Güvenlik

Mcafee ePO Remote Agent Kurulumu ve DLP Device Control ile USB Aygıt Yönetimi

Hasan Yeşiladalı fotoğrafı Hasan Yeşiladalı Bir e-posta göndermek 17/04/2020
6 4 dakika okuma süresi

Merhaba,

Bir önceki makalem de McAfee ePO kurulumunu anlatmıştım bu makalemde ise sizlere Mcafee ePO konsolu üzerinden uzaktan McAfee Agent nasıl yüklenir, DLP nasıl yüklenir ve USB cihazı nasıl engelleniri gösteriyor olacağım umarım faydalı olur.

McAfee ePO sunucusu ile clientların haberleşmesi McAfee Agent ile yapılmaktadır.  McAfee ePO üzerinde kurmuş olduğumuz paketlerin yönetimi ve dağıtımı bu agent ile yapılır.

ePO sunucunuz Active Directory ile senkronize oluyor ise ve kurmak istediğiniz client System Tree de mevcut ise altta geçen adımları takip ederek işlemleri yapabilirsiniz. Eğer ePO sunucunuz Active Directory ile senkronize değil ise New System butonuna tıklayarak gerekli bilgileri girip yeni bir client ekleyebilirsiniz ve daha sonrasında altta geçen adımları takip ederek işlemleri yapabilirsiniz.

Ajanı yüklemek istediğimiz örnek client seçelim. Bu client System Tree de adıyla aradığımızda unmanaged olduğunu görüyoruz. Yani bu client içinde Mcafee Agent yüklü değildir.

Artık kuruluma başlayabiliriz,

Resimde gördüğünüz gibi önce işlem yapmak istediğimiz client seçilerek alt kısımda almak istediğimiz aksiyon için Action seçeneği seçilir.

Ajan kurmamız gerektiği için Agent seçeneğiyle gelen seçeneklerde Deploy Agent seçilir.

Daha sonra aşağıdaki gibi bir ekran gelecektir.

System Tree – Deploy McAfee Agent

Agent version: Client windows olması nedeniyle Windows seçilidir. Current yani geçerli son sürüm seçilir.

Installation options:

  • “Install only on systems that do not already have an agent managed by this ePO server”
    Clientte ePO tarafından yönetilen bir ürün yoksa yüklemek için seçeneği tıklamanızı gerektiriyor.
  • “Force installation over existing version”Eğer yüklemek istediğimiz Clientte eski McAfee ajanı varsa yeni versiyonu üzerine kurdurabilirsiniz.

Installation path: Kurulacağı dizini belirtir. Farklı bir dizine kurulmasını isterseniz bunu değiştirebilirsiniz.

Credentials for agent installation: McAfee Agent yazılımı uzaktan erişim ile kurulacağı için kurulum yapılacak client da Local Admin yetkilerine sahip bir kullanıcı belirtmemiz gerekmektedir.

Number of attempts: Seçmiş olduğumuz client’a olası yükleyememe durumunda kaç kere denemek istediğimizi belirtiyor. Defaultta 0 ‘dır.

Retry interval: Deneme süresi “30 saniye” aralıkta çalışmaktadır.

Abort after: Ne zaman sonlandırmak istediğimizi dakika/saat olarak belirtebiliriz.

Push Agent using: Ortamda ajanın konuşabileceği başka bir sunucu var ise ayrıca seçebiliriz.


Kurulum Takibi: Ajan kurulumunu başlattığımız görevin durumunu Server Task Log kısmından öğrenebiliriz.

Burada kurulum durumunu gösteren log işlemin tamamlandığını gösteriyor. Detayını görmek için log‘a tıklayabilirsiniz.

Bu client System Tree de adıyla aradığımızda Managed olduğunu görüyoruz. Yani bu client içinde Mcafee Agent yüklü demektir.

Detayını görmek için üzerine tıkladığımızda aşağıdaki gibi Agent Communication Summary’nin aktif olduğunu görüyoruz.

Eğer failed ya da expired durum olduğunu görürseniz. Log Messages içerisinde detayları yazar. Birden çok client’a ajan gönderdiğiniz durumda hangi client’larda  başarılı olup olmadığını subtaks sekmesini seçerek liste halinde görebiliriz. Agent kurulumu bittiğine göre Dlp kurulum ve konfigurasyonuna geçebiliriz.

DLP (Data Loss Prevention)

Dlp Nedir?

Data Loss Prevention: Veri kaybı (sızıntı) önleme

Nasıl ve Nereden Gerçekleşiyor? : Kaza, bilinçli yada saldırı, kurumiçi – kurum dışı aktörler

Ne Korunmalı, Ne İzlenmeli? : Kritik ve önemli veriler

Hangi Veriler, Nerede? : Dosya, içerik, veri tabanı, uygulama…

Koruma Nerede Uygulanmalı? : Kurum içi ve kurum dışı, her ortamda

Nasıl Kontrol Edilmeli, İzlenmeli? : Ajan ve ajansız yaklaşım

Nereden Başlanmalı? : Sınıflandırma, hukuka uygunluk, politika ve strateji belirlenmeli

DLP Ne Değildir?

Dosyaları kim okudu, kim kopyaladı, kim sildi?

Web erişimleri ve sitelerde geçirilen süreler?

Hangi kullanıcılar sisteme giriş yaptı?

Hangi uygulamalar yüklü, ne kadar çalışıyor, uygulamaların kaynak tüketimi?

Ağ ve kullanıcı sistemlerinde üzerinde aktiviteleri IDS, açık kaynak uygulamaları ile izleme?

AV modülü?

Uygulamalar tarafından yazdırılan sayfa sayıları?

Herşey: Gönderilen mailler, web sitelerine yüklenen dosyalar, print edilen dosyalar?

Dlp’nin ne olmadığını öğrendiğimize göre, Dlp Device Control (Aygıt Kontrolu) ile Usb engellemesini inceliyor olacağız fakat kuruluma başlamadan önce Device Control yeteneklerini inceleyelim;

  • Windows ve MAC işletim sistemleri için aygıt control desteği
  • Windows güvenli kip için aygıt control desteği
  • Windows Fast User Switching desteği
  • Kullanıcı, grup ve sistemlere özel aygıt control politikalarının uygulanması
  • Kurum içi ve kurum dışı farklı politika uygulamaları
  • Kritik kullanıcılar için aygıt control politikasının sürekli olarak Bypass edilmesi
  • Çalışma modunda kendini gizleme özelliği
  • Aygıtların kullanımında uyarı, izleme, engelleme gibi aksiyonlar için mesajların özelleştirilmesi veya gizlenmesi
  • Aygıtların kontrolü, izlenmesi, engellenmesi ve izinlendirilmesinde bağlantı tipi, marka, model, seri no gibi çeşitli bilgilere göre imkanı
  • CD/DVD Writer için Read-Only özelliği
  • Tak ve çalıştır (PnP) aygıtları için kural tanımları
  • Harici disk/medya (Removable Storage) aygıtları için kural tanımları
  • Sabit Diskler için kural tanımları
  • Citrix XenApp platform için kural tanımları
  • TruCrypt aygıtları için kural tanımları
  • USB engellemesiyle birlikte akıllı cihazlar için şarj desteği
  • File & Removable Media Protection ve DRM entegrasyonu ile şifreleme desteği
  • Bypass ve uninstall için kendini koruma, Challlenge-Response kontrolü

    Desteklenen aygıtlar için örnekler;
  • Bus tipine göre: Bluetooth, FireWire, IDE/SATA, PIC, PMCIA, SCSI ve USB tipinde aygıtlar.
  • Aygıt tipine göre: CD/DVD, Floppy, Imaging, Modem, Memory, Smart Card, Printer, USB, Windows Portable…
  • USB sınıf koduna göre: Audio, HID, Physical, Image, Printer, Mass Storage, Hub, Smart Card, Content Security, Video, Diagnostic
    Device, Wireless Controller, Miscellaneous, Application Specific, Vendor Sprecific
  • Yönetilebilen, yönetilemeyen ve beyaz listed bulunan aygıtlar
  • MAC OS X işletim sistemi için sadece Removable Storage aygıtlar için kontrol sağlanmaktadır.

Şimdi kuruluma başlayabiliriz.

Mevcut olan Mcafee ePO konsolundan öncelikle Software Catalog sekmesine geliyoruz, McAfee Data Loss Prevention and Device Control son sürümünü seçip Check In All butonuna tıklıyoruz.

Lisans sözleşmesini kabul ettiğimizi belirten checkbox’ı işaretleyip Check In butonuna tıklayarak kurulumu başlatıyoruz.

Kurulum tamamlandıktan sonra Mcafee ePO konsolunun yan menü sekmesine DLP Protection menüsü gelecektir. DLP Policy Manager tabına geliyoruz ve oluşturmak istediğimiz policy’leri burdan oluşturuyoruz.

Rule Set oluşturmaya geçmeden önce aşağıdaki resimde belirtildiği gibi Dlp politikalarının uygulanabileceği alanlara bir göz atalım.

Şimdi de aşağıdaki resimde belirtilen adımları takip ederek devam edelim. Action tabından New Rule Set seçeneği ile ilerliyoruz.

Rule Set için isim veriyoruz.

Oluşturmak istediğimiz policy içerisinde Device kontrolü yapmak istediğimiz için Device Control menüsüne geliyoruz. Removable Storage Device Rule seçeneği ile devam ediyoruz.

Removable Storage kısmında *’lı alanı doldurmak için checkbox’a tıklıyoruz.

Custom Removable Storage Devices seçeneğini seçerek edit diyoruz.


Bus Type alanından USB seçeneğini seçiyoruz. Usb cihazı dışında IDE/SATA, Bluetooth gibi cihazları engellemek için ekleme yapabiliriz.

Bu alan oldukça önemli! Kuralımızı Enable konumuna getiriyoruz. Severity değerini belirliyoruz.  Eğer Windows işletim sistemi üzerinde çalışılıyorsa Mac OS x Checkbox’ın boş olması gerekmektedir.

Almak istediğimiz Action type seçimini yapıyoruz. Burada Block, Read Only veya No Action olarak kullanıma izin verebiliriz. (Tavsiye edilen ilk kurulum sonrasında No Action olarak bırakılması ve bir süre sistemin izlenmesidir.

Policy oluşturma işlemini kaydettikten sonra Policy Assignment alanına gelip Rule Setleri eklememiz gerekiyor.

Assign Rule Set to Policy seçeneği ile ekliyoruz.

Default Policy içerisine ekliyoruz.

Aynı işlemi Apply Selected Policy için de yapıyoruz.

Ekleme işlemlerini bitirdikten sonra Client makinaları tetiklemek için Wake Up Agent işlemini yapıyoruz.

Force complete policy and task update checkbox seçimini yapıyoruz.

Client Policy aldıktan sonra gerekli testleri gerçekleştirebiliriz.

Seçmiş olduğumuz Action Type’a göre DLP Agent işlem yapacaktır.

Okuduğunuz için teşekkür ederim.

Hasan Yeşiladalı fotoğrafı Hasan Yeşiladalı Bir e-posta göndermek 17/04/2020
6 4 dakika okuma süresi
Hasan Yeşiladalı fotoğrafı

Hasan Yeşiladalı

İlgili Makaleler

USOM Zararlı Bağlantılar API’sinin Checkpoint IOC ile Entegrasyonu

20/02/2024

Nessus ile BT Alt Yapınızdaki Güvenlik Zafiyetlerini Tespit Etmek

16/02/2024

SCCM ile AnyDesk Uninstall Etmek

06/02/2024
Mitre ATT&CK ile Tehdit İstihbaratı

Mitre ATT&CK Kullanım Alanları – Bölüm 2

15/05/2023

6 Yorum

    1. Teşekkürler. Emeğinize sağlık. Drive Encryption kurulum ve yapılandırmasını da kaynaklaştırabilirseniz sevinirim. Bios güvenliği de usb güvenliği açısından önemli, bios’ları tek tek kontrol etmemek adına McAfee tarafında çözümü var mı?

      Yanıtla

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu