erişebiliriz.
Bunun için erişmek istediğimiz bilgisayarın aşağıdaki özelliklere
sahip olması gerekmektedir.

  • En az 300MHz Intel™ Pentium™ veya daha üstü bir işlemci
  • En az 128MB RAM
  • En az 30MB boş disk alanı
  • 1366 x 768 ve  256 renk veya daha fazla desteğe sahip monitor
  • Microsoft Internet Explorer™ 10.0 veya sonrası
  • Microsoft Edge
  • Chrome

Web Konsoluna Erişim

Yukarıdaki özelliklerde bir bilgisayarın tarayıcısında adres çubuğuna
OfficeScan kurulum tipine bağlı olarak aşağıdaki adreslerden birini yazalım.
Kurulumu default site seçimi ile yapmışsak
https:\\Officescan sunucu ip veya FQDN’i/Officescan
Kurulumu virtual site seçimi ile yapmışsak
https:\\Officescan sunucu ip veya FQDN’i:port numarası/Officescan
yazalım.
Karşımıza sertifika ile ilgili bir uyarı ekranı gelirse Continue to this web site diyerek devam edelim.

Log on ekranına ulaşalım. Bu ekranda Officescan Server  kurulumu sırasında kurulumun otomatik olarak oluşturduğu
root kullanıcısına bizim vermiş olduğumuz parolayı yazarak yönetim konsoluna erişimi gerçekleştirelim.
Web konsoluna erişimi sağladıktan sonra roller ve kullanıcılar
tanımlayalım konsola erişimi root kullanıcısı yerine bu kullanıcılar ile yapalım.
Bu yazımızda OfficeScan XG yönetim konsolunda bahsettim.

Kolay gelsin

ileadmin

OfficeScan XG Konsol Parolasını Sıfırlama

Merhabalar,

Bu yazımızda unutulan bir Trend Micro OfficeScan XG parolasının sıfırlanarak yeni bir parola nasıl verilebileceğinden bahsedeceğim.

1)OfficeScan kurulu sunucumuzda
C:\Program Files (x86)\Trend Micro\OfficeScan\PCCSRV\Admin\Utility\OSCEResetPW
klasörüne gidelim.

2)OSCEResetPW.exe dosyasını çalıştıralım ve karşımıza gelen ekranda
Local\Domain admin parolasını yazarak Next butonuna basalım.

3)OfficeScan konsoluna erişmek için kullanacağımız yeni parolayı
yazalım ve Change Password butonuna basalım.

4)Parolamız değiştirildi.

Kolay gelsin

ileadmin

Deep Discovery Inspector Syslog ve SIEM Entegrasyonu

Merhabalar,

Bu makalemizde Deep Discovery Inspector üzerindeki Syslog ve SIEM entegrasyonundan bahsedeceğim.
DDI gelişmiş  Syslog entegrasyon yeteneğine sahip bir üründür ve sistem event’lerini,tespit edilen eventleri harici syslog sunucularına gönderilebilir.
Varolan syslog raporlama ve alarm sistemleri ile basit bir biçimde entegre olabilir.
Olaylar harici syslog sunucularına standart syslog protokolleri kullanılarak gönderilebilirler.
Deep Discovery Inspector üzerinde 3 adet’e kadar Syslog Server  tanımlanabilir.
DDI standart haline gelmiş aşağıdaki Syslog mesaj formatlarını deskteklemektedir.

CEF (Common Event Format)

HP Arcsight tarafından geliştirilmiş olan open log management standardıdır.

TMEF (Trend Micro Event Format)

TMEF,Trend Micro ürünleri tarafından oluşan eventlerin raporlanması için kullanılan bir formattır.

LEEF (Log Event Extended Format)

IBM Security Qradar için özelleştirilmiş event formatıdır.

Syslog Server Ekleme

1)Deep Discovery Inspector’a Syslog server eklemek için AdministrationIntegrated Products/Services -Syslog bölümüne gidelim
ve Add butonuna basalım.

2)Add Syslog Server ekranında,

a)Syslog Server’ın ip adresini veya hostname’ini ve iletişime geçilecek port numarasını belirtelim. Protokol seçimimize bağlı olarak port numarası değişecektir ve burda yazan port numaraları tavsiye edilen numaralardır.
b)Facility Level seçimini yapalım.Facility Level mesajın kaynağını belirler.
c)Severity Level seçimini yapalım.Severity Level syslog server’a gönderilecek olan mesajların tipini belirler.
d)CEF,LEEF,TMEF log formatlarından uygun olanı seçelim.Yaptığımız seçime bağlı olarak seçebileceğimiz log türleri değişecektir. Syslog server’a göndermek istediklerimizi seçelim.

e)Save butonuna basarak yaptığımız değişiklikleri kayıt edelim.

Bu makalemizde Deep Discovery Inspector üzerindeki Syslog ve SIEM entegrasyonundan bahsettim.

Kolay gelsin

 

ileadmin

Officescan XG-Please set the permission to write in the repository folder, including the sub file and subfolder.

Merhabalar,

Bugün Officescan 11’den Officescan XG’ye upgrade işlemini yaptıktan Officescan konsolunda New Widgets are Ready to Install bilgisinin yanındaki Update Now butonuna bastığımda
Please set the permission to write in the repository folder, including the sub file and subfolder hatasını aldım.

Biraz araştırmadan sonra  aşağıdaki işlem neticesinde widget kurulumlarını gerçekleştirebildim.

1)Komut satırını yönetici hakları ile açalım.

2)C:\Program Files (x86)\Trend Micro\OfficeScan\PCCSRV klasörüne gidelim ve

SVRSVCSETUP.EXE -setprivilege komutunu çalıştıralım biraz bekleyelim.

3)Officescan yönetim konsolundan çıkalım ve Widget kurulumunu gerçekleştirmeyi tekrar deneyelim

Kolay gelsin

ileadmin

Trend Micro Deep Discovery Analyzer Başlangıç Ayarları

Merhabalar,

Bu yazımız da Deep Discovery Analyzer ile çalışmaya nasıl başlayabileceğimizden ve
ilk ayarlarını nasıl yapabileceğimizden bahsedeceğiz.

Preconfiguration Console

Preconfiguration Console unix komut satırı arabirimidir ve bu arabirim kullanılarak Deep Discovery Analyzer’ın
ağ ayarları yapılabilir,HA detaylarına bakılabilir,preconfiguration console parolası değiştirilebilir.

Yönetim Konsolu

Deep Discovery Analyzer yönetim ve yapılandırma işlemlerinde kullanabileceğimiz bir yönetim konsoluna sahiptir.

Yönetim konsoluna management network üzerindeki herhangi bir bilgisayar üzerinden aşağıdaki tarayıcılardan biri ve
Adobe Flash 10 ve üstüne sahip olmak şartıyla erişilebilmektedir.

Deep Discovery Analyzer üzerinde oturum açmak için tarayıcı penceresinde aşağıdaki adresi yazmamız gerekmektedir.

https://Analyzer IP Adresi/pages/login.php

Logon ekranı aşağıdaki gibi olacaktır.

Bu ekranda varsayılan administrator giriş bilgileri User name: admin Password:Admin1234! şeklindedir.
Bu bilgileri yazdıktan sonra Log on butonuna basarak yönetim konsoluna giriş yapabiliriz.
Yönetim konsoluna ilk defa giriş yaptıktan sonra parolanın değiştirilmesi önerilen bir durumdur.

Yönetim Konsoluna Genel Bakış

Yönetim konsolunda ürün logosu ve ismi,o an için için giriş yapan kullanıcı ismi,konsoldan çıkış yapabilmek için
log off bağlantısı,sistem saati,ana menüler ve bu menülere bağlı alt menüler bulunmaktadır.

Başlangıç Ayarları

1)Lisanslama İşlemi

Geçerli bir etkinleştirme kodunu kullanarak Deep Discovery Analyzer’ı etkinleştirelim.

2)Deep Discovery Analyzer Host name ve IP Adresinin Belirtilmesi

Deep Discovery Analyzer’ın default olarak gelen 192.168.252.2 ip adresinin

yerine kendi ağımıza uygun ip adresi ve hostname’i belirtelim.

3)Proxy Ayarlarının Yapılandırılması

Deep Discovery Analyzer management network’e veya internete erişirken bir proxy kullanıyorsa bu proxy’i belirtelim.

4)Tarih ve Saat Ayarlarının Yapılması

Deep Discovery Analyzer özelliklerinin istenildiği gibi çalışmasını sağlamak için tarih ve saati yapılandıralım.

5)SMTP Ayarlarının Yapılması

Uyarıların email yoluyla gönderilebilmesi için smtp ayarlarını yapalım.

6)Sandbox Örneklerinin Virtual Analyzer’a Import Edilmesi

Deep Discovery Analyzer ürünümüzün donanımsal özelliklerinin izin verdiği sayıda sandbox örneklerimizi import edelim.

7)Virtual Analyzer Örneklerinin Dış Hedeflere Erişiminin Sağlanması

Sandbox örneklerinin dış kaynaklara nasıl bağlanacağını belirtelim.

Kolay gelsin

 

 

ileadmin

Trend Micro Deep Discovery Analyzer Giriş

Merhabalar,

Bu makalemizde Trend Micro Deep Discovery Analyzer ürünü ve bu ürünün bizlere sunduğu özelliklerden bahsedeceğiz.

Deep Discovery Analyzer,Trend Micro’nun Email,Web güvenlik çözümleri ve diğer 3rd party güvenlik ürünlerinin hedefe yönelik saldırılara karşı sağladıkları korumayı güçlendiren ve merkezileştiren özel bir sandbox analiz sunucusudur.

 

Deep Discovery Analyzer Özellikleri

Custom Sandboxing

Deep Discovery Analyzer içerisinde custom sandbox ortamlarını,kullandığımız işletim sistemlerinde bulunan konfigurasyonlar ile aynı olacak şekilde oluşturabiliriz bu sayede daha doğru tespitler elde edilirken daha az hatalı sonuçlar ortaya çıkar.

Broad File Analysis Range

Deep Discovery Analyzer birden fazla algılama motorunu ve sandboxing özelliğini kullanarak çalıştırılabilir Windows dosyaları,Office dökümanları,Pdf belgeleri,sıkıştırılmış dosyalar gibi dosya tiplerini inceler.

Document Exploit Detection

Uzmanlaşmış algılama ve sandboxing özellikleri kullanılarak genellikle office dökümanları ve diğer dosya formatları kullanılarak gönderilen malware ve exploit’leri tespit eder.

Automatic URL Analysis

Deep Discovery Analyzer,entegre edilmiş ürünlerden gönderilmiş olan URL’lerin sayfa tarama ve sandbox analiz işlemlerini gerçekleştirir.

Detailed Reporting

Deep Discovery Analyzer,merkezi dashboardlar ve raporlar aracılığı ile detaylı örnek aktiviteler ve C&C iletişimleride dahil olmak üzere kapsamlı analiz sonuçları sunar.

Alert Notifications

Alert Notification,Deep Discovery Analyzer’ın durumu hakkında anlık bilgi sağlar.

Web Services API and Manual Submission

Deep Discovery Analyzer,3rd party güvenlik ürünlerinin ve yetkili tehdit araştırmacısının örnekler gönderebilmesine izin verir.

Bu yazımız da Trend Micro Deep Discovery Analyzer’ın ne olduğundan ve özelliklerinden bahsettik.

Kolay gelsin