ARCSIGHT LOGGER’DA RAPOR OPERASYONLARI

Herkese merhaba bu hafta ki yazımızda ArcSight ürün ailesinin bir parçası olan logger ürününde rapor oluşturma, scheduled etme ve search işlemi sonrası export etme işlemlerini anlatmaya çalışacağız. Şimdiden keyifli okumalar dileriz.

Query ve Rapor Oluşturma İşlemleri

 Rapor oluşturmak için öncelikle query oluşturmamız gerekmektedir. Logger SQL dili kullandığı için query’mizi oluştururken Select, From, Where ve Order By komutlarını kullanmaktayız. İlk işlem olarak logger arayüzüne giriş yapılarak reports sekmesine tıklanır.

Reports sekmesine tıkladıktan sonra design sekmesi açılarak Queries sekmesine tıklanır.

Queries sekmesine tıklandığında yeni bir query object oluşturmaktadır. Query’mizi design sekmesine tıklayarak düzenleme ve yazma işlemleri yapabilmekteyiz.

Desing sekmesine tıkladıktan sonra şekilde görüldüğü üzere table ibaresi seçilerek aşağıdan events seçilir ve edit butonuna basılarak query yazma işlemi yapılır.

Select: Seçmek istediğimiz alanlar için kullandığımız komuttur. Raporda çıkmasını istediğimiz alanları seçmek için kullanılır.

From: Verilerin çekileceği veritabanını seçmek için kullanılan komuttur. Logger’da bu alan events olduğu için From events olarak kullanılır.

Where: Koşul durumu oluşturmak için kullanılan komuttur. Şekilde ki örnekte sadece microsoft marka, Microsoft Windows ürününden ve sadece 4663 event id’li logları alacağımız için aralara and eklenerek kullanılmıştır. Where komutunun yanında çok fazla koşul belirtmek logger rapor performasını olumsuz yönde etkilemektedir ve oluşturulan raporlar daha uzun sürede çıkmaktadır.

Order By: ASC ve DESC olarak kullanımları mevcuttur. ASC, seçilen alanı küçükten büyüğe doğru sıralar. DESC ise seçilen alanı büyükten küçüğe doğru sıralamaya yarayan komuttur.

Query’miz yazıldıktan sonra üst tarafta bulunan result sekmesine tıklanarak query’nin çalışıp çalışmadığı kontrol edilir. Failure alınırsa query’mizde bir yanlışlık var demektir. Şekilde ki alanlarda bazen sadece alan isimleri gözükmektedir. Bunun sebebi anlık olarak istenilen loglardan gelmemiş olmasından kaynaklanmaktadır ve herhangi bir sorun yok demektir. İstenilen alanlar görüldükten sonra Ok butonuna basılarak bu ekrandan çıkılır.

Sağ üst köşede bulunan save butonuna basılarak query’miz dizin seçilerek kaydedilir. Böylece query oluşturma işlemi tamamlanmış olur.

Query kaydedildikten sonra rapor oluşturma işlemine başlanır. Logger arayüzünde sol tarafta Classic altından New Report veya Design altından New Report seçilerek rapor oluşturma işlemine başlanabilir. İki çeşit rapor oluşturma arasında özellik olarak hiçbir fark bulunmamaktadır.

Classic sekmesi altından New Report’a tıkladığımızda şekilde ki gibi bir ekran bizi karşılamaktadır. Query Object alanında, oluşturmuş olduğumuz query seçilir. Report Title kısmında, oluşturalacak raporun başlığı verilir. Report Format kısmında ise, oluşturulacak olan raporun hangi formatta olacağı seçilebilmektedir. Bazı örnek formatlar Pdf, MS Excel, HTML ve Comma Separated formatlarıdır.

Fields sekmesi üstünde ise, Query’de Select komutu ile seçmiş olduğumuz alanlar seçilebilmektedir. Örnek olarak deviceVendor alanına ihtiyaç duymamamız halinde sadece diğerlerini seçerek rapor oluşturabilmekteyiz.

Raporla ilgili istenilen ayarlamalar yapıldıktan sonra, Query oluşturma işleminde yaptığımız gibi Sağ üst köşeden Save butonu ile kaydetme işlemi gerçekleştirilmektedir. Dizin seçerken root dizini dışında bir alan seçmek gerekmektedir.

Rapor kaydetme işlemi sonrası şekilde gözüktüğü gibi, sol tarafta bulunan explorer sekmesinden oluşturulan rapor ve query arama işlemi gerçekleştirebilmekteyiz. Windows şeklinde arama yapıldıktan sonra oluşturmuş olduğumuz rapor bulunarak sağ tıklanır. Run report veya run in backround seçeneği ile rapor çalıştırılabilmektedir. Run in backround’ın farkı rapor çalıştırma sekmesi kapatılsa dahi rapor çalışmaya devam etmektedir. Run report seçeneğinde ise rapor sekmesi kapatılırsa işlem iptal edilmiş olacaktır.

Run in Backround seçeneği ile devam ettiğimizde bizden format seçmemiz istenilecektir. Comma Separated formatı seçildikten sonra Run In Backround sekmesine tıklanır.

Karşımıza gelen ekranda raporun başlangıç ve bitiş tarihleri girilmesi gerekmektedir. Dynamic seçeneği işaretlenmiş ise rapor çalıştırıldığı andan geriye dönük raporlamaya başlamaktadır. 2h ibaresi 2 saati, d harfi günü, M harfi ayı ve y harfi ise yılı temsil etmektedir. Dynamic seçeneğini kaldırdığımız zaman ise tarih ve saat değerleri girilerek rapor çalıştırılabilmektedir. Bir başka seçeneğimiz ise logger 7.0 versiyonuyla gelen Logger Receipt Time ve End Time’a göre rapor oluşturma seçenekleridir. Logger Receipt Time seçeneği, logların Logger’a geldiği zamana göre arama yapmaktadır. End Time Receipt Time ise, logların kaynakta oluştuğu zamana göre arama yapmaktadır. Scan Limit, varsayılan olarak 100000 olarak gelmektedir. Bunun anlamı 100000 Event’e kadar rapor oluşturmayı temsil eder. Bu sınırı kaldırmak için Scan Limit değerinin 0 verilmesi gerekmektedir. Local only seçeneği seçili ise üstünde çalışılan logger’daki verilere göre rapor oluşturma işlemi yapılacak demektir. Bazı kurum ve kuruluşlarda peer yapıda birden fazla logger olması durumunda local only işareti kaldırılarak aşağıda ki bölümden Peers sekmesi altından Logger Ip adresleri seçilmesi gerekmektedir. Tüm bu işlemler yapıldıktan sonra Run In Backround sekmesine tıklanarak rapor çalıştırılır.

Çalıştırılan raporun durumunu açılan sekmede görebilmekteyiz. Eğer sekme kapatılır ise Report Status sekmesinden raporumuzun güncel durumu hakkında bilgi alabilmekteyiz.

Rapor oluşturma işlemi tamamlandıktan sonra Success yazısı bizi karşılayacaktır. Success yazısının üstüne tıklanarak raporumuz istenilen şekilde indirilebilmektedir.

Schedule Report Oluşturma

Schedule Report işlemi, düzenli olarak rapor almak istenildiğinde kullanabileceğimiz bir opsiyondur. Oluşturulan rapor belirlenen zaman ve tarih aralıklarında otomatik olarak Logger tarafından oluşturulur. Reports sekmesi altından sol tarafta bulunan Schedule Report sekmesine tıklanarak şekilde ki ekran açılır. Burada schedule edilen raporlar, aktif olup olmadıkları, editleme işlemleri ve ekleme işlemleri yapılabilmektedir. Add butonu ile yeni bir Schedule Report oluşturma işlemine başlanılır.

Add butonuna tıklandıktan sonra karşımıza gelen ekranda Schedule edilecek rapor ismi, tarih ve zaman aralıkları belirlenir. Zaman aralığı olarak günlük, haftalık ve aylık seçenekleri bulunmaktadır. Zaman aralığının ise 24 saatlik format üstünden tam sayı verilerek oluşturulması gerekmektedir.

 Report Name alanından schedule edilecek rapor seçilir. Rapor seçildikten sonra teslimat şekli seçilmesi gerekmektedir. 3 şekilde teslimat seçeneği bulunmaktadır, bunlar Email olarak, Upload olarak ve Publish’dir. Şekilde ki görselde de gözüktüğü üzere genellikle en yaygın kullanılan şekli olan Email seçeneği seçilmiştir. Dosya adı, gönderilecek mail adres bilgisi, mailin konusu, mesaj bilgileri girildikten sonra, sağ taraftan gönderilecek format seçilir.

Format seçme işleminden sonra, rapor oluşturma da yapmış olduğumuz zaman,tarih ve peer olup olmadığı bilgileri girilmektedir. Tüm işlemler tamamlandıktan sonra save butonu ile schedule report oluşturulmuş olur.

Export Etme İşlemleri

ArcSight Logger’da rapor oluşturma dışında logları pdf veya csv uzantılı olarak dışarı alma işlemi olarak export etme seçeneğimiz bulunmaktadır. Export etme işlemi genellikle rapor oluşturma işlemine göre daha az zaman almakta ve daha basit bir yöntem olmasına karşın schedule etme işlemi yapılamamaktadır. Export etme işlemi için öncelikle istenilen alan ve loglarda arama yapılması gerekmektedir. Arama işlemi tamamlandıktan sonra şekilde görünen butona basılarak export etme ekranı açılır.

Açılan ekranda export edilen dosyanın nereye kaydedileceği, hangi formatta çıkartılacağı ve hangi alanların alınacağı seçilebilir. Varsayılan olarak tüm alanlar seçili olarak gelmektedir. All fields işareti kaldırılarak özelleştirme yapmamız mümkündür. Varsayılan olarak rerun query işaretli olarak gelmektedir. İşaretli olduğu takdirde tekrar bir search işlemi başlatarak sonrasında export işlemine başlayacağı için işlem süresi uzamaktadır.

Export işlemi bittikten sonra download results’a tıklanarak dosya indirilmeye başlanabilir.

Kaynaklar

https://community.microfocus.com/t5/Logger/Logger-Administrator-s-Guide-7-1/ta-p/2814656

Görey Eğribel

LINUX AUDIT LOGLARI İLE ARCSIGHT ENTERGRASYONU

Linux Audit Logları nedir?

Sözlük manası incelemek, denetlemek olan audit kelimesi, işletim sistemlerinde kullanıcı ve sistem aktivitelerinin kayıt altına tutulup ileriye dönük inceleme yapılabilmesine olanak sağlayan bir altyapıdır. Her işletim sisteminin kendine ait bir audit alt yapısı mevcuttur.

Audit logları Unix sistemlerde üzerinde yapılan (erişim,silme,yaratma vb.) gibi işlemlerin kayıt altına almaktadır. *nix sistemlerde özellikle güvenlik ile ilgili hangi kullanıcın hangi işlemleri ne zaman yaptığını kernel seviyesi dahil kayıt altına alan bir denetleme mekanizmasıdır. Bu loglar sayesinde cihazlarda oluşan kullanıcı aktiviteleri takip edilebilir ve gerektiği durumlarda aksiyon alınabilir.

Linux Audit Log Konfigürasyonu

Her audit işlemi işletim sistemi çekirdeğini meşgul edebilir. Bu yüzden audit yapılacak bileşenlerin dikkatli seçilmesi gerekmektedir. Linux audit sistemi aşağıdaki 4 bileşenden oluşur ;

1.   Sistemlerde oluşan çekirdek olaylarının (syscall) toplanması ve de audit altyapısını kullanan kullanıcı programların loglaması için bir altyapı

2.   Audit sisteminin yapılandırma dosyaları (/etc/audit/auditd.conf ve /etc/audit/auditd.rules)

3.   Her bir audit olayının sistemde okunabilir halde durduğu dosya ( /var/log/audit/audit.log)

4.   Binary olan audit loglarını incelemek için yardımcı programlar.

/etc/audit/auditd.conf dosyasında oluşan log dosyalarının rotasyon süresi, log dosyalarının boyutu gibi konfigürsayonlar yapılmaktadır.

/etc/audit/audit.rules dosyasında ise hangi eventlerin kayıt altına alınacağının konfigürsayonu yapılmaktadır.

Rsyslog Nedir?

Rsyslog 2004 yılında bir ağdaki Unix ve benzeri sistemlerden günlük iletileri toplamak amacı ile geliştirilmiş açık kaynak kodlu bir programdır. Rsyslog ile birden fazla Unix kaynaktan alınan log dosyalarının merkezi bir serverda (Rsyslog Server) toplanabilir. Rsyslog ile bir adet merkezi Rsyslog Server tanımlandıktan sonra diğer linux client sunuculardan yapılan konfigürasyonlar sayesinde tüm cihazların logları rsyslog server üzerinde tutulmaktadır.

Bu yazımda Centos 7.x versiyonundaki client makinelerden rsyslog server vasıtası ile log toplanmasını ve akabininde bu logların ArcSight entegresini göreceğiz.

Rsyslog ile Çoklu Kaynaklardan Log Toplanması

Rsyslog Server Kurulumu

Bu merkezileştirme için öncelikle Rsyslog Server (Tüm sunuculardan gelecek logları toplayacağımız) sunucumuza rsyslog paketini indirmemiz gerekmektedir. yum install rsyslog komutu ile paketi indirebiliriz.

Paket kurulumu tamamlandıktan sonra /etc/rsyslog.conf dosyası içerisinde

UDP protokolü ile log alımı yapacak isek ;

$ModLoad imudp

$UDPServerRun 514

TCP protokolü ile log alımı yapacak isek ;

$ModLoad imtcp

$InputTCPServerRun 514

Satırlarının başındaki # karakteri silinmelidir. Çünkü # ibaresi konulduğunda bunu yorum satırı olarak algılamaktadır.

Dosya içerisinde iki protokolün de varsayılan olarak dinleyeceği port 514 olarak gelmektedir. İsteğe bağlı olarak bu portlar aynı dosya içerisinden değiştirilebilir.

Bu demo özelinde UDP 514 portunu kullanacağız.

Sonraki aşamada yine /etc/rsyslog.conf dosyası içerisinde toplanan logların Rsyslog Server üzerinde hangi dosya yolunda tutulacağını belirtmemiz gerekmektedir. Bunun için dosya içerisindeki GLOBAL DIRECTIVES ibaresinden önce şu satır girilmelidir;

$template RemoteLogs,”/var/log/%HOSTNAME%/%PROGRAMNAME%.log”

. ?RemoteLogs & ~

“/var/log/%HOSTNAME%/%PROGRAMNAME%.log” alanında logları tutmak istediğimiz alanı farklı bir path vererek değiştirebiliriz.

Bu işlemler sonrasında rsyslog servisi ayakta ise ;

“service rsyslog restart” komutu ile restart etmek gerekmektedir.

Rsyslog servisi ayakta değil ise;

“systemctl start rsyslog.service” ile servis aktif edilmelidir.

Servis çalışır hale geldikten sonra

“netstat -tulpn | grep rsyslog” ile kontrol sağlanabilir.

Rsyslog Server olarak belirlediğimiz cihaz üzerinde Firewall veya Selinux aktif ise;

Komutları ile firewall izinleri,

firewall-cmd –permanent –add-port=”VERMIŞ OLDUĞUMUZ PORT”/tcp

firewall-cmd –permanent –add-port=”VERMIŞ OLDUĞUMUZ PORT”/udp

firewall-cmd –reload

Komutları ile Selinux izinleri verilmelidir.

semanage -a -t syslogd_port_t -p udp “VERMIŞ OLDUĞUMUZ PORT”

semanage -a -t syslogd_port_t -p tcp “VERMIŞ OLDUĞUMUZ PORT”

Rsyslog Client Kurulumu

Rsyslog Server cihazımıza log gönderecek olan her makina için (Rsyslog Client) aşağıdaki adımlar uygulanmalıdır;

Client sunucumuz üzerinde de rsyslog servisinin kurulu olması gerekmektedir. yum install rsyslog

Paket kurulumu tamamlandıktan sonra /etc/rsyslog.conf dosyası içerisinde;

*. *  @@remotehost:514

Satırında remote host gelecek olan yere Rsyslog Server ip veya hostname ini, 514 kısmına ise kullandığımız portu girmemiz gereklidir. Burada dikkat edilmesi gereken bir nokta da satır başında “@” UDP protokolünü, “@@” TCP protokolünü belirtmektedir.

Bu işlemler sonrasında rsyslog servisi ayakta ise ;

“service rsyslog restart” komutu ile restart etmek gerekmektedir.

Rsyslog servisi ayakta değil ise;

“systemctl start rsyslog.service” ile servis aktif edilmelidir.

ArcSight Syslog Connector ile Linux Audit Loglarının Toplanması

Rsyslog Server cihazı üzerinde topladığımız tüm logları ArcSight üzerine alabilmek için Rsyslog Server cihazımızdan loglarının ArcSight Smart Connector e akışını gerçekleştirmemiz gerekmektedir. Bunun için ArcSight SmartConnector destekleyen bir platformda connector kurulumu gerçekleştiremiz gerekmektedir.

Desteklenen bir Windows makinesinde ArcSight SmartConnector kurulumu şu şekilde gerçekleşmektedir;

SmartConnector Setup dosyasını çalıştırıyoruz.

Ardından SmartConnector’ün kurulmasını istediğimiz dizini giriyoruz.

Core kurulum tamamlandıktan sonra yeni bir yükleme sekmesi açılmaktadır. Sekme açılmaz ise kurulumu yaptığımız path in altında current/bin içerisindeki runagentsetup çalıştırılarak ta bu ekrana erişilebilir. Örnek olarak linux sunucularda connector kurulumunda, current/bin altından runagentsetup dosyası çalıştırılması gereklidir.

Connector Tipi olarak Syslog Deamon u seçerek ilerliyoruz.

Sonrasında Syslog Connectorümüzün hangi port ve protokol u dinlemesi gerektiğini ve istersek belli iplerden gelen paketleri yakalamasını konfigüre ediyoruz.

Bu adımda ise toplanan logların hangi hedef makinelere iletileceğini belirliyoruz. Biz demomuzda ArcSight Logger a göndereceğiz.

Bu adımda SmartConnector ün hangi protokol ve portu dinleyeceğini belirtiyoruz.

Bu adımda topladığımız Linux Audit loglarını ArcSight ürün ailesindeki hangi hedefe göndereceğimiz belirtiyoruz. Bu demomuzda ArcSight Logger hedefini kullanıyor olacağız.

Logger IP-Hostname, Receiver bilgilerini giriyoruz.

Yeni gelen ekranda ise Connectorün servis ismini girmemiz gerekmektedir. Buradaki diğer alanlar isteğe bağlı olarak doldurulabilir.

Servis ismini girdikten sonra Logger ile SmartConnector arasındaki iletişimin güvenli bir şekilde sağlanabilmesi için sertifika alışverişi de tamamlandıktan sonra Exit seçeneği ile çıkıyoruz.

Connector kurulumu tamamlandıktan sonra servisini çalıştırıyoruz. Log kaybını engellemek amacı ile Connector servisi çalışır hale geldikten sonra Rsyslog Server cihazı ile arasındaki iletişimi sağlıyoruz. Bunun için Rsyslog Server cihazında /etc/rsyslog.conf dosyasına giderek buradaki

*. *  @@remotehost:514 satırında remotehost yerine SmartConnector ün kurulu olduğu ip yi, UDP ise “@” TCP ise “@@” ve SmartConnectorün dinlediği portu belirtiyoruz.

Biz demomuzda kurmuş olduğumuz Connectorde de UDP 514 portunda çalıştırdığımız için bu alanı da şu şekilde düzenliyoruz.

Değişiklikleri tamamladıktan sonra

“service rsyslog restart” komutu ile servisi restart ediyoruz.

Rsyslog servisi çalışır hale geldikten sonra log akışımız başlayacaktır.

Birçok Linux cihazdan merkezileştirerek aldığımız tüm log dosyalarını ArcSight Logger üzerinde görüntüleyebilmekteyiz.

Kaynaklar

https://www.tecmint.com/create-centralized-log-server-with-rsyslog-in-centos-7/

https://www.tecmint.com/setup-rsyslog-client-to-send-logs-to-rsyslog-server-in-centos-7/

https://community.microfocus.com/t5/ArcSight-Connectors/SmartConnector-for-UNIX-OS-Syslog/ta-p/1589054

Caner Koltuk

USOM URL LİSTESİNİN ARCSIGHT ESM İLE ENTEGRASYONU

USOM NEDİR?

USOM, Ulusal Siber Olaylara Müdahale Merkezi kelimelerinin kısaltmasıdır. USOM, 2013’de “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” 4.maddesi dahilinde BTK bünyesinde kurulmuştur. USOM’un kurulma amacı;

• Türkiye’de siber güvenlik olaylarına müdahalede ulusal ve uluslararası koordinasyonun sağlanması,
• İnternette yer alan tüm aktörler ile uluslararası kuruluşlar, araştırma merkezleri ve özel sektör arasındaki iletişimi sağlamak,
• Siber güvenlik olayları hakkında alarm, uyarı ve duyuru yoluyla kritik sektörlerin korunması için ulusal ve uluslararası koordinasyonun tesis edilmesi,

Amacı ile kurulmuştur.

Temel görevlerinden biri internette ortaya çıkan tehditlerin belirlenmesi ve bu tehditlerin ortadan kaldırılması için gereken önlemlerin alınmasıdır. USOM, ArcSight gibi SIEM ürünleriyle de entegre bir şekilde çalışmaktadır.

ARCSIGHT IN USOM İLE KULLANILMASI

Arcsight gibi korelasyon ve real time alert oluşturulabilen SIEM ürünlerinde USOM entegre bir şekilde çalışmaktadır. Arcsight ile USOM entegrasyonu sayesinde internetteki tehdit içeren tüm alan adları otomatik olarak çekilmektedir. USOM, tehdit içeren ve şüpheli olan tüm adresleri analiz ederek yasaklı web sayfaları listesini düzenli olarak günceller. Bu zararlı URLlerin bulunduğu listeye https://www.usom.gov.tr/URL-list.txt adresi üzerinden ulaşabilirsiniz.

ArcSight ın korelasyon oluşturma özelliği ile birlikte USOM için kurallar oluşturulabilir. Bu kurallara örnek olarak “USOM tarafından yayınlanan zararlı bağlantılar listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar.” Verilebilir. Yapılacak olan uygulamada da ArcSight ESM içerisinde bu kural oluşturulacaktır.  

USOM URL Listesi İçin Script Oluşturulması ve Schedule Edilmesi

https://www.usom.gov.tr/URL-list.txt adresi üzerinde görüntülenen URL listesinin belirli periyodlarla çekilerek güncel kalması sağlanacaktır. Bunun için bir script oluşturup bu scriptin belirli periyodlarda çalışması schedule edilecektir.

Aşağıdaki görselde yer alan script kullanılarak adres üzerinden çekilen URL’ler URL başlığı altında bir text dosyası içerisine yazılmaktadır.

Hazırlanan script in schedule edilmesi için crontab komutu kullanılacaktır. Crontab, Linux ve Unix sistemlerde belirlenen bir zaman ya da zaman diliminde belirlenen komut, script ya da uygulamanın çalışmasını sağlar. Aşağıdaki görselde, hazırlanan scriptin her iki saatte bir çalışması için gerekli olan crontab konfigürasyonu yer almaktadır.

Liste içerisindeki URL’lerin Smartconnector ile Toplanması ve Parse Edilerek ESM’e Aktarılması

Text dosyası içerisinde bulunan URL’lerin ESM’ e aktarılması işlemini gerçekleştirmek için ArcSight Flex Connector Regex File kurulumu gerçekleştirilip, URL’ler için parser hazırlanması gerekmektedir.

Aşağıdaki görselde hazırlanan parser içerisinde, Tüm URL’ler öncelikle name alanına aktarılıp, IP adresi olanlar destination Address alanına URL olanlar destination Host Name alanına atanacak şekilde konfigürasyon yapılmıştır.

Connector kurulumu tamamlandıktan sonra hazırlanan parser ilgili pathe (ARCSIGHT_HOME\user\agent\flexagent\) aktarılmıştır. Connector parametreleri tamamlandıktan sonra connector servisleri /etc/init.d/ üzerinden start edilmiştir.

Connector kurulumu sırasında destination olarak ArcSight Manager tanımlanmasının ardından URL’lerin ArcSight ESM üzerindeki görüntülenmesi aşağıdaki gibidir;

ESM Üzerinde Kural Oluşturulması

URL’lerin ESM üzerine aktarılmasının ardından “USOM tarafından yayınlanan zararlı bağlantılar listesindeki kaynaktan veya o kaynağa bir trafik oluşursa uyar.” Şeklinde kural oluşturulması için gerekli hazırlıklar yapılacaktır.

Rule oluşturulmadan önce, URL’lerin gelen firewall trafik loglarıyla karşılaştırılması için Active List oluşturulması gerekmektedir. Active List loglar içerisinden depolanması istenilen alanın veya alanların belirli bir süre veya süresiz olarak tutulmasını sağlayan listelerdir. Bu çalışması içerisinde bizim depolamamız gereken bilgiler IP adress ve URL bilgisidir. Bunun için ArcSight Console üzerinden 2 adet Active list oluşturup bu listelerin bir feeder rule ile beslenmesi sağlanacaktır.

Active List Oluşturulması

USOM logları içerisinde yer alan IP lerin tutulması için hazırlanan Active List konfigürasyonu aşağıdaki gibidir.

USOM logları içerisinde yer alan URL’lerin tutulması için hazırlanan Active List konfigürasyonu aşağıdaki gibidir.

Aşağıdaki görsellerde oluşturulan feeder rule için, parser içerisinde device Vendor USOM olarak belirlenmiştir bu sebeple conditions alanında öncelikle toplamak istediğimiz loglara ait ayırt edici bilgiler verilmelidir. USOM adı altında farklı bir vendor olmadığı için yalnızca bu bilginin tanımlanması bu çalışma için yeterli olacaktır.

Actions alanında, Vendor Usom olarak tanımlı loglar içerisinde, destinationAddress alanındaki bilgilerin “USOM IP-List” listesine, destinationHostName alanındaki bilgilerin “USOM URL-List” listesine yazılması tanımlanmıştır.

Active Lists ve Feeder Rule konfigürasyonlarının tanımlanmasının ardından, oluşturulan active listler aşağıdaki gibi olacaktır;

Oluşturulmak istenen kural için gerekli tüm hazırlıkların tamamlanmasının ardından, ArcSight Console üzerinden Navigator>Rules seçilerek aşağıdaki görsellerde bulunan Standart Rule oluşturulmuştur.

Conditions kısmında trafik loglarının toplandığı vendore ait bilgiler tanımlanıp, hazırlamış olduğumuz 2 adet active list içerisindeki bilgilerin belirlediğimiz alanlarla eşleşmesi koşulu eklenmiştir. Check Point logları için bu alanlar ArcSight ESM üzerinde destination Address ve destination Host Name olarak görüntülenmektedir.

Action kısmında gelen her log için aksiyon alınacağı tanımlanmıştır.

URL List içerisinde bulunan “23.227.207.137” IP adresine erişim sağlanarak kural test edilmiştir ve oluşturulan USOM kuralının doğru bir şekilde çalıştığı gözlemlenmiştir.

Gerçekleştirilen çalışmada USOM zararlı URL lerin düzenli aralıklarla sisteme aktarılması, aktarılan URL’lerin ArcSight ESM üzerine iletilmesi ve oluşturulan kural ile birlikte bu URL’lerin trafik logları ile eşleşmesi durumunda takibinin sağlanabileceği gözlenmiştir.

Kaynaklar

https://community.microfocus.com/t5/ESM-and-ESM-Express-Previous/ArcSight-ESM-7-0-Administrator-s-Guide/ta-p/1641760

https://www.usom.gov.tr/

https://bilgiguvende.com/turkiyenin-ulusal-siber-olaylara-mudahale-merkezi-usom/

Merve Kaya