Mcafee ePO Remote Agent Kurulumu ve DLP Device Control ile USB Aygıt Yönetimi

Hasan Yeşiladalı

17/04/2020

Merhaba,

Bir önceki makalem de McAfee ePO kurulumunu anlatmıştım bu makalemde ise sizlere Mcafee ePO konsolu üzerinden uzaktan McAfee Agent nasıl yüklenir, DLP nasıl yüklenir ve USB cihazı nasıl engelleniri gösteriyor olacağım umarım faydalı olur.

McAfee ePO sunucusu ile clientların haberleşmesi McAfee Agent ile yapılmaktadır. McAfee ePO üzerinde kurmuş olduğumuz paketlerin yönetimi ve dağıtımı bu agent ile yapılır.

ePO sunucunuz Active Directory ile senkronize oluyor ise ve kurmak istediğiniz client System Tree de mevcut ise altta geçen adımları takip ederek işlemleri yapabilirsiniz. Eğer ePO sunucunuz Active Directory ile senkronize değil ise New System butonuna tıklayarak gerekli bilgileri girip yeni bir client ekleyebilirsiniz ve daha sonrasında altta geçen adımları takip ederek işlemleri yapabilirsiniz.

Ajanı yüklemek istediğimiz örnek client seçelim. Bu client System Tree de adıyla aradığımızda unmanaged olduğunu görüyoruz. Yani bu client içinde Mcafee Agent yüklü değildir.

Artık kuruluma başlayabiliriz,

Resimde gördüğünüz gibi önce işlem yapmak istediğimiz client seçilerek alt kısımda almak istediğimiz aksiyon için Action seçeneği seçilir.

Ajan kurmamız gerektiği için Agent seçeneğiyle gelen seçeneklerde Deploy Agent seçilir.

Daha sonra aşağıdaki gibi bir ekran gelecektir.

System Tree – Deploy McAfee Agent

Agent version: Client windows olması nedeniyle Windows seçilidir. Current yani geçerli son sürüm seçilir.

Installation options:

“Install only on systems that do not already have an agent managed by this ePO server”
Clientte ePO tarafından yönetilen bir ürün yoksa yüklemek için seçeneği tıklamanızı gerektiriyor.
“Force installation over existing version”Eğer yüklemek istediğimiz Clientte eski McAfee ajanı varsa yeni versiyonu üzerine kurdurabilirsiniz.

Installation path: Kurulacağı dizini belirtir. Farklı bir dizine kurulmasını isterseniz bunu değiştirebilirsiniz.

Credentials for agent installation: McAfee Agent yazılımı uzaktan erişim ile kurulacağı için kurulum yapılacak client da Local Admin yetkilerine sahip bir kullanıcı belirtmemiz gerekmektedir.

Number of attempts: Seçmiş olduğumuz client’a olası yükleyememe durumunda kaç kere denemek istediğimizi belirtiyor. Defaultta 0 ‘dır.

Retry interval: Deneme süresi “30 saniye” aralıkta çalışmaktadır.

Abort after: Ne zaman sonlandırmak istediğimizi dakika/saat olarak belirtebiliriz.

Push Agent using: Ortamda ajanın konuşabileceği başka bir sunucu var ise ayrıca seçebiliriz.

Kurulum Takibi: Ajan kurulumunu başlattığımız görevin durumunu Server Task Log kısmından öğrenebiliriz.

Burada kurulum durumunu gösteren log işlemin tamamlandığını gösteriyor. Detayını görmek için log‘a tıklayabilirsiniz.

Bu client System Tree de adıyla aradığımızda Managed olduğunu görüyoruz. Yani bu client içinde Mcafee Agent yüklü demektir.

Detayını görmek için üzerine tıkladığımızda aşağıdaki gibi Agent Communication Summary’nin aktif olduğunu görüyoruz.

Eğer failed ya da expired durum olduğunu görürseniz. Log Messages içerisinde detayları yazar. Birden çok client’a ajan gönderdiğiniz durumda hangi client’larda başarılı olup olmadığını subtaks sekmesini seçerek liste halinde görebiliriz. Agent kurulumu bittiğine göre Dlp kurulum ve konfigurasyonuna geçebiliriz.

DLP (Data Loss Prevention)

Dlp Nedir?

Data Loss Prevention: Veri kaybı (sızıntı) önleme

Nasıl ve Nereden Gerçekleşiyor? : Kaza, bilinçli yada saldırı, kurumiçi – kurum dışı aktörler

Ne Korunmalı, Ne İzlenmeli? : Kritik ve önemli veriler

Hangi Veriler, Nerede? : Dosya, içerik, veri tabanı, uygulama…

Koruma Nerede Uygulanmalı? : Kurum içi ve kurum dışı, her ortamda

Nasıl Kontrol Edilmeli, İzlenmeli? : Ajan ve ajansız yaklaşım

Nereden Başlanmalı? : Sınıflandırma, hukuka uygunluk, politika ve strateji belirlenmeli

DLP Ne Değildir?

Dosyaları kim okudu, kim kopyaladı, kim sildi?

Web erişimleri ve sitelerde geçirilen süreler?

Hangi kullanıcılar sisteme giriş yaptı?

Hangi uygulamalar yüklü, ne kadar çalışıyor, uygulamaların kaynak tüketimi?

Ağ ve kullanıcı sistemlerinde üzerinde aktiviteleri IDS, açık kaynak uygulamaları ile izleme?

AV modülü?

Uygulamalar tarafından yazdırılan sayfa sayıları?

Herşey: Gönderilen mailler, web sitelerine yüklenen dosyalar, print edilen dosyalar?

Dlp’nin ne olmadığını öğrendiğimize göre, Dlp Device Control (Aygıt Kontrolu) ile Usb engellemesini inceliyor olacağız fakat kuruluma başlamadan önce Device Control yeteneklerini inceleyelim;

Windows ve MAC işletim sistemleri için aygıt control desteği
Windows güvenli kip için aygıt control desteği
Windows Fast User Switching desteği
Kullanıcı, grup ve sistemlere özel aygıt control politikalarının uygulanması
Kurum içi ve kurum dışı farklı politika uygulamaları
Kritik kullanıcılar için aygıt control politikasının sürekli olarak Bypass edilmesi
Çalışma modunda kendini gizleme özelliği
Aygıtların kullanımında uyarı, izleme, engelleme gibi aksiyonlar için mesajların özelleştirilmesi veya gizlenmesi
Aygıtların kontrolü, izlenmesi, engellenmesi ve izinlendirilmesinde bağlantı tipi, marka, model, seri no gibi çeşitli bilgilere göre imkanı
CD/DVD Writer için Read-Only özelliği
Tak ve çalıştır (PnP) aygıtları için kural tanımları
Harici disk/medya (Removable Storage) aygıtları için kural tanımları
Sabit Diskler için kural tanımları
Citrix XenApp platform için kural tanımları
TruCrypt aygıtları için kural tanımları
USB engellemesiyle birlikte akıllı cihazlar için şarj desteği
File & Removable Media Protection ve DRM entegrasyonu ile şifreleme desteği
Bypass ve uninstall için kendini koruma, Challlenge-Response kontrolü

Desteklenen aygıtlar için örnekler;

Bus tipine göre: Bluetooth, FireWire, IDE/SATA, PIC, PMCIA, SCSI ve USB tipinde aygıtlar.
Aygıt tipine göre: CD/DVD, Floppy, Imaging, Modem, Memory, Smart Card, Printer, USB, Windows Portable…
USB sınıf koduna göre: Audio, HID, Physical, Image, Printer, Mass Storage, Hub, Smart Card, Content Security, Video, Diagnostic
Device, Wireless Controller, Miscellaneous, Application Specific, Vendor Sprecific
Yönetilebilen, yönetilemeyen ve beyaz listed bulunan aygıtlar
MAC OS X işletim sistemi için sadece Removable Storage aygıtlar için kontrol sağlanmaktadır.

Şimdi kuruluma başlayabiliriz.

Mevcut olan Mcafee ePO konsolundan öncelikle Software Catalog sekmesine geliyoruz, McAfee Data Loss Prevention and Device Control son sürümünü seçip Check In All butonuna tıklıyoruz.

Lisans sözleşmesini kabul ettiğimizi belirten checkbox’ı işaretleyip Check In butonuna tıklayarak kurulumu başlatıyoruz.

Kurulum tamamlandıktan sonra Mcafee ePO konsolunun yan menü sekmesine DLP Protection menüsü gelecektir. DLP Policy Manager tabına geliyoruz ve oluşturmak istediğimiz policy’leri burdan oluşturuyoruz.

Rule Set oluşturmaya geçmeden önce aşağıdaki resimde belirtildiği gibi Dlp politikalarının uygulanabileceği alanlara bir göz atalım.

Şimdi de aşağıdaki resimde belirtilen adımları takip ederek devam edelim. Action tabından New Rule Set seçeneği ile ilerliyoruz.

Rule Set için isim veriyoruz.

Oluşturmak istediğimiz policy içerisinde Device kontrolü yapmak istediğimiz için Device Control menüsüne geliyoruz. Removable Storage Device Rule seçeneği ile devam ediyoruz.

Removable Storage kısmında *’lı alanı doldurmak için checkbox’a tıklıyoruz.

Custom Removable Storage Devices seçeneğini seçerek edit diyoruz.

Bus Type alanından USB seçeneğini seçiyoruz. Usb cihazı dışında IDE/SATA, Bluetooth gibi cihazları engellemek için ekleme yapabiliriz.

Bu alan oldukça önemli! Kuralımızı Enable konumuna getiriyoruz. Severity değerini belirliyoruz. Eğer Windows işletim sistemi üzerinde çalışılıyorsa Mac OS x Checkbox’ın boş olması gerekmektedir.

Almak istediğimiz Action type seçimini yapıyoruz. Burada Block, Read Only veya No Action olarak kullanıma izin verebiliriz. (Tavsiye edilen ilk kurulum sonrasında No Action olarak bırakılması ve bir süre sistemin izlenmesidir.